Zdarzenia eksportowane do formatu JSON

JSON to niewymagający dużej ilości zasobów format wymiany danych. Tworzy go zbiór par nazw i wartości oraz uporządkowana lista wartości.

Eksportowane zdarzenia

W tej części można znaleźć szczegółowe informacje o formacie oraz znaczeniu atrybutów wszystkich eksportowanych zdarzeń. Komunikat o zdarzeniu ma postać obiektu JSON, w którym część kluczy jest obowiązkowa, a część opcjonalna. Każde z wyeksportowanych zdarzeń będzie zawierać następujące klucze:

event_type

string

 

Typ wyeksportowanych zdarzeń:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

string

opcjonalnie

Adres IPv4 komputera, który wygenerował zdarzenie.

ipv6

string

opcjonalnie

Adres IPv6 komputera, który wygenerował zdarzenie.

source_uuid

string

 

Identyfikator UUID komputera, który wygenerował zdarzenie.

occurred

string

 

Godzina wystąpienia zdarzenia w formacie UTC. Używany format: %d-%b-%Y %H:%M:%S

severity

string

 

Stopień ważności zdarzenia. Możliwe wartości (od najmniejszej do największej wagi): Informacja, Powiadomienie, Ostrzeżenie, Błąd, Krytyczne, Katastrofalny.


note

Wszystkie typy zdarzeń wymienione poniżej ze wszystkimi poziomami ważności są zgłaszane do serwera programu Syslog. Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem.

Zgłaszane wartości zależą od produktu zabezpieczającego firmy ESET (i jego wersji) zainstalowanego na zarządzanym komputerze i ESET PROTECT zgłaszają tylko otrzymane dane. W związku z tym firma ESET nie może dostarczyć wyczerpującej listy wszystkich wartości. Zalecamy obserwowanie sieci i filtrowanie dzienników na podstawie otrzymanych wartości.

Klucze niestandardowe według atrybutu event_type:

Threat_Event

Wszystkie zdarzenia związane z wykryciami generowane przez zarządzane punkty końcowe będą przekazywane do serwera Syslog. Klucze zdarzeń związanych z wykryciami:

threat_type

string

opcjonalnie

Typ wykrycia

threat_name

string

opcjonalnie

Nazwa wykrycia

threat_flags

string

opcjonalnie

Flagi związane z wykryciem

scanner_id

string

opcjonalnie

Identyfikator skanera

scan_id

string

opcjonalnie

Identyfikator skanowania

engine_version

string

opcjonalnie

Wersja aparatu skanowania

object_type

string

opcjonalnie

Typ obiektu związanego z tym zdarzeniem

object_uri

string

opcjonalnie

Identyfikator URI obiektu

action_taken

string

opcjonalnie

Czynność podjęta przez punkt końcowy

action_error

string

opcjonalnie

Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu

threat_handled

wartość logiczna

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

need_restart

wartość logiczna

opcjonalnie

Informacja o tym, czy konieczne jest ponowne uruchomienie

username

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

processname

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

circumstances

string

opcjonalnie

Krótki opis przyczyny zdarzenia

hash

string

opcjonalnie

Skrót SHA1 strumienia danych (wykrycia).

firstseen

string

opcjonalnie

Godzina i data, gdy wykrycie znaleziono po raz pierwszy w tym urządzeniu. ESET PROTECT stosuje inne formaty daty/godziny w atrybucie firstseen (i każdym innym atrybucie daty/godziny), w zależności od formatu wyjściowego dziennika (JSON lub LEEF):

JSON format:"%d-%b-%Y %H:%M:%S"

LEEF format:"%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event – przykład dziennika:

FirewallAggregated_Event

Dzienniki zdarzeń generowane przez Zaporę ESET są agregowane przez zarządzającego agenta ESET Management, aby uniknąć niepotrzebnego zużycia przepustowości podczas replikacji między agentem ESET Management a serwerem ESET PROTECT. Klucze zdarzeń związanych z zaporą:

event

string

opcjonalnie

Nazwa zdarzenia

source_address

string

opcjonalnie

Adres źródła zdarzenia

source_address_type

string

opcjonalnie

Typ adresu źródła zdarzenia

source_port

wartość liczbowa

opcjonalnie

Port źródła zdarzenia

target_address

string

opcjonalnie

Adres miejsca docelowego zdarzenia

target_address_type

string

opcjonalnie

Typ adresu miejsca docelowego zdarzenia

target_port

wartość liczbowa

opcjonalnie

Port miejsca docelowego zdarzenia

protocol

string

opcjonalnie

Protokół

account

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

process_name

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

rule_name

string

opcjonalnie

Nazwa reguły

rule_id

string

opcjonalnie

Identyfikator reguły

inbound

wartość logiczna

opcjonalnie

Informacja o tym, czy było to połączenie przychodzące

threat_name

string

opcjonalnie

Nazwa wykrycia

aggregate_count

wartość liczbowa

opcjonalnie

Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management

action

string

opcjonalnie

Wykonane czynności

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

arrow_down_business FirewallAggregated_Event – przykład dziennika:

HIPSAggregated_Event

Zdarzenia z systemu zapobiegania włamaniom działającego na hoście (Host-based Intrusion Prevention System) są filtrowane na podstawie stopnia ważności zanim zostaną przesłane dalej jako komunikaty Syslog. Do serwera Syslog wysyłane są tylko zdarzenia o stopniu ważności na poziomie Error, Critical i Fatal. Poniżej przedstawiono atrybuty związane z systemem HIPS:

application

string

opcjonalnie

Nazwa aplikacji

operation

string

opcjonalnie

Operacja

target

string

opcjonalnie

Obiekt docelowy

action

string

opcjonalnie

Wykonane czynności

action_taken

string

opcjonalnie

Czynność podjęta przez punkt końcowy

rule_name

string

opcjonalnie

Nazwa reguły

rule_id

string

opcjonalnie

Identyfikator reguły

aggregate_count

wartość liczbowa

opcjonalnie

Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

arrow_down_business HipsAggregated_Event – przykład dziennika:

Audit_Event

Program ESET PROTECT przekazuje komunikaty wewnętrznych dzienników audytu serwera do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

domain

string

opcjonalnie

Domena dzienników audytu

action

string

opcjonalnie

Trwające działanie

target

string

opcjonalnie

Cel, którego dotyczy działanie

detail

string

opcjonalnie

Szczegółowy opis działania

user

string

opcjonalnie

Użytkownik związany z zabezpieczeniami

result

string

opcjonalnie

Wynik działania

arrow_down_business Audit_Event – przykład dziennika:

FilteredWebsites_Event

ESET PROTECT przekazuje filtrowane witryny internetowe (wykrycia funkcji Ochrona dostępu do stron internetowych) do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

hostname

string

opcjonalnie

Nazwa hosta komputera związanego ze zdarzeniem

processname

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

username

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

hash

string

opcjonalnie

Skrót SHA1 filtrowanego obiektu

event

string

opcjonalnie

Typ zdarzenia

rule_id

string

opcjonalnie

Identyfikator reguły

action_taken

string

opcjonalnie

Wykonane czynności

scanner_id

string

opcjonalnie

Identyfikator skanera

object_uri

string

opcjonalnie

Identyfikator URI obiektu

target_address

string

opcjonalnie

Adres miejsca docelowego zdarzenia

target_address_type

string

opcjonalnie

Typ adresu miejsca docelowego zdarzenia (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

arrow_down_business FilteredWebsites_Event – przykład dziennika:

EnterpriseInspectorAlert_Event

ESET PROTECT przekazuje alarmy ESET Inspect do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

processname

string

opcjonalnie

Nazwa procesu wywołującego ten alarm

username

string

opcjonalnie

Właściciel procesu

rulename

string

opcjonalnie

Nazwa reguły wyzwalającej ten alarm

count

wartość liczbowa

opcjonalnie

Liczba alertów tego typu wygenerowanych od ostatniego alarmu

hash

string

opcjonalnie

Skrót SHA1 alarmu

eiconsolelink

string

opcjonalnie

Łącze do alarmu w konsoli ESET Inspect

eialarmid

string

opcjonalnie

Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$)

computer_severity_score

wartość liczbowa

opcjonalnie

Wynik stopnia zagrożenia komputera

severity_score

wartość liczbowa

opcjonalnie

Wynik stopnia zagrożenia reguły

arrow_down_business EnterpriseInspectorAlert_Event – przykład dziennika:

BlockedFiles_Event

ESET PROTECT przekazuje zablokowane pliki ESET Inspect do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

hostname

string

opcjonalnie

Nazwa hosta komputera związanego ze zdarzeniem

processname

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

username

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

hash

string

opcjonalnie

Skrót SHA1 zablokowanego pliku

object_uri

string

opcjonalnie

Identyfikator URI obiektu

action

string

opcjonalnie

Wykonane czynności

firstseen

string

opcjonalnie

Godzina i data pierwszego wykrycia na tym urządzeniu (format daty i godziny).

cause

string

opcjonalnie

 

description

string

opcjonalnie

Opis zablokowanego pliku

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone