Události exportované do JSON formátu

JSON (JavaScript Object Notation) je jednoduchý formát pro výměnu dat. Je založený na dvou datových strukturách: kolekce párů název-hodnota a seřazeném seznamu hodnot.

Exportované události

V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Zprávy událostí jsou reprezentovány JSON objektem, kdy některé části jsou povinné, jiné volitelné. Každá exportovaná událost bude obsahovat tyto atributy:

event_type

řetězec

 

Typ exportované události:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

ipv4

řetězec

volitelné

IPv4 adresa počítače, který vygeneroval událost

ipv6

řetězec

volitelné

IPv6 adresa počítače, který vygeneroval událost

source_uuid

řetězec

 

UUID počítače, který vygeneroval událost

occurred

řetězec

 

Čas v UTC formátu, kdy událost vznikla. Formát: %d-%b-%Y %H:%M:%S

severity

řetězec

 

Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Oznámení, Informační, Varování, Chyba, Kritické, Mimořádné

note

Poznámka

Na Syslog Server se zasílají při všech úrovních závažnosti a všechny níže uvedené události: Pokud chcete na Syslog server zasílat pouze některé události, vytvořit si oznámení s vámi požadovaným filtrem.

Vlastní klíče související s event_type:

Threat_Event

Na Syslog server se zasílají všechny detekce z koncových stanic. Záznam o detekci vypadá následovně:

threat_type

řetězec

volitelné

Typ detekce

threat_name

řetězec

volitelné

Název detekce

threat_flags

řetězec

volitelné

Štítek související s detekcí

scanner_id

řetězec

volitelné

ID skeneru

scan_id

řetězec

volitelné

ID kontroly

engine_version

řetězec

volitelné

Verze skenovacího jádra

object_type

řetězec

volitelné

Typ objektu související s touto událostí

object_uri

řetězec

volitelné

URI objektu

action_taken

řetězec

volitelné

Provedená akce s objektem

action_error

řetězec

volitelné

Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést

threat_handled

bool

volitelné

Informace o tom, zda byla detekce vyřešena

need_restart

bool

volitelné

Informace, zda je vyžadován restart

username

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

processname

řetězec

volitelné

Název procesu spojeného s touto událostí

circumstances

řetězec

volitelné

Krátký popis s informací, co způsobilo událost

hash

řetězec

volitelné

SHA1 kontrolní součet (detekce) data streamu.

firstseen

řetězec

volitelné

Datum a čas první detekce na zařízení. V závislosti na výstupním formátu (JSON nebo LEEF) generuje ESET PROTECT Cloud firstseenatribut (a další atributy související s časem) v odlišném tvaru:

JSON formát: "%d-%b-%Y %H:%M:%S"

LEEF formát: "%b %d %Y %H:%M:%S"

arrow_down_business Příklad Threat_Event protokolu:

FirewallAggregated_Event

Informace o událostech personálního firewallu agreguje ESET Management Agent za účelem snížení množství přenášených dat během jejich replikace na ESET PROTECT Cloud server. Záznam o událostech firewallu vypadá následovně:

event

řetězec

volitelné

Název události

source_address

řetězec

volitelné

Adresa zdroje události

source_address_type

řetězec

volitelné

Typ adresy zdroje události

source_port

číslo

volitelné

Port zdroje události

target_address

řetězec

volitelné

Adresa cíle události

target_address_type

řetězec

volitelné

Typ adresy cíle události

target_port

číslo

volitelné

Port cíle události

protocol

řetězec

volitelné

Protokol

account

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

process_name

řetězec

volitelné

Název procesu spojeného s touto událostí

rule_name

řetězec

volitelné

Název pravidla

rule_id

řetězec

volitelné

ID pravidla

inbound

bool

volitelné

Informace, zda se jednalo o příchozí spojení

threat_name

řetězec

volitelné

Název detekce

aggregate_count

číslo

volitelné

Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT Cloud Server.

action

řetězec

volitelné

Akce

handled

řetězec

volitelné

Informace o tom, zda byla detekce vyřešena

arrow_down_business Příklad FirewallAggregated_Event protokolu:

HIPSAggregated_Event

Před odesláním událostí na syslog server jsou zprávy z modulu HIPS (Host-based Intrusion Prevention System) nejprve filtrovány podle nastavené závažnosti. Na syslog jsou odesílány pouze události se závažností: Chyba, Kritické a Mimořádné. Záznam o událostech modulu HIPS vypadá následovně:

application

řetězec

volitelné

Název aplikace

operation

řetězec

volitelné

Operace

target

řetězec

volitelné

Cíl

action

řetězec

volitelné

Akce

action_taken

řetězec

volitelné

Provedená akce s objektem

rule_name

řetězec

volitelné

Název pravidla

rule_id

řetězec

volitelné

ID pravidla

aggregate_count

číslo

volitelné

Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT Cloud Server.

handled

řetězec

volitelné

Informace o tom, zda byla detekce vyřešena

arrow_down_business Příklad HipsAggregated_Event protokolu:

Audit_Event

ESET PROTECT Cloud přeposílá na Syslog interní audit log. Záznam o událostech vypadá následovně:

domain

řetězec

volitelné

Doména

action

řetězec

volitelné

Akce

target

řetězec

volitelné

Cíl, nad kterým je akce prováděna

detail

řetězec

volitelné

Detailní popis akce

user

řetězec

volitelné

Uživatel, který akci provádí

result

řetězec

volitelné

Výsledek akce

arrow_down_business Příklad Audit_Event protokolu:

FilteredWebsites_Event

ESET PROTECT Cloud přeposílá seznam filtrovaných webových stránek (detekce modulem Ochrana přístupu na web) na Syslog. Záznam o událostech vypadá následovně:

hostname

řetězec

volitelné

Název počítače, který vygeneroval událost

processname

řetězec

volitelné

Název procesu spojeného s touto událostí

username

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

hash

řetězec

volitelné

SHA1 hash filtrovaného objektu

event

řetězec

volitelné

Typ události

rule_id

řetězec

volitelné

ID pravidla

action_taken

řetězec

volitelné

Akce

scanner_id

řetězec

volitelné

ID skeneru

object_uri

řetězec

volitelné

URI objektu

target_address

řetězec

volitelné

Adresa cíle události

target_address_type

řetězec

volitelné

Typ adresy cíle události (25769803777 = IPv4; 25769803778 = IPv6)

handled

řetězec

volitelné

Informace o tom, zda byla detekce vyřešena

arrow_down_business Příklad FilteredWebsites_Event protokolu: