ESET PROTECT
编辑ESET PROTECT
编辑ESET PROTECT 使您能够从一个中心位置管理网络环境中工作站和服务器上的 ESET 产品,最多可管理 50,000 台设备。使用 ESET PROTECT Web 控制台,您可以部署 ESET 解决方案、管理任务、强制执行安全策略、监控系统状态,并快速响应远程计算机上的问题或威胁。
数据流
编辑ESET PROTECT 集成收集三种类型的日志:检测、设备任务和事件。
检测 用于通过 ESET Connect - 事件管理检索检测结果。
设备任务 用于通过 ESET Connect - 自动化检索设备任务。
事件 用于使用 Syslog 服务器检索检测、防火墙、HIPS、审计和 ESET Inspect 日志。
要求
编辑必须安装 Elastic Agent。有关详细信息,请参阅 此处 的链接。
安装和管理 Elastic Agent
编辑您有几个安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表获得,我们还提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关详细信息,请参阅 此处 的链接。
此模块已针对 ESET PROTECT(版本:5.0.9.1) 进行了测试。
设置
编辑要从 ESET Connect 收集数据,请按照以下步骤操作
编辑- 创建 API 用户帐户
- 检索创建 API 用户帐户期间生成的用户名和密码。
- 从 ESET Web 控制台 URL 检索区域。
要通过 Syslog 从 ESET PROTECT 收集数据,请按照以下步骤操作
编辑-
按照步骤 配置 syslog 服务器。
- 将有效负载的格式设置为 JSON。
- 将信封的格式设置为 Syslog。
- 将最小日志级别设置为 信息 以收集所有数据。
- 选择所有复选框以收集所有事件类型的日志。
- 在“目标 IP”字段中输入运行集成的 Elastic Agent 的 IP 地址 或 FQDN。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”
- 在“搜索集成”搜索栏中,键入 ESET PROTECT
- 从搜索结果中单击“ESET PROTECT”集成。
- 单击“添加 ESET PROTECT”按钮以添加集成。
- 配置所有必需的集成参数,包括用户名、密码和区域,以启用从 ESET Connect REST API 收集数据。对于 syslog 数据收集,请提供监听地址、监听端口和 SSL 设置等参数。
- 保存集成。
日志参考
编辑检测
编辑这是 Detection 数据集。
示例
detection 的示例事件如下所示
{
"@timestamp": "2023-10-26T13:36:53.000Z",
"agent": {
"ephemeral_id": "a2da59f5-382d-41e2-be5e-0b06df998911",
"id": "930b36c5-0fd6-41c4-83bc-d8547e3fa880",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.0"
},
"data_stream": {
"dataset": "eset_protect.detection",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.112",
"port": 443
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "930b36c5-0fd6-41c4-83bc-d8547e3fa880",
"snapshot": false,
"version": "8.12.0"
},
"eset_protect": {
"detection": {
"category": "DETECTION_CATEGORY_NETWORK_INTRUSION",
"context": {
"circumstances": "Eicar",
"device_uuid": "xxx-xxxx-1234-5678-xxxxxxxxxxxx",
"process": {
"path": "C:\\Windows\\chrome.exe"
},
"user_name": "testingpc\\example"
},
"network_communication": {
"protocol_name": "0",
"remote": {
"ip_address": "89.160.20.112",
"port": 443
}
},
"object_hash_sha1": "AAF4C61DDCC5E8A2DABEDE0F3B4820123456789D",
"object_type_name": "File",
"object_url": "C:\\Temp\\06516f11-xxxx-xxxx-xxxx-37da66b5de99_ccf7464ba6e2e12e984514f694bfb10d03de77358d8a3afd7a2ffed150ec1df8.zip.e99\\ccf7464ba6e2e12e984514f694bfb10d03de77358d8a3afd7a2ffed150ec1df8",
"occur_time": "2023-10-26T13:36:53.000Z",
"severity_level": "SEVERITY_LEVEL_MEDIUM",
"type_name": "TCP Port scanning attack",
"uuid": "xxx-xxxx-xxxx-1234-xxxxxxxxxxxx"
}
},
"event": {
"agent_id_status": "verified",
"category": [
"intrusion_detection"
],
"dataset": "eset_protect.detection",
"ingested": "2024-04-16T05:41:07Z",
"kind": "alert",
"original": "{\"category\":\"DETECTION_CATEGORY_NETWORK_INTRUSION\",\"context\":{\"circumstances\":\"Eicar\",\"deviceUuid\":\"xxx-xxxx-1234-5678-xxxxxxxxxxxx\",\"process\":{\"path\":\"C:\\\\\Windows\\\\\chrome.exe\"},\"userName\":\"testingpc\\\\\example\"},\"networkCommunication\":{\"protocolName\":\"0\",\"remoteIpAddress\":\"89.160.20.112\",\"remotePort\":443},\"objectHashSha1\":\"AAF4C61DDCC5E8A2DABEDE0F3B4820123456789D\",\"objectTypeName\":\"File\",\"objectUrl\":\"C:\\\\\Temp\\\\\06516f11-xxxx-xxxx-xxxx-37da66b5de99_ccf7464ba6e2e12e984514f694bfb10d03de77358d8a3afd7a2ffed150ec1df8.zip.e99\\\\\ccf7464ba6e2e12e984514f694bfb10d03de77358d8a3afd7a2ffed150ec1df8\",\"occurTime\":\"2023-10-26T13:36:53Z\",\"responses\":[{}],\"severityLevel\":\"SEVERITY_LEVEL_MEDIUM\",\"typeName\":\"TCP Port scanning attack\",\"uuid\":\"xxx-xxxx-xxxx-1234-xxxxxxxxxxxx\"}",
"type": [
"info"
]
},
"file": {
"hash": {
"sha1": "aaf4c61ddcc5e8a2dabede0f3b4820123456789d"
}
},
"host": {
"id": "xxx-xxxx-1234-5678-xxxxxxxxxxxx"
},
"input": {
"type": "cel"
},
"message": "Eicar",
"observer": {
"product": "ESET PROTECT",
"type": "ids",
"vendor": "ESET"
},
"process": {
"executable": "C:\\Windows\\chrome.exe",
"name": "chrome.exe"
},
"related": {
"hash": [
"aaf4c61ddcc5e8a2dabede0f3b4820123456789d"
],
"hosts": [
"xxx-xxxx-1234-5678-xxxxxxxxxxxx"
],
"ip": [
"89.160.20.112"
],
"user": [
"example"
]
},
"rule": {
"category": "DETECTION_CATEGORY_NETWORK_INTRUSION"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"eset_protect-detection"
],
"threat": {
"technique": {
"name": [
"TCP Port scanning attack"
]
}
},
"user": {
"domain": "testingpc",
"name": "example"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
eset_protect.detection.category |
检测类别。 |
keyword |
eset_protect.detection.context.circumstances |
对 [detection] 情况的人性化描述。 |
keyword |
eset_protect.detection.context.device_uuid |
对 [device] 的引用。 |
keyword |
eset_protect.detection.context.process.path |
可执行文件的磁盘路径。 |
keyword |
eset_protect.detection.context.user_name |
发生检测时所使用的用户名。 |
keyword |
eset_protect.detection.display_name |
检测的人性化名称。此值可用于在 http://www.virusradar.com/en/threat_encyclopedia 上查找详细信息。 |
keyword |
eset_protect.detection.network_communication.direction |
网络通信的方向。 |
keyword |
eset_protect.detection.network_communication.local.ip_address |
设备的 IPv4 或 IPv6 地址(即发生检测的设备)。 |
ip |
eset_protect.detection.network_communication.local.port |
设备上的 TCP 或 UDP 端口(即发生检测的设备)。 |
long |
eset_protect.detection.network_communication.protocol_name |
用于在本地主机和远程主机之间进行通信的协议的人性化名称。 |
keyword |
eset_protect.detection.network_communication.remote.ip_address |
远程主机的 IPv4 或 IPv6 地址(即不是发生检测的设备)。 |
ip |
eset_protect.detection.network_communication.remote.port |
远程主机上的 TCP 或 UDP 端口(即不是发生检测的设备)。 |
long |
eset_protect.detection.object_hash_sha1 |
扫描对象内容的 SHA1 哈希值。 |
keyword |
eset_protect.detection.object_name |
扫描对象的名称/路径。 |
keyword |
eset_protect.detection.object_type_name |
扫描对象的人性化类型名称。 |
keyword |
eset_protect.detection.object_url |
扫描对象的 URL(统一资源定位符)。 |
keyword |
eset_protect.detection.occur_time |
检测发生的时间戳。 |
日期 |
eset_protect.detection.responses.description |
响应的人性化描述。 |
keyword |
eset_protect.detection.responses.device_restart_required |
响应需要重启设备才能完成。 |
boolean |
eset_protect.detection.responses.display_name |
响应的人性化名称。 |
keyword |
eset_protect.detection.responses.protection_name |
执行响应的保护的人性化名称。 |
keyword |
eset_protect.detection.severity_level |
抽象为涵盖所有可能的 GUI 的严重性级别。词汇表将严重性级别的解释完全留给 API 客户端。 |
keyword |
eset_protect.detection.type_name |
检测的人性化类型。 |
keyword |
eset_protect.detection.uuid |
检测的通用唯一标识符。 |
keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
设备任务
编辑这是 Device Task 数据集。
示例
device_task 的示例事件如下所示
{
"@timestamp": "2024-04-16T05:41:49.641Z",
"agent": {
"ephemeral_id": "a2da59f5-382d-41e2-be5e-0b06df998911",
"id": "930b36c5-0fd6-41c4-83bc-d8547e3fa880",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.0"
},
"data_stream": {
"dataset": "eset_protect.device_task",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "930b36c5-0fd6-41c4-83bc-d8547e3fa880",
"snapshot": false,
"version": "8.12.0"
},
"eset_protect": {
"device_task": {
"action": {
"name": "Shutdown computer",
"params": {
"@type": "type.googleapis.com/Era.Common.DataDefinition.Task.ESS.OnDemandScan",
"cleaning_enabled": true,
"custom_profile_name": "DefaultProfile",
"scan_profile": "InDepth",
"scan_targets": [
"eset://AllTargets"
]
}
},
"description": "Automatically created via context menu",
"display_name": "Reboot Computer - via context menu",
"targets": {
"devices_uuids": [
"0205321e-XXXX-XXXX-1234-feeb35010ea7",
"0205321e-XXXX-XXXX-5678-feeb35010ea7",
"0205321e-XXXX-1234-5678-feeb35010ea7"
]
},
"triggers": [
{
"manual": {
"expire_time": "2023-12-01T01:30:00.000Z"
}
}
],
"uuid": "c93070e0-XXXX-1234-5678-c48f0e5e0b7e",
"version_id": "1511"
}
},
"event": {
"action": "Shutdown computer",
"agent_id_status": "verified",
"dataset": "eset_protect.device_task",
"ingested": "2024-04-16T05:41:59Z",
"kind": "event",
"original": "{\"action\":{\"name\":\"Shutdown computer\",\"params\":{\"@type\":\"type.googleapis.com/Era.Common.DataDefinition.Task.ESS.OnDemandScan\",\"cleaningEnabled\":true,\"customProfileName\":\"DefaultProfile\",\"scanProfile\":\"InDepth\",\"scanTargets\":[\"eset://AllTargets\"]}},\"description\":\"Automatically created via context menu\",\"displayName\":\"Reboot Computer - via context menu\",\"targets\":{\"devicesUuids\":[\"0205321e-XXXX-XXXX-1234-feeb35010ea7\",\"0205321e-XXXX-XXXX-5678-feeb35010ea7\",\"0205321e-XXXX-1234-5678-feeb35010ea7\"]},\"triggers\":[{\"manual\":{\"expireTime\":\"2023-12-01T01:30:00Z\"}}],\"uuid\":\"c93070e0-XXXX-1234-5678-c48f0e5e0b7e\",\"versionId\":\"1511\"}",
"type": [
"info"
]
},
"host": {
"id": [
"0205321e-XXXX-XXXX-1234-feeb35010ea7",
"0205321e-XXXX-XXXX-5678-feeb35010ea7",
"0205321e-XXXX-1234-5678-feeb35010ea7"
]
},
"input": {
"type": "cel"
},
"related": {
"hosts": [
"0205321e-XXXX-XXXX-1234-feeb35010ea7",
"0205321e-XXXX-XXXX-5678-feeb35010ea7",
"0205321e-XXXX-1234-5678-feeb35010ea7"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"eset_protect-device_task"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
eset_protect.device_task.action.name |
要执行的函数的名称。 |
keyword |
eset_protect.device_task.action.params.@type |
唯一标识序列化协议缓冲区消息类型的 URL/资源名称。 |
keyword |
eset_protect.device_task.action.params.actions.cancel_action |
boolean |
|
eset_protect.device_task.action.params.actions.postpone |
keyword |
|
eset_protect.device_task.action.params.cleaning_enabled |
boolean |
|
eset_protect.device_task.action.params.custom_profile_name |
keyword |
|
eset_protect.device_task.action.params.restart |
boolean |
|
eset_protect.device_task.action.params.scan_profile |
keyword |
|
eset_protect.device_task.action.params.scan_targets |
keyword |
|
eset_protect.device_task.description |
用户的描述。 |
keyword |
eset_protect.device_task.display_name |
任务的用户友好名称。 |
keyword |
eset_protect.device_task.targets.device_groups_uuids |
可以将任务分配给设备组。 |
keyword |
eset_protect.device_task.targets.devices_uuids |
可以将任务分配给单个设备,例如,如果任务在这些设备上运行失败。 |
keyword |
eset_protect.device_task.triggers.manual.create_time |
创建手动触发器的时间。任务只能在此时间之后触发。 |
日期 |
eset_protect.device_task.triggers.manual.expire_time |
任务在此时间之后不会触发。 |
日期 |
eset_protect.device_task.uuid |
设备任务的通用唯一标识符。 |
keyword |
eset_protect.device_task.version_id |
实体版本的标识符。 |
keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
事件
编辑这是 Event 数据集。
示例
event 的示例事件如下所示
{
"@timestamp": "2021-06-21T03:56:20.000Z",
"agent": {
"ephemeral_id": "fe2f9827-1823-4a86-8826-b6789530f104",
"id": "930b36c5-0fd6-41c4-83bc-d8547e3fa880",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.0"
},
"data_stream": {
"dataset": "eset_protect.event",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.128"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "930b36c5-0fd6-41c4-83bc-d8547e3fa880",
"snapshot": false,
"version": "8.12.0"
},
"eset_protect": {
"event": {
"action_taken": "blocked",
"group_description": "Lost & found static group",
"group_name": "All/Lost & found",
"hash": "ABCDAA625E6961037B8904E113FD0C232A7D0EDC",
"hostname": "win-test",
"ipv4": "192.168.30.30",
"is_handled": false,
"name": "An attempt to connect to URL",
"object_uri": "https://test.com",
"occured": "2021-06-21T03:56:20.000Z",
"os_name": "Microsoft Windows 11 Pro",
"processname": "C:\\Program Files\\Web browser\\brwser.exe",
"rule_id": "Blocked by PUA blacklist",
"scanner_id": "HTTP filter",
"severity": "Warning",
"source_uuid": "d9477661-8fa4-4144-b8d4-e37b983bcd69",
"target_address": "89.160.20.128",
"target_address_type": "IPv4",
"type": "FilteredWebsites_Event",
"username": "WIN-TEST\\Administrator"
}
},
"event": {
"action": "blocked",
"agent_id_status": "verified",
"category": [
"web"
],
"dataset": "eset_protect.event",
"ingested": "2024-04-16T05:42:56Z",
"kind": "alert",
"original": "{\"event_type\":\"FilteredWebsites_Event\",\"ipv4\":\"192.168.30.30\",\"hostname\":\"win-test\",\"group_name\":\"All/Lost & found\",\"os_name\":\"Microsoft Windows 11 Pro\",\"group_description\":\"Lost & found static group\",\"source_uuid\":\"d9477661-8fa4-4144-b8d4-e37b983bcd69\",\"occured\":\"21-Jun-2021 03:56:20\",\"severity\":\"Warning\",\"event\":\"An attempt to connect to URL\",\"target_address\":\"89.160.20.128\",\"target_address_type\":\"IPv4\",\"scanner_id\":\"HTTP filter\",\"action_taken\":\"blocked\",\"object_uri\":\"https://test.com\",\"hash\":\"ABCDAA625E6961037B8904E113FD0C232A7D0EDC\",\"username\":\"WIN-TEST\\\\\Administrator\",\"processname\":\"C:\\\\\Program Files\\\\\Web browser\\\\\brwser.exe\",\"rule_id\":\"Blocked by PUA blacklist\"}",
"type": [
"info"
]
},
"group": {
"name": "All/Lost & found"
},
"host": {
"hostname": "win-test",
"id": "d9477661-8fa4-4144-b8d4-e37b983bcd69",
"ip": [
"192.168.30.30"
],
"name": "win-test",
"os": {
"name": "Microsoft Windows 11 Pro"
}
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.247.8:59824"
},
"syslog": {
"appname": "ERAServer",
"facility": {
"code": 1,
"name": "user-level"
},
"hostname": "co7",
"priority": 15,
"procid": "75",
"severity": {
"code": 7,
"name": "Debug"
}
}
},
"message": "An attempt to connect to URL",
"process": {
"executable": "C:\\Program Files\\Web browser\\brwser.exe",
"name": "brwser.exe"
},
"related": {
"hash": [
"abcdaa625e6961037b8904e113fd0c232a7d0edc"
],
"hosts": [
"win-test",
"d9477661-8fa4-4144-b8d4-e37b983bcd69"
],
"ip": [
"192.168.30.30",
"89.160.20.128"
],
"user": [
"Administrator"
]
},
"rule": {
"name": "Blocked by PUA blacklist"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"eset_protect-event"
],
"threat": {
"indicator": {
"provider": "ESET PROTECT"
}
},
"user": {
"domain": "WIN-TEST",
"name": "Administrator"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
eset_protect.event.account |
与事件关联的用户帐户的名称。 |
keyword |
eset_protect.event.action |
采取的措施。 |
keyword |
eset_protect.event.action_error |
如果“操作”未成功,则显示错误消息。 |
keyword |
eset_protect.event.action_taken |
端点采取的操作。 |
keyword |
eset_protect.event.aggregate_count |
在 ESET PROTECT 服务器和管理 ESET Management Agent 之间两次连续复制期间,端点生成了多少条完全相同的消息。 |
long |
eset_protect.event.application |
与事件关联的应用程序名称。 |
keyword |
eset_protect.event.cause |
keyword |
|
eset_protect.event.circumstances |
导致事件发生的简短描述。 |
keyword |
eset_protect.event.computer_severity_score |
与事件关联的计算机严重性评分。 |
long |
eset_protect.event.count |
自上次警报以来生成的此类型警报的数量。 |
long |
eset_protect.event.description |
被阻止文件的描述。 |
keyword |
eset_protect.event.detail |
操作的详细描述。 |
keyword |
eset_protect.event.domain |
审计日志域。 |
keyword |
eset_protect.event.eialarmid |
警报链接的 ID 子部分(^http.*/alarm/([0-9]+)$ 中的 $1)。 |
keyword |
eset_protect.event.eiconsolelink |
ESET Inspect 控制台中警报的链接。 |
keyword |
eset_protect.event.engine_version |
扫描引擎的版本。 |
keyword |
eset_protect.event.firstseen |
在该机器上首次发现检测的时间和日期。 |
日期 |
eset_protect.event.group_description |
静态组的描述。 |
keyword |
eset_protect.event.group_name |
生成事件的计算机的静态组的完整路径。如果路径长度超过 255 个字符,则 group_name 仅包含静态组名称。 |
keyword |
eset_protect.event.handled |
指示是否已处理检测。 |
keyword |
eset_protect.event.hash |
与事件关联的 SHA1 哈希值。 |
keyword |
eset_protect.event.hostname |
生成事件的计算机的主机名。 |
keyword |
eset_protect.event.inbound |
连接是否是入站连接。 |
boolean |
eset_protect.event.ipv4 |
生成事件的计算机的 IPv4 地址。 |
ip |
eset_protect.event.ipv6 |
生成事件的计算机的 IPv6 地址。 |
ip |
eset_protect.event.is_handled |
指示是否已处理检测。 |
boolean |
eset_protect.event.name |
事件名称。 |
keyword |
eset_protect.event.need_restart |
是否需要重新启动。 |
boolean |
eset_protect.event.object_type |
与此事件相关的对象类型。 |
keyword |
eset_protect.event.object_uri |
与事件关联的对象 URI。 |
keyword |
eset_protect.event.occured |
事件发生的 UTC 时间。格式为 %d-%b-%Y %H:%M:%S。 |
日期 |
eset_protect.event.operation |
与事件关联的操作。 |
keyword |
eset_protect.event.os_name |
关于计算机操作系统的相关信息。 |
keyword |
eset_protect.event.processname |
与事件关联的进程名称。 |
keyword |
eset_protect.event.protocol |
与事件关联的协议。 |
keyword |
eset_protect.event.result |
操作的结果。 |
keyword |
eset_protect.event.rule_id |
与事件关联的规则 ID。 |
keyword |
eset_protect.event.rulename |
与事件关联的规则名称。 |
keyword |
eset_protect.event.scan_id |
与事件关联的扫描 ID。 |
keyword |
eset_protect.event.scanner_id |
与事件关联的扫描器 ID。 |
keyword |
eset_protect.event.severity |
事件的严重性。可能的值(从最不严重到最严重)为:信息、注意、警告、错误、严重、致命。 |
keyword |
eset_protect.event.severity_score |
与事件关联的规则严重性评分。 |
long |
eset_protect.event.source_address |
事件源的地址。 |
ip |
eset_protect.event.source_address_type |
事件源的地址类型。 |
keyword |
eset_protect.event.source_port |
事件源的端口。 |
long |
eset_protect.event.source_uuid |
生成事件的计算机的 UUID。 |
keyword |
eset_protect.event.target |
目标操作正在操作的对象。 |
keyword |
eset_protect.event.target_address |
事件目的地的地址。 |
ip |
eset_protect.event.target_address_type |
事件目的地的地址类型。 |
keyword |
eset_protect.event.target_port |
事件目的地的端口。 |
long |
eset_protect.event.threat_flags |
与检测相关的标志。 |
keyword |
eset_protect.event.threat_handled |
指示是否已处理检测。 |
boolean |
eset_protect.event.threat_name |
检测的名称。 |
keyword |
eset_protect.event.threat_type |
检测的类型。 |
keyword |
eset_protect.event.type |
导出的事件类型。 |
keyword |
eset_protect.event.username |
与事件关联的用户帐户的名称。 |
keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
0.5.1 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |