Ajuda on-line ESET

Selecionar tópico

Eventos exportados para o formato JSON

O JSON é um formato leve para troca de dados. É construído em uma coleção de pares de nome / valor e uma lista ordenada de valores.

Eventos exportados

Esta seção contém detalhes sobre o formato e significado de atributos de todos os eventos exportados. A mensagem de evento está na forma de um objeto JSON com algumas chaves obrigatórias e outras opcionais. Cada evento exportado vai ter a chave a seguir:

event_type

string

 

Tipo de eventos exportados:

Threat_Event (detecções de icon_antivirusAntivírus)

FirewallAggregated_Event (detecções de icon_firewall Firewall)

HipsAggregated_Event (detecções de icon_hips HIPS)

Audit_Event (Relatório de auditoria)

FilteredWebsites_Event (sites filtrados – icon_web_protection Proteção da web)

EnterpriseInspectorAlert_Event (icon_ei_alert ESET Inspect Alertas)

BlockedFiles_Event (icon_blocked Arquivos bloqueados)

ipv4

string

opcional

Endereço IPv4 do computador gerando o evento.

ipv6

string

opcional

Endereço IPv6 do computador gerando o evento.

hostname

string

 

Nome do host do computador gerando o evento.

source_uuid

string

 

UUID do computador gerando o evento.

occurred

string

 

Hora UTC de ocorrência do evento. O formato é %d-%b-%Y %H:%M:%S

severity

string

 

Gravidade do evento. Valores possíveis (do menos ao mais grave) são: Informação, Aviso, Alerta, Erro, Crítico, Fatal

group_name

string

 

O caminho completo para o grupo estático do computador gerando o evento. Se o caminho for maior que 255 caracteres o group_name vai ter apenas o nome do grupo estático.

group_description

string

 

Descrição do grupo estático.

os_name

string

 

Informações sobre o sistema operacional do computador.


note

Todos os tipos de evento listados abaixo com todos os níveis de gravidade são reportados ao servidor Syslog. Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido.

Os valores reportados dependem do produto de segurança ESET (e sua versão) instalado no computador gerenciado, e o ESET PROTECT reporta apenas os dados recebidos. Portanto, a ESET não pode fornecer uma lista completa de todos os valores. Recomendamos observar sua rede e filtrar os relatórios com base nos valores recebidos.

Teclas personalizadas de acordo com o event_type:

Threat_Event

Todos os eventos de Detecção icon_antivirusAntivírus gerados por endpoints gerenciados serão encaminhados para o Syslog. Chave de evento específica de Detecção:

threat_type

string

opcional

Tipo de detecção

threat_name

string

opcional

Nome da detecção

threat_flags

string

opcional

Sinalizadores de detecção relacionados

scanner_id

string

opcional

ID do Scanner

scan_id

string

opcional

ID de rastreamento

engine_version

string

opcional

Versão do mecanismo de escaneamento

object_type

string

opcional

Tipo de objeto relacionado a este evento

object_uri

string

opcional

URI do objeto

action_taken

string

opcional

Ação realizada pelo Endpoint

action_error

string

opcional

Mensagem de erro se a "ação" não for bem sucedida

threat_handled

bool

opcional

Indica se a detecção foi resolvida ou não

need_restart

bool

opcional

Indica se era necessário reiniciar ou não

username

string

opcional

Nome da conta de usuário associada ao evento

processname

string

opcional

Nome do processo associado ao evento

circumstances

string

opcional

Descrição breve do que causou o evento

hash

string

opcional

SHA1 hash do fluxo de dados (detecção).

firstseen

string

opcional

Data e hora de quando a detecção foi detectada pela primeira vez na máquina. O ESET PROTECT usa formatos de data-hora diferentes para o atributo firstseen (e qualquer outro atributo de data-hora) dependendo do formato de saída do relatório (JSON ou LEEF):

JSON formato:"%d-%b-%Y %H:%M:%S"

LEEF formato:"%b %d %Y %H:%M:%S"

detection_uuid

string

opcional

Identificador exclusivo de detecção, pode ser usado para consultar detalhes de detecção via ESET CONNECT API

arrow_down_business Exemplo de relatório JSON Threat_Event:

FirewallAggregated_Event

Relatórios de evento gerados pelo Firewall da ESET (detecções de icon_firewall Firewall) são agregados pelo Agente ESET Management gerente, para evitar o desperdício de banda durante a replicação de Agente ESET Management/Servidor ESET PROTECT. Chave de evento específico de Firewall:

event

string

opcional

Nome do evento

source_address

string

opcional

Endereço da origem do evento

source_address_type

string

opcional

Tipo de endereço da origem do evento

source_port

número

opcional

Porta de origem do evento

target_address

string

opcional

Endereço do destino do evento

target_address_type

string

opcional

Tipo de endereço do destino do evento

target_port

número

opcional

Porta de destino do evento

protocol

string

opcional

Protocolo

account

string

opcional

Nome da conta de usuário associada ao evento

process_name

string

opcional

Nome do processo associado ao evento

rule_name

string

opcional

Nome da regra

rule_id

string

opcional

ID de regra

inbound

bool

opcional

Indica se a conexão era de entrada ou não

threat_name

string

opcional

Nome da detecção

aggregate_count

número

opcional

Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente

action

string

opcional

Ação realizada

handled

string

opcional

Indica se a detecção foi resolvida ou não

detection_uuid

string

opcional

Identificador exclusivo de detecção, pode ser usado para consultar detalhes de detecção via ESET CONNECT API

arrow_down_business Exemplo de relatório JSON FirewallAggregated_Event:

HIPSAggregated_Event

Eventos do Sistema de Prevenção de intruso Baseado em Host (detecções de icon_hips HIPS) são filtrados por gravidade antes de serem enviados como mensagens Syslog. Os atributos específicos HIPS são os seguintes:

application

string

opcional

Nome do aplicativo

operation

string

opcional

Operação

target

string

opcional

Destino

action

string

opcional

Ação realizada

action_taken

string

opcional

Ação realizada pelo Endpoint

rule_name

string

opcional

Nome da regra

rule_id

string

opcional

ID de regra

aggregate_count

número

opcional

Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente

handled

string

opcional

Indica se a detecção foi resolvida ou não

detection_uuid

string

opcional

Identificador exclusivo de detecção, pode ser usado para consultar detalhes de detecção via ESET CONNECT API

arrow_down_business Exemplo de relatório JSON HipsAggregated_Event:

Audit_Event

O ESET PROTECT encaminha as mensagem de relatório de auditoria internas para o Syslog. Os atributos específicos são os seguintes:

domain

string

opcional

Domínio de relatório de auditoria

action

string

opcional

Ação sendo realizada

target

string

opcional

Ação de destino no qual está operando

detail

string

opcional

Descrição detalhada da ação

user

string

opcional

Usuário de segurança envolvido

result

string

opcional

Resultado da ação

arrow_down_business Exemplo de relatório Audit_Event:

FilteredWebsites_Event

O ESET PROTECT encaminha os sites filtrados (detecções da icon_web_protectionProteção da web) para o Syslog. Os atributos específicos são os seguintes:

processname

string

opcional

Nome do processo associado ao evento

username

string

opcional

Nome da conta de usuário associada ao evento

hash

string

opcional

Hashs SHA1 do objeto filtrado

event

string

opcional

Tipo do evento

rule_id

string

opcional

ID de regra

action_taken

string

opcional

Ação realizada

scanner_id

string

opcional

ID do Scanner

object_uri

string

opcional

URI do objeto

target_address

string

opcional

Endereço do destino do evento

target_address_type

string

opcional

Tipo de endereço do destino do evento (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

opcional

Indica se a detecção foi resolvida ou não

detection_uuid

string

opcional

Identificador exclusivo de detecção, pode ser usado para consultar detalhes de detecção via ESET CONNECT API

arrow_down_business Exemplo de relatório JSON FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

O ESET PROTECT encaminha os alarmes ESET Inspect para o syslog. Os atributos específicos são os seguintes:

processname

string

opcional

Nome do processo causando esse alarme

username

string

opcional

Proprietário do processo

rulename

string

opcional

Nome da regra acionando este alarme

count

número

opcional

Número de alertas desse tipo gerados desde o último alarme

hash

string

opcional

Hash SHA1 do alarme

eiconsolelink

string

opcional

Link para o alarme no console ESET Inspect

eialarmid

string

opcional

ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$)

computer_severity_score

número

opcional

Pontuação de gravidade do computador

severity_score

número

opcional

Pontuação de gravidade da regra

detection_uuid

string

opcional

Identificador exclusivo de detecção, pode ser usado para consultar detalhes de detecção via ESET CONNECT API

trigger_event

string

opcional

Descrição do evento que desencadeou a detecção

command_line

string

opcional

Linha de comando do processo que desencadeou a detecção

arrow_down_business Exemplo de relatório JSON EnterpriseInspectorAlert_Event:

BlockedFiles_Event

O ESET PROTECT encaminha os arquivos bloqueados ESET Inspect icon_blocked ao Syslog. Os atributos específicos são os seguintes:

processname

string

opcional

Nome do processo associado ao evento

username

string

opcional

Nome da conta de usuário associada ao evento

hash

string

opcional

Hash SHA1 do arquivo bloqueado

object_uri

string

opcional

URI do objeto

action

string

opcional

Ação realizada

firstseen

string

opcional

Hora e data em que a detecção foi encontrada pela primeira vez na máquina (formato de data e hora).

cause

string

opcional

 

description

string

opcional

Descrição do arquivo bloqueado

handled

string

opcional

Indica se a detecção foi resolvida ou não

detection_uuid

string

opcional

Identificador exclusivo de detecção, pode ser usado para consultar detalhes de detecção via ESET CONNECT API