Export von Ereignissen im JSON-Format
JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.
Exportierte Ereignisse
Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:
event_type |
string |
|
Typ der exportierten Ereignisse: |
---|---|---|---|
ipv4 |
string |
optional |
IPv4-Adresse des Computers, der das Ereignis generiert hat. |
ipv6 |
string |
optional |
IPv6-Adresse des Computers, der das Ereignis generiert hat. |
source_uuid |
string |
|
UUID des Computers, der das Ereignis generiert hat. |
occurred |
string |
|
UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S |
severity |
string |
|
Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information, Hinweis, Warnung, Error, Kritisch, Schwerwiegend. |
Alle unten aufgelisteten Ereignistypen mit allen Schweregraden werden an den Syslog-Server gemeldet. Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter. Die gemeldeten Werte davon ab, welches ESET Sicherheitsprodukt (und welche Version) auf dem verwalteten Computer installiert ist. ESET PROTECT Cloud meldet nur die empfangenen Daten. Daher kann ESET keine vollständige Liste der Werte zur Verfügung stellen. Wir empfehlen, ihr Netzwerk im Blick zu behalten und die Logs anhand der erhaltenen Werte zu filtern. |
Benutzerdefinierte Schlüssel gemäß event_type:
Threat_Event
Alle von verwalteten Endpunkten generierten Ereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Ereignisse:
threat_type |
string |
optional |
Ereignisart |
---|---|---|---|
threat_name |
string |
optional |
Ereignisname |
threat_flags |
string |
optional |
Ereignisbezogene Flags |
scanner_id |
string |
optional |
Scanner-ID |
scan_id |
string |
optional |
Scan-ID |
engine_version |
string |
optional |
Version des Prüfmoduls |
object_type |
string |
optional |
Art des Objekts, auf sich das Ereignis bezieht |
object_uri |
string |
optional |
Objekt-URI |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
action_error |
string |
optional |
Fehlermeldung, falls die Aktion nicht erfolgreich war |
threat_handled |
bool |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
need_restart |
bool |
optional |
Gibt an, ob ein Neustart erforderlich ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
circumstances |
string |
optional |
Kurze Beschreibung der Ursache des Ereignisses |
hash |
string |
optional |
SHA1-Hash des Datenstroms (Ereignis). |
string |
optional |
Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer. Das von ESET PROTECT Cloud verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF): •JSON formatieren"%d-%b-%Y %H:%M:%S" •LEEF formatieren"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
Die von ESET Firewall generierten Ereignis-Logs werden von dem verwaltenden ESET Management Agenten aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESET PROTECT Cloud Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:
event |
string |
optional |
Ereignisname |
---|---|---|---|
source_address |
string |
optional |
Adresse der Ereignisquelle |
source_address_type |
string |
optional |
Art der Adresse der Ereignisquelle |
source_port |
Nummer |
optional |
Port der Ereignisquelle |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels |
target_port |
Nummer |
optional |
Port des Ereignisziels |
protocol |
string |
optional |
Protokoll |
account |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
process_name |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
inbound |
bool |
optional |
Gibt an, ob die Verbindung eingehend war |
threat_name |
string |
optional |
Ereignisname |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Cloud Server und verwaltendem ESET Management Agent generiert wurden |
action |
string |
optional |
Ausgeführte Aktion |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FirewallAggregated_Event“-Log-Beispiel:
HIPSAggregated_Event
Ereignisse aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. Nur Ereignisse der Schweregrade Error, Critical und Fatal werden an Syslog weitergeleitet. HIPS-spezifische Attribute:
application |
string |
optional |
Anwendungsname |
---|---|---|---|
operation |
string |
optional |
Vorgang |
target |
string |
optional |
Ziel |
action |
string |
optional |
Ausgeführte Aktion |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Cloud Server und verwaltendem ESET Management Agent generiert wurden |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„HipsAggregated_Event“-Log-Beispiel:
Audit_Event
ESET PROTECT Cloud leitet die internen Audit-Log-Nachrichten des Servers an Syslog weiter. Spezifische Attribute:
domain |
string |
optional |
Audit-Log-Domäne |
---|---|---|---|
action |
string |
optional |
Ausgeführte Aktion |
target |
string |
optional |
Ziel der Aktion |
detail |
string |
optional |
Ausführliche Beschreibung der Aktion |
user |
string |
optional |
Beteiligter Sicherheitsbenutzer |
result |
string |
optional |
Resultat der Aktion |
FilteredWebsites_Event
ESET PROTECT Cloud leitet die gefilterten Websites (Web-Schutz-Ereignisse) an Syslog weiter. Spezifische Attribute:
hostname |
string |
optional |
Hostname des Computers mit dem Ereignis |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
hash |
string |
optional |
SHA1-Hash des gefilterten Objekts |
event |
string |
optional |
Ereignistyp |
rule_id |
string |
optional |
Regel-ID |
action_taken |
string |
optional |
Ausgeführte Aktion |
scanner_id |
string |
optional |
Scanner-ID |
object_uri |
string |
optional |
Objekt-URI |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FilteredWebsites_Event“-Log-Beispiel: