Udalosti exportované vo formáte JSON
JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.
Exportované udalosti
Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:
event_type |
reťazec |
|
Typ exportovanej udalosti: |
---|---|---|---|
ipv4 |
reťazec |
voliteľné |
IPv4 adresa počítača, ktorý generoval udalosť. |
ipv6 |
reťazec |
voliteľné |
IPv6 adresa počítača, ktorý generoval udalosť. |
source_uuid |
reťazec |
|
UUID počítača, ktorý generoval udalosť. |
occurred |
reťazec |
|
Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S |
severity |
reťazec |
|
Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácia, Oznámenie, Upozornenie, Chyba, Kritický, Závažný. |
Všetky typy udalostí uvedené ďalej sú bez ohľadu na úroveň závažnosti nahlasované Syslog serveru. Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom. Hlásené hodnoty závisia od bezpečnostného produktu ESET nainštalovaného na spravovanom počítači (a jeho verzie), pričom ESET PROTECT len reportuje prijaté dáta. ESET preto nevie poskytnúť kompletný zoznam všetkých hodnôt. Odporúčame sledovať vašu sieť a filtrovať protokoly na základe hodnôt, ktoré ste dostali. |
Vlastné kľúče (atribúty) podľa event_type:
Threat_Event
Všetky záznamy o zachytených detekciách sú spravované koncovými bezpečnostnými produktmi a odosielané na Syslog. Záznam o detekcii vyzerá nasledovne:
threat_type |
reťazec |
voliteľné |
Typ detekcie |
---|---|---|---|
threat_name |
reťazec |
voliteľné |
Názov detekcie |
threat_flags |
reťazec |
voliteľné |
Príznaky súvisiace s detekciou |
scanner_id |
reťazec |
voliteľné |
ID skenera |
scan_id |
reťazec |
voliteľné |
ID kontroly |
engine_version |
reťazec |
voliteľné |
Verzia skenovacieho jadra |
object_type |
reťazec |
voliteľné |
Typ objektu týkajúci sa tejto udalosti |
object_uri |
reťazec |
voliteľné |
URI objektu |
action_taken |
reťazec |
voliteľné |
Akcia vykonaná koncovým produktom |
action_error |
reťazec |
voliteľné |
Chybové hlásenie v prípade, že „akcia“ nebola úspešná |
threat_handled |
bool |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
need_restart |
bool |
voliteľné |
Informácia o tom, či je potrebný reštart |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
circumstances |
reťazec |
voliteľné |
Krátka informácia o tom, čo spôsobilo danú udalosť |
hash |
reťazec |
voliteľné |
SHA1 hash (detekcie) dátového toku. |
reťazec |
voliteľné |
Čas a dátum, kedy bola detekcia po prvýkrát zistená na zariadení. ESET PROTECT používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF): •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S" |
Príklad protokolu Threat_Event:
FirewallAggregated_Event
Protokoly udalostí generované firewallom ESET agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESET PROTECT Servera. Záznam o udalostiach firewallu vyzerá nasledovne:
event |
reťazec |
voliteľné |
Názov udalosti |
---|---|---|---|
source_address |
reťazec |
voliteľné |
Adresa zdroja udalosti |
source_address_type |
reťazec |
voliteľné |
Typ adresy zdroja udalosti |
source_port |
číslo |
voliteľné |
Port zdroja udalosti |
target_address |
reťazec |
voliteľné |
Adresa cieľa udalosti |
target_address_type |
reťazec |
voliteľné |
Typ adresy cieľa udalosti |
target_port |
číslo |
voliteľné |
Port cieľa udalosti |
protocol |
reťazec |
voliteľné |
Protokol |
account |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
process_name |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
rule_name |
reťazec |
voliteľné |
Názov pravidla |
rule_id |
reťazec |
voliteľné |
ID pravidla |
inbound |
bool |
voliteľné |
Informácia, či išlo o prichádzajúce pripojenie |
threat_name |
reťazec |
voliteľné |
Názov detekcie |
aggregate_count |
číslo |
voliteľné |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESET PROTECT Agenta na ESET Management Server |
action |
reťazec |
voliteľné |
Vykonaná akcia |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu FirewallAggregated_Event:
HIPSAggregated_Event
Udalosti z modulu HIPS (Host-based Intrusion Prevention System) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Na Syslog sú odosielané len udalosti s úrovňou závažnosti Chyba, Kritický a Závažný. Záznam o udalostiach modulu HIPS vyzerá nasledovne:
application |
reťazec |
voliteľné |
Názov aplikácie |
---|---|---|---|
operation |
reťazec |
voliteľné |
Operácia |
target |
reťazec |
voliteľné |
Cieľ |
action |
reťazec |
voliteľné |
Vykonaná akcia |
action_taken |
reťazec |
voliteľné |
Akcia vykonaná koncovým produktom |
rule_name |
reťazec |
voliteľné |
Názov pravidla |
rule_id |
reťazec |
voliteľné |
ID pravidla |
aggregate_count |
číslo |
voliteľné |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESET PROTECT Agenta na ESET Management Server |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu HipsAggregated_Event:
Audit_Event
ESET PROTECT preposiela do Syslogu správy z interného protokolu auditu servera. Záznam o udalostiach vyzerá nasledovne:
domain |
reťazec |
voliteľné |
Doména protokolu auditu |
---|---|---|---|
action |
reťazec |
voliteľné |
Vykonávaná akcia |
target |
reťazec |
voliteľné |
Cieľ, na ktorom je akcia vykonávaná |
detail |
reťazec |
voliteľné |
Podrobný popis akcie |
user |
reťazec |
voliteľné |
Užívateľ vykonávajúci akciu |
result |
reťazec |
voliteľné |
Výsledok akcie |
Príklad protokolu Audit_Event:
FilteredWebsites_Event
ESET PROTECT preposiela filtrované webové stránky (detekcie Webovej ochrany) do Syslogu. Záznam o udalostiach vyzerá nasledovne:
hostname |
reťazec |
voliteľné |
Názov hostiteľa počítača s udalosťou |
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
hash |
reťazec |
voliteľné |
SHA1 hash filtrovaného objektu |
event |
reťazec |
voliteľné |
Typ udalosti |
rule_id |
reťazec |
voliteľné |
ID pravidla |
action_taken |
reťazec |
voliteľné |
Vykonaná akcia |
scanner_id |
reťazec |
voliteľné |
ID skenera |
object_uri |
reťazec |
voliteľné |
URI objektu |
target_address |
reťazec |
voliteľné |
Adresa cieľa udalosti |
target_address_type |
reťazec |
voliteľné |
Typ adresy cieľa udalosti (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT preposiela upozornenia nahlásené nástrojom ESET Inspect do Syslogu. Záznam o udalostiach vyzerá nasledovne:
processname |
reťazec |
voliteľné |
Názov procesu, ktorý spôsobil upozornenie |
---|---|---|---|
username |
reťazec |
voliteľné |
Vlastník procesu |
rulename |
reťazec |
voliteľné |
Názov pravidla, ktoré spustilo upozornenie |
count |
číslo |
voliteľné |
Počet upozornení tohto typu vygenerovaných od posledného upozornenia |
hash |
reťazec |
voliteľné |
SHA1 hash upozornenia |
eiconsolelink |
reťazec |
voliteľné |
Odkaz na upozornenie v konzole ESET Inspect |
eialarmid |
reťazec |
voliteľné |
Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
číslo |
voliteľné |
Skóre závažnosti počítača |
severity_score |
číslo |
voliteľné |
Skóre závažnosti pravidla |
Príklad protokolu EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT preposiela blokované súbory nahlásené nástrojom ESET Inspect do syslogu. Záznam o udalostiach vyzerá nasledovne:
hostname |
reťazec |
voliteľné |
Názov hostiteľa počítača s udalosťou |
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
hash |
reťazec |
voliteľné |
SHA1 hash blokovaného súboru |
object_uri |
reťazec |
voliteľné |
URI objektu |
action |
reťazec |
voliteľné |
Vykonaná akcia |
firstseen |
reťazec |
voliteľné |
Čas a dátum, kedy bola detekcia prvýkrát nájdená na danom počítači (formát dátumu a času). |
cause |
reťazec |
voliteľné |
|
description |
reťazec |
voliteľné |
Popis blokovaného súboru |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |