Интернет-справка ESET

Выберите категорию
Выберите тему

События, экспортируемые в формат JSON

JSON — облегченный формат для обмена данными. Он построен на наборе пар «имя-значение» и упорядоченном списке значений.

Экспортируемые события

Этот раздел содержит сведения о формате и значение атрибутов всех экспортируемых событий. Сообщение о событии создается в виде объекта JSON с обязательными и необязательными ключами. Каждое экспортируемое событие будет содержать следующий ключ:

event_type

строка

 

Тип экспортируемых событий:

Threat_Event (обнаружения защиты от вирусов icon_antivirus)

FirewallAggregated_Event (обнаружения файервола icon_firewall)

HipsAggregated_Event (обнаружения системы HIPS icon_hips)

Audit_Event (журнал аудита)

FilteredWebsites_Event (отфильтрованные веб-сайты — защита доступа в Интернет icon_web_protection)

EnterpriseInspectorAlert_Event (предупреждения ESET Inspect icon_ei_alert)

BlockedFiles_Event (заблокированные файлы icon_blocked)

ipv4

строка

необязательно

IPv4-адрес компьютера, создавшего событие.

ipv6

строка

необязательно

IPv6-адрес компьютера, создавшего событие.

hostname

строка

 

Идентификатор Имя хоста компьютера, создавшего событие.

source_uuid

строка

 

Идентификатор UUID компьютера, создавшего событие.

occurred

строка

 

Время события в формате UTC. Используется формат %d-%b-%Y %H:%M:%S.

severity

строка

 

Серьезность события. Возможные значения (от наименее до наиболее серьезных событий): «Информация», «Примечание», «Предупреждение», «Ошибка», «Критическая ошибка», «Неустранимая ошибка».

group_name

строка

 

Полный путь статической группы компьютера, создавшего событие. Если длина пути превышает 255 символов, group_name содержит только имя статической группы.

group_description

строка

 

Описание статической группы.

os_name

строка

 

Информация об операционной системе компьютера.


note

Все перечисленные ниже типы событий со всеми уровнями серьезности передаются на сервер системного журнала. Для фильтрации журналов событий, отправленных в системный журнал, создайте уведомление о категории журнала с заданным фильтром.

Передаваемые значения зависят от продукта безопасности ESET (и его версии), установленного на управляемом компьютере, и ESET PROTECT On-Prem передает только полученные данные. Поэтому ESET не может предоставить исчерпывающий список всех значений. Рекомендуем наблюдать за сетью и фильтровать журналы на основании получаемых значений.

Настраиваемые ключи в соответствии с event_type:

Threat_Event

Все события типа «обнаружение защиты от вирусов» icon_antivirus, которые создаются управляемыми конечными точками, будут перенаправлены в системный журнал. Ключи событий «обнаружение» перечислены в таблице ниже.

threat_type

строка

необязательно

Тип обнаружения

threat_name

строка

необязательно

Имя обнаружения

threat_flags

строка

необязательно

Флаги, связанные с обнаружением

scanner_id

строка

необязательно

Идентификатор модуля сканирования.

scan_id

строка

необязательно

Идентификатор сканирования.

engine_version

строка

необязательно

Версия модуля сканирования.

object_type

строка

необязательно

Тип объекта, связанного с этим событием.

object_uri

строка

необязательно

URI объекта

action_taken

строка

необязательно

Действие, которое выполнила конечная точка.

action_error

строка

необязательно

Сообщение об ошибке, если «действие» не было успешным.

threat_handled

логическое значение

необязательно

Показывает, было ли обработано обнаружение.

need_restart

логическое значение

необязательно

Показывает, нужна ли перезагрузка.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

processname

строка

необязательно

Имя процесса, связанного с событием.

circumstances

строка

необязательно

Краткое описание причины события.

hash

строка

необязательно

SHA1-хеш потока данных (обнаружения).

firstseen

строка

необязательно

Время и дата, когда обнаружение было выявлено впервые на этом компьютере. ESET PROTECT On-Prem использует разные форматы даты и времени для атрибута firstseen (и любого другого атрибута даты и времени) в зависимости от формата вывода журнала (JSON или LEEF):

JSON формат:"%d-%b-%Y %H:%M:%S"

LEEF формат:"%b %d %Y %H:%M:%S"

arrow_down_business Пример журнала JSON Threat_Event:

FirewallAggregated_Event

Чтобы не перегружать полосу пропускания при репликации агента ESET Management или сервера ESET PROTECT, журналы событий, созданные файерволом ESET (обнаружения файервола icon_firewall), собирает управляющий агент ESET Management. Ключи событий файервола приведены в таблице ниже.

event

строка

необязательно

Имя события.

source_address

строка

необязательно

Адрес источника события.

source_address_type

строка

необязательно

Тип адреса источника события.

source_port

число

необязательно

Порт источника события.

target_address

строка

необязательно

Адрес цели события.

target_address_type

строка

необязательно

Тип адреса цели события.

target_port

число

необязательно

Порт цели события.

protocol

строка

необязательно

Протокол

account

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

process_name

строка

необязательно

Имя процесса, связанного с событием.

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

inbound

логическое значение

необязательно

Показывает, является ли подключение входящим.

threat_name

строка

необязательно

Имя обнаружения.

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESET PROTECT Server и управляющим агентом ESET Management.

action

строка

необязательно

Действие выполнено

handled

строка

необязательно

Показывает, было ли обработано обнаружение.

arrow_down_business Пример журнала JSON FirewallAggregated_Event:

HIPSAggregated_Event

События системы Host-based Intrusion Prevention System (обнаружения системы HIPS icon_hips) фильтруются по уровню серьезности перед отправкой далее в качестве сообщений системного журнала. В таблице ниже перечислены атрибуты HIPS.

application

строка

необязательно

Имя приложения

operation

строка

необязательно

Операция

target

строка

необязательно

Объект

action

строка

необязательно

Действие выполнено

action_taken

строка

необязательно

Действие, которое выполнила конечная точка.

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESET PROTECT Server и управляющим агентом ESET Management.

handled

строка

необязательно

Показывает, было ли обработано обнаружение.

arrow_down_business Пример журнала JSON HipsAggregated_Event:

Audit_Event

ESET PROTECT On-Prem перенаправляет внутренние сообщения журнала аудита в системный журнал. В таблице ниже перечислены атрибуты.

domain

строка

необязательно

Домен журнала аудита

action

строка

необязательно

Выполняемое действие

target

строка

необязательно

Объект целевого действия

detail

строка

необязательно

Подробное описание действия

user

строка

необязательно

Пользователь программы для обеспечения безопасности

result

строка

необязательно

Результат действия

arrow_down_business Пример журнала Audit_Event:

FilteredWebsites_Event

ESET PROTECT On-Prem перенаправляет отфильтрованные веб-сайты (обнаружения средством icon_web_protectionЗащита доступа в Интернет) в системный журнал. В таблице ниже перечислены атрибуты.

processname

строка

необязательно

Имя процесса, связанного с событием.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

hash

строка

необязательно

Хеш SHA1 отфильтрованного объекта

event

строка

необязательно

Тип события

rule_id

строка

необязательно

Идентификатор правила

action_taken

строка

необязательно

Действие выполнено

scanner_id

строка

необязательно

Идентификатор модуля сканирования.

object_uri

строка

необязательно

URI объекта

target_address

строка

необязательно

Адрес цели события.

target_address_type

строка

необязательно

Тип адреса цели события (25769803777 = IPv4; 25769803778 = IPv6)

handled

строка

необязательно

Показывает, было ли обработано обнаружение.

arrow_down_business Пример журнала JSON FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem перенаправляет предупреждения ESET Inspect в системный журнал. В таблице ниже перечислены атрибуты.

processname

строка

необязательно

Имя процесса, инициировавшего это предупреждение

username

строка

необязательно

Владелец процесса

rulename

строка

необязательно

Имя правила, инициировавшего это предупреждение

count

число

необязательно

Число уведомлений этого типа, созданных с момента последнего предупреждения

hash

строка

необязательно

Хеш SHA1 предупреждения

eiconsolelink

строка

необязательно

Ссылка на предупреждение в консоли ESET Inspect On-Prem

eialarmid

строка

необязательно

Подчасть идентификатора ссылки на предупреждение ($1 в ^http.*/alarm/([0-9]+)$)

computer_severity_score

число

необязательно

Оценка серьезности угроз на компьютере

severity_score

число

необязательно

Оценка серьезности правила

arrow_down_business Пример журнала JSON EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT On-Prem перенаправляет заблокированные файлы ESET Inspect On-Premicon_blocked в системный журнал. В таблице ниже перечислены атрибуты.

processname

строка

необязательно

Имя процесса, связанного с событием.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

hash

строка

необязательно

Хеш SHA1 заблокированного файла

object_uri

строка

необязательно

URI объекта

action

строка

необязательно

Действие выполнено

firstseen

строка

необязательно

Время и дата, когда обнаружение было впервые выявлено на этом компьютере (формат даты и времени).

cause

строка

необязательно

 

description

строка

необязательно

Описание заблокированного файла

handled

строка

необязательно

Показывает, было ли обработано обнаружение.