Udalosti exportované vo formáte JSON

JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.

Exportované udalosti

Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:

event_type	reťazec		Typ exportovanej udalosti: •Threat_Event ( Antivírusové detekcie) •FirewallAggregated_Event (Detekcie firewallu) •HipsAggregated_Event (Detekcie modulu HIPS) •Audit_Event (Protokol auditu) •FilteredWebsites_Event (Filtrované webové stránky – Webová ochrana) •EnterpriseInspectorAlert_Event (Upozornenia nástroja ESET Inspect) •BlockedFiles_Event ( Blokované súbory)
ipv4	reťazec	voliteľné	IPv4 adresa počítača, ktorý generoval udalosť.
ipv6	reťazec	voliteľné	IPv6 adresa počítača, ktorý generoval udalosť.
hostname	reťazec		Názov hostiteľa počítača, ktorý generoval udalosť.
source_uuid	reťazec		UUID počítača, ktorý generoval udalosť.
occurred	reťazec		Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S
severity	reťazec		Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácia, Oznámenie, Upozornenie, Chyba, Kritický, Závažný.
group_name	reťazec		Úplná cesta k statickej skupine počítača, ktorý generoval udalosť. Ak je cesta dlhšia ako 255 znakov, group_name obsahuje len názov statickej skupiny.
group_description	reťazec		Popis statickej skupiny.
os_name	reťazec		Informácie o operačnom systéme počítača.

Všetky typy udalostí uvedené ďalej sú bez ohľadu na úroveň závažnosti nahlasované Syslog serveru. Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom.

Hlásené hodnoty závisia od bezpečnostného produktu ESET nainštalovaného na spravovanom počítači (a jeho verzie), pričom ESET PROTECT len reportuje prijaté dáta. ESET preto nevie poskytnúť kompletný zoznam všetkých hodnôt. Odporúčame sledovať vašu sieť a filtrovať protokoly na základe hodnôt, ktoré ste dostali.

Vlastné kľúče (atribúty) podľa event_type:

Threat_Event

Všetky záznamy o antivírusových detekciách generovaných spravovanými koncovými zariadeniami sa odošlú na Syslog. Záznam o detekcii vyzerá nasledovne:

threat_type	reťazec	voliteľné	Typ detekcie
threat_name	reťazec	voliteľné	Názov detekcie
threat_flags	reťazec	voliteľné	Príznaky súvisiace s detekciou
scanner_id	reťazec	voliteľné	ID skenera
scan_id	reťazec	voliteľné	ID kontroly
engine_version	reťazec	voliteľné	Verzia skenovacieho jadra
object_type	reťazec	voliteľné	Typ objektu týkajúci sa tejto udalosti
object_uri	reťazec	voliteľné	URI objektu
action_taken	reťazec	voliteľné	Akcia vykonaná koncovým produktom
action_error	reťazec	voliteľné	Chybové hlásenie v prípade, že „akcia“ nebola úspešná
threat_handled	bool	voliteľné	Udáva, či detekcia bola alebo nebola vyriešená
need_restart	bool	voliteľné	Informácia o tom, či je potrebný reštart
username	reťazec	voliteľné	Názov používateľského účtu spojeného s touto udalosťou
processname	reťazec	voliteľné	Názov procesu spojeného s touto udalosťou
circumstances	reťazec	voliteľné	Krátka informácia o tom, čo spôsobilo danú udalosť
hash	reťazec	voliteľné	SHA1 hash (detekcie) dátového toku.
firstseen	reťazec	voliteľné	Čas a dátum, kedy bola detekcia po prvýkrát zistená na zariadení. ESET PROTECT používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF): •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S"
detection_uuid	reťazec	voliteľné	Jedinečný identifikátor detekcie, ktorý možno použiť na vyhľadávanie podrobností o detekcii cez ESET CONNECT API.

Príklad protokolu Threat_Event vo formáte JSON:

FirewallAggregated_Event

Protokoly udalostí generované firewallom ESET (detekcie firewallu) agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESET PROTECT Servera. Záznam o udalostiach firewallu vyzerá nasledovne:

event	reťazec	voliteľné	Názov udalosti
source_address	reťazec	voliteľné	Adresa zdroja udalosti
source_address_type	reťazec	voliteľné	Typ adresy zdroja udalosti
source_port	číslo	voliteľné	Port zdroja udalosti
target_address	reťazec	voliteľné	Adresa cieľa udalosti
target_address_type	reťazec	voliteľné	Typ adresy cieľa udalosti
target_port	číslo	voliteľné	Port cieľa udalosti
protocol	reťazec	voliteľné	Protokol
account	reťazec	voliteľné	Názov používateľského účtu spojeného s touto udalosťou
process_name	reťazec	voliteľné	Názov procesu spojeného s touto udalosťou
rule_name	reťazec	voliteľné	Názov pravidla
rule_id	reťazec	voliteľné	ID pravidla
inbound	bool	voliteľné	Informácia, či išlo o prichádzajúce pripojenie
threat_name	reťazec	voliteľné	Názov detekcie
aggregate_count	číslo	voliteľné	Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT Server
action	reťazec	voliteľné	Vykonaná akcia
handled	reťazec	voliteľné	Udáva, či detekcia bola alebo nebola vyriešená
detection_uuid	reťazec	voliteľné	Jedinečný identifikátor detekcie, ktorý možno použiť na vyhľadávanie podrobností o detekcii cez ESET CONNECT API.

Príklad protokolu FirewallAggregated_Event vo formáte JSON:

HIPSAggregated_Event

Udalosti z modulu HIPS (detekcie modulu HIPS) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Záznam o udalostiach modulu HIPS vyzerá nasledovne:

application	reťazec	voliteľné	Názov aplikácie
operation	reťazec	voliteľné	Operácia
target	reťazec	voliteľné	Cieľ
action	reťazec	voliteľné	Vykonaná akcia
action_taken	reťazec	voliteľné	Akcia vykonaná koncovým produktom
rule_name	reťazec	voliteľné	Názov pravidla
rule_id	reťazec	voliteľné	ID pravidla
aggregate_count	číslo	voliteľné	Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT Server
handled	reťazec	voliteľné	Udáva, či detekcia bola alebo nebola vyriešená
detection_uuid	reťazec	voliteľné	Jedinečný identifikátor detekcie, ktorý možno použiť na vyhľadávanie podrobností o detekcii cez ESET CONNECT API.

Príklad protokolu HipsAggregated_Event vo formáte JSON:

Audit_Event

ESET PROTECT preposiela do Syslogu správy z interného protokolu auditu. Záznam o udalostiach vyzerá nasledovne:

domain	reťazec	voliteľné	Doména protokolu auditu
action	reťazec	voliteľné	Vykonávaná akcia
target	reťazec	voliteľné	Cieľ, na ktorom je akcia vykonávaná
detail	reťazec	voliteľné	Podrobný popis akcie
user	reťazec	voliteľné	Užívateľ vykonávajúci akciu
result	reťazec	voliteľné	Výsledok akcie

Príklad protokolu Audit_Event:

FilteredWebsites_Event

ESET PROTECT preposiela filtrované webové stránky (detekcie Webovej ochrany) do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname	reťazec	voliteľné	Názov procesu spojeného s touto udalosťou
username	reťazec	voliteľné	Názov používateľského účtu spojeného s touto udalosťou
hash	reťazec	voliteľné	SHA1 hash filtrovaného objektu
event	reťazec	voliteľné	Typ udalosti
rule_id	reťazec	voliteľné	ID pravidla
action_taken	reťazec	voliteľné	Vykonaná akcia
scanner_id	reťazec	voliteľné	ID skenera
object_uri	reťazec	voliteľné	URI objektu
target_address	reťazec	voliteľné	Adresa cieľa udalosti
target_address_type	reťazec	voliteľné	Typ adresy cieľa udalosti (25769803777 = IPv4; 25769803778 = IPv6)
handled	reťazec	voliteľné	Udáva, či detekcia bola alebo nebola vyriešená
detection_uuid	reťazec	voliteľné	Jedinečný identifikátor detekcie, ktorý možno použiť na vyhľadávanie podrobností o detekcii cez ESET CONNECT API.

Príklad protokolu FilteredWebsites_Event vo formáte JSON:

EnterpriseInspectorAlert_Event

ESET PROTECT preposiela upozornenia nástroja ESET Inspect do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname	reťazec	voliteľné	Názov procesu, ktorý spôsobil upozornenie
username	reťazec	voliteľné	Vlastník procesu
rulename	reťazec	voliteľné	Názov pravidla, ktoré spustilo upozornenie
count	číslo	voliteľné	Počet upozornení tohto typu vygenerovaných od posledného upozornenia
hash	reťazec	voliteľné	SHA1 hash upozornenia
eiconsolelink	reťazec	voliteľné	Odkaz na upozornenie v konzole ESET Inspect
eialarmid	reťazec	voliteľné	Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$)
computer_severity_score	číslo	voliteľné	Skóre závažnosti počítača
severity_score	číslo	voliteľné	Skóre závažnosti pravidla
detection_uuid	reťazec	voliteľné	Jedinečný identifikátor detekcie, ktorý možno použiť na vyhľadávanie podrobností o detekcii cez ESET CONNECT API.
trigger_event	reťazec	voliteľné	Opis udalosti, ktorá spustila detekciu
command_line	reťazec	voliteľné	Príkazový riadok procesu, ktorý spustil detekciu

Príklad protokolu EnterpriseInspectorAlert_Event vo formáte JSON:

BlockedFiles_Event

ESET PROTECT preposiela blokované súbory nahlásené nástrojom ESET Inspect do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname	reťazec	voliteľné	Názov procesu spojeného s touto udalosťou
username	reťazec	voliteľné	Názov používateľského účtu spojeného s touto udalosťou
hash	reťazec	voliteľné	SHA1 hash blokovaného súboru
object_uri	reťazec	voliteľné	URI objektu
action	reťazec	voliteľné	Vykonaná akcia
firstseen	reťazec	voliteľné	Čas a dátum, kedy bola detekcia prvýkrát nájdená na danom počítači (formát dátumu a času).
cause	reťazec	voliteľné
description	reťazec	voliteľné	Popis blokovaného súboru
handled	reťazec	voliteľné	Udáva, či detekcia bola alebo nebola vyriešená
detection_uuid	reťazec	voliteľné	Jedinečný identifikátor detekcie, ktorý možno použiť na vyhľadávanie podrobností o detekcii cez ESET CONNECT API.

˄˅