События, экспортируемые в формат JSON
JSON — облегченный формат для обмена данными. Он построен на наборе пар «имя-значение» и упорядоченном списке значений.
Экспортируемые события
Этот раздел содержит сведения о формате и значение атрибутов всех экспортируемых событий. Сообщение о событии создается в виде объекта JSON с обязательными и необязательными ключами. Каждое экспортируемое событие будет содержать следующий ключ:
event_type |
строка |
|
Тип экспортируемых событий: |
|---|---|---|---|
ipv4 |
строка |
необязательно |
IPv4-адрес компьютера, создавшего событие. |
ipv6 |
строка |
необязательно |
IPv6-адрес компьютера, создавшего событие. |
source_uuid |
строка |
|
Идентификатор UUID компьютера, создавшего событие. |
occurred |
строка |
|
Время события в формате UTC. Используется формат %d-%b-%Y %H:%M:%S. |
severity |
строка |
|
Серьезность события. Возможные значения (от наименее до наиболее серьезных событий): «Информация», «Примечание», «Предупреждение», «Ошибка», «Критическая ошибка», «Неустранимая ошибка». |
|
Все перечисленные ниже типы событий со всеми уровнями серьезности передаются на сервер системного журнала. Для фильтрации журналов событий, отправленных в системный журнал, создайте уведомление о категории журнала с заданным фильтром. Передаваемые значения зависят от продукта безопасности ESET (и его версии), установленного на управляемом компьютере, и ESET PROTECT передает только полученные данные. Поэтому ESET не может предоставить исчерпывающий список всех значений. Рекомендуем наблюдать за сетью и фильтровать журналы на основании получаемых значений. |
Настраиваемые ключи в соответствии с event_type:
Threat_Event
Все события типа «обнаружение», которые создаются управляемыми конечными точками, будут перенаправлены в системный журнал. Ключи событий «обнаружение» перечислены в таблице ниже.
threat_type |
строка |
необязательно |
Тип обнаружения |
|---|---|---|---|
threat_name |
строка |
необязательно |
Имя обнаружения |
threat_flags |
строка |
необязательно |
Флаги, связанные с обнаружением |
scanner_id |
строка |
необязательно |
Идентификатор модуля сканирования. |
scan_id |
строка |
необязательно |
Идентификатор сканирования. |
engine_version |
строка |
необязательно |
Версия модуля сканирования. |
object_type |
строка |
необязательно |
Тип объекта, связанного с этим событием. |
object_uri |
строка |
необязательно |
URI объекта |
action_taken |
строка |
необязательно |
Действие, которое выполнила конечная точка. |
action_error |
строка |
необязательно |
Сообщение об ошибке, если «действие» не было успешным. |
threat_handled |
логическое значение |
необязательно |
Показывает, было ли обработано обнаружение. |
need_restart |
логическое значение |
необязательно |
Показывает, нужна ли перезагрузка. |
username |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
processname |
строка |
необязательно |
Имя процесса, связанного с событием. |
circumstances |
строка |
необязательно |
Краткое описание причины события. |
hash |
строка |
необязательно |
SHA1-хеш потока данных (обнаружения). |
строка |
необязательно |
Время и дата, когда обнаружение было выявлено впервые на этом компьютере. ESET PROTECT использует разные форматы даты и времени для атрибута firstseen (и любого другого атрибута даты и времени) в зависимости от формата вывода журнала (JSON или LEEF): •JSON формат:"%d-%b-%Y %H:%M:%S" •LEEF формат:"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
Чтобы не перегружать полосу пропускания при репликации агента ESET Management или сервера ESET Management, журналы событий, созданные файерволом ESET, ведет управляющий агент ESET PROTECT. Ключи событий файервола приведены в таблице ниже.
event |
строка |
необязательно |
Имя события. |
|---|---|---|---|
source_address |
строка |
необязательно |
Адрес источника события. |
source_address_type |
строка |
необязательно |
Тип адреса источника события. |
source_port |
число |
необязательно |
Порт источника события. |
target_address |
строка |
необязательно |
Адрес цели события. |
target_address_type |
строка |
необязательно |
Тип адреса цели события. |
target_port |
число |
необязательно |
Порт цели события. |
protocol |
строка |
необязательно |
Протокол |
account |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
process_name |
строка |
необязательно |
Имя процесса, связанного с событием. |
rule_name |
строка |
необязательно |
Имя правила |
rule_id |
строка |
необязательно |
Идентификатор правила |
inbound |
логическое значение |
необязательно |
Показывает, является ли подключение входящим. |
threat_name |
строка |
необязательно |
Имя обнаружения. |
aggregate_count |
число |
необязательно |
Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESET PROTECT Server и управляющим агентом ESET Management. |
action |
строка |
необязательно |
Действие выполнено |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |
Пример журнала FirewallAggregated_Event:
HIPSAggregated_Event
События системы предотвращения вторжений на узел фильтруются по уровню серьезности перед отправкой в качестве сообщений системного журнала. В системный журнал отправляются только события с уровнями серьезности Ошибка, Критическая ошибка и Неустранимая ошибка. В таблице ниже перечислены атрибуты HIPS.
application |
строка |
необязательно |
Имя приложения |
|---|---|---|---|
operation |
строка |
необязательно |
Операция |
target |
строка |
необязательно |
Объект |
action |
строка |
необязательно |
Действие выполнено |
action_taken |
строка |
необязательно |
Действие, которое выполнила конечная точка. |
rule_name |
строка |
необязательно |
Имя правила |
rule_id |
строка |
необязательно |
Идентификатор правила |
aggregate_count |
число |
необязательно |
Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESET PROTECT Server и управляющим агентом ESET Management. |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |
Пример журнала HipsAggregated_Event:
Audit_Event
ESET PROTECT направляет сообщения журнала внутреннего аудита сервера в системный журнал. В таблице ниже перечислены атрибуты.
domain |
строка |
необязательно |
Домен журнала аудита |
|---|---|---|---|
action |
строка |
необязательно |
Выполняемое действие |
target |
строка |
необязательно |
Объект целевого действия |
detail |
строка |
необязательно |
Подробное описание действия |
user |
строка |
необязательно |
Пользователь программы для обеспечения безопасности |
result |
строка |
необязательно |
Результат действия |
FilteredWebsites_Event
ESET PROTECT перенаправляет отфильтрованные веб-сайты (обнаружения средством Защита доступа в Интернет) в системный журнал. В таблице ниже перечислены атрибуты.
hostname |
строка |
необязательно |
Имя хоста компьютера с событием |
processname |
строка |
необязательно |
Имя процесса, связанного с событием. |
username |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
hash |
строка |
необязательно |
Хеш SHA1 отфильтрованного объекта |
event |
строка |
необязательно |
Тип события |
rule_id |
строка |
необязательно |
Идентификатор правила |
action_taken |
строка |
необязательно |
Действие выполнено |
scanner_id |
строка |
необязательно |
Идентификатор модуля сканирования. |
object_uri |
строка |
необязательно |
URI объекта |
target_address |
строка |
необязательно |
Адрес цели события. |
target_address_type |
строка |
необязательно |
Тип адреса цели события (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |
Пример журнала FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT перенаправляет предупреждения ESET Inspect в системный журнал. В таблице ниже перечислены атрибуты.
processname |
строка |
необязательно |
Имя процесса, инициировавшего это предупреждение |
|---|---|---|---|
username |
строка |
необязательно |
Владелец процесса |
rulename |
строка |
необязательно |
Имя правила, инициировавшего это предупреждение |
count |
число |
необязательно |
Число уведомлений этого типа, созданных с момента последнего предупреждения |
hash |
строка |
необязательно |
Хеш SHA1 предупреждения |
eiconsolelink |
строка |
необязательно |
Ссылка на предупреждение в консоли ESET Inspect |
eialarmid |
строка |
необязательно |
Подчасть идентификатора ссылки на предупреждение ($1 в ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
число |
необязательно |
Оценка серьезности угроз на компьютере |
severity_score |
число |
необязательно |
Оценка серьезности правила |
Пример журнала EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT перенаправляет заблокированные файлы ESET Inspect в системный журнал. В таблице ниже перечислены атрибуты.
hostname |
строка |
необязательно |
Имя хоста компьютера с событием |
processname |
строка |
необязательно |
Имя процесса, связанного с событием. |
username |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
hash |
строка |
необязательно |
Хеш SHA1 заблокированного файла |
object_uri |
строка |
необязательно |
URI объекта |
action |
строка |
необязательно |
Действие выполнено |
firstseen |
строка |
необязательно |
Время и дата, когда обнаружение было впервые выявлено на этом компьютере (формат даты и времени). |
cause |
строка |
необязательно |
|
description |
строка |
необязательно |
Описание заблокированного файла |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |