ESET Online Yardım

Arama Türkçe
Kategori seçin
Konu seçin

JSON biçimine aktarılan olaylar

JSON veri alışverişi için hafif bir biçimdir. Ad / değer çiftlerinin toplamıyla ve değerlerden oluşan sıralı bir listeyle oluşturulur.

Dışa aktarılan olaylar

Bu bölüm biçimle ve tüm dışa aktarılan olayların özniteliklerinin anlamıyla ilgili ayrıntıları içerir. Olay iletisi bazı zorunlu ve bazı isteğe bağlı anahtarlarla birlikte bir JSON nesnesi biçimindedir. Dışa aktarılan her olay aşağıdaki anahtarı içerir:

event_type

dize

 

Dışa aktarılan olayların türü:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

dize

isteğe bağlı

Olayı oluşturan bilgisayarın IPv4 adresi.

ipv6

dize

isteğe bağlı

Olayı oluşturan bilgisayarın IPv6 adresi.

source_uuid

dize

 

Olayı oluşturan bilgisayarın UUID'si.

occurred

dize

 

Olayın gerçekleştiği UTC saati. Biçim: %d-%b-%Y %H:%M:%S

severity

dize

 

Olayın önem derecesi. Olası değerler (en düşük önem derecesinden en yüksek dereceye kadar): Bilgi, Bildirim, Uyarı, Hata, Kritik, Tehlikeli.


note

Aşağıda listelenen tüm olay türleri ve tüm önem dereceleri Syslog sunucusuna bildirilir. Syslog'a gönderilen olay günlüklerini filtrelemek için tanımlanan bir filtreyle bir günlük kategorisi bildirimi oluşturun.

Bildirilen değerler, yönetilen bilgisayarda yüklenmiş olan ESET güvenlik ürününe (ve sürümüne) bağlıdır ve ESET PROTECT yalnızca alınan verileri raporlar. Bu nedenle ESET tüm değerlerin yer aldığı bir liste sağlamaz. Ağınızı izlemenizi ve aldığınız değerlere göre günlükleri filtrelemenizi öneririz.

event_type türüne uygun olarak özel anahtarlar:

Threat_Event

Yönetilen uç noktalar tarafından oluşturulan tüm Algılama olayları Syslog'a iletilir. Algılama olayına özel anahtar:

threat_type

dize

isteğe bağlı

Algılama türü

threat_name

dize

isteğe bağlı

Algılama adı

threat_flags

dize

isteğe bağlı

Algılamayla ilgili bayraklar

scanner_id

dize

isteğe bağlı

Tarayıcı kimliği

scan_id

dize

isteğe bağlı

Tarama Kimliği

engine_version

dize

isteğe bağlı

Tarama altyapısının sürümü

object_type

dize

isteğe bağlı

Bu olayla ilgili nesnenin türü

object_uri

dize

isteğe bağlı

Nesne URI'sı

action_taken

dize

isteğe bağlı

Endpoint tarafından gerçekleştirilen eylem

action_error

dize

isteğe bağlı

"İşlem" başarısız olursa hata iletisi

threat_handled

bool

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

need_restart

bool

isteğe bağlı

Yeniden başlatmanın gerekip gerekmediğini gösterir

username

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

processname

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

circumstances

dize

isteğe bağlı

Olaya neyin neden olduğuna dair kısa açıklama

hash

dize

isteğe bağlı

(Algılama) veri akışının SHA1 karması.

firstseen

dize

isteğe bağlı

Algılamanın söz konusu makinede ilk kez bulunduğu tarih ve saat. ESET PROTECT, firstseen niteliği için günlük çıktısı biçimine göre (JSON veya LEEF) farklı tarih-saat biçimleri (ve başka herhangi bir tarih-saat niteliği) kullanır:

JSON biçimi:"%d-%b-%Y %H:%M:%S"

LEEF biçimi:"%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event günlük örneği:

FirewallAggregated_Event

ESET Güvenlik Duvarı tarafından oluşturulan olay günlükleri ESET Management Agent/ ESET Management Server çoğaltma işlemi sırasında bant genişliğinin harcanmasını önlemek için yöneten ESET PROTECT Agent tarafından toplanır. Güvenlik Duvarı olayına özgü anahtar:

event

dize

isteğe bağlı

Olay adı

source_address

dize

isteğe bağlı

Olay kaynağının adresi

source_address_type

dize

isteğe bağlı

Olay kaynağının adres türü

source_port

numara

isteğe bağlı

Olay kaynağının bağlantı noktası

target_address

dize

isteğe bağlı

Olay hedefinin adresi

target_address_type

dize

isteğe bağlı

Olay hedefinin adres türü

target_port

numara

isteğe bağlı

Olay hedefinin bağlantı noktası

protocol

dize

isteğe bağlı

Protokol

account

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

process_name

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

rule_name

dize

isteğe bağlı

Kural adı

rule_id

dize

isteğe bağlı

Kural Kimliği

inbound

bool

isteğe bağlı

Bağlantının gelen bağlantı olup olmadığını gösterir

threat_name

dize

isteğe bağlı

Algılamanın adı

aggregate_count

numara

isteğe bağlı

ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı

action

dize

isteğe bağlı

Gerçekleştirilen eylem

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

arrow_down_business FirewallAggregated_Event günlük örneği:

HIPSAggregated_Event

Ana Bilgisayar Tabanlı Saldırıları Önleme Sistemi'ndeki olaylar, Syslog mesajları olarak gönderilmeden önce önem derecesine göre filtrelenir. Yalnızca önem derecesi düzeyleri Hata, Önemli ve Çok Önemli olan olaylar Syslog'a gönderilir. HIPS'e özgü öznitelikler aşağıdaki gibidir:

application

dize

isteğe bağlı

Uygulama adı

operation

dize

isteğe bağlı

İşlem

target

dize

isteğe bağlı

Hedef

action

dize

isteğe bağlı

Gerçekleştirilen eylem

action_taken

dize

isteğe bağlı

Endpoint tarafından gerçekleştirilen eylem

rule_name

dize

isteğe bağlı

Kural adı

rule_id

dize

isteğe bağlı

Kural Kimliği

aggregate_count

numara

isteğe bağlı

ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

arrow_down_business HipsAggregated_Event günlük örneği:

Audit_Event

ESET PROTECT, Server'ın dahili denetleme günlüğü mesajlarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:

domain

dize

isteğe bağlı

Denetleme günlüğü etki alanı

action

dize

isteğe bağlı

Eylem gerçekleştiriliyor

target

dize

isteğe bağlı

Hedef eylem şurada çalıştırılıyor:

detail

dize

isteğe bağlı

Eylemin ayrıntılı açıklaması

user

dize

isteğe bağlı

Güvenlik kullanıcısı dahil

result

dize

isteğe bağlı

Eylemin sonucu

arrow_down_business Audit_Event günlük örneği:

FilteredWebsites_Event

ESET PROTECT, filtrelenen web sitelerini (Web Koruması tespitleri) Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:

hostname

dize

isteğe bağlı

Olaya sahip bilgisayarın ana bilgisayar adı

processname

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

username

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

hash

dize

isteğe bağlı

Filtre uygulanmış nesnenin SHA1 hash'i

event

dize

isteğe bağlı

Olay türü

rule_id

dize

isteğe bağlı

Kural Kimliği

action_taken

dize

isteğe bağlı

Gerçekleştirilen eylem

scanner_id

dize

isteğe bağlı

Tarayıcı kimliği

object_uri

dize

isteğe bağlı

Nesne URI'sı

target_address

dize

isteğe bağlı

Olay hedefinin adresi

target_address_type

dize

isteğe bağlı

Olay hedefinin adres türü (25769803777 = IPv4; 25769803778 = IPv6)

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

arrow_down_business FilteredWebsites_Event günlük örneği:

EnterpriseInspectorAlert_Event

ESET PROTECT, ESET Inspectalarmlarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:

processname

dize

isteğe bağlı

Bu alarma neden olan işlemin adı

username

dize

isteğe bağlı

İşlemin sahibi

rulename

dize

isteğe bağlı

Bu alarmı tetikleyen kuralın adı

count

numara

isteğe bağlı

Son alarmdan bu yana oluşturulan bu tür uyarıların sayısı

hash

dize

isteğe bağlı

Alarmın SHA1 hash'i

eiconsolelink

dize

isteğe bağlı

ESET Inspect konsolundaki alarma bağlantı

eialarmid

dize

isteğe bağlı

Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1)

computer_severity_score

numara

isteğe bağlı

Bilgisayar önem derecesi puanı

severity_score

numara

isteğe bağlı

Kural önem derecesi puanı

arrow_down_business EnterpriseInspectorAlert_Event günlük örneği:

BlockedFiles_Event

ESET PROTECT, ESET InspectEngellenen Dosyalarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:

hostname

dize

isteğe bağlı

Olaya sahip bilgisayarın ana bilgisayar adı

processname

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

username

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

hash

dize

isteğe bağlı

Engellenen dosyanın SHA1 hash'i

object_uri

dize

isteğe bağlı

Nesne URI'sı

action

dize

isteğe bağlı

Gerçekleştirilen eylem

firstseen

dize

isteğe bağlı

Tespitin söz konusu makinede ilk kez bulunduğu saat ve tarih (tarih ve saat biçimi).

cause

dize

isteğe bağlı

 

description

dize

isteğe bağlı

Engellenen dosyanın açıklaması

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir