Eventos exportados a formato JSON
JSON es un formato liviano para el intercambio de datos. Se forma con una colección de parejas de nombres y valores, y una lista ordenada de valores.
Eventos exportados
Esta sección contiene información sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje de evento se encuentra en la forma de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:
event_type |
string |
|
Tipo de eventos exportados: •Threat_Event (detecciones antivirus) •FirewallAggregated_Event ( detecciones de firewall) •HipsAggregated_Event ( detecciones de HIPS) •Audit_Event (registro de auditoría) •FilteredWebsites_Event (sitios web filtrados: protección web) •EnterpriseInspectorAlert_Event (alertas de ESET Inspect ) |
---|---|---|---|
ipv4 |
string |
opcional |
Dirección IPv4 del equipo que genera el evento. |
ipv6 |
string |
opcional |
Dirección IPv6 del equipo que genera el evento. |
hostname |
string |
|
Hostname del equipo que genera el evento. |
source_uuid |
string |
|
UUID del equipo que genera el evento. |
occurred |
string |
|
Hora UTC de la ocurrencia del evento. El formato es %d-%b-%Y %H:%M:%S |
severity |
string |
|
Severidad del evento. Los posibles valores (de menos grave a más grave) son: Información, Aviso, Advertencia, Error, Critical, Fatal |
group_name |
string |
|
La ruta completa al grupo estático del equipo que genera el evento. Si la ruta tiene más de 255 caracteres, group_name solo contiene el nombre del grupo estático. |
group_description |
string |
|
Descripción del grupo estático. |
os_name |
string |
|
Información sobre el sistema operativo del equipo. |
Todos los tipos de eventos que se indican a continuación junto con todos los niveles de gravedad se informan al servidor Syslog. Para filtrar los registros de eventos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido. Los valores notificados dependen del producto de seguridad de ESET (y su versión) instalado en el equipo administrado y solo ESET PROTECT informa los datos recibidos. Por lo tanto, ESET no puede proporcionar una lista exhaustiva de todos los valores. Le recomendamos que mida su red y filtre los registros en función de los valores recibidos. |
Claves personalizadas en función del event_type:
Threat_Event
Todos los eventos de detección antivirus generados por puntos de conexión gestionados se reenviarán a Syslog. Clave específica del evento de detección:
threat_type |
string |
opcional |
Tipo de detección |
---|---|---|---|
threat_name |
string |
opcional |
Nombre de la detección |
threat_flags |
string |
opcional |
Indicadores relacionados de la detección |
scanner_id |
string |
opcional |
ID de exploración |
scan_id |
string |
opcional |
ID de exploración |
engine_version |
string |
opcional |
Versión del motor de exploración |
object_type |
string |
opcional |
Tipo de objeto relacionado con este evento |
object_uri |
string |
opcional |
URI del objeto |
action_taken |
string |
opcional |
Medidas adoptadas por el punto final |
action_error |
string |
opcional |
Mensaje de error si la "acción" no se ha realizado correctamente |
threat_handled |
bool |
opcional |
Indica si la detección pudo ser controlada o no |
need_restart |
bool |
opcional |
Define si es necesario reiniciar o no |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
processname |
string |
opcional |
Nombre del proceso asociado al evento |
circumstances |
string |
opcional |
Breve descripción de lo que causó el evento |
hash |
string |
opcional |
Hash SHA1 del flujo de datos (de la detección). |
string |
opcional |
Hora y fecha cuando la detección se detectó por primera vez en ese equipo. ESET PROTECT utiliza diferentes formatos de fecha-hora para el atributo firstseen (y todos los demás atributos fecha-hora) dependiendo del formato de salida del registro (JSON o LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
|
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
Ejemplo de registro JSON de Threat_Event:
FirewallAggregated_Event
Los registros de eventos generados por ESET Firewall ( detecciones de firewall) los agrega el agente de administración de ESET Management para evitar el desperdicio de ancho de banda durante la replicación del agente de ESET Management o del servidor de ESET PROTECT. Clave específica del evento de Firewall:
event |
string |
opcional |
Nombre del evento |
---|---|---|---|
source_address |
string |
opcional |
Dirección del origen del evento |
source_address_type |
string |
opcional |
Tipo de dirección del origen del evento |
source_port |
número |
opcional |
Puerto de la fuente del evento |
target_address |
string |
opcional |
Dirección de destino del evento |
target_address_type |
string |
opcional |
Tipo de dirección del destino del evento |
target_port |
número |
opcional |
Puerto del destino del evento |
protocol |
string |
opcional |
Protocolo |
account |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
process_name |
string |
opcional |
Nombre del proceso asociado al evento |
rule_name |
string |
opcional |
Nombre de regla |
rule_id |
string |
opcional |
ID de la regla |
inbound |
bool |
opcional |
Define si la conexión era de entrada o no |
threat_name |
string |
opcional |
Nombre de la detección |
aggregate_count |
número |
opcional |
Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT y la gestión del agente ESET Management |
action |
string |
opcional |
Medida tomada |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
Ejemplo de registro JSON de FirewallAggregated_Event:
HIPSAggregated_Event
Los eventos del Sistema de prevención de intrusiones basado en host ( detecciones de HIPS) se filtran según la gravedad antes de enviarse como mensajes de Syslog. Los atributos específicos de HIPS son los siguientes:
application |
string |
opcional |
Nombre de la aplicación |
---|---|---|---|
operation |
string |
opcional |
Operación |
target |
string |
opcional |
Destino |
action |
string |
opcional |
Medida tomada |
action_taken |
string |
opcional |
Medidas adoptadas por el punto final |
rule_name |
string |
opcional |
Nombre de regla |
rule_id |
string |
opcional |
ID de la regla |
aggregate_count |
número |
opcional |
Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT y la gestión del agente ESET Management |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
Ejemplo de registro JSON de HipsAggregated_Event:
Audit_Event
ESET PROTECT envía los mensajes de registro de auditoría interna a Syslog. Los atributos específicos son los siguientes:
domain |
string |
opcional |
Dominio de registro de auditoría |
---|---|---|---|
action |
string |
opcional |
Acción que se lleva a cabo |
target |
string |
opcional |
Acción de destino que está en funcionamiento |
detail |
string |
opcional |
Descripción detallada de la acción |
user |
string |
opcional |
Usuario de seguridad involucrado |
result |
string |
opcional |
Resultado de la acción |
Ejemplo de registro de Audit_Event:
FilteredWebsites_Event
ESET PROTECT reenvía los sitios web filtrados (detecciones de protección web) a Syslog. Los atributos específicos son los siguientes:
processname |
string |
opcional |
Nombre del proceso asociado al evento |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
hash |
string |
opcional |
Hash SHA1 del objeto filtrado |
event |
string |
opcional |
Tipo de evento |
rule_id |
string |
opcional |
ID de la regla |
action_taken |
string |
opcional |
Medida tomada |
scanner_id |
string |
opcional |
ID de exploración |
object_uri |
string |
opcional |
URI del objeto |
target_address |
string |
opcional |
Dirección de destino del evento |
target_address_type |
string |
opcional |
Tipo de dirección del destino del evento (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
Ejemplo de registro JSON de FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT reenvía las alarmas de ESET Inspect a Syslog. Los atributos específicos son los siguientes:
processname |
string |
opcional |
Nombre del proceso que causa esta alarma |
---|---|---|---|
username |
string |
opcional |
Dueño del proceso |
rulename |
string |
opcional |
Nombre de la regla que desencadena esta alarma |
count |
número |
opcional |
Cantidad de alertas de este tipo que se han generado desde la última alarma |
hash |
string |
opcional |
Hash SHA1 de la alarma |
eiconsolelink |
string |
opcional |
Enlace a la alarma en la consola ESET Inspect |
eialarmid |
string |
opcional |
Subparte del ID del enlace de la alarma ($1 en ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
número |
opcional |
Nivel de gravedad del equipo |
severity_score |
número |
opcional |
Nivel de gravedad de la regla |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |
trigger_event |
string |
opcional |
Descripción del evento que desencadenó la detección |
command_line |
string |
opcional |
Línea de comando del proceso que desencadenó la detección |
Ejemplo de registro JSON de EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT reenvía las alarmas de los archivos bloqueados de ESET Inspect a Syslog. Los atributos específicos son los siguientes:
processname |
string |
opcional |
Nombre del proceso asociado al evento |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
hash |
string |
opcional |
Hash SHA1 del archivo bloqueado |
object_uri |
string |
opcional |
URI del objeto |
action |
string |
opcional |
Medida tomada |
firstseen |
string |
opcional |
Hora y fecha cuando la detección se detectó por primera vez en ese equipo (formato de fecha y hora). |
cause |
string |
opcional |
|
description |
string |
opcional |
Descripción del archivo bloqueado |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
detection_uuid |
string |
opcional |
El identificador único de detección se puede utilizar para consultar detalles a través de ESET CONNECT API |