Događaji izvezeni u format JSON
JSONjednostavan je format za razmjenu podataka. Temelji se na skupu parova naziva/vrijednosti i poredanog popisa vrijednosti.
Izvezeni događaji
Ovaj odjeljak sadrži pojedinosti o formatu i značenju atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:
event_type |
niz |
|
Vrsta izvezenih događaja: |
---|---|---|---|
ipv4 |
niz |
nije obavezno |
IPv4 adresa računala koje generira događaj. |
ipv6 |
niz |
nije obavezno |
IPv6 adresa računala koje generira događaj. |
source_uuid |
niz |
|
UUID računala koje generira događaj. |
occurred |
niz |
|
UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S |
severity |
niz |
|
Razina ozbiljnosti događaja. Moguće su sljedeće vrijednosti (od najmanje ozbiljne do najozbiljnije): Informacija, Obavijest, Upozorenje, Pogreška, Kritična pogreška, Kobna pogreška. |
Sve niže navedene vrste događaja sa svim razinama ozbiljnosti se prijavljuju Syslog serveru. Da biste filtrirali dnevnike događaja poslane u Syslog, stvorite obavijest o kategoriji dnevnika s definiranim filtrom. Prijavljene vrijednosti ovise o ESET-ovom sigurnosnom programu (i njegovoj verziji) instaliranom na upravljanom računalu i ESET PROTECT izvješćuje samo o primljenim podacima. Stoga ESET ne može pružiti sveobuhvatan popis svih vrijednosti. Preporučujemo da gledate svoju mrežu i filtrirate dnevnike na temelju vrijednosti koje primate. |
Prilagođeni ključevi prema stavci event_type:
Threat_Event
Svi događaji prijetnji koje generiraju upravljana računala prosljeđuju se Syslogu. Poseban ključ događaja prijetnji:
threat_type |
niz |
nije obavezno |
Vrsta prijetnje |
---|---|---|---|
threat_name |
niz |
nije obavezno |
Naziv prijetnje |
threat_flags |
niz |
nije obavezno |
Zastavice koje se odnose na prijetnje |
scanner_id |
niz |
nije obavezno |
ID skenera |
scan_id |
niz |
nije obavezno |
ID skeniranja |
engine_version |
niz |
nije obavezno |
Verzija sustava za skeniranje |
object_type |
niz |
nije obavezno |
Vrsta objekta povezanog s ovim događajem |
object_uri |
niz |
nije obavezno |
URI objekta |
action_taken |
niz |
nije obavezno |
Radnja koju poduzima Endpoint |
action_error |
niz |
nije obavezno |
Poruka o pogrešci ako "radnja" nije uspješna |
threat_handled |
bool |
nije obavezno |
Označava je li prijetnja riješena |
need_restart |
bool |
nije obavezno |
Označava je li potrebno ponovno pokretanje |
username |
niz |
nije obavezno |
Naziv korisničkog računa povezanog s događajem |
processname |
niz |
nije obavezno |
Naziv procesa povezanog s događajem |
circumstances |
niz |
nije obavezno |
Kratak opis uzroka događaja |
hash |
niz |
nije obavezno |
SHA1 hash protoka podataka (o prijetnjama). |
niz |
nije obavezno |
Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu. ESET PROTECT upotrebljava različite formate datuma i vremena za atribut firstseen (i sve druge atribute datuma i vremena) ovisno o izlaznom formatu dnevnika (JSON ili LEEF): •JSON format: "%d-%b-%Y %H:%M:%S" •LEEF format: "%b %d %Y %H:%M:%S" |
Primjer dnevnika Threat_Event:
FirewallAggregated_Event
Dnevnike događaja koje je stvorio ESET Firewall prikuplja izvršni ESET Management agent da bi se izbjeglo trošenje propusnosti veze tijekom replikacije ESET Management agenta / ESET PROTECT servera. Posebni ključ događaja firewalla:
event |
niz |
nije obavezno |
Naziv događaja |
---|---|---|---|
source_address |
niz |
nije obavezno |
Adresa izvora događaja |
source_address_type |
niz |
nije obavezno |
Vrsta adrese izvora događaja |
source_port |
broj |
nije obavezno |
Port izvora događaja |
target_address |
niz |
nije obavezno |
Adresa odredišta događaja |
target_address_type |
niz |
nije obavezno |
Vrsta adrese odredišta događaja |
target_port |
broj |
nije obavezno |
Port odredišta događaja |
protocol |
niz |
nije obavezno |
Protokol |
account |
niz |
nije obavezno |
Naziv korisničkog računa povezanog s događajem |
process_name |
niz |
nije obavezno |
Naziv procesa povezanog s događajem |
rule_name |
niz |
nije obavezno |
Naziv pravila |
rule_id |
niz |
nije obavezno |
ID pravila |
inbound |
bool |
nije obavezno |
Označava je li veza bila ulazna |
threat_name |
niz |
nije obavezno |
Naziv prijetnje |
aggregate_count |
broj |
nije obavezno |
Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta. |
action |
niz |
nije obavezno |
Poduzeta radnja |
handled |
niz |
nije obavezno |
Označava je li prijetnja riješena |
Primjer dnevnika FirewallAggregated_Event:
HIPSAggregated_Event
Događaji iz sustava za sprečavanje upada temeljenog na hostu filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Syslogu se šalju samo događaji koji imaju razinu ozbiljnosti Pogreška, Kritična pogreška i Kobna pogreška. Posebni su HIPS atributi sljedeći:
application |
niz |
nije obavezno |
Naziv aplikacije |
---|---|---|---|
operation |
niz |
nije obavezno |
Operacija |
target |
niz |
nije obavezno |
Objekt |
action |
niz |
nije obavezno |
Poduzeta radnja |
action_taken |
niz |
nije obavezno |
Radnja koju poduzima Endpoint |
rule_name |
niz |
nije obavezno |
Naziv pravila |
rule_id |
niz |
nije obavezno |
ID pravila |
aggregate_count |
broj |
nije obavezno |
Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta. |
handled |
niz |
nije obavezno |
Označava je li prijetnja riješena |
Primjer dnevnika HipsAggregated_Event:
Audit_Event
ESET PROTECT prosljeđuje poruke internog dnevnika provjere servera Syslogu. Posebni su atributi sljedeći:
domain |
niz |
nije obavezno |
Domena dnevnika provjere |
---|---|---|---|
action |
niz |
nije obavezno |
Radnja koja se odvija |
target |
niz |
nije obavezno |
Ciljna radnja radi na |
detail |
niz |
nije obavezno |
Detaljni opis radnje |
user |
niz |
nije obavezno |
Korisnik zaštite koji je uključen |
result |
niz |
nije obavezno |
Rezultat radnje |
FilteredWebsites_Event
ESET PROTECT prosljeđuje filtrirane web stranice (prijetnje web zaštite) syslogu. Posebni su atributi sljedeći:
hostname |
niz |
nije obavezno |
Naziv hosta računala s događajem |
processname |
niz |
nije obavezno |
Naziv procesa povezanog s događajem |
username |
niz |
nije obavezno |
Naziv korisničkog računa povezanog s događajem |
hash |
niz |
nije obavezno |
SHA1 hash filtriranog objekta |
event |
niz |
nije obavezno |
Vrsta događaja |
rule_id |
niz |
nije obavezno |
ID pravila |
action_taken |
niz |
nije obavezno |
Poduzeta radnja |
scanner_id |
niz |
nije obavezno |
ID skenera |
object_uri |
niz |
nije obavezno |
URI objekta |
target_address |
niz |
nije obavezno |
Adresa odredišta događaja |
target_address_type |
niz |
nije obavezno |
Vrsta adrese odredišta događaja (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
niz |
nije obavezno |
Označava je li prijetnja riješena |
Primjer dnevnika FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT prosljeđuje ESET Inspect upozorenja syslogu. Posebni su atributi sljedeći:
processname |
niz |
nije obavezno |
Naziv procesa koji uzrokuje upozorenje |
---|---|---|---|
username |
niz |
nije obavezno |
Vlasnik procesa |
rulename |
niz |
nije obavezno |
Naziv pravila koje aktivira ovo upozorenje |
count |
broj |
nije obavezno |
Broj upozorenja ove vrste generiranih od posljednjeg upozorenja |
hash |
niz |
nije obavezno |
SHA1 hash upozorenja |
eiconsolelink |
niz |
nije obavezno |
Link na upozorenje u ESET Inspect konzoli |
eialarmid |
niz |
nije obavezno |
ID poddio linka upozorenja ($1 u ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
broj |
nije obavezno |
Rezultat ozbiljnosti računala |
severity_score |
broj |
nije obavezno |
Rezultat ozbiljnosti pravila |
Primjer dnevnika EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT prosljeđuje ESET Inspect blokirane datoteke syslogu. Posebni su atributi sljedeći:
hostname |
niz |
nije obavezno |
Naziv hosta računala s događajem |
processname |
niz |
nije obavezno |
Naziv procesa povezanog s događajem |
username |
niz |
nije obavezno |
Naziv korisničkog računa povezanog s događajem |
hash |
niz |
nije obavezno |
SHA1 hash blokirane datoteke |
object_uri |
niz |
nije obavezno |
URI objekta |
action |
niz |
nije obavezno |
Poduzeta radnja |
firstseen |
niz |
nije obavezno |
Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu (format vremena i datuma). |
cause |
niz |
nije obavezno |
|
description |
niz |
nije obavezno |
Opis blokirane datoteke |
handled |
niz |
nije obavezno |
Označava je li prijetnja riješena |