ESET Online pomocník

Vyhľadať Slovenčina
Vyberte kategóriu
Vyberte kapitolu

Udalosti exportované vo formáte JSON

JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.

Exportované udalosti

Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:

event_type

reťazec

 

Typ exportovanej udalosti:

Threat_Event

FirewallAggregated_Event

HIPSAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

reťazec

voliteľné

IPv4 adresa počítača, ktorý generoval udalosť.

ipv6

reťazec

voliteľné

IPv6 adresa počítača, ktorý generoval udalosť.

source_uuid

reťazec

 

UUID počítača, ktorý generoval udalosť.

occurred

reťazec

 

Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S

severity

reťazec

 

Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácia, Oznámenie, Upozornenie, Chyba, Kritický, Závažný.


note

Všetky typy udalostí uvedené ďalej sú bez ohľadu na úroveň závažnosti nahlasované Syslog serveru. Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom.

Hlásené hodnoty závisia od bezpečnostného produktu ESET nainštalovaného na spravovanom počítači (a jeho verzie), pričom ESET PROTECT len reportuje prijaté dáta. ESET preto nevie poskytnúť kompletný zoznam všetkých hodnôt. Odporúčame sledovať vašu sieť a filtrovať protokoly na základe hodnôt, ktoré ste dostali.

Vlastné kľúče (atribúty) podľa event_type:

Threat_Event

Všetky záznamy o zachytených detekciách sú spravované koncovými bezpečnostnými produktmi a odosielané na Syslog. Záznam o detekcii vyzerá nasledovne:

threat_type

reťazec

voliteľné

Typ detekcie

threat_name

reťazec

voliteľné

Názov detekcie

threat_flags

reťazec

voliteľné

Príznaky súvisiace s detekciou

scanner_id

reťazec

voliteľné

ID skenera

scan_id

reťazec

voliteľné

ID kontroly

engine_version

reťazec

voliteľné

Verzia skenovacieho jadra

object_type

reťazec

voliteľné

Typ objektu týkajúci sa tejto udalosti

object_uri

reťazec

voliteľné

URI objektu

action_taken

reťazec

voliteľné

Akcia vykonaná koncovým produktom

action_error

reťazec

voliteľné

Chybové hlásenie v prípade, že „akcia“ nebola úspešná

threat_handled

bool

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

need_restart

bool

voliteľné

Informácia o tom, či je potrebný reštart

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

circumstances

reťazec

voliteľné

Krátka informácia o tom, čo spôsobilo danú udalosť

hash

reťazec

voliteľné

SHA1 hash (detekcie) dátového toku.

firstseen

reťazec

voliteľné

Čas a dátum, kedy bola detekcia po prvýkrát zistená na zariadení. ESET PROTECT používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF):

JSON formát: "%d-%b-%Y %H:%M:%S"

LEEF formát: "%b %d %Y %H:%M:%S"

arrow_down_business Príklad protokolu Threat_Event:

FirewallAggregated_Event

Protokoly udalostí generované firewallom ESET agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESET PROTECT Servera. Záznam o udalostiach firewallu vyzerá nasledovne:

event

reťazec

voliteľné

Názov udalosti

source_address

reťazec

voliteľné

Adresa zdroja udalosti

source_address_type

reťazec

voliteľné

Typ adresy zdroja udalosti

source_port

číslo

voliteľné

Port zdroja udalosti

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti

target_port

číslo

voliteľné

Port cieľa udalosti

protocol

reťazec

voliteľné

Protokol

account

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

process_name

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

inbound

bool

voliteľné

Informácia, či išlo o prichádzajúce pripojenie

threat_name

reťazec

voliteľné

Názov detekcie

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESET PROTECT Agenta na ESET Management Server

action

reťazec

voliteľné

Vykonaná akcia

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

arrow_down_business Príklad protokolu FirewallAggregated_Event:

HIPSAggregated_Event

Udalosti z modulu HIPS (Host-based Intrusion Prevention System) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Na Syslog sú odosielané len udalosti s úrovňou závažnosti Chyba, Kritický a Závažný. Záznam o udalostiach modulu HIPS vyzerá nasledovne:

application

reťazec

voliteľné

Názov aplikácie

operation

reťazec

voliteľné

Operácia

target

reťazec

voliteľné

Cieľ

action

reťazec

voliteľné

Vykonaná akcia

action_taken

reťazec

voliteľné

Akcia vykonaná koncovým produktom

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESET PROTECT Agenta na ESET Management Server

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

arrow_down_business Príklad protokolu HipsAggregated_Event:

Audit_Event

ESET PROTECT preposiela do Syslogu správy z interného protokolu auditu servera. Záznam o udalostiach vyzerá nasledovne:

domain

reťazec

voliteľné

Doména protokolu auditu

action

reťazec

voliteľné

Vykonávaná akcia

target

reťazec

voliteľné

Cieľ, na ktorom je akcia vykonávaná

detail

reťazec

voliteľné

Podrobný popis akcie

user

reťazec

voliteľné

Užívateľ vykonávajúci akciu

result

reťazec

voliteľné

Výsledok akcie

arrow_down_business Príklad protokolu Audit_Event:

FilteredWebsites_Event

ESET PROTECT preposiela filtrované webové stránky (detekcie Webovej ochrany) do Syslogu. Záznam o udalostiach vyzerá nasledovne:

hostname

reťazec

voliteľné

Názov hostiteľa počítača s udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

hash

reťazec

voliteľné

SHA1 hash filtrovaného objektu

event

reťazec

voliteľné

Typ udalosti

rule_id

reťazec

voliteľné

ID pravidla

action_taken

reťazec

voliteľné

Vykonaná akcia

scanner_id

reťazec

voliteľné

ID skenera

object_uri

reťazec

voliteľné

URI objektu

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti (25769803777 = IPv4; 25769803778 = IPv6)

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

arrow_down_business Príklad protokolu FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT preposiela upozornenia nahlásené nástrojom ESET Inspect do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname

reťazec

voliteľné

Názov procesu, ktorý spôsobil upozornenie

username

reťazec

voliteľné

Vlastník procesu

rulename

reťazec

voliteľné

Názov pravidla, ktoré spustilo upozornenie

count

číslo

voliteľné

Počet upozornení tohto typu vygenerovaných od posledného upozornenia

hash

reťazec

voliteľné

SHA1 hash upozornenia

eiconsolelink

reťazec

voliteľné

Odkaz na upozornenie v konzole ESET Inspect

eialarmid

reťazec

voliteľné

Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$)

computer_severity_score

číslo

voliteľné

Skóre závažnosti počítača

severity_score

číslo

voliteľné

Skóre závažnosti pravidla

arrow_down_business Príklad protokolu EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT preposiela blokované súbory nahlásené nástrojom ESET Inspect do syslogu. Záznam o udalostiach vyzerá nasledovne:

hostname

reťazec

voliteľné

Názov hostiteľa počítača s udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

hash

reťazec

voliteľné

SHA1 hash blokovaného súboru

object_uri

reťazec

voliteľné

URI objektu

action

reťazec

voliteľné

Vykonaná akcia

firstseen

reťazec

voliteľné

Čas a dátum, kedy bola detekcia prvýkrát nájdená na danom počítači (formát dátumu a času).

cause

reťazec

voliteľné

 

description

reťazec

voliteľné

Popis blokovaného súboru

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená