ESET PROTECT – Πίνακας περιεχομένων

Εξαγωγή συμβάντων σε μορφή JSON

Το JSON είναι μια ελαφριά μορφή ανταλλαγής δεδομένων. Βασίζεται στη συλλογή ζευγών ονομάτων/τιμών και σε μια ταξινομημένη λίστα τιμών.

Εξαχθέντα συμβάντα

Αυτή η ενότητα περιγράφει λεπτομερώς τη μορφή και τη σημασία όλων των συμβάντων εξαγωγής. Το μήνυμα συμβάντος είναι ένα αντικείμενο JSON με ορισμένα υποχρεωτικά και προαιρετικά κλειδιά. Καθένα από τα εξαχθέντα συμβάντα θα περιέχει το παρακάτω κλειδί:

event_type

συμβολοσειρά

 

Τύπος εξαχθέντων συμβάντων:

Threat_Event (Ανιχνεύσεις antivirusΑνιχνεύσεις Antivirus)

FirewallAggregated_Event (Ανιχνεύσεις τείχους προστασίας Ανιχνεύσεις από το Τείχος προστασίας)

HipsAggregated_Event (Ανιχνεύσεις HIPS Ανιχνεύσεις HIPS)

Audit_Event (Αρχείο καταγραφής ελέγχου)

FilteredWebsites_Event (Φιλτραρισμένοι ιστότοποι – Ανιχνεύσεις Προστασίας στο διαδίκτυο Προστασία στο διαδίκτυο)

EnterpriseInspectorAlert_Event (ESET Inspect συναγερμοί ESET InspectΣυναγερμοί του )

BlockedFiles_Event (Αποκλεισμένα αρχεία Αποκλεισμένα αρχεία)

Συμβάντα

ipv4

συμβολοσειρά

προαιρετικά

Η διεύθυνση IPv4 του υπολογιστή στον οποίο δημιουργείται το συμβάν.

ipv6

συμβολοσειρά

προαιρετικά

Η διεύθυνση IPv6 του υπολογιστή στον οποίο δημιουργείται το συμβάν.

hostname

συμβολοσειρά

 

Το όνομα του κεντρικού υπολογιστή στον οποίο δημιουργείται το συμβάν.

source_uuid

συμβολοσειρά

 

Το αναγνωριστικό UUID του υπολογιστή στον οποίο δημιουργείται το συμβάν.

occurred

συμβολοσειρά

 

Η ώρα UTC που παρουσιάστηκε το συμβάν. Η μορφή είναι %d-%b-%Y %H:%M:%S

severity

συμβολοσειρά

 

Η κρισιμότητα του συμβάντος. Οι πιθανές τιμές (από τη λιγότερο στην περισσότερο κρίσιμη) είναι: Πληροφορία, Ειδοποίηση, Προειδοποίηση, Σφάλμα, Κρίσιμο και Ανεπανόρθωτο.

group_name

συμβολοσειρά

 

Η πλήρης διαδρομή στην στατική ομάδα του υπολογιστή στον οποίο δημιουργήθηκε το συμβάν. Εάν η διαδρομή είναι μεγαλύτερη από 255 χαρακτήρες, το group_name περιέχει μόνο το όνομα της στατικής ομάδας.

group_description

συμβολοσειρά

 

Περιγραφή της στατικής ομάδας.

os_name

συμβολοσειρά

 

Πληροφορίες σχετικά με το λειτουργικό σύστημα του υπολογιστή.

Σημείωση

Όλοι οι τύποι συμβάντων που αναφέρονται παρακάτω με όλα τα επίπεδα κρισιμότητας αναφέρονται στον διακομιστή Syslog. Για να φιλτράρετε τα αρχεία καταγραφής συμβάντων που αποστέλλονται στο Syslog, δημιουργήστε μια ειδοποίηση κατηγορίας καταγραφής με ένα καθορισμένο φίλτρο.

Οι αναφερόμενες τιμές εξαρτώνται από το προϊόν ασφάλειας ESET (και την έκδοσή του) που είναι εγκατεστημένο στον διαχειριζόμενο υπολογιστή και το ESET PROTECT αναφέρει μόνο τα δεδομένα που έχουν παραληφθεί. Συνεπώς, η ESET δεν μπορεί να παράσχει εξαντλητική λίστα όλων των τιμών. Συνιστάται να παρακολουθείτε το δίκτυό σας και να φιλτράρετε τα αρχεία καταγραφής με βάση τις τιμές που παραλαμβάνετε.

Προσαρμοσμένα κλειδιά σύμφωνα με την παράμετρο event_type:

Threat_Event

Όλα τα συμβάντα ανίχνευσης Ανιχνεύσεις antivirusAntivirus που δημιουργούνται από διαχειριζόμενα τερματικά θα προωθούνται στο Syslog. Ειδικό κλειδί συμβάντος ανίχνευσης:

threat_type

συμβολοσειρά

προαιρετικά

Τύπος ανίχνευσης

threat_name

συμβολοσειρά

προαιρετικά

Όνομα ανίχνευσης

threat_flags

συμβολοσειρά

προαιρετικά

Σημάνσεις που σχετίζονται με την ανίχνευση

scanner_id

συμβολοσειρά

προαιρετικό

Αναγνωριστικό συσκευής σάρωσης

scan_id

συμβολοσειρά

προαιρετικό

Αναγνωριστικό σάρωσης

engine_version

συμβολοσειρά

προαιρετικό

Έκδοση του μηχανισμού σάρωσης

object_type

συμβολοσειρά

προαιρετικό

Ο τύπος του αντικειμένου που σχετίζεται με το συμβάν

object_uri

συμβολοσειρά

προαιρετικό

URI αντικειμένου

action_taken

συμβολοσειρά

προαιρετικό

Η ενέργεια που πραγματοποιήθηκε από το τερματικό

action_error

συμβολοσειρά

προαιρετικά

Μήνυμα σφάλματος εάν η «ενέργεια» δεν ήταν επιτυχής

threat_handled

δυαδική τιμή

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

need_restart

δυαδική τιμή

προαιρετικό

Δείχνει εάν απαιτείται επανεκκίνηση ή όχι

username

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

processname

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

circumstances

συμβολοσειρά

προαιρετικό

Σύντομη περιγραφή της αιτίας του συμβάντος

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 της ροής δεδομένων (της ανίχνευσης).

firstseen

συμβολοσειρά

προαιρετικό

Η ώρα και η ημερομηνία κατά την οποία εντοπίστηκε η ανίχνευση για πρώτη φορά στον συγκεκριμένο υπολογιστή. Το ESET PROTECT χρησιμοποιεί διαφορετικές μορφές ημερομηνίας-ώρας για το χαρακτηριστικό firstseen (και οποιοδήποτε άλλο χαρακτηριστικό ημερομηνίας-ώρας) ανάλογα με τη μορφή εξόδου του αρχείου καταγραφής (JSON ή LEEF):

JSON μορφή:"%d-%b-%Y %H:%M:%S"

LEEF μορφή:"%b %d %Y %H:%M:%S"

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

operation

συμβολοσειρά

προαιρετικά

Λειτουργία

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON Threat_Event:

FirewallAggregated_Event

Τα αρχεία καταγραφής συμβάντων που δημιουργούνται από το Τείχος προστασίας της ESET (ανιχνεύσεις από τοΑνιχνεύσεις τείχους προστασίας Τείχος προστασίας) συγκεντρώνονται από τον φορέα ESET Management διαχείρισης για την αποφυγή της κατάχρησης εύρους ζώνης κατά την αναπαραγωγή ανάμεσα στον Φορέα ESET Management και τον Διακομιστή ESET PROTECT. Το κλειδί του Firewall περιλαμβάνει τα εξής:

event

συμβολοσειρά

προαιρετικά

Το όνομα του συμβάντος

source_address

συμβολοσειρά

προαιρετικά

Η διεύθυνση της προέλευσης του συμβάντος

source_address_type

συμβολοσειρά

προαιρετικά

Ο τύπος διεύθυνσης της προέλευσης του συμβάντος

source_port

αριθμητική τιμή

προαιρετικά

Η θύρα της προέλευσης του συμβάντος

target_address

συμβολοσειρά

προαιρετικά

Η διεύθυνση του προορισμού του συμβάντος

target_address_type

συμβολοσειρά

προαιρετικά

Ο τύπος διεύθυνσης του προορισμού του συμβάντος

target_port

αριθμητική τιμή

προαιρετικά

Η θύρα του προορισμού του συμβάντος

protocol

συμβολοσειρά

προαιρετικά

Πρωτόκολλο

account

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

process_name

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

rule_name

συμβολοσειρά

προαιρετικά

Όνομα κανόνα

rule_id

συμβολοσειρά

προαιρετικά

Αναγνωριστικό κανόνα

inbound

δυαδική τιμή

προαιρετικά

Δείχνει εάν η σύνδεση είναι εισερχόμενη ή όχι

threat_name

συμβολοσειρά

προαιρετικά

Όνομα ανίχνευσης

aggregate_count

αριθμητική τιμή

προαιρετικό

Το πλήθος των διπλότυπων μηνυμάτων που δημιουργήθηκαν από το τερματικό μεταξύ δυο διαδοχικών αναπαραγωγών ανάμεσα στον διακομιστή ESET PROTECT και στον φορέα διαχείρισης ESET Management

action

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

operation

συμβολοσειρά

προαιρετικά

Λειτουργία

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON FirewallAggregated_Event:

HIPSAggregated_Event

Τα συμβάντα από το HIPS (Host-based Intrusion Prevention System) (ανιχνεύσειςΑνιχνεύσεις HIPS HIPS) φιλτράρονται κατά κρισιμότητα προτού σταλούν ως μηνύματα Syslog. Τα ειδικά χαρακτηριστικά HIPS είναι τα εξής:

application

συμβολοσειρά

προαιρετικά

Όνομα εφαρμογής

operation

συμβολοσειρά

προαιρετικά

Λειτουργία

target

συμβολοσειρά

προαιρετικά

Προορισμός

action

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

action_taken

συμβολοσειρά

προαιρετικό

Η ενέργεια που πραγματοποιήθηκε από το τερματικό

rule_name

συμβολοσειρά

προαιρετικά

Όνομα κανόνα

rule_id

συμβολοσειρά

προαιρετικά

Αναγνωριστικό κανόνα

aggregate_count

αριθμητική τιμή

προαιρετικό

Το πλήθος των διπλότυπων μηνυμάτων που δημιουργήθηκαν από το τερματικό μεταξύ δυο διαδοχικών αναπαραγωγών ανάμεσα στον διακομιστή ESET PROTECT και στον φορέα διαχείρισης ESET Management

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON HipsAggregated_Event:

Audit_Event

Το ESET PROTECT προωθεί τα μηνύματα αρχείου καταγραφής εσωτερικού ελέγχου στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

domain

συμβολοσειρά

προαιρετικά

Τομέας αρχείου καταγραφής ελέγχου

action

συμβολοσειρά

προαιρετικά

Ενέργεια που πραγματοποιείται

target

συμβολοσειρά

προαιρετικά

Η ενέργεια προορισμού λειτουργεί στη

detail

συμβολοσειρά

προαιρετικά

Λεπτομερής περιγραφή της ενέργειας

user

συμβολοσειρά

προαιρετικά

Εμπλεκόμενος χρήστης ασφάλειας

result

συμβολοσειρά

προαιρετικά

Αποτέλεσμα της ενέργειας

arrow_down_business Παράδειγμα αρχείου καταγραφής Audit_Event:

FilteredWebsites_Event

Το ESET PROTECT προωθεί τους φιλτραρισμένους ιστότοπους (Ανιχνεύσεις Προστασίας στο διαδίκτυοΑνιχνεύσεις προστασίας στο διαδίκτυο) στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

processname

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

username

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 του φιλτραρισμένου αντικειμένου

event

συμβολοσειρά

προαιρετικά

Τύπος συμβάντος

rule_id

συμβολοσειρά

προαιρετικά

Αναγνωριστικό κανόνα

action_taken

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

scanner_id

συμβολοσειρά

προαιρετικό

Αναγνωριστικό συσκευής σάρωσης

object_uri

συμβολοσειρά

προαιρετικό

URI αντικειμένου

target_address

συμβολοσειρά

προαιρετικά

Η διεύθυνση του προορισμού του συμβάντος

target_address_type

συμβολοσειρά

προαιρετικά

Ο τύπος διεύθυνσης του προορισμού του συμβάντος (25769803777 = IPv4; 25769803778 = IPv6)

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

Το ESET PROTECT προωθεί τους συναγερμούς ESET Inspect συναγερμοίESET Inspect στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

processname

συμβολοσειρά

προαιρετικά

Όνομα της διεργασίας που προκαλεί αυτόν το συναγερμό

username

συμβολοσειρά

προαιρετικά

Κάτοχος της διεργασίας

rulename

συμβολοσειρά

προαιρετικά

Όνομα του κανόνα που ενεργοποιεί αυτόν το συναγερμό

count

αριθμητική τιμή

προαιρετικά

Αριθμός συναγερμών αυτού του τύπου που δημιουργήθηκαν μετά τον τελευταίο συναγερμό

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 του συναγερμού

eiconsolelink

συμβολοσειρά

προαιρετικά

Σύνδεση με το συναγερμό στην κονσόλα ESET Inspect

eialarmid

συμβολοσειρά

προαιρετικά

Υποτμήμα ταυτότητας της σύνδεσης συναγερμού ($1 στο ^http.*/alarm/([0-9]+)$)

computer_severity_score

αριθμητική τιμή

προαιρετικά

Βαθμολογία κρισιμότητας υπολογιστή

severity_score

αριθμητική τιμή

προαιρετικά

Βαθμολογία κρισιμότητας κανόνα

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

trigger_event

συμβολοσειρά

προαιρετικό

Περιγραφή του συμβάντος που ενεργοποίησε την ανίχνευση

command_line

συμβολοσειρά

προαιρετικό

Γραμμή εντολών της διεργασίας που ενεργοποίησε την ανίχνευση

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON EnterpriseInspectorAlert_Event:

BlockedFiles_Event

Το ESET PROTECT προωθεί αποκλεισμένα αρχεία ESET Inspect Αποκλεισμένα αρχεία στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

processname

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

username

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 του αποκλεισμένου αρχείου

object_uri

συμβολοσειρά

προαιρετικό

URI αντικειμένου

action

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

firstseen

συμβολοσειρά

προαιρετικά

Ώρα και ημερομηνία κατά την οποία βρέθηκε η ανίχνευση για πρώτη φορά σε αυτόν τον υπολογιστή (μορφή ημερομηνίας και ώρας).

cause

συμβολοσειρά

προαιρετικά

 

description

συμβολοσειρά

προαιρετικά

Περιγραφή του αποκλεισμένου αρχείου

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

Συμβάντα

Το ESET PROTECT προωθεί τα συμβάντα στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

uuid

συμβολοσειρά

προαιρετικό

Μοναδικό αναγνωριστικό του συμβάντος. Μπορεί να χρησιμοποιηθεί σε δημόσια αιτήματα API.

name

συμβολοσειρά

προαιρετικό

Όνομα συμβάντος

status

συμβολοσειρά

προαιρετικό

Κατάσταση του συμβάντος κατά τη στιγμή που προέκυψε το συμβάν

url

συμβολοσειρά

προαιρετικό

Διεύθυνση URL που οδηγεί στη λεπτομέρεια του συμβάντος στην κονσόλα ESET PROTECT

indicator_count

συμβολοσειρά

προαιρετικό

Πλήθος δεικτών που ενεργοποίησαν το συμβάν.

device_count

συμβολοσειρά

προαιρετικό

Αριθμός συσκευών που επηρεάζονται από το συμβάν.

process_count

συμβολοσειρά

προαιρετικό

Αριθμός διεργασιών που εμπλέκονται στο συμβάν.

module_count

συμβολοσειρά

προαιρετικό

Αριθμός μονάδων που εμπλέκονται στο συμβάν

action

συμβολοσειρά

προαιρετικό

Ενέργειες που έγιναν για το συμβάν, Δημιουργία ή Ενημέρωση.

arrow_down_business Παράδειγμα: