ESET Online pomocník

Vyhľadať English
Vyberte kapitolu

Udalosti exportované vo formáte JSON

JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.

Exportované udalosti

Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:

event_type

reťazec

 

Typ exportovanej udalosti:

Threat_Event (icon_antivirus Antivírusové detekcie)

FirewallAggregated_Event (Detekcie icon_firewall firewallu)

HipsAggregated_Event (Detekcie modulu icon_hips HIPS)

Audit_Event (Protokol auditu)

FilteredWebsites_Event (Filtrované webové stránky – icon_web_protection Webová ochrana)

EnterpriseInspectorAlert_Event (Upozornenia nástroja icon_ei_alert ESET Inspect)

BlockedFiles_Event (icon_blocked Blokované súbory)

ipv4

reťazec

voliteľné

IPv4 adresa počítača, ktorý generoval udalosť.

ipv6

reťazec

voliteľné

IPv6 adresa počítača, ktorý generoval udalosť.

hostname

reťazec

 

Názov hostiteľa počítača, ktorý generoval udalosť.

source_uuid

reťazec

 

UUID počítača, ktorý generoval udalosť.

occurred

reťazec

 

Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S

severity

reťazec

 

Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácia, Oznámenie, Upozornenie, Chyba, Kritický, Závažný.

group_name

reťazec

 

Úplná cesta k statickej skupine počítača, ktorý generoval udalosť. Ak je cesta dlhšia ako 255 znakov, group_name obsahuje len názov statickej skupiny.

group_description

reťazec

 

Popis statickej skupiny.

os_name

reťazec

 

Informácie o operačnom systéme počítača.


note

Všetky typy udalostí uvedené ďalej sú bez ohľadu na úroveň závažnosti nahlasované Syslog serveru. Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom.

Hlásené hodnoty závisia od bezpečnostného produktu ESET nainštalovaného na spravovanom počítači (a jeho verzie), pričom ESET PROTECT len reportuje prijaté dáta. ESET preto nevie poskytnúť kompletný zoznam všetkých hodnôt. Odporúčame sledovať vašu sieť a filtrovať protokoly na základe hodnôt, ktoré ste dostali.

Vlastné kľúče (atribúty) podľa event_type:

Threat_Event

Všetky záznamy o icon_antivirus antivírusových detekciách generovaných spravovanými koncovými zariadeniami sa odošlú na Syslog. Záznam o detekcii vyzerá nasledovne:

threat_type

reťazec

voliteľné

Typ detekcie

threat_name

reťazec

voliteľné

Názov detekcie

threat_flags

reťazec

voliteľné

Príznaky súvisiace s detekciou

scanner_id

reťazec

voliteľné

ID skenera

scan_id

reťazec

voliteľné

ID kontroly

engine_version

reťazec

voliteľné

Verzia skenovacieho jadra

object_type

reťazec

voliteľné

Typ objektu týkajúci sa tejto udalosti

object_uri

reťazec

voliteľné

URI objektu

action_taken

reťazec

voliteľné

Akcia vykonaná koncovým produktom

action_error

reťazec

voliteľné

Chybové hlásenie v prípade, že „akcia“ nebola úspešná

threat_handled

bool

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

need_restart

bool

voliteľné

Informácia o tom, či je potrebný reštart

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

circumstances

reťazec

voliteľné

Krátka informácia o tom, čo spôsobilo danú udalosť

hash

reťazec

voliteľné

SHA1 hash (detekcie) dátového toku.

firstseen

reťazec

voliteľné

Čas a dátum, kedy bola detekcia po prvýkrát zistená na zariadení. ESET PROTECT používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF):

JSON formát: "%d-%b-%Y %H:%M:%S"

LEEF formát: "%b %d %Y %H:%M:%S"

detection_uuid

reťazec

voliteľné

Jedinečný identifikátor detekcie možno použiť na vyhľadanie podrobností cez ESET CONNECT API

arrow_down_business Príklad protokolu Threat_Event vo formáte JSON:

FirewallAggregated_Event

Protokoly udalostí generované firewallom ESET (detekcie icon_firewall firewallu) agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESET PROTECT Servera. Záznam o udalostiach firewallu vyzerá nasledovne:

event

reťazec

voliteľné

Názov udalosti

source_address

reťazec

voliteľné

Adresa zdroja udalosti

source_address_type

reťazec

voliteľné

Typ adresy zdroja udalosti

source_port

číslo

voliteľné

Port zdroja udalosti

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti

target_port

číslo

voliteľné

Port cieľa udalosti

protocol

reťazec

voliteľné

Protokol

account

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

process_name

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

inbound

bool

voliteľné

Informácia, či išlo o prichádzajúce pripojenie

threat_name

reťazec

voliteľné

Názov detekcie

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT Server

action

reťazec

voliteľné

Vykonaná akcia

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

detection_uuid

reťazec

voliteľné

Jedinečný identifikátor detekcie možno použiť na vyhľadanie podrobností cez ESET CONNECT API

arrow_down_business Príklad protokolu FirewallAggregated_Event vo formáte JSON:

HIPSAggregated_Event

Udalosti z modulu HIPS (detekcie modulu icon_hips HIPS) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Záznam o udalostiach modulu HIPS vyzerá nasledovne:

application

reťazec

voliteľné

Názov aplikácie

operation

reťazec

voliteľné

Operácia

target

reťazec

voliteľné

Cieľ

action

reťazec

voliteľné

Vykonaná akcia

action_taken

reťazec

voliteľné

Akcia vykonaná koncovým produktom

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT Server

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

detection_uuid

reťazec

voliteľné

Jedinečný identifikátor detekcie možno použiť na vyhľadanie podrobností cez ESET CONNECT API

arrow_down_business Príklad protokolu HipsAggregated_Event vo formáte JSON:

Audit_Event

ESET PROTECT preposiela do Syslogu správy z interného protokolu auditu. Záznam o udalostiach vyzerá nasledovne:

domain

reťazec

voliteľné

Doména protokolu auditu

action

reťazec

voliteľné

Vykonávaná akcia

target

reťazec

voliteľné

Cieľ, na ktorom je akcia vykonávaná

detail

reťazec

voliteľné

Podrobný popis akcie

user

reťazec

voliteľné

Užívateľ vykonávajúci akciu

result

reťazec

voliteľné

Výsledok akcie

arrow_down_business Príklad protokolu Audit_Event:

FilteredWebsites_Event

ESET PROTECT preposiela filtrované webové stránky (detekcie icon_web_protection Webovej ochrany) do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

hash

reťazec

voliteľné

SHA1 hash filtrovaného objektu

event

reťazec

voliteľné

Typ udalosti

rule_id

reťazec

voliteľné

ID pravidla

action_taken

reťazec

voliteľné

Vykonaná akcia

scanner_id

reťazec

voliteľné

ID skenera

object_uri

reťazec

voliteľné

URI objektu

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti (25769803777 = IPv4; 25769803778 = IPv6)

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

detection_uuid

reťazec

voliteľné

Jedinečný identifikátor detekcie možno použiť na vyhľadanie podrobností cez ESET CONNECT API

arrow_down_business Príklad protokolu FilteredWebsites_Event vo formáte JSON:

EnterpriseInspectorAlert_Event

ESET PROTECT preposiela upozornenia nástroja icon_ei_alert ESET Inspect do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname

reťazec

voliteľné

Názov procesu, ktorý spôsobil upozornenie

username

reťazec

voliteľné

Vlastník procesu

rulename

reťazec

voliteľné

Názov pravidla, ktoré spustilo upozornenie

count

číslo

voliteľné

Počet upozornení tohto typu vygenerovaných od posledného upozornenia

hash

reťazec

voliteľné

SHA1 hash upozornenia

eiconsolelink

reťazec

voliteľné

Odkaz na upozornenie v konzole ESET Inspect

eialarmid

reťazec

voliteľné

Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$)

computer_severity_score

číslo

voliteľné

Skóre závažnosti počítača

severity_score

číslo

voliteľné

Skóre závažnosti pravidla

detection_uuid

reťazec

voliteľné

Jedinečný identifikátor detekcie možno použiť na vyhľadanie podrobností cez ESET CONNECT API

trigger_event

reťazec

voliteľné

Opis udalosti, ktorá spustila detekciu

command_line

reťazec

voliteľné

Príkazový riadok procesu, ktorý spustil detekciu

arrow_down_business Príklad protokolu EnterpriseInspectorAlert_Event vo formáte JSON:

BlockedFiles_Event

ESET PROTECT preposiela icon_blocked blokované súbory nahlásené nástrojom ESET Inspect do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

hash

reťazec

voliteľné

SHA1 hash blokovaného súboru

object_uri

reťazec

voliteľné

URI objektu

action

reťazec

voliteľné

Vykonaná akcia

firstseen

reťazec

voliteľné

Čas a dátum, kedy bola detekcia prvýkrát nájdená na danom počítači (formát dátumu a času).

cause

reťazec

voliteľné

 

description

reťazec

voliteľné

Popis blokovaného súboru

handled

reťazec

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

detection_uuid

reťazec

voliteľné

Jedinečný identifikátor detekcie možno použiť na vyhľadanie podrobností cez ESET CONNECT API