Eventos exportados a formato JSON
JSON es un formato liviano para el intercambio de datos. Se forma con una colección de parejas de nombres y valores, y una lista ordenada de valores.
Eventos exportados
En esta sección, se detalla el formato y el significado de todos los eventos exportados. El mensaje de evento es un objeto JSON con algunas claves obligatorias y opcionales. Cada evento exportado contendrá la siguiente clave:
event_type |
string |
|
Tipo de eventos exportados: •Threat_Event ( •FirewallAggregated_Event ( •HipsAggregated_Event ( •Audit_Event (registro de auditoría) •FilteredWebsites_Event (sitios web filtrados: •EnterpriseInspectorAlert_Event (alertas de |
|---|---|---|---|
ipv4 |
string |
opcional |
Dirección IPv4 del equipo que genera el evento. |
ipv6 |
string |
opcional |
Dirección IPv6 del equipo que genera el evento. |
hostname |
string |
|
Hostname del equipo que genera el evento. |
source_uuid |
string |
|
UUID del equipo que genera el evento. |
occurred |
string |
|
Hora UTC de la ocurrencia del evento. El formato es %d-%b-%Y %H:%M:%S |
severity |
string |
|
Severidad del evento. Los posibles valores (de menos grave a más grave) son: Información, Aviso, Advertencia, Error, Critical y Fatal |
group_name |
string |
|
La ruta completa al grupo estático del equipo que genera el evento. Si la ruta tiene más de 255 caracteres, group_name solo contiene el nombre del grupo estático. |
group_description |
string |
|
Descripción del grupo estático. |
os_name |
string |
|
Información sobre el sistema operativo del equipo. |
|
Todos los tipos de eventos que se indican a continuación junto con todos los niveles de gravedad se informan al servidor Syslog. Para filtrar los registros de eventos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido. Los valores notificados dependen del producto de seguridad de ESET (y su versión) instalado en el equipo administrado y solo ESET PROTECT informa los datos recibidos. Por lo tanto, ESET no puede proporcionar una lista exhaustiva de todos los valores. Le recomendamos que mida su red y filtre los registros en función de los valores recibidos. |
Claves personalizadas en función del event_type:
Threat_Event
Todos los 
eventos de detección antivirus generados por puntos de conexión gestionados se reenviarán a Syslog. Clave específica del evento de detección:
threat_type |
string |
opcional |
Tipo de detección |
|---|---|---|---|
threat_name |
string |
opcional |
Nombre de la detección |
threat_flags |
string |
opcional |
Indicadores relacionados de la detección |
scanner_id |
string |
opcional |
ID de exploración |
scan_id |
string |
opcional |
ID de exploración |
engine_version |
string |
opcional |
Versión del motor de exploración |
object_type |
string |
opcional |
Tipo de objeto relacionado con este evento |
object_uri |
string |
opcional |
URI del objeto |
action_taken |
string |
opcional |
Medidas adoptadas por el punto final |
action_error |
string |
opcional |
Mensaje de error si la "acción" no se ha realizado correctamente |
threat_handled |
bool |
opcional |
Indica si la detección pudo ser controlada o no |
need_restart |
bool |
opcional |
Define si es necesario reiniciar o no |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
processname |
string |
opcional |
Nombre del proceso asociado al evento |
circumstances |
string |
opcional |
Breve descripción de lo que causó el evento |
hash |
string |
opcional |
Hash SHA1 del flujo de datos (de la detección). |
string |
opcional |
Hora y fecha cuando la detección se detectó por primera vez en ese equipo. ESET PROTECT utiliza diferentes formatos de fecha-hora para el atributo firstseen (y todos los demás atributos fecha-hora) dependiendo del formato de salida del registro (JSON o LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
|
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
operation |
string |
opcional |
Operación |
Ejemplo de registro JSON de Threat_Event:
FirewallAggregated_Event
Los registros de eventos generados por ESET Firewall (
detecciones de firewall) los agrega el agente de administración de ESET Management para evitar el desperdicio de ancho de banda durante la replicación del agente de ESET Management o del servidor de ESET PROTECT. Clave específica del evento de Firewall:
event |
string |
opcional |
Nombre del evento |
|---|---|---|---|
source_address |
string |
opcional |
Dirección del origen del evento |
source_address_type |
string |
opcional |
Tipo de dirección del origen del evento |
source_port |
número |
opcional |
Puerto de la fuente del evento |
target_address |
string |
opcional |
Dirección de destino del evento |
target_address_type |
string |
opcional |
Tipo de dirección del destino del evento |
target_port |
número |
opcional |
Puerto del destino del evento |
protocol |
string |
opcional |
Protocolo |
account |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
process_name |
string |
opcional |
Nombre del proceso asociado al evento |
rule_name |
string |
opcional |
Nombre de regla |
rule_id |
string |
opcional |
ID de la regla |
inbound |
bool |
opcional |
Define si la conexión era de entrada o no |
threat_name |
string |
opcional |
Nombre de la detección |
aggregate_count |
número |
opcional |
Define cuántos mensajes duplicados generó el punto de conexión entre dos replicaciones consecutivas entre el servidor de ESET PROTECT y la gestión del agente de ESET Management |
action |
string |
opcional |
Medida tomada |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
operation |
string |
opcional |
Operación |
Ejemplo de registro JSON de FirewallAggregated_Event:
HIPSAggregated_Event
Los eventos del Sistema de prevención de intrusiones basado en host (
detecciones de HIPS) se filtran según la gravedad antes de enviarse como mensajes de Syslog. Los atributos específicos de HIPS son los siguientes:
application |
string |
opcional |
Nombre de la aplicación |
|---|---|---|---|
operation |
string |
opcional |
Operación |
target |
string |
opcional |
Destino |
action |
string |
opcional |
Medida tomada |
action_taken |
string |
opcional |
Medidas adoptadas por el punto final |
rule_name |
string |
opcional |
Nombre de regla |
rule_id |
string |
opcional |
ID de la regla |
aggregate_count |
número |
opcional |
Define cuántos mensajes duplicados generó el punto de conexión entre dos replicaciones consecutivas entre el servidor de ESET PROTECT y la gestión del agente de ESET Management |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
Ejemplo de registro JSON de HipsAggregated_Event:
Audit_Event
ESET PROTECT envía los mensajes de registro de auditoría interna a Syslog. Los atributos específicos son los siguientes:
domain |
string |
opcional |
Dominio de registro de auditoría |
|---|---|---|---|
action |
string |
opcional |
Acción que se lleva a cabo |
target |
string |
opcional |
Acción de destino que está en funcionamiento |
detail |
string |
opcional |
Descripción detallada de la acción |
user |
string |
opcional |
Usuario de seguridad involucrado |
result |
string |
opcional |
Resultado de la acción |
Ejemplo de registro de Audit_Event:
FilteredWebsites_Event
ESET PROTECT reenvía los sitios web filtrados (detecciones de 
protección web) a Syslog. Los atributos específicos son los siguientes:
processname |
string |
opcional |
Nombre del proceso asociado al evento |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
hash |
string |
opcional |
Hash SHA1 del objeto filtrado |
event |
string |
opcional |
Tipo de evento |
rule_id |
string |
opcional |
ID de la regla |
action_taken |
string |
opcional |
Medida tomada |
scanner_id |
string |
opcional |
ID de exploración |
object_uri |
string |
opcional |
URI del objeto |
target_address |
string |
opcional |
Dirección de destino del evento |
target_address_type |
string |
opcional |
Tipo de dirección del destino del evento (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
Ejemplo de registro JSON de FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT reenvía las alarmas de 
ESET Inspect a Syslog. Los atributos específicos son los siguientes:
processname |
string |
opcional |
Nombre del proceso que causa esta alarma |
|---|---|---|---|
username |
string |
opcional |
Dueño del proceso |
rulename |
string |
opcional |
Nombre de la regla que desencadena esta alarma |
count |
número |
opcional |
Cantidad de alertas de este tipo que se han generado desde la última alarma |
hash |
string |
opcional |
Hash SHA1 de la alarma |
eiconsolelink |
string |
opcional |
Enlace a la alarma en la consola ESET Inspect |
eialarmid |
string |
opcional |
Subparte del ID del enlace de la alarma ($1 en ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
número |
opcional |
Nivel de gravedad del equipo |
severity_score |
número |
opcional |
Nivel de gravedad de la regla |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
trigger_event |
string |
opcional |
Descripción del evento que desencadenó la detección |
command_line |
string |
opcional |
Línea de comando del proceso que desencadenó la detección |
Ejemplo de registro JSON de EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT reenvía las alarmas de los archivos bloqueados de ESET Inspect 
a Syslog. Los atributos específicos son los siguientes:
processname |
string |
opcional |
Nombre del proceso asociado al evento |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
hash |
string |
opcional |
Hash SHA1 del archivo bloqueado |
object_uri |
string |
opcional |
URI del objeto |
action |
string |
opcional |
Medida tomada |
firstseen |
string |
opcional |
Hora y fecha cuando la detección se detectó por primera vez en ese equipo (formato de fecha y hora). |
cause |
string |
opcional |
|
description |
string |
opcional |
Descripción del archivo bloqueado |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
Incidentes
ESET PROTECT reenvía incidentes a Syslog. Los atributos específicos son los siguientes:
uuid |
string |
opcional |
Identificador único del incidente. Se puede usar en solicitudes de API públicas. |
name |
string |
opcional |
Nombre del incidente |
status |
string |
opcional |
Estado del incidente en el momento en que ocurrió el evento |
url |
string |
opcional |
URL que conduce al detalle del incidente en la consola de ESET PROTECT |
indicator_count |
string |
opcional |
Número de indicadores que desencadenaron el incidente. |
device_count |
string |
opcional |
Número de dispositivos afectados por el incidente. |
process_count |
string |
opcional |
Número de procesos implicados en el incidente. |
module_count |
string |
opcional |
Número de módulos implicados en el incidente |
action |
string |
opcional |
Acción que se tomó frente al incidente, Crear o Actualizar. |