ESET-ova mrežna pomoć

Traži Hrvatski
Odaberite kategoriju
Odaberite temu

Događaji izvezeni u format JSON

JSONjednostavan je format za razmjenu podataka. Temelji se na skupu parova naziva/vrijednosti i poredanog popisa vrijednosti.

Izvezeni događaji

Ovaj odjeljak sadrži pojedinosti o formatu i značenju atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:

event_type

niz

 

Vrsta izvezenih događaja:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

niz

nije obavezno

IPv4 adresa računala koje generira događaj.

ipv6

niz

nije obavezno

IPv6 adresa računala koje generira događaj.

source_uuid

niz

 

UUID računala koje generira događaj.

occurred

niz

 

UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S

severity

niz

 

Razina ozbiljnosti događaja. Moguće su sljedeće vrijednosti (od najmanje ozbiljne do najozbiljnije): Informacija, Obavijest, Upozorenje, Pogreška, Kritična pogreška, Kobna pogreška.


note

Sve niže navedene vrste događaja sa svim razinama ozbiljnosti se prijavljuju Syslog serveru. Da biste filtrirali dnevnike događaja poslane u Syslog, stvorite obavijest o kategoriji dnevnika s definiranim filtrom.

Prijavljene vrijednosti ovise o ESET-ovom sigurnosnom programu (i njegovoj verziji) instaliranom na upravljanom računalu i ESET PROTECT izvješćuje samo o primljenim podacima. Stoga ESET ne može pružiti sveobuhvatan popis svih vrijednosti. Preporučujemo da gledate svoju mrežu i filtrirate dnevnike na temelju vrijednosti koje primate.

Prilagođeni ključevi prema stavci event_type:

Threat_Event

Svi događaji prijetnji koje generiraju upravljana računala prosljeđuju se Syslogu. Poseban ključ događaja prijetnji:

threat_type

niz

nije obavezno

Vrsta prijetnje

threat_name

niz

nije obavezno

Naziv prijetnje

threat_flags

niz

nije obavezno

Zastavice koje se odnose na prijetnje

scanner_id

niz

nije obavezno

ID skenera

scan_id

niz

nije obavezno

ID skeniranja

engine_version

niz

nije obavezno

Verzija sustava za skeniranje

object_type

niz

nije obavezno

Vrsta objekta povezanog s ovim događajem

object_uri

niz

nije obavezno

URI objekta

action_taken

niz

nije obavezno

Radnja koju poduzima Endpoint

action_error

niz

nije obavezno

Poruka o pogrešci ako "radnja" nije uspješna

threat_handled

bool

nije obavezno

Označava je li prijetnja riješena

need_restart

bool

nije obavezno

Označava je li potrebno ponovno pokretanje

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

circumstances

niz

nije obavezno

Kratak opis uzroka događaja

hash

niz

nije obavezno

SHA1 hash protoka podataka (o prijetnjama).

firstseen

niz

nije obavezno

Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu. ESET PROTECT upotrebljava različite formate datuma i vremena za atribut firstseen (i sve druge atribute datuma i vremena) ovisno o izlaznom formatu dnevnika (JSON ili LEEF):

JSON format: "%d-%b-%Y %H:%M:%S"

LEEF format: "%b %d %Y %H:%M:%S"

arrow_down_business Primjer dnevnika Threat_Event:

FirewallAggregated_Event

Dnevnike događaja koje je stvorio ESET Firewall prikuplja izvršni ESET Management agent da bi se izbjeglo trošenje propusnosti veze tijekom replikacije ESET Management agenta / ESET PROTECT servera. Posebni ključ događaja firewalla:

event

niz

nije obavezno

Naziv događaja

source_address

niz

nije obavezno

Adresa izvora događaja

source_address_type

niz

nije obavezno

Vrsta adrese izvora događaja

source_port

broj

nije obavezno

Port izvora događaja

target_address

niz

nije obavezno

Adresa odredišta događaja

target_address_type

niz

nije obavezno

Vrsta adrese odredišta događaja

target_port

broj

nije obavezno

Port odredišta događaja

protocol

niz

nije obavezno

Protokol

account

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

process_name

niz

nije obavezno

Naziv procesa povezanog s događajem

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

inbound

bool

nije obavezno

Označava je li veza bila ulazna

threat_name

niz

nije obavezno

Naziv prijetnje

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta.

action

niz

nije obavezno

Poduzeta radnja

handled

niz

nije obavezno

Označava je li prijetnja riješena

arrow_down_business Primjer dnevnika FirewallAggregated_Event:

HIPSAggregated_Event

Događaji iz sustava za sprečavanje upada temeljenog na hostu filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Syslogu se šalju samo događaji koji imaju razinu ozbiljnosti Pogreška, Kritična pogreška i Kobna pogreška. Posebni su HIPS atributi sljedeći:

application

niz

nije obavezno

Naziv aplikacije

operation

niz

nije obavezno

Operacija

target

niz

nije obavezno

Objekt

action

niz

nije obavezno

Poduzeta radnja

action_taken

niz

nije obavezno

Radnja koju poduzima Endpoint

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta.

handled

niz

nije obavezno

Označava je li prijetnja riješena

arrow_down_business Primjer dnevnika HipsAggregated_Event:

Audit_Event

ESET PROTECT prosljeđuje poruke internog dnevnika provjere servera Syslogu. Posebni su atributi sljedeći:

domain

niz

nije obavezno

Domena dnevnika provjere

action

niz

nije obavezno

Radnja koja se odvija

target

niz

nije obavezno

Ciljna radnja radi na

detail

niz

nije obavezno

Detaljni opis radnje

user

niz

nije obavezno

Korisnik zaštite koji je uključen

result

niz

nije obavezno

Rezultat radnje

arrow_down_business Primjer dnevnika Audit_Event:

FilteredWebsites_Event

ESET PROTECT prosljeđuje filtrirane web stranice (prijetnje web zaštite) syslogu. Posebni su atributi sljedeći:

hostname

niz

nije obavezno

Naziv hosta računala s događajem

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

hash

niz

nije obavezno

SHA1 hash filtriranog objekta

event

niz

nije obavezno

Vrsta događaja

rule_id

niz

nije obavezno

ID pravila

action_taken

niz

nije obavezno

Poduzeta radnja

scanner_id

niz

nije obavezno

ID skenera

object_uri

niz

nije obavezno

URI objekta

target_address

niz

nije obavezno

Adresa odredišta događaja

target_address_type

niz

nije obavezno

Vrsta adrese odredišta događaja (25769803777 = IPv4; 25769803778 = IPv6)

handled

niz

nije obavezno

Označava je li prijetnja riješena

arrow_down_business Primjer dnevnika FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT prosljeđuje ESET Inspect upozorenja syslogu. Posebni su atributi sljedeći:

processname

niz

nije obavezno

Naziv procesa koji uzrokuje upozorenje

username

niz

nije obavezno

Vlasnik procesa

rulename

niz

nije obavezno

Naziv pravila koje aktivira ovo upozorenje

count

broj

nije obavezno

Broj upozorenja ove vrste generiranih od posljednjeg upozorenja

hash

niz

nije obavezno

SHA1 hash upozorenja

eiconsolelink

niz

nije obavezno

Link na upozorenje u ESET Inspect konzoli

eialarmid

niz

nije obavezno

ID poddio linka upozorenja ($1 u ^http.*/alarm/([0-9]+)$)

computer_severity_score

broj

nije obavezno

Rezultat ozbiljnosti računala

severity_score

broj

nije obavezno

Rezultat ozbiljnosti pravila

arrow_down_business Primjer dnevnika EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT prosljeđuje ESET Inspect blokirane datoteke syslogu. Posebni su atributi sljedeći:

hostname

niz

nije obavezno

Naziv hosta računala s događajem

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

hash

niz

nije obavezno

SHA1 hash blokirane datoteke

object_uri

niz

nije obavezno

URI objekta

action

niz

nije obavezno

Poduzeta radnja

firstseen

niz

nije obavezno

Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu (format vremena i datuma).

cause

niz

nije obavezno

 

description

niz

nije obavezno

Opis blokirane datoteke

handled

niz

nije obavezno

Označava je li prijetnja riješena