Eventos exportados a formato JSON

JSON es un formato liviano para el intercambio de datos. Se forma con una colección de parejas de nombres y valores, y una lista ordenada de valores.

Eventos exportados

Esta sección contiene información sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje de evento se encuentra en la forma de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:

event_type

string

 

Tipo de eventos exportados:

Threat_Event (icon_antivirusdetecciones antivirus)

FirewallAggregated_Event (icon_firewall detecciones de firewall)

HipsAggregated_Event (icon_hips detecciones de HIPS)

Audit_Event (registro de auditoría)

FilteredWebsites_Event (sitios web filtrados:icon_web_protection protección web)

EnterpriseInspectorAlert_Event (alertas de icon_ei_alert ESET Inspect )

BlockedFiles_Event (icon_blocked archivos bloqueados)

ipv4

string

opcional

Dirección IPv4 del equipo que genera el evento.

ipv6

string

opcional

Dirección IPv6 del equipo que genera el evento.

group_name

string

 

El grupo estático del equipo que genera el evento.

source_uuid

string

 

UUID del equipo que genera el evento.

occurred

string

 

Hora UTC de la ocurrencia del evento. El formato es %d-%b-%Y %H:%M:%S

severity

string

 

Severidad del evento. Los posibles valores (de menos grave a más grave) son: Información, Aviso, Advertencia, Error, Critical, Fatal


note

Todos los tipos de eventos que se indican a continuación junto con todos los niveles de gravedad se informan al servidor Syslog. Para filtrar los registros de eventos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.

Los valores notificados dependen del producto de seguridad de ESET (y su versión) instalado en el equipo administrado y solo ESET PROTECT Cloud informa los datos recibidos. Por lo tanto, ESET no puede proporcionar una lista exhaustiva de todos los valores. Le recomendamos que mida su red y filtre los registros en función de los valores recibidos.

Claves personalizadas en función del event_type:

Threat_Event

Todos los icon_antiviruseventos de detección antivirus generados por puntos de conexión gestionados se reenviarán a Syslog. Clave específica del evento de detección:

threat_type

string

opcional

Tipo de detección

threat_name

string

opcional

Nombre de la detección

threat_flags

string

opcional

Indicadores relacionados de la detección

scanner_id

string

opcional

ID de exploración

scan_id

string

opcional

ID de exploración

engine_version

string

opcional

Versión del motor de exploración

object_type

string

opcional

Tipo de objeto relacionado con este evento

object_uri

string

opcional

URI del objeto

action_taken

string

opcional

Medidas adoptadas por el punto final

action_error

string

opcional

Mensaje de error si la "acción" no se ha realizado correctamente

threat_handled

bool

opcional

Indica si la detección pudo ser controlada o no

need_restart

bool

opcional

Define si es necesario reiniciar o no

username

string

opcional

Nombre de la cuenta de usuario asociada con el evento

processname

string

opcional

Nombre del proceso asociado al evento

circumstances

string

opcional

Breve descripción de lo que causó el evento

hash

string

opcional

Hash SHA1 del flujo de datos (de la detección).

firstseen

string

opcional

Hora y fecha cuando la detección se detectó por primera vez en ese equipo. ESET PROTECT Cloud utiliza diferentes formatos de fecha-hora para el atributo firstseen (y todos los demás atributos fecha-hora) dependiendo del formato de salida del registro (JSON o LEEF):

JSON formato:"%d-%b-%Y %H:%M:%S"

LEEF formato:"%b %d %Y %H:%M:%S"

arrow_down_business Ejemplo de registro JSON de Threat_Event:

FirewallAggregated_Event

Los registros de eventos generados por ESET Firewall (icon_firewall detecciones de firewall) los agrega el agente de administración de ESET Management para evitar el desperdicio de ancho de banda durante la replicación del agente de ESET Management o del servidor de ESET PROTECT Cloud. Clave específica del evento de Firewall:

event

string

opcional

Nombre del evento

source_address

string

opcional

Dirección del origen del evento

source_address_type

string

opcional

Tipo de dirección del origen del evento

source_port

número

opcional

Puerto de la fuente del evento

target_address

string

opcional

Dirección de destino del evento

target_address_type

string

opcional

Tipo de dirección del destino del evento

target_port

número

opcional

Puerto del destino del evento

protocol

string

opcional

Protocolo

account

string

opcional

Nombre de la cuenta de usuario asociada con el evento

process_name

string

opcional

Nombre del proceso asociado al evento

rule_name

string

opcional

Nombre de regla

rule_id

string

opcional

ID de la regla

inbound

bool

opcional

Define si la conexión era de entrada o no

threat_name

string

opcional

Nombre de la detección

aggregate_count

número

opcional

Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT Cloud y la gestión del agente ESET Management

action

string

opcional

Medida tomada

handled

string

opcional

Indica si la detección pudo ser controlada o no

arrow_down_business Ejemplo de registro JSON de FirewallAggregated_Event:

HIPSAggregated_Event

Los eventos del Sistema de prevención de intrusiones basado en host (icon_hips detecciones de HIPS) se filtran según la gravedad antes de enviarse como mensajes de Syslog. Los atributos específicos de HIPS son los siguientes:

application

string

opcional

Nombre de la aplicación

operation

string

opcional

Operación

target

string

opcional

Destino

action

string

opcional

Medida tomada

action_taken

string

opcional

Medidas adoptadas por el punto final

rule_name

string

opcional

Nombre de regla

rule_id

string

opcional

ID de la regla

aggregate_count

número

opcional

Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT Cloud y la gestión del agente ESET Management

handled

string

opcional

Indica si la detección pudo ser controlada o no

arrow_down_business Ejemplo de registro JSON de HipsAggregated_Event:

Audit_Event

ESET PROTECT Cloud envía los mensajes de registro de auditoría interna a Syslog. Los atributos específicos son los siguientes:

domain

string

opcional

Dominio de registro de auditoría

action

string

opcional

Acción que se lleva a cabo

target

string

opcional

Acción de destino que está en funcionamiento

detail

string

opcional

Descripción detallada de la acción

user

string

opcional

Usuario de seguridad involucrado

result

string

opcional

Resultado de la acción

arrow_down_business Ejemplo de registro de Audit_Event:

FilteredWebsites_Event

ESET PROTECT Cloud reenvía los sitios web filtrados (detecciones de icon_web_protectionprotección web) a Syslog. Los atributos específicos son los siguientes:

hostname

string

opcional

Nombre de host del equipo con el evento

processname

string

opcional

Nombre del proceso asociado al evento

username

string

opcional

Nombre de la cuenta de usuario asociada con el evento

hash

string

opcional

Hash SHA1 del objeto filtrado

event

string

opcional

Tipo de evento

rule_id

string

opcional

ID de la regla

action_taken

string

opcional

Medida tomada

scanner_id

string

opcional

ID de exploración

object_uri

string

opcional

URI del objeto

target_address

string

opcional

Dirección de destino del evento

target_address_type

string

opcional

Tipo de dirección del destino del evento (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

opcional

Indica si la detección pudo ser controlada o no

arrow_down_business Ejemplo de registro JSON de FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT Cloud reenvía las alarmas de ESET Inspect a Syslog. Los atributos específicos son los siguientes:

processname

string

opcional

Nombre del proceso que causa esta alarma

username

string

opcional

Dueño del proceso

rulename

string

opcional

Nombre de la regla que desencadena esta alarma

count

número

opcional

Cantidad de alertas de este tipo que se han generado desde la última alarma

hash

string

opcional

Hash SHA1 de la alarma

eiconsolelink

string

opcional

Enlace a la alarma en la consola ESET Inspect Cloud

eialarmid

string

opcional

Subparte del ID del enlace de la alarma ($1 en ^http.*/alarm/([0-9]+)$)

computer_severity_score

número

opcional

Nivel de gravedad del equipo

severity_score

número

opcional

Nivel de gravedad de la regla

arrow_down_business Ejemplo de registro JSON de EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT Cloud reenvía las alarmas de los archivos bloqueados de ESET Inspect Cloud icon_blocked a Syslog. Los atributos específicos son los siguientes:

hostname

string

opcional

Nombre de host del equipo con el evento

processname

string

opcional

Nombre del proceso asociado al evento

username

string

opcional

Nombre de la cuenta de usuario asociada con el evento

hash

string

opcional

Hash SHA1 del archivo bloqueado

object_uri

string

opcional

URI del objeto

action

string

opcional

Medida tomada

firstseen

string

opcional

Hora y fecha cuando la detección se detectó por primera vez en ese equipo (formato de fecha y hora).

cause

string

opcional

 

description

string

opcional

Descripción del archivo bloqueado

handled

string

opcional

Indica si la detección pudo ser controlada o no