JSON biçimine aktarılan olaylar
JSON veri alışverişi için hafif bir biçimdir. Ad / değer çiftlerinin toplamıyla ve değerlerden oluşan sıralı bir listeyle oluşturulur.
Dışa aktarılan olaylar
Bu bölüm biçimle ve tüm dışa aktarılan olayların özniteliklerinin anlamıyla ilgili ayrıntıları içerir. Olay iletisi bazı zorunlu ve bazı isteğe bağlı anahtarlarla birlikte bir JSON nesnesi biçimindedir. Dışa aktarılan her olay aşağıdaki anahtarı içerir:
event_type |
dize |
|
Dışa aktarılan olayların türü: |
---|---|---|---|
ipv4 |
dize |
isteğe bağlı |
Olayı oluşturan bilgisayarın IPv4 adresi. |
ipv6 |
dize |
isteğe bağlı |
Olayı oluşturan bilgisayarın IPv6 adresi. |
source_uuid |
dize |
|
Olayı oluşturan bilgisayarın UUID'si. |
occurred |
dize |
|
Olayın gerçekleştiği UTC saati. Biçim: %d-%b-%Y %H:%M:%S |
severity |
dize |
|
Olayın önem derecesi. Olası değerler (en düşük önem derecesinden en yüksek dereceye kadar): Bilgi, Bildirim, Uyarı, Hata, Kritik, Tehlikeli. |
Aşağıda listelenen tüm olay türleri ve tüm önem dereceleri Syslog sunucusuna bildirilir. Syslog'a gönderilen olay günlüklerini filtrelemek için tanımlanan bir filtreyle bir günlük kategorisi bildirimi oluşturun. Bildirilen değerler, yönetilen bilgisayarda yüklenmiş olan ESET güvenlik ürününe (ve sürümüne) bağlıdır ve ESET PROTECT yalnızca alınan verileri raporlar. Bu nedenle ESET tüm değerlerin yer aldığı bir liste sağlamaz. Ağınızı izlemenizi ve aldığınız değerlere göre günlükleri filtrelemenizi öneririz. |
event_type türüne uygun olarak özel anahtarlar:
Threat_Event
Yönetilen uç noktalar tarafından oluşturulan tüm Algılama olayları Syslog'a iletilir. Algılama olayına özel anahtar:
threat_type |
dize |
isteğe bağlı |
Algılama türü |
---|---|---|---|
threat_name |
dize |
isteğe bağlı |
Algılama adı |
threat_flags |
dize |
isteğe bağlı |
Algılamayla ilgili bayraklar |
scanner_id |
dize |
isteğe bağlı |
Tarayıcı kimliği |
scan_id |
dize |
isteğe bağlı |
Tarama Kimliği |
engine_version |
dize |
isteğe bağlı |
Tarama altyapısının sürümü |
object_type |
dize |
isteğe bağlı |
Bu olayla ilgili nesnenin türü |
object_uri |
dize |
isteğe bağlı |
Nesne URI'sı |
action_taken |
dize |
isteğe bağlı |
Endpoint tarafından gerçekleştirilen eylem |
action_error |
dize |
isteğe bağlı |
"İşlem" başarısız olursa hata iletisi |
threat_handled |
bool |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
need_restart |
bool |
isteğe bağlı |
Yeniden başlatmanın gerekip gerekmediğini gösterir |
username |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
processname |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
circumstances |
dize |
isteğe bağlı |
Olaya neyin neden olduğuna dair kısa açıklama |
hash |
dize |
isteğe bağlı |
(Algılama) veri akışının SHA1 karması. |
dize |
isteğe bağlı |
Algılamanın söz konusu makinede ilk kez bulunduğu tarih ve saat. ESET PROTECT, firstseen niteliği için günlük çıktısı biçimine göre (JSON veya LEEF) farklı tarih-saat biçimleri (ve başka herhangi bir tarih-saat niteliği) kullanır: •JSON biçimi:"%d-%b-%Y %H:%M:%S" •LEEF biçimi:"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
ESET Güvenlik Duvarı tarafından oluşturulan olay günlükleri ESET Management Agent/ ESET Management Server çoğaltma işlemi sırasında bant genişliğinin harcanmasını önlemek için yöneten ESET PROTECT Agent tarafından toplanır. Güvenlik Duvarı olayına özgü anahtar:
event |
dize |
isteğe bağlı |
Olay adı |
---|---|---|---|
source_address |
dize |
isteğe bağlı |
Olay kaynağının adresi |
source_address_type |
dize |
isteğe bağlı |
Olay kaynağının adres türü |
source_port |
numara |
isteğe bağlı |
Olay kaynağının bağlantı noktası |
target_address |
dize |
isteğe bağlı |
Olay hedefinin adresi |
target_address_type |
dize |
isteğe bağlı |
Olay hedefinin adres türü |
target_port |
numara |
isteğe bağlı |
Olay hedefinin bağlantı noktası |
protocol |
dize |
isteğe bağlı |
Protokol |
account |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
process_name |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
rule_name |
dize |
isteğe bağlı |
Kural adı |
rule_id |
dize |
isteğe bağlı |
Kural Kimliği |
inbound |
bool |
isteğe bağlı |
Bağlantının gelen bağlantı olup olmadığını gösterir |
threat_name |
dize |
isteğe bağlı |
Algılamanın adı |
aggregate_count |
numara |
isteğe bağlı |
ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı |
action |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
FirewallAggregated_Event günlük örneği:
HIPSAggregated_Event
Ana Bilgisayar Tabanlı Saldırıları Önleme Sistemi'ndeki olaylar, Syslog mesajları olarak gönderilmeden önce önem derecesine göre filtrelenir. Yalnızca önem derecesi düzeyleri Hata, Önemli ve Çok Önemli olan olaylar Syslog'a gönderilir. HIPS'e özgü öznitelikler aşağıdaki gibidir:
application |
dize |
isteğe bağlı |
Uygulama adı |
---|---|---|---|
operation |
dize |
isteğe bağlı |
İşlem |
target |
dize |
isteğe bağlı |
Hedef |
action |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
action_taken |
dize |
isteğe bağlı |
Endpoint tarafından gerçekleştirilen eylem |
rule_name |
dize |
isteğe bağlı |
Kural adı |
rule_id |
dize |
isteğe bağlı |
Kural Kimliği |
aggregate_count |
numara |
isteğe bağlı |
ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
HipsAggregated_Event günlük örneği:
Audit_Event
ESET PROTECT, Server'ın dahili denetleme günlüğü mesajlarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:
domain |
dize |
isteğe bağlı |
Denetleme günlüğü etki alanı |
---|---|---|---|
action |
dize |
isteğe bağlı |
Eylem gerçekleştiriliyor |
target |
dize |
isteğe bağlı |
Hedef eylem şurada çalıştırılıyor: |
detail |
dize |
isteğe bağlı |
Eylemin ayrıntılı açıklaması |
user |
dize |
isteğe bağlı |
Güvenlik kullanıcısı dahil |
result |
dize |
isteğe bağlı |
Eylemin sonucu |
FilteredWebsites_Event
ESET PROTECT, filtrelenen web sitelerini (Web Koruması tespitleri) Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:
hostname |
dize |
isteğe bağlı |
Olaya sahip bilgisayarın ana bilgisayar adı |
processname |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
username |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
hash |
dize |
isteğe bağlı |
Filtre uygulanmış nesnenin SHA1 hash'i |
event |
dize |
isteğe bağlı |
Olay türü |
rule_id |
dize |
isteğe bağlı |
Kural Kimliği |
action_taken |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
scanner_id |
dize |
isteğe bağlı |
Tarayıcı kimliği |
object_uri |
dize |
isteğe bağlı |
Nesne URI'sı |
target_address |
dize |
isteğe bağlı |
Olay hedefinin adresi |
target_address_type |
dize |
isteğe bağlı |
Olay hedefinin adres türü (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
FilteredWebsites_Event günlük örneği:
EnterpriseInspectorAlert_Event
ESET PROTECT, ESET Inspectalarmlarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:
processname |
dize |
isteğe bağlı |
Bu alarma neden olan işlemin adı |
---|---|---|---|
username |
dize |
isteğe bağlı |
İşlemin sahibi |
rulename |
dize |
isteğe bağlı |
Bu alarmı tetikleyen kuralın adı |
count |
numara |
isteğe bağlı |
Son alarmdan bu yana oluşturulan bu tür uyarıların sayısı |
hash |
dize |
isteğe bağlı |
Alarmın SHA1 hash'i |
eiconsolelink |
dize |
isteğe bağlı |
ESET Inspect konsolundaki alarma bağlantı |
eialarmid |
dize |
isteğe bağlı |
Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1) |
computer_severity_score |
numara |
isteğe bağlı |
Bilgisayar önem derecesi puanı |
severity_score |
numara |
isteğe bağlı |
Kural önem derecesi puanı |
EnterpriseInspectorAlert_Event günlük örneği:
BlockedFiles_Event
ESET PROTECT, ESET InspectEngellenen Dosyalarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:
hostname |
dize |
isteğe bağlı |
Olaya sahip bilgisayarın ana bilgisayar adı |
processname |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
username |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
hash |
dize |
isteğe bağlı |
Engellenen dosyanın SHA1 hash'i |
object_uri |
dize |
isteğe bağlı |
Nesne URI'sı |
action |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
firstseen |
dize |
isteğe bağlı |
Tespitin söz konusu makinede ilk kez bulunduğu saat ve tarih (tarih ve saat biçimi). |
cause |
dize |
isteğe bağlı |
|
description |
dize |
isteğe bağlı |
Engellenen dosyanın açıklaması |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |