Ηλεκτρονική βοήθεια ESET

Αναζήτηση English
Επιλέξτε το θέμα

Εξαγωγή συμβάντων σε μορφή JSON

Το JSON είναι μια ελαφριά μορφή ανταλλαγής δεδομένων. Βασίζεται στη συλλογή ζευγών ονομάτων/τιμών και σε μια ταξινομημένη λίστα τιμών.

Εξαχθέντα συμβάντα

Αυτή η ενότητα περιέχει λεπτομέρειες για τη μορφή και τη σημασία των χαρακτηριστικών όλων των εξαχθέντων συμβάντων. Το μήνυμα συμβάντος έχει τη μορφή αντικειμένου JSON με κάποια υποχρεωτικά και κάποια προαιρετικά κλειδιά. Καθένα από τα εξαχθέντα συμβάντα θα περιέχει το παρακάτω κλειδί:

event_type

συμβολοσειρά

 

Τύπος εξαχθέντων συμβάντων:

Threat_Event (icon_antivirusΑνιχνεύσεις Antivirus)

FirewallAggregated_Event (icon_firewall Ανιχνεύσεις από το Τείχος προστασίας)

HipsAggregated_Event (icon_hips Ανιχνεύσεις HIPS)

Audit_Event (Αρχείο καταγραφής ελέγχου)

FilteredWebsites_Event (Φιλτραρισμένοι ιστότοποι – icon_web_protection Προστασία στο διαδίκτυο)

EnterpriseInspectorAlert_Event (icon_ei_alert Συναγερμοί του ESET Inspect)

BlockedFiles_Event (icon_blocked Αποκλεισμένα αρχεία)

ipv4

συμβολοσειρά

προαιρετικά

Η διεύθυνση IPv4 του υπολογιστή στον οποίο δημιουργείται το συμβάν.

ipv6

συμβολοσειρά

προαιρετικά

Η διεύθυνση IPv6 του υπολογιστή στον οποίο δημιουργείται το συμβάν.

hostname

συμβολοσειρά

 

Το όνομα του κεντρικού υπολογιστή στον οποίο δημιουργείται το συμβάν.

source_uuid

συμβολοσειρά

 

Το αναγνωριστικό UUID του υπολογιστή στον οποίο δημιουργείται το συμβάν.

occurred

συμβολοσειρά

 

Η ώρα UTC που παρουσιάστηκε το συμβάν. Η μορφή είναι %d-%b-%Y %H:%M:%S

severity

συμβολοσειρά

 

Η κρισιμότητα του συμβάντος. Οι πιθανές τιμές (από τη λιγότερο στην περισσότερο κρίσιμη) είναι: Πληροφορία, Ειδοποίηση, Προειδοποίηση, Σφάλμα, Κρίσιμο, Ανεπανόρθωτο.

group_name

συμβολοσειρά

 

Η πλήρης διαδρομή στην στατική ομάδα του υπολογιστή στον οποίο δημιουργήθηκε το συμβάν. Εάν η διαδρομή είναι μεγαλύτερη από 255 χαρακτήρες, το group_name περιέχει μόνο το όνομα της στατικής ομάδας.

group_description

συμβολοσειρά

 

Περιγραφή της στατικής ομάδας.

os_name

συμβολοσειρά

 

Πληροφορίες σχετικά με το λειτουργικό σύστημα του υπολογιστή.


note

Όλοι οι τύποι συμβάντων που αναφέρονται παρακάτω με όλα τα επίπεδα κρισιμότητας αναφέρονται στον διακομιστή Syslog. Για να φιλτράρετε τα αρχεία καταγραφής συμβάντων που αποστέλλονται στο Syslog, δημιουργήστε μια ειδοποίηση κατηγορίας καταγραφής με ένα καθορισμένο φίλτρο.

Οι αναφερόμενες τιμές εξαρτώνται από το προϊόν ασφάλειας ESET (και την έκδοσή του) που είναι εγκατεστημένο στον διαχειριζόμενο υπολογιστή και το ESET PROTECT αναφέρει μόνο τα δεδομένα που έχουν παραληφθεί. Συνεπώς, η ESET δεν μπορεί να παράσχει εξαντλητική λίστα όλων των τιμών. Συνιστάται να παρακολουθείτε το δίκτυό σας και να φιλτράρετε τα αρχεία καταγραφής με βάση τις τιμές που παραλαμβάνετε.

Προσαρμοσμένα κλειδιά σύμφωνα με την παράμετρο event_type:

Threat_Event

Όλα τα συμβάντα ανίχνευσης icon_antivirusAntivirus που δημιουργούνται από διαχειριζόμενα τερματικά θα προωθούνται στο Syslog. Ειδικό κλειδί συμβάντος ανίχνευσης:

threat_type

συμβολοσειρά

προαιρετικά

Τύπος ανίχνευσης

threat_name

συμβολοσειρά

προαιρετικά

Όνομα ανίχνευσης

threat_flags

συμβολοσειρά

προαιρετικά

Σημάνσεις που σχετίζονται με την ανίχνευση

scanner_id

συμβολοσειρά

προαιρετικό

Αναγνωριστικό συσκευής σάρωσης

scan_id

συμβολοσειρά

προαιρετικό

Αναγνωριστικό σάρωσης

engine_version

συμβολοσειρά

προαιρετικό

Έκδοση του μηχανισμού σάρωσης

object_type

συμβολοσειρά

προαιρετικό

Ο τύπος του αντικειμένου που σχετίζεται με το συμβάν

object_uri

συμβολοσειρά

προαιρετικό

URI αντικειμένου

action_taken

συμβολοσειρά

προαιρετικό

Η ενέργεια που πραγματοποιήθηκε από το τερματικό

action_error

συμβολοσειρά

προαιρετικά

Μήνυμα σφάλματος εάν η «ενέργεια» δεν ήταν επιτυχής

threat_handled

δυαδική τιμή

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

need_restart

δυαδική τιμή

προαιρετικό

Δείχνει εάν απαιτείται επανεκκίνηση ή όχι

username

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

processname

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

circumstances

συμβολοσειρά

προαιρετικό

Σύντομη περιγραφή της αιτίας του συμβάντος

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 της ροής δεδομένων (της ανίχνευσης).

firstseen

συμβολοσειρά

προαιρετικά

Η ώρα και η ημερομηνία κατά την οποία εντοπίστηκε η ανίχνευση για πρώτη φορά στον συγκεκριμένο υπολογιστή. Το ESET PROTECT χρησιμοποιεί διαφορετικές μορφές ημερομηνίας-ώρας για το χαρακτηριστικό firstseen (και οποιοδήποτε άλλο χαρακτηριστικό ημερομηνίας-ώρας) ανάλογα με τη μορφή εξόδου του αρχείου καταγραφής (JSON ή LEEF):

JSON μορφή:"%d-%b-%Y %H:%M:%S"

LEEF μορφή:"%b %d %Y %H:%M:%S"

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON Threat_Event:

FirewallAggregated_Event

Τα αρχεία καταγραφής συμβάντων που δημιουργούνται από το Τείχος προστασίας της ESET (ανιχνεύσεις από τοicon_firewall Τείχος προστασίας) συγκεντρώνονται από τον φορέα ESET Management διαχείρισης για την αποφυγή της κατάχρησης εύρους ζώνης κατά την αναπαραγωγή ανάμεσα στον Φορέα ESET Management και τον Διακομιστή ESET PROTECT. Το κλειδί του Firewall περιλαμβάνει τα εξής:

event

συμβολοσειρά

προαιρετικά

Το όνομα του συμβάντος

source_address

συμβολοσειρά

προαιρετικά

Η διεύθυνση της προέλευσης του συμβάντος

source_address_type

συμβολοσειρά

προαιρετικά

Ο τύπος διεύθυνσης της προέλευσης του συμβάντος

source_port

αριθμητική τιμή

προαιρετικά

Η θύρα της προέλευσης του συμβάντος

target_address

συμβολοσειρά

προαιρετικά

Η διεύθυνση του προορισμού του συμβάντος

target_address_type

συμβολοσειρά

προαιρετικά

Ο τύπος διεύθυνσης του προορισμού του συμβάντος

target_port

αριθμητική τιμή

προαιρετικά

Η θύρα του προορισμού του συμβάντος

protocol

συμβολοσειρά

προαιρετικά

Πρωτόκολλο

account

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

process_name

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

rule_name

συμβολοσειρά

προαιρετικά

Όνομα κανόνα

rule_id

συμβολοσειρά

προαιρετικά

Αναγνωριστικό κανόνα

inbound

δυαδική τιμή

προαιρετικά

Δείχνει εάν η σύνδεση είναι εισερχόμενη ή όχι

threat_name

συμβολοσειρά

προαιρετικά

Όνομα ανίχνευσης

aggregate_count

αριθμητική τιμή

προαιρετικό

Δείχνει πόσα πανομοιότυπα μηνύματα δημιουργήθηκαν από το τερματικό μεταξύ δυο διαδοχικών αναπαραγωγών ανάμεσα στο διακομιστή ESET PROTECT και στο φορέα ESET Management

action

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON FirewallAggregated_Event:

HIPSAggregated_Event

Τα συμβάντα από το HIPS (Host-based Intrusion Prevention System) (ανιχνεύσειςicon_hips HIPS) φιλτράρονται κατά κρισιμότητα προτού σταλούν ως μηνύματα Syslog. Τα χαρακτηριστικά HIPS έχουν ως εξής:

application

συμβολοσειρά

προαιρετικά

Όνομα εφαρμογής

operation

συμβολοσειρά

προαιρετικά

Λειτουργία

target

συμβολοσειρά

προαιρετικά

Προορισμός

action

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

action_taken

συμβολοσειρά

προαιρετικό

Η ενέργεια που πραγματοποιήθηκε από το τερματικό

rule_name

συμβολοσειρά

προαιρετικά

Όνομα κανόνα

rule_id

συμβολοσειρά

προαιρετικά

Αναγνωριστικό κανόνα

aggregate_count

αριθμητική τιμή

προαιρετικό

Δείχνει πόσα πανομοιότυπα μηνύματα δημιουργήθηκαν από το τερματικό μεταξύ δυο διαδοχικών αναπαραγωγών ανάμεσα στο διακομιστή ESET PROTECT και στο φορέα ESET Management

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON HipsAggregated_Event:

Audit_Event

Το ESET PROTECT προωθεί τα μηνύματα αρχείου καταγραφής εσωτερικού ελέγχου στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

domain

συμβολοσειρά

προαιρετικά

Τομέας αρχείου καταγραφής ελέγχου

action

συμβολοσειρά

προαιρετικά

Ενέργεια που πραγματοποιείται

target

συμβολοσειρά

προαιρετικά

Η ενέργεια προορισμού λειτουργεί στη

detail

συμβολοσειρά

προαιρετικά

Λεπτομερής περιγραφή της ενέργειας

user

συμβολοσειρά

προαιρετικά

Εμπλεκόμενος χρήστης ασφάλειας

result

συμβολοσειρά

προαιρετικά

Αποτέλεσμα της ενέργειας

arrow_down_business Παράδειγμα αρχείου καταγραφής Audit_Event:

FilteredWebsites_Event

Το ESET PROTECT προωθεί τους φιλτραρισμένους ιστότοπους (icon_web_protectionΑνιχνεύσεις προστασίας στο διαδίκτυο) στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

processname

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

username

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 του φιλτραρισμένου αντικειμένου

event

συμβολοσειρά

προαιρετικά

Τύπος συμβάντος

rule_id

συμβολοσειρά

προαιρετικά

Αναγνωριστικό κανόνα

action_taken

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

scanner_id

συμβολοσειρά

προαιρετικό

Αναγνωριστικό συσκευής σάρωσης

object_uri

συμβολοσειρά

προαιρετικό

URI αντικειμένου

target_address

συμβολοσειρά

προαιρετικά

Η διεύθυνση του προορισμού του συμβάντος

target_address_type

συμβολοσειρά

προαιρετικά

Ο τύπος διεύθυνσης του προορισμού του συμβάντος (25769803777 = IPv4; 25769803778 = IPv6)

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

Το ESET PROTECT προωθεί τους συναγερμούς ESET Inspect στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

processname

συμβολοσειρά

προαιρετικά

Όνομα της διεργασίας που προκαλεί αυτόν το συναγερμό

username

συμβολοσειρά

προαιρετικά

Κάτοχος της διεργασίας

rulename

συμβολοσειρά

προαιρετικά

Όνομα του κανόνα που ενεργοποιεί αυτόν το συναγερμό

count

αριθμητική τιμή

προαιρετικά

Αριθμός συναγερμών αυτού του τύπου που δημιουργήθηκαν μετά τον τελευταίο συναγερμό

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 του συναγερμού

eiconsolelink

συμβολοσειρά

προαιρετικά

Σύνδεση με το συναγερμό στην κονσόλα ESET Inspect

eialarmid

συμβολοσειρά

προαιρετικά

Υποτμήμα ταυτότητας της σύνδεσης συναγερμού ($1 στο ^http.*/alarm/([0-9]+)$)

computer_severity_score

αριθμητική τιμή

προαιρετικά

Βαθμολογία κρισιμότητας υπολογιστή

severity_score

αριθμητική τιμή

προαιρετικά

Βαθμολογία κρισιμότητας κανόνα

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API

trigger_event

συμβολοσειρά

προαιρετικό

Περιγραφή του συμβάντος που ενεργοποίησε την ανίχνευση

command_line

συμβολοσειρά

προαιρετικό

Γραμμή εντολών της διεργασίας που ενεργοποίησε την ανίχνευση

arrow_down_business Παράδειγμα αρχείου καταγραφής JSON EnterpriseInspectorAlert_Event:

BlockedFiles_Event

Το ESET PROTECT προωθεί αποκλεισμένα αρχεία ESET Inspecticon_blocked στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:

processname

συμβολοσειρά

προαιρετικό

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

username

συμβολοσειρά

προαιρετικό

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

hash

συμβολοσειρά

προαιρετικά

Κατακερματισμός SHA1 του αποκλεισμένου αρχείου

object_uri

συμβολοσειρά

προαιρετικό

URI αντικειμένου

action

συμβολοσειρά

προαιρετικά

Η ενέργεια πραγματοποιήθηκε

firstseen

συμβολοσειρά

προαιρετικά

Ώρα και ημερομηνία κατά την οποία βρέθηκε η ανίχνευση για πρώτη φορά σε αυτόν τον υπολογιστή (μορφή ημερομηνίας και ώρας).

cause

συμβολοσειρά

προαιρετικά

 

description

συμβολοσειρά

προαιρετικά

Περιγραφή του αποκλεισμένου αρχείου

handled

συμβολοσειρά

προαιρετικά

Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση

detection_uuid

συμβολοσειρά

προαιρετικό

Το μοναδικό αναγνωριστικό μιας ανίχνευσης μπορεί να χρησιμοποιηθεί για την υποβολή ερωτημάτων για λεπτομέρειες μέσω του ESET CONNECT API