Події, що експортуються у формат JSON
JSON – це полегшений формат для обміну даними. Його побудовано на наборі пар «назва-значення» й упорядкованому списку значень.
Експортовані події
Цей розділ містить інформацію про формат і значення атрибутів усіх експортованих подій. Повідомлення про подію створюється у формі об’єкта JSON з кількома обов’язковими й необов’язковими ключами. Кожна експортована подія міститиме такий ключ:
event_type |
рядок |
|
Тип експортованих подій: |
|---|---|---|---|
ipv4 |
рядок |
необов’язкова |
IPv4-адреса комп’ютера, що створив подію. |
ipv6 |
рядок |
необов’язкова |
IPv6-адреса комп’ютера, що створив подію. |
source_uuid |
рядок |
|
Ідентифікатор UUID комп’ютера, що створив подію. |
occurred |
рядок |
|
Час події у форматі UTC. Формат: %d-%b-%Y %H:%M:%S |
severity |
рядок |
|
Рівень критичності події. Можливі значення (від найменш до найбільш критичної): «Інформація», «Попередження», «Застереження», «Помилка», «Критична помилка», «Невиправна помилка» |
|
На сервер Syslog надсилаються події всіх указаних нижче типів зі всіма рівнями критичності. Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром. Повернуті значення залежать від продукту з безпеки ESET (і його версії), інстальованого на керованому комп’ютері. Тільки ESET PROTECT повертає отримані дані. Тому ESET не може надати повний список усіх значень. Рекомендуємо стежити за мережею та фільтрувати журнали на основі отриманих значень. |
Налаштовувані ключі відповідно до event_type:
Threat_Event
Усі події «Виявлений об’єкт», створені керованими кінцевими точками, пересилатимуться в системний журнал. Ключ події «Виявлений об’єкт»:
threat_type |
рядок |
необов’язкова |
Тип виявленого об’єкта |
|---|---|---|---|
threat_name |
рядок |
необов’язкова |
Назва виявленого об’єкта |
threat_flags |
рядок |
необов’язкова |
Прапорці, пов’язані з виявленим об’єктом |
scanner_id |
рядок |
необов’язкова |
Ідентифікатор сканера |
scan_id |
рядок |
необов’язкова |
Ідентифікатор сканування |
engine_version |
рядок |
необов’язкова |
Версія ядра сканування |
object_type |
рядок |
необов’язкова |
Тип об’єкта, пов’язаного з цією подією |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
action_taken |
рядок |
необов’язкова |
Дія, яку виконала робоча станція |
action_error |
рядок |
необов’язкова |
Повідомлення про помилку, якщо не вдалося виконати дію |
threat_handled |
логічне значення |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
need_restart |
логічне значення |
необов’язкова |
Указує, чи потрібно виконати перезавантаження |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
circumstances |
рядок |
необов’язкова |
Короткий опис причини події |
hash |
рядок |
необов’язкова |
Хеш SHA1 потоку даних (виявленого об’єкта). |
рядок |
необов’язкова |
Дата й час першого виявлення об’єкта на певному комп’ютері. ESET PROTECT використовує різні формати дати-часу для атрибута firstseen (і будь-якого іншого атрибута дати-часу) залежно від формату виведення даних журналу (JSON або LEEF): •JSON формат: "%d-%b-%Y %H:%M:%S" •LEEF формат: "%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
Щоб марно не навантажувати смугу пропускання під час реплікації агента ESET Management або сервера ESET Management, журнали подій, створені брандмауером ESET, збирає головний агент ESET PROTECT. Ключ події брандмауера:
event |
рядок |
необов’язкова |
Назва події |
|---|---|---|---|
source_address |
рядок |
необов’язкова |
Адреса джерела події |
source_address_type |
рядок |
необов’язкова |
Тип адреси джерела події |
source_port |
число |
необов’язкова |
Порт джерела події |
target_address |
рядок |
необов’язкова |
Адреса цілі події |
target_address_type |
рядок |
необов’язкова |
Тип адреси цілі події |
target_port |
число |
необов’язкова |
Порт цілі події |
protocol |
рядок |
необов’язкова |
Протокол |
account |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
process_name |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
rule_name |
рядок |
необов’язкова |
Ім’я правила |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
inbound |
логічне значення |
необов’язкова |
Указує, чи є підключення вхідним |
threat_name |
рядок |
необов’язкова |
Назва виявленого об’єкта |
aggregate_count |
число |
необов’язкова |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management |
action |
рядок |
необов’язкова |
Дію вжито |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу FirewallAggregated_Event:
HIPSAggregated_Event
Події системи запобігання втручанню в хост фільтруються за рівнем критичності до надсилання у вигляді повідомлень системного журналу. Лише події з рівнем критичності Помилка, Критична помилка та Невиправна помилка надсилаються в системний журнал. Атрибути системи запобігання вторгненням (HIPS):
application |
рядок |
необов’язкова |
Назва програми |
|---|---|---|---|
operation |
рядок |
необов’язкова |
Операція |
target |
рядок |
необов’язкова |
Об'єкт |
action |
рядок |
необов’язкова |
Дію вжито |
action_taken |
рядок |
необов’язкова |
Дія, яку виконала робоча станція |
rule_name |
рядок |
необов’язкова |
Ім’я правила |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
aggregate_count |
число |
необов’язкова |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу HipsAggregated_Event:
Audit_Event
ESET PROTECT переспрямовує повідомлення журналу внутрішнього аудиту сервера в системний журнал. Нижче наведено спеціальні атрибути.
domain |
рядок |
необов’язкова |
Домен журналу аудиту |
|---|---|---|---|
action |
рядок |
необов’язкова |
Виконувана дія |
target |
рядок |
необов’язкова |
Об’єкт цільової дії |
detail |
рядок |
необов’язкова |
Детальний опис дії |
user |
рядок |
необов’язкова |
Користувач системи безпеки |
result |
рядок |
необов’язкова |
Результат дії |
FilteredWebsites_Event
ESET PROTECT перенаправляє відфільтровані веб-сайти (об’єкти, виявлені модулем веб-захисту) в Syslog. Нижче наведено спеціальні атрибути.
hostname |
рядок |
необов’язкова |
Ім’я хоста комп’ютера, на якому сталася ця подія |
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
hash |
рядок |
необов’язкова |
Хеш SHA1 відфільтрованого об’єкта |
event |
рядок |
необов’язкова |
Тип події |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
action_taken |
рядок |
необов’язкова |
Дію вжито |
scanner_id |
рядок |
необов’язкова |
Ідентифікатор сканера |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
target_address |
рядок |
необов’язкова |
Адреса цілі події |
target_address_type |
рядок |
необов’язкова |
Тип адреси цілі події (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT перенаправляє оповіщення ESET Inspect в журнал Syslog. Нижче наведено спеціальні атрибути.
processname |
рядок |
необов’язкова |
Назва процесу, який спричинив оповіщення |
|---|---|---|---|
username |
рядок |
необов’язкова |
Власник процесу |
rulename |
рядок |
необов’язкова |
Назва правила, яке спричиняє це оповіщення |
count |
число |
необов’язкова |
Кількість попереджень такого типу, згенерованих із моменту останнього оповіщення |
hash |
рядок |
необов’язкова |
Хеш SHA1 оповіщення |
eiconsolelink |
рядок |
необов’язкова |
Посилання на оповіщення в консолі ESET Inspect |
eialarmid |
рядок |
необов’язкова |
Ідентифікатор, указаний у посиланні оповіщення ($1 в ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
число |
необов’язкова |
Оцінка рівня критичності для комп’ютера |
severity_score |
число |
необов’язкова |
Оцінка рівня критичності правила |
Зразок журналу EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT перенаправляє заблоковані файли ESET Inspect в Syslog. Нижче наведено спеціальні атрибути.
hostname |
рядок |
необов’язкова |
Ім’я хоста комп’ютера, на якому сталася ця подія |
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
hash |
рядок |
необов’язкова |
ХешSHA1 заблокованого файлу |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
action |
рядок |
необов’язкова |
Дію вжито |
firstseen |
рядок |
необов’язкова |
Дата й час першого виявлення об’єкта на певному комп’ютері (формат дати й часу). |
cause |
рядок |
необов’язкова |
|
description |
рядок |
необов’язкова |
Опис заблокованих файлів |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |