Événements exportés au format JSON
JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.
Evénements exportés
Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :
event_type |
chaine |
|
Type d'événements exportés : |
---|---|---|---|
ipv4 |
chaine |
facultatif |
Adresse IPv4 de l'ordinateur générant l'événement. |
ipv6 |
chaine |
facultatif |
Adresse IPv6 de l'ordinateur générant l'événement. |
source_uuid |
chaine |
|
UUID de l'ordinateur générant l'événement. |
occurred |
chaine |
|
Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S |
severity |
chaine |
|
Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les suivantes : Information, Avis, Avertissement, Erreur, Critique, Fatal |
Tous les types d’événements énumérés ci-dessous avec tous les niveaux de gravité sont signalés au serveur Syslog. Pour filtrer les journaux d’événements envoyés à Syslog, créez une notification de catégorie de journal avec un filtre défini. Les valeurs indiquées dépendent du produit de sécurité ESET (et de sa version) installé sur l’ordinateur géré et ESET PROTECT ne signalent que les données reçues. Par conséquent, ESET ne peut pas fournir une liste exhaustive de toutes les valeurs. Nous vous recommandons de surveiller votre réseau et de filtrer les journaux en fonction des valeurs que vous recevez. |
Clés personnalisées selon event_type :
Threat_Event
Tous les événements de détection générés par des terminaux gérés seront transférés à Syslog. Clé spécifique à un événement de détection :
threat_type |
chaine |
facultatif |
Type de la détection |
---|---|---|---|
threat_name |
chaine |
facultatif |
Nom de la détection |
threat_flags |
chaine |
facultatif |
Indicateurs liés à des détections |
scanner_id |
chaine |
facultatif |
ID d'analyseur |
scan_id |
chaine |
facultatif |
ID d'analyse |
engine_version |
chaine |
facultatif |
Version du moteur d'analyse |
object_type |
chaine |
facultatif |
Type d'objet lié à cet événement |
object_uri |
chaine |
facultatif |
URI de l’objet |
action_taken |
chaine |
facultatif |
Action prise par le point de terminaison |
action_error |
chaine |
facultatif |
Message d'erreur en cas d'échec de « l'action » |
threat_handled |
bool |
facultatif |
Indique si la détection a été gérée ou non |
need_restart |
bool |
facultatif |
Indique si un redémarrage est nécessaire ou non |
username |
chaine |
facultatif |
Nom du compte utilisateur associé à l'événement |
processname |
chaine |
facultatif |
Nom du processus associé à l'événement |
circumstances |
chaine |
facultatif |
Brève description de la cause de l'événement |
hash |
chaine |
facultatif |
Hachage SHA1 du flux de données (de détection). |
chaine |
facultatif |
Heure et date auxquelles la détection s'est produite pour la première fois sur cet ordinateur. ESET PROTECT utilise différents formats date-heure pour l'attribut firstseen (et tout autre attribut date-heure) en fonction du format de sortie du journal (JSON ou LEEF) : •JSON format : "%d-%b-%Y %H:%M:%S" •LEEF format : "%b %d %Y %H:%M:%S" |
Exemple de journalisation de Threat_Event :
FirewallAggregated_Event
Les journaux d'événements générés par le pare-feu personnel d'ESET sont agrégés par la gestion de l'agent ESET Management pour éviter le gaspillage de bande passante pendant la réplication de l'agent ESET Management ou du serveur ESET PROTECT. Clé spécifique à un événement de pare-feu :
event |
chaine |
facultatif |
Nom de l'événement |
---|---|---|---|
source_address |
chaine |
facultatif |
Adresse de la source de l'événement |
source_address_type |
chaine |
facultatif |
Type d'adresse de la source de l'événement |
source_port |
number |
facultatif |
Port de la source de l'événement |
target_address |
chaine |
facultatif |
Adresse de la destination de l'événement |
target_address_type |
chaine |
facultatif |
Type d'adresse de la destination de l'événement |
target_port |
number |
facultatif |
Port de la destination de l'événement |
protocol |
chaine |
facultatif |
Protocole |
account |
chaine |
facultatif |
Nom du compte utilisateur associé à l'événement |
process_name |
chaine |
facultatif |
Nom du processus associé à l'événement |
rule_name |
chaine |
facultatif |
Nom de la règle |
rule_id |
chaine |
facultatif |
ID de règle |
inbound |
bool |
facultatif |
Indique si la connexion était entrante ou non |
threat_name |
chaine |
facultatif |
Nom de la détection |
aggregate_count |
number |
facultatif |
Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre le serveur ESET PROTECT et l'agent ESET Management de gestion |
action |
chaine |
facultatif |
Action entreprise |
handled |
chaine |
facultatif |
Indique si la détection a été gérée ou non |
Exemple de journalisation de FirewallAggregated_Event :
HIPSAggregated_Event
Les événements du système HIPS (Host-based Intrusion Prevention System) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Seuls les événements dont les niveau de gravité sont Error, Critical et Fatal sont envoyés à Syslog. Les attributs spécifiques à HIPS sont les suivants :
application |
chaine |
facultatif |
Nom de l’application |
---|---|---|---|
operation |
chaine |
facultatif |
Opération |
target |
chaine |
facultatif |
Cible |
action |
chaine |
facultatif |
Action entreprise |
action_taken |
chaine |
facultatif |
Action prise par le point de terminaison |
rule_name |
chaine |
facultatif |
Nom de la règle |
rule_id |
chaine |
facultatif |
ID de règle |
aggregate_count |
number |
facultatif |
Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre le serveur ESET PROTECT et l'agent ESET Management de gestion |
handled |
chaine |
facultatif |
Indique si la détection a été gérée ou non |
Exemple de journalisation de HipsAggregated_Event :
Audit_Event
ESET PROTECT transmet les messages du journal d'audit interne du serveur à Syslog. Les attributs spécifiques sont les suivants :
domain |
chaine |
facultatif |
Domaine du journal d'audit |
---|---|---|---|
action |
chaine |
facultatif |
Action en cours |
target |
chaine |
facultatif |
L'action cible s'effectue sur |
detail |
chaine |
facultatif |
Description détaillée de l'action |
user |
chaine |
facultatif |
Utilisateur de sécurité impliqué |
result |
chaine |
facultatif |
Résultat de l'action |
Exemple de journalisation de Audit_Event :
FilteredWebsites_Event
ESET PROTECT transfère les sites Web filtrés (détections de la protection Web) à Syslog. Les attributs spécifiques sont les suivants :
hostname |
chaine |
facultatif |
Nom d'hôte de l'ordinateur générant l'événement |
processname |
chaine |
facultatif |
Nom du processus associé à l'événement |
username |
chaine |
facultatif |
Nom du compte utilisateur associé à l'événement |
hash |
chaine |
facultatif |
Hachage SHA1 de l'objet filtré |
event |
chaine |
facultatif |
Type de l'événement |
rule_id |
chaine |
facultatif |
ID de règle |
action_taken |
chaine |
facultatif |
Action entreprise |
scanner_id |
chaine |
facultatif |
ID d'analyseur |
object_uri |
chaine |
facultatif |
URI de l’objet |
target_address |
chaine |
facultatif |
Adresse de la destination de l'événement |
target_address_type |
chaine |
facultatif |
Type d'adresse de la destination de l'événement (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
chaine |
facultatif |
Indique si la détection a été gérée ou non |
Exemple de journalisation de FilteredWebsites_Event :
EnterpriseInspectorAlert_Event
ESET PROTECT transfère les alarmes ESET Inspect à Syslog. Les attributs spécifiques sont les suivants :
processname |
chaine |
facultatif |
Nom du processus à l'origine de cette alarme |
---|---|---|---|
username |
chaine |
facultatif |
Propriétaire du processus |
rulename |
chaine |
facultatif |
Nom de la règle déclenchant cette alarme |
count |
number |
facultatif |
Nombre d'alertes de ce type générées depuis la dernière alarme |
hash |
chaine |
facultatif |
Hachage SHA1 de l'alarme |
eiconsolelink |
chaine |
facultatif |
Lien vers l'alarme dans la console ESET Inspect |
eialarmid |
chaine |
facultatif |
Sous-partie ID du lien d'alarme ($1 dans ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
number |
facultatif |
Score de gravité pour l’ordinateur |
severity_score |
number |
facultatif |
Score de sévérité de la règle |
Exemple de journalisation de EnterpriseInspectorAlert_Event :
BlockedFiles_Event
ESET PROTECT transfère les fichiers bloqués ESET Inspect à Syslog. Les attributs spécifiques sont les suivants :
hostname |
chaine |
facultatif |
Nom d'hôte de l'ordinateur générant l'événement |
processname |
chaine |
facultatif |
Nom du processus associé à l'événement |
username |
chaine |
facultatif |
Nom du compte utilisateur associé à l'événement |
hash |
chaine |
facultatif |
Hachage SHA1 du fichier bloqué |
object_uri |
chaine |
facultatif |
URI de l’objet |
action |
chaine |
facultatif |
Action entreprise |
firstseen |
chaine |
facultatif |
Heure et date auxquelles la détection s'est produite pour la première fois sur cet ordinateur format de la date et de l'heure. |
cause |
chaine |
facultatif |
|
description |
chaine |
facultatif |
Description du fichier bloqué |
handled |
chaine |
facultatif |
Indique si la détection a été gérée ou non |