JSON形式にエクスポートされたイベント
JSONはデータ交換用の軽量形式です。名前/値のペアのコレクションと値の順序付けされたリストで作成されます。
エクスポートされたイベント
このセクションでは、エクスポートされたすべてのイベントの形式と意味について詳しく説明します。イベントメッセージは、いくつかの必須キーと任意のキーを持つJSONオブジェクトです。各エクスポートされたイベントには次のキーがあります。
event_type |
string |
|
エクスポートされたイベントのタイプ: •Threat_Event ( •FirewallAggregated_Event ( •HipsAggregated_Event ( •Audit_Event ( 監査ログ) •FilteredWebsites_Event (フィルタリングされたWebサイト— •EnterpriseInspectorAlert_Event ( |
|---|---|---|---|
ipv4 |
string |
任意 |
イベントを生成するコンピューターのIPv4アドレス。 |
ipv6 |
string |
任意 |
イベントを生成するコンピューターのIPv6アドレス。 |
hostname |
string |
|
イベントを生成するコンピューターのホスト名。 |
source_uuid |
string |
|
イベントを生成するコンピューターのUUID。 |
occurred |
string |
|
イベントの発生時刻(UTC)。形式は%d-%b-%Y %H:%M:%Sです。 |
severity |
string |
|
イベントの重大度。値(重要度の低い順):情報、通知、警告、エラー、重大、致命的。 |
group_name |
string |
|
イベントを生成するコンピューターの静的グループへの完全パス。パスが255文字を超える場合は、group_nameには静的グループ名だけが含されます。 |
group_description |
string |
|
静的グループの説明。 |
os_name |
string |
|
コンピューターのオペレーティングシステムに関する情報。 |
|
次の一覧のすべての重要度レベルのすべてのイベントタイプがSyslogサーバーに報告されます。 Syslogに送信されたイベントログをフィルタリングするには、定義されたフィルターでログカテゴリ通知を作成します。 報告された値は、管理されたコンピューターにインストールされたESETセキュリティ製品(とそのバージョン)によって異なり、ESET PROTECTは受信したデータのみを報告します。このため、ESETは、すべての値の網羅的なリストを提供できません。ネットワークを監視し、受信した値に基づいてログをフィルタリングすることをお勧めします。 |
event_typeに基づくカスタムキー:
Threat_Event
管理されたエンドポイントによって生成されたすべての
ウイルス対策検出イベントがSyslogに転送されます。検出イベント固有のキー:
threat_type |
string |
任意 |
検出のタイプ |
|---|---|---|---|
threat_name |
string |
任意 |
検出名 |
threat_flags |
string |
任意 |
検出関連フラグ |
scanner_id |
string |
任意 |
スキャナーID |
scan_id |
string |
任意 |
検査ID |
engine_version |
string |
任意 |
検査エンジンのバージョン |
object_type |
string |
任意 |
このイベントに関連するオブジェクトのタイプ |
object_uri |
string |
任意 |
オブジェクトURI |
action_taken |
string |
任意 |
エンドポイントによって実行されたアクション |
action_error |
string |
任意 |
アクションが失敗した場合のエラーメッセージ |
threat_handled |
bool |
任意 |
検出が処理されたかどうかを示します |
need_restart |
bool |
任意 |
再起動が必要かどうか |
username |
string |
任意 |
イベントに関連付けられたユーザーアカウントの名前 |
processname |
string |
任意 |
イベントに関連付けられたプロセスの名前 |
circumstances |
string |
任意 |
イベントの原因の簡単な説明 |
hash |
string |
任意 |
(検出)データストリームのSHA1ハッシュ。 |
string |
任意 |
そのコンピューターで初めて検出された日時。ESET PROTECTは、ログ出力形式(firstseenまたはJSON)に応じて、LEEF属性のさまざまな日時形式を使用します。 •JSON 形式: "%d-%b-%Y %H:%M:%S" •LEEF 形式: "%b %d %Y %H:%M:%S" |
|
detection_uuid |
string |
任意 |
検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。 |
operation |
string |
任意 |
処理 |
FirewallAggregated_Event
ESET Firewall (
ファイアウォール検出)によって生成されたイベントログは、管理しているESET Managementエージェントによって集約され、ESET Managementエージェント/ESET PROTECTサーバーレプリケーション中に帯域幅を浪費することがなくなります。ファイアウォールイベント固有のキー:
event |
string |
任意 |
イベント名 |
|---|---|---|---|
source_address |
string |
任意 |
イベントソースのアドレス |
source_address_type |
string |
任意 |
イベントソースのアドレスのタイプ |
source_port |
number |
任意 |
イベントソースのポート |
target_address |
string |
任意 |
イベント宛先のアドレス |
target_address_type |
string |
任意 |
イベント宛先のアドレスのタイプ |
target_port |
number |
任意 |
イベント宛先のポート |
protocol |
string |
任意 |
プロトコル |
account |
string |
任意 |
イベントに関連付けられたユーザーアカウントの名前 |
process_name |
string |
任意 |
イベントに関連付けられたプロセスの名前 |
rule_name |
string |
任意 |
ルール名 |
rule_id |
string |
任意 |
ルールID |
inbound |
bool |
任意 |
接続が受信かどうか |
threat_name |
string |
任意 |
検出名 |
aggregate_count |
number |
任意 |
ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された重複するメッセージの数 |
action |
string |
任意 |
実行されたアクション |
handled |
string |
任意 |
検出が処理されたかどうかを示します |
detection_uuid |
string |
任意 |
検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。 |
operation |
string |
任意 |
処理 |
FirewallAggregated_Event JSONログの例:
HIPSAggregated_Event
HIPS (
HIPS検出)のイベントは、Syslogメッセージとして送信される前に、重要度でフィルタリングされます。HIPS固有の属性は次のとおりです。
application |
string |
任意 |
アプリケーション名 |
|---|---|---|---|
operation |
string |
任意 |
処理 |
target |
string |
任意 |
対象 |
action |
string |
任意 |
実行されたアクション |
action_taken |
string |
任意 |
エンドポイントによって実行されたアクション |
rule_name |
string |
任意 |
ルール名 |
rule_id |
string |
任意 |
ルールID |
aggregate_count |
number |
任意 |
ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された重複するメッセージの数 |
handled |
string |
任意 |
検出が処理されたかどうかを示します |
detection_uuid |
string |
任意 |
検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。 |
HipsAggregated_Event JSONログの例:
Audit_Event
ESET PROTECTは内部監査ログメッセージをSyslogに転送します。固有の属性は次のとおりです。
domain |
string |
任意 |
監査ログドメイン |
|---|---|---|---|
action |
string |
任意 |
実行中のアクション |
target |
string |
任意 |
ターゲットアクションが動作しています |
detail |
string |
任意 |
アクションの詳細説明 |
user |
string |
任意 |
関係するセキュリティユーザー |
result |
string |
任意 |
アクションの結果 |
FilteredWebsites_Event
ESET PROTECTはフィルタリングされたWebサイト(
Web 保護検出)をSyslogに転送します。固有の属性は次のとおりです。
processname |
string |
任意 |
イベントに関連付けられたプロセスの名前 |
username |
string |
任意 |
イベントに関連付けられたユーザーアカウントの名前 |
hash |
string |
任意 |
フィルタリングされたオブジェクトのSHA1ハッシュ |
event |
string |
任意 |
イベントタイプ |
rule_id |
string |
任意 |
ルールID |
action_taken |
string |
任意 |
実行されたアクション |
scanner_id |
string |
任意 |
スキャナーID |
object_uri |
string |
任意 |
オブジェクトURI |
target_address |
string |
任意 |
イベント宛先のアドレス |
target_address_type |
string |
任意 |
イベント宛先のアドレスのタイプ(25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
任意 |
検出が処理されたかどうかを示します |
detection_uuid |
string |
任意 |
検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。 |
FilteredWebsites_Event JSONログの例:
EnterpriseInspectorAlert_Event
ESET PROTECTは
ESET InspectアラートをSyslogに転送します。固有の属性は次のとおりです。
processname |
string |
任意 |
このアラームを発生させるプロセスの名前 |
|---|---|---|---|
username |
string |
任意 |
プロセスの所有者 |
rulename |
string |
任意 |
このアラームをトリガーするルールの名前 |
count |
number |
任意 |
前回のアラーム以降に生成されたこのタイプのアラート数 |
hash |
string |
任意 |
アラームのSHA1ハッシュ |
eiconsolelink |
string |
任意 |
ESET Inspectコンソールのアラームへのリンク |
eialarmid |
string |
任意 |
アラームリンクのID部分(^http.*/alarm/([0-9]+)$の$1) |
computer_severity_score |
number |
任意 |
コンピューター重要度スコア |
severity_score |
number |
任意 |
ルール重要度スコア |
detection_uuid |
string |
任意 |
検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。 |
trigger_event |
string |
任意 |
検出をトリガーしたイベントの説明 |
command_line |
string |
任意 |
検出をトリガーしたプロセスのコマンドライン |
EnterpriseInspectorAlert_Event JSONログの例:
BlockedFiles_Event
ESET PROTECTはESET Inspect 
ブロックされたファイルをSyslogに転送します。固有の属性は次のとおりです。
processname |
string |
任意 |
イベントに関連付けられたプロセスの名前 |
username |
string |
任意 |
イベントに関連付けられたユーザーアカウントの名前 |
hash |
string |
任意 |
ブロックされたファイルのSHA1ハッシュ |
object_uri |
string |
任意 |
オブジェクトURI |
action |
string |
任意 |
実行されたアクション |
firstseen |
string |
任意 |
そのコンピューターで初めて検出が特定された日時(日時形式)。 |
cause |
string |
任意 |
|
description |
string |
任意 |
ブロックされたファイルの説明 |
handled |
string |
任意 |
検出が処理されたかどうかを示します |
detection_uuid |
string |
任意 |
検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。 |
インシデント
ESET PROTECTはインシデントをSyslogに転送します。固有の属性は次のとおりです。
uuid |
string |
任意 |
インシデントの一意の識別子。パブリックAPIリクエストで使用できます。 |
name |
string |
任意 |
インシデントの名前 |
status |
string |
任意 |
イベント発生時のインシデントのステータス |
url |
string |
任意 |
ESET PROTECTコンソールのインシデント詳細に移動するURL |
indicator_count |
string |
任意 |
インシデントをトリガーしたインジケーターの数。 |
device_count |
string |
任意 |
インシデントの影響を受けたデバイスの数。 |
process_count |
string |
任意 |
インシデントに関与したプロセスの数。 |
module_count |
string |
任意 |
インシデントに関与したモジュールの数。 |
action |
string |
任意 |
インシデントに対して実行されたアクション(作成または更新)。 |