Export von Ereignissen im JSON-Format

JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.

Exportierte Ereignisse

Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:

event_type

string

 

Typ der exportierten Ereignisse:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

ipv4

string

optional

IPv4-Adresse des Computers, der das Ereignis generiert hat.

ipv6

string

optional

IPv6-Adresse des Computers, der das Ereignis generiert hat.

source_uuid

string

 

UUID des Computers, der das Ereignis generiert hat.

occurred

string

 

UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S

severity

string

 

Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information, Hinweis, Warnung, Error, Kritisch, Schwerwiegend.


note

Alle unten aufgelisteten Ereignistypen mit allen Schweregraden werden an den Syslog-Server gemeldet. Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter.

Die gemeldeten Werte davon ab, welches ESET Sicherheitsprodukt (und welche Version) auf dem verwalteten Computer installiert ist. ESET PROTECT Cloud meldet nur die empfangenen Daten. Daher kann ESET keine vollständige Liste der Werte zur Verfügung stellen. Wir empfehlen, ihr Netzwerk im Blick zu behalten und die Logs anhand der erhaltenen Werte zu filtern.

Benutzerdefinierte Schlüssel gemäß event_type:

Threat_Event

Alle von verwalteten Endpunkten generierten Ereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Ereignisse:

threat_type

string

optional

Ereignisart

threat_name

string

optional

Ereignisname

threat_flags

string

optional

Ereignisbezogene Flags

scanner_id

string

optional

Scanner-ID

scan_id

string

optional

Scan-ID

engine_version

string

optional

Version des Prüfmoduls

object_type

string

optional

Art des Objekts, auf sich das Ereignis bezieht

object_uri

string

optional

Objekt-URI

action_taken

string

optional

Auf dem Endpunkt ausgeführte Aktion

action_error

string

optional

Fehlermeldung, falls die Aktion nicht erfolgreich war

threat_handled

bool

optional

Gibt an, ob das Ereignis verarbeitet wurde

need_restart

bool

optional

Gibt an, ob ein Neustart erforderlich ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

circumstances

string

optional

Kurze Beschreibung der Ursache des Ereignisses

hash

string

optional

SHA1-Hash des Datenstroms (Ereignis).

firstseen

string

optional

Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer. Das von ESET PROTECT Cloud verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF):

JSON formatieren"%d-%b-%Y %H:%M:%S"

LEEF formatieren"%b %d %Y %H:%M:%S"

arrow_down_business „Threat_Event“-Log-Beispiel:

FirewallAggregated_Event

Die von ESET Firewall generierten Ereignis-Logs werden von dem verwaltenden ESET Management Agenten aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESET PROTECT Cloud Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:

event

string

optional

Ereignisname

source_address

string

optional

Adresse der Ereignisquelle

source_address_type

string

optional

Art der Adresse der Ereignisquelle

source_port

Nummer

optional

Port der Ereignisquelle

target_address

string

optional

Adresse des Ereignisziels

target_address_type

string

optional

Art der Adresse des Ereignisziels

target_port

Nummer

optional

Port des Ereignisziels

protocol

string

optional

Protokoll

account

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

process_name

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

inbound

bool

optional

Gibt an, ob die Verbindung eingehend war

threat_name

string

optional

Ereignisname

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Cloud Server und verwaltendem ESET Management Agent generiert wurden

action

string

optional

Ausgeführte Aktion

handled

string

optional

Gibt an, ob das Ereignis verarbeitet wurde

arrow_down_business „FirewallAggregated_Event“-Log-Beispiel:

HIPSAggregated_Event

Ereignisse aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. Nur Ereignisse der Schweregrade Error, Critical und Fatal werden an Syslog weitergeleitet. HIPS-spezifische Attribute:

application

string

optional

Anwendungsname

operation

string

optional

Vorgang

target

string

optional

Ziel

action

string

optional

Ausgeführte Aktion

action_taken

string

optional

Auf dem Endpunkt ausgeführte Aktion

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Cloud Server und verwaltendem ESET Management Agent generiert wurden

handled

string

optional

Gibt an, ob das Ereignis verarbeitet wurde

arrow_down_business „HipsAggregated_Event“-Log-Beispiel:

Audit_Event

ESET PROTECT Cloud leitet die internen Audit-Log-Nachrichten des Servers an Syslog weiter. Spezifische Attribute:

domain

string

optional

Audit-Log-Domäne

action

string

optional

Ausgeführte Aktion

target

string

optional

Ziel der Aktion

detail

string

optional

Ausführliche Beschreibung der Aktion

user

string

optional

Beteiligter Sicherheitsbenutzer

result

string

optional

Resultat der Aktion

arrow_down_business „Audit_Event“-Log-Beispiel:

FilteredWebsites_Event

ESET PROTECT Cloud leitet die gefilterten Websites (Web-Schutz-Ereignisse) an Syslog weiter. Spezifische Attribute:

hostname

string

optional

Hostname des Computers mit dem Ereignis

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

hash

string

optional

SHA1-Hash des gefilterten Objekts

event

string

optional

Ereignistyp

rule_id

string

optional

Regel-ID

action_taken

string

optional

Ausgeführte Aktion

scanner_id

string

optional

Scanner-ID

object_uri

string

optional

Objekt-URI

target_address

string

optional

Adresse des Ereignisziels

target_address_type

string

optional

Art der Adresse des Ereignisziels (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

optional

Gibt an, ob das Ereignis verarbeitet wurde

arrow_down_business „FilteredWebsites_Event“-Log-Beispiel: