Eventos exportados para o formato JSON
O JSON é um formato leve para troca de dados. É construído em uma coleção de pares de nome / valor e uma lista ordenada de valores.
Eventos exportados
Esta seção contém detalhes sobre o formato e significado de atributos de todos os eventos exportados. A mensagem de evento está na forma de um objeto JSON com algumas chaves obrigatórias e outras opcionais. Cada evento exportado vai ter a chave a seguir:
event_type |
string |
|
Tipo de eventos exportados: |
|---|---|---|---|
ipv4 |
string |
opcional |
Endereço IPv4 do computador gerando o evento. |
ipv6 |
string |
opcional |
Endereço IPv6 do computador gerando o evento. |
source_uuid |
string |
|
UUID do computador gerando o evento. |
occurred |
string |
|
Hora UTC de ocorrência do evento. O formato é %d-%b-%Y %H:%M:%S |
severity |
string |
|
Gravidade do evento. Valores possíveis (do menos ao mais grave) são: Informação, Aviso, Alerta, Erro, Crítico, Fatal |
|
Todos os tipos de evento listados abaixo com todos os níveis de gravidade são reportados ao servidor Syslog. Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido. Os valores reportados dependem do produto de segurança ESET (e sua versão) instalado no computador gerenciado, e o ESET PROTECT reporta apenas os dados recebidos. Portanto, a ESET não pode fornecer uma lista completa de todos os valores. Recomendamos observar sua rede e filtrar os relatórios com base nos valores recebidos. |
Teclas personalizadas de acordo com o event_type:
Threat_Event
Todos os eventos de Detecção gerados por endpoints gerenciados serão encaminhados para o Syslog. Chave de evento específica de Detecção:
threat_type |
string |
opcional |
Tipo de detecção |
|---|---|---|---|
threat_name |
string |
opcional |
Nome da detecção |
threat_flags |
string |
opcional |
Sinalizadores de detecção relacionados |
scanner_id |
string |
opcional |
ID do Scanner |
scan_id |
string |
opcional |
ID de rastreamento |
engine_version |
string |
opcional |
Versão do mecanismo de escaneamento |
object_type |
string |
opcional |
Tipo de objeto relacionado a este evento |
object_uri |
string |
opcional |
URI do objeto |
action_taken |
string |
opcional |
Ação realizada pelo Endpoint |
action_error |
string |
opcional |
Mensagem de erro se a "ação" não for bem sucedida |
threat_handled |
bool |
opcional |
Indica se a detecção foi resolvida ou não |
need_restart |
bool |
opcional |
Indica se era necessário reiniciar ou não |
username |
string |
opcional |
Nome da conta de usuário associada ao evento |
processname |
string |
opcional |
Nome do processo associado ao evento |
circumstances |
string |
opcional |
Descrição breve do que causou o evento |
hash |
string |
opcional |
SHA1 hash do fluxo de dados (detecção). |
string |
opcional |
Data e hora de quando a detecção foi detectada pela primeira vez na máquina. O ESET PROTECT usa formatos de data-hora diferentes para o atributo firstseen (e qualquer outro atributo de data-hora) dependendo do formato de saída do relatório (JSON ou LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
Exemplo de relatório Threat_Event:
FirewallAggregated_Event
Relatórios de evento gerados pelo Firewall da ESET são agregados pelo Agente ESET Management gerente, para evitar o desperdício de banda durante a replicação de Agente ESET Management/Servidor ESET PROTECT. Chave de evento específico de Firewall:
event |
string |
opcional |
Nome do evento |
|---|---|---|---|
source_address |
string |
opcional |
Endereço da origem do evento |
source_address_type |
string |
opcional |
Tipo de endereço da origem do evento |
source_port |
número |
opcional |
Porta de origem do evento |
target_address |
string |
opcional |
Endereço do destino do evento |
target_address_type |
string |
opcional |
Tipo de endereço do destino do evento |
target_port |
número |
opcional |
Porta de destino do evento |
protocol |
string |
opcional |
Protocolo |
account |
string |
opcional |
Nome da conta de usuário associada ao evento |
process_name |
string |
opcional |
Nome do processo associado ao evento |
rule_name |
string |
opcional |
Nome da regra |
rule_id |
string |
opcional |
ID de regra |
inbound |
bool |
opcional |
Indica se a conexão era de entrada ou não |
threat_name |
string |
opcional |
Nome da detecção |
aggregate_count |
número |
opcional |
Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente |
action |
string |
opcional |
Ação realizada |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |
Exemplo de relatório FirewallAggregated_Event:
HIPSAggregated_Event
Eventos do Sistema de Prevenção de intruso Baseado em Host são filtrados por gravidade antes de serem enviados como mensagens Syslog. Apenas eventos com nível de gravidade Erro, Crítico e Fatal são enviados ao Syslog. Os atributos específicos HIPS são os seguintes:
application |
string |
opcional |
Nome do aplicativo |
|---|---|---|---|
operation |
string |
opcional |
Operação |
target |
string |
opcional |
Destino |
action |
string |
opcional |
Ação realizada |
action_taken |
string |
opcional |
Ação realizada pelo Endpoint |
rule_name |
string |
opcional |
Nome da regra |
rule_id |
string |
opcional |
ID de regra |
aggregate_count |
número |
opcional |
Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |
Exemplo de relatório HipsAggregated_Event:
Audit_Event
O ESET PROTECT encaminha as mensagem de relatório de auditoria interna do servidor para o Syslog. Os atributos específicos são os seguintes:
domain |
string |
opcional |
Domínio de relatório de auditoria |
|---|---|---|---|
action |
string |
opcional |
Ação sendo realizada |
target |
string |
opcional |
Ação de destino no qual está operando |
detail |
string |
opcional |
Descrição detalhada da ação |
user |
string |
opcional |
Usuário de segurança envolvido |
result |
string |
opcional |
Resultado da ação |
Exemplo de relatório Audit_Event:
FilteredWebsites_Event
O ESET PROTECT encaminha os sites filtrados (detecções da Proteção da web) para o Syslog. Os atributos específicos são os seguintes:
hostname |
string |
opcional |
Nome de host do computador com o evento |
processname |
string |
opcional |
Nome do processo associado ao evento |
username |
string |
opcional |
Nome da conta de usuário associada ao evento |
hash |
string |
opcional |
Hashs SHA1 do objeto filtrado |
event |
string |
opcional |
Tipo do evento |
rule_id |
string |
opcional |
ID de regra |
action_taken |
string |
opcional |
Ação realizada |
scanner_id |
string |
opcional |
ID do Scanner |
object_uri |
string |
opcional |
URI do objeto |
target_address |
string |
opcional |
Endereço do destino do evento |
target_address_type |
string |
opcional |
Tipo de endereço do destino do evento (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |
Exemplo de relatório FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
O ESET PROTECT encaminha os alarmes ESET Inspect para o syslog. Os atributos específicos são os seguintes:
processname |
string |
opcional |
Nome do processo causando esse alarme |
|---|---|---|---|
username |
string |
opcional |
Proprietário do processo |
rulename |
string |
opcional |
Nome da regra acionando este alarme |
count |
número |
opcional |
Número de alertas desse tipo gerados desde o último alarme |
hash |
string |
opcional |
Hash SHA1 do alarme |
eiconsolelink |
string |
opcional |
Link para o alarme no console ESET Inspect |
eialarmid |
string |
opcional |
ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
número |
opcional |
Pontuação de gravidade do computador |
severity_score |
número |
opcional |
Pontuação de gravidade da regra |
Exemplo de relatório EnterpriseInspectorAlert_Event:
BlockedFiles_Event
O ESET PROTECT encaminha os arquivos bloqueados ESET Inspect ao Syslog. Os atributos específicos são os seguintes:
hostname |
string |
opcional |
Nome de host do computador com o evento |
processname |
string |
opcional |
Nome do processo associado ao evento |
username |
string |
opcional |
Nome da conta de usuário associada ao evento |
hash |
string |
opcional |
Hash SHA1 do arquivo bloqueado |
object_uri |
string |
opcional |
URI do objeto |
action |
string |
opcional |
Ação realizada |
firstseen |
string |
opcional |
Hora e data em que a detecção foi encontrada pela primeira vez na máquina (formato de data e hora). |
cause |
string |
opcional |
|
description |
string |
opcional |
Descrição do arquivo bloqueado |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |