محتوى تعليمات البحث

تنسيق بيانات Open XDR

عناصر التنقل التفصيلي

تعليمات ESET عبر الإنترنت > ESET PROTECT > استخدام ‎ESET PROTECT > القائمة الرئيسية ESET PROTECT > البحث المتقدم > تنسيق بيانات Open XDR

نسخ عنوان URL الحالي للمقالة مشاركة عبر البريد الإلكتروني

هذه المقالة (PDF) الوثيقة الكاملة (PDF)

يعتمد تنسيق بيانات Open XDR على المخطط العام المرن (ECS)، وهو التنسيق العادي المستخدم لـ ESET Open XDR. يعمل ECS على تبسيط كتابة الاستعلامات وتمكين ربط البيانات عبر مصادر البيانات المختلفة. يتم تطبيع أحداث القياس عن بُعد والمؤشرات والحوادث في هذا المخطط عبر المنتجات وعمليات الدمج التي تعد جزءاً من منصة Open XDR.

تُتاح بيانات Open XDR من أجهزة الكمبيوتر التي تعمل بإصدار العامل ESET Management من الإصدار 13.0+ والموصل ESET Inspect من الإصدار 3.0+.

يمكنك العثور على المزيد من المعلومات حول توحيد ESET Inspect وESET PROTECT (Open XDR).

مجموعات الحقول

يحدد ECS مجموعات متعددة من الحقول ذات الصلة، والمعروفة باسم مجموعات الحقول.

مجموعة حقول العامل

تصف حقول العامل مكون البرنامج الذي يجمّع أحداث أو مؤشرات القياس عن بُعد أو يكتشفها أو يراقبها.

اسم الحقل

تعيين الحقل

مثال

عمليات التكامل التي توفر هذا الحقل

القيم المسموح بها

ملاحظة

agent.build.original

keyword

13.01115.0

ESET

N/A

معلومات البناء الموسعة.

agent.type

keyword

endpoint-security

all

endpoint-security

endpoint-detection-response

نوع العامل أو التكامل الذي جمع الحدث أو لاحظه.

endpoint-security - لبيانات حماية نقطة النهاية (ESET PROTECT)
endpoint-detection-response - للحصول على بيانات EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

إصدار العامل.

مجموعات الحقول الأساسية

تحتوي مجموعة الحقول الأساسية على جميع الحقول الموجودة في جذر الأحداث. هذه الحقول شائعة في جميع أنواع الأحداث.

اسم الحقل

تعيين الحقل

مثال

عمليات التكامل التي توفر هذا الحقل

القيم المسموح بها

ملاحظة

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

التاريخ/الوقت الذي بدأ فيه الحدث. وعادةً ما يتم أخذه من مصدر الحدث. وإذا لم يكن متاحاً، فيُحدَّد بالوقت الذي استلم فيه خطّ المعالجة الحدث لأول مرة.

تُخزَّن جميع حقول الطوابع الزمنية بالتوقيت العالمي المنسق. وعند عرضها يتم تحويلها إلى المنطقة الزمنية المحددة في إعدادات مستخدم وحدة التحكم.

مجموعة حقول السحابة

تم تصميمها لالتقاط البيانات الوصفية حول الموارد التي تعمل في بيئة سحابية.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
cloud.provider	keyword	azure	ESET	azure aws gcp	تحديد موفر الخدمة السحابية التي يعمل عليها المورد.
cloud.instance.id	keyword	/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic	ESET	N/A	معرف فريد للمثيل (الجهاز الظاهري أو مورد الحوسبة) المقدم من موفر الخدمة السحابية.

مجموعة حقول توقيع التعليمات البرمجية

حقول تصف التوقيع الرقمي لملف موجود على القرص، أو لملف تنفيذي قام بتشغيل عملية، أو لمكتبة تم تحميلها ديناميكياً. وتوضح هذه الحقول ما إذا كان الملف موقَّعاً، ومن الجهة التي قامت بتوقيعه، وما إذا كان التوقيع صالحاً وموثوقاً. ومن المتوقَّع أن تكون حقول توقيع التعليمات البرمجية متداخلة ضمن:

process.*
file.*
dll.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
code_signature.exists	boolean	true	ESET	N/A	يشير إلى ما إذا كان التوقيع الرقمي موجوداً أم لا. ولا تتم تعبئة هذا الحقل إلا عندما تكون البيانات واردة من ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	المعرّف المرتبط بالجهة التي قامت بتوقيع الملف. ولا تتم تعبئة هذا الحقل إلا عندما تكون البيانات واردة من ESET Inspect على أجهزة macOS.
code_signature.status	keyword	trusted	ESET	بالنسبة لـ ESET، يُسمح بالقيم التالية: trusted valid adhoc none invalid unknown present	حالة التحقق من التوقيع الرقمي، والتي توضّح ما إذا كان التوقيع موثوقاً به، أو غير صالح، أو في حالة أخرى. ولا تتم تعبئة هذا الحقل إلا عندما تكون البيانات واردة من ESET Inspect. trusted - التوقيع موثوق به من قِبل ESET. valid - التوقيع موثوق به من قِبل نظام التشغيل. adhoc - تم التوقيع ذاتياً (macOS فقط). none - لا يوجد توقيع. invalid - التوقيع غير موثوق لدى نظام التشغيل، أو تالف، أو تم إلغاؤه. unknown - غير قادر على تحديد ما إذا كان التوقيع موجوداً أم لا. present - التوقيع موجود، لكن تعذّر التحقق من مستوى الثقة به.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	اسم الكيان (الفرد أو المؤسسة أو جهة النشر) الذي وقّع الملف، كما هو مدرج في التوقيع الرقمي. ولا تتم تعبئة هذا الحقل إلا عندما تكون البيانات واردة من ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	معرّف تم تعيينه لفريق التطوير الذي وقّع الملف. ولا تتم تعبئة هذا الحقل إلا عندما تكون البيانات واردة من ESET Inspect على أجهزة macOS.

مجموعة حقول الوجهة

الحقول التي تصف هدف الاتصال بالشبكة أو نقل البيانات. وعادة ما تتضمن تفاصيل حول الأجهزة التي تستقبل البيانات، مثل عنوان IP والمنفذ والنطاق.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
destination.address	keyword	192.168.1.1	ESET	N/A	العنوان الأولي للوجهة، كما ورد من المصدر. قد يكون عنوان IP، أو اسم نطاق، أو أي معرّف شبكي آخر.
destination.ip	ip	192.168.1.1	ESET	N/A	عنوان IP الخاص بمضيف الوجهة أو الأجهزة التي تستقبل حركة الضغط على الشبكة.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	عنوان MAC لواجهة شبكة الوجهة.
destination.port	long	22	ESET	N/A	رقم منفذ الشبكة الخاص بالوجهة.

مجموعة حقول الجهاز

الحقول التي تصف الجهاز المتضمن في الحدث. عادةً ما تتضمن السمات مثل معرفات الجهاز، والطراز، والشركة المصنعة، والرقم التسلسلي، وغيرها من السمات التي تساعد في تحديد الجهاز الفعلي الذي يولد البيانات أو يستقبلها.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	اسم الشركة أو البائع الذي قام بتصنيع الجهاز.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	معرّف فريد لطراز الجهاز، توفره الشركة المصنعة للتمييز بين طرازات الأجهزة المختلفة.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	الرقم التسلسلي الفريد الذي تم عيّنته الشركة المصنعة للجهاز.

مجموعة حقول DLL

الحقول التي تصف مكتبة تم تحميلها ديناميكياً متضمنة في حدث. على الرغم من أن الاسم يركز على بيئة Windows، فإن هذه المجموعة من الحقول تغطي منصات متعددة:

مكتبة الربط الديناميكي (.dll) الشائعة في Windows
الكائن المشترك (.so) الشائع في أنظمة التشغيل الشبيهة بـ Unix
المكتبة الديناميكية (.dylib) الشائعة في macOS

يمكن دمج مجموعات الحقول التالية ضمن مجموعة حقول DLL:

dll.code_signature.*
dll.hash.*
dll.pe.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
dll.name	keyword	scrobj.dll	ESET	N/A	اسم ملف المكتبة المحمّلة ديناميكياً، بدون المسار.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	مسار نظام الملفات الكامل المؤدي إلى المكتبة المحملة ديناميكياً.

مجموعة حقول ECS

معلومات وصفية خاصة بـ ECS.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
ecs.version	keyword	8.16	all	N/A	يتوافق هذا الحدث مع إصدار ECS.

مجموعة حقول الأحداث

الحقول التي تصف تفاصيل حدث أو نشاط تم التقاطه بواسطة أحد الأنظمة أو أحد التطبيقات. توفر هذه الحقول سياقاً مثل فئة الحدث ونوعه وإجراءه ونتائجه والطوابع الزمنية.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
event.action	keyword	file-cleaned	ESET	بالنسبة لـ ESET، يُسمح بالقيم التالية: rule-triggered connection-terminated file-blocked file-deleted file-cleaned file-marked-for-deletion part-of-deleted-object retained exploit-blocked ransomware-blocked	الإجراء أو العملية المحددة التي أدت إلى تشغيل الحدث. يتم توفير هذا الحقل إذا كان ينطبق على الحدث المحدد فقط.
event.category	keyword array	malware	all	api authentication configuration database driver email file host iam intrusion_detection library malware network package process registry session threat vulnerability web	تصنيف عالي المستوى للحدث، يستخدم يُستخدم أنواع مماثلة من النشاط. يساعد هذا الحقل في تنظيم الأحداث في فئات وظيفية واسعة لتسهيل التصفية والتحليل. ويمكن أن يحتوي على قيم متعددة.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	يمثل الطابع الزمني عندما تلقى العامل الحدث أو لاحظه لأول مرة. يجب أن تكون القيمة مختلفة قليلاً عن @timestamp.
event.dataset	keyword	eset.antivirus	all	eset.antivirus eset.firewall eset.hips eset.blockedfile eset.blockedurl eset.rule	اسم مجموعة البيانات التي ينتمي إليها الحدث. تُستخدم هذه القيمة عادةً لتجميع الأحداث ذات الصلة من نفس المصدر أو التكامل.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	معرف فريد للحدث.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	يمثل الطابع الزمني عند وصول الحدث إلى وحدة التحكم الخاصة بـ ESET PROTECT.
event.kind	keyword	alert	all	بالنسبة لـ ESET، يُسمح بالقيم التالية: alert event	تصنيف عالي المستوى لنوع المعلومات التي يحملها الحدث. في سياق ESET، يتوافق تنبيه القيمة مع المؤشر، بينما يشير الحدث إلى حدث قياسي لتتبع بيانات الاستخدام.
event.module	keyword	eset	all	بالنسبة لـ ESET، يُسمح بالقيم التالية: eset	لتحديد اسم التكامل الذي أدى إلى إنشاء الحدث. يُستخدم هذا الحقل لتجميع الأحداث حسب مصدرها.
event.outcome	keyword	success	الكل	failure success unknown	للإشارة إلى نتيجة الحدث أو الإجراء.
event.provider	keyword	Real-time file system protection	ESET	N/A	يحدد المصدر أو المكون داخل النظام الذي أنشأ الحدث. غالباً ما يكون هذا هو اسم التطبيق أو الخدمة أو النظام الفرعي المسؤول عن إنتاج البيانات. في السياق ESET، يُشار إلى هذه القيمة أحياناً باسم أداة الفحص، ما يشير إلى محرك الفحص أو وحدة ESET التي اكتشفت الحدث أو أبلغت عنه.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	يقدم شرحاً وصفياً لسبب وقوع الحدث. يحتوي هذا الحقل على نص يمكن للبشر قراءته يوضح سبب الحدث أو محفزه أو المبرر له.
event.risk_score	float	40	ESET	N/A	قيمة رقمية تمثل المخاطر المقدرة للحدث كما يوفرها مصدر الحدث.
event.severity	long	2	ESET	N/A	قيمة رقمية تمثل خطورة الحدث كما يوفرها مصدر الحدث.
event.type	keyword مصفوفة	deletion	all	access admin allowed change connection creation deletion denied device end error group indicator info installation protocol start user	تصف النوع أو الإجراء المحدد الذي يمثله الحدث ضمن فئته. يوفر هذا الحقل تصنيفاً أكثر دقة من event.category.

مجموعة حقول الملفات

تمثل تفاصيل حول ملف متضمن في الحدث. يمكن دمج مجموعات الحقول التالية ضمن مجموعة حقول الملفات:

file.code_signature.*
file.hash.*
file.pe.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
file.directory	keyword	C:\Windows\System32	ESET	N/A	مسار الدليل الذي يقع فيه الملف، دون اسم الملف.
file.extension	keyword	dll	ESET	N/A	امتداد الملف، من دون النقطة البادئة.
file.name	keyword	rasadhlp.dll	ESET	N/A	اسم الملف، بما في ذلك امتداده ولكن بدون مسار الدليل.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	المسار الكامل للملف، بما في ذلك الأدلة واسم الملف.
file.type	keyword	file	ESET	file directory symlink	النوع العام للملف. يشير إلى طبيعة الكائن في نظام الملفات.

مجموعة حقول التجزئة

يحتوي على قيم تجزئة مشفرة تحدد الملفات بشكل فريد. من المتوقع أن تُدمج حقول التجزئة في:

process.hash.*
file.hash.*
dll.hash.*
email.attachments.file.hash.*
eset.executable.hash.*
eset.process.loaded_libraries.hash.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	تجزئة MD5 الخاصة بالملف أو البيانات.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	تجزئة SHA1 الخاصة بالملف أو البيانات.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	تجزئة SHA256 الخاصة بالملف أو البيانات.

مجموعة حقول المضيف

يمثل تفاصيل حول المضيف (الكمبيوتر أو الخادم أو الجهاز) الذي نشأ منه الحدث أو تمت ملاحظته فيه. يمكن دمج مجموعات الحقول التالية ضمن مجموعة حقول المضيف:

host.os.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
host.architecture	keyword	x86-64	ESET	N/A	بنية وحدة المعالجة المركزية للمضيف.
host.domain	keyword	CONTOSO	ESET	N/A	اسم نطاق المضيف، والذي يمثل عادةً نطاق Active Directory الذي ينتمي إليه المضيف.
host.hostname	keyword	SRV-02	ESET	N/A	اسم المضيف كما يُبلغ عنه نظام التشغيل بواسطة أمر hostname.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	معرف فريد للمضيف.
host.ip	ip array	192.168.1.35	ESET	N/A	عنوان عناوين IP المعينة للمضيف.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	عناوين MAC الخاصة بواجهات شبكة المضيف.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	اسم المضيف.
host.type	keyword	server	ESET	بالنسبة لـ ESET، يُسمح بالقيم التالية: workstation server mobile	نوع المضيف.

مجموعة حقول الشبكة

تمثل تفاصيل حول نشاط الشبكة المرتبط بالحدث. وتصف هذه الحقول البروتوكول والوجهة ومعرفات الضغط على الشبكة.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	قيمة تجزئة تحدد تدفق الشبكة بشكل فريد استناداً إلى الخمسة عناصر (عنوان IP المصدر وعنوان IP الوجهة ومنفذ المصدر ومنفذ الوجهة وبروتوكول النقل). وتوفر طريقة ثابتة لربط جلسات الشبكة عبر أنظمة وأدوات مختلفة. يمكن العثور على المزيد من المعلومات في github.
network.direction	keyword	ingress	ESET	ingress egress	اتجاه حركة المرور بالنسبة للمضيف.
network.protocol	keyword	ssh	ESET	N/A	اسم بروتوكول الشبكة المستخدم. في نموذج OSI، يعادل هذا طبقة التطبيق.
network.transport	keyword	tcp	ESET	N/A	بروتوكول النقل الأساسي. في نموذج OSI، يعادل هذا طبقة النقل.
network.type	keyword	ipv4	ESET	N/A	نوع الضغط على الشبكة. في نموذج OSI، يعادل هذا طبقة الشبكة.

مجموعة حقول نظام التشغيل

تمثل تفاصيل حول نظام التشغيل الذي يعمل على أحد مضيف أو جهاز. من المتوقع أن تُدمج حقول نظام التشغيل في:

host.os.*

اسم الحقل

تعيين الحقل

مثال

عمليات التكامل التي توفر هذا الحقل

القيم المسموح بها

ملاحظة

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

اسم نظام التشغيل الذي يمكن للبشر قراءته.

os.type

keyword

windows

ESET

بالنسبة لـ ESET، يُسمح بالقيم التالية:

windows
linux
macos
ios
android

النوع العام لنظام التشغيل.

os.version

keyword

10.0.19045.6456

ESET

N/A

سلسلة إصدار نظام التشغيل.

مجموعة حقول PE

تمثل البيانات الأولية المستخرجة من ملف Windows Portable Executable (PE)، مثل الملفات التنفيذية وملفات DLL وبرامج التشغيل. من المتوقع أن تُدمج حقول PE في:

dll.pe.*
file.pe.*
process.pe.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
pe.architecture	keyword	x64	ESET	N/A	يحدد بنية وحدة المعالجة المركزية التي تم إنشاء ملف PE من أجلها.
pe.company	keyword	Google LLC	ESET	N/A	اسم الشركة التي نشرت الملف القابل للتنفيذ.
pe.description	keyword	Google Chrome	ESET	N/A	وصف الغرض من الملف.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	اسم الملف التنفيذي كما كان عند تجميعه وتوقيعه.
pe.product	keyword	Google Chrome	ESET	N/A	اسم المنتج الذي ينتمي إليه الملف.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	إصدار الملف كما هو محدد في البيانات الوصفية الخاصة به.

مجموعة حقول العمليات

تمثل تفاصيل حول عملية تجري على مضيف مرتبط بالحدث. من المتوقع أن تُدمج حقول العملية في:

process.parent.*

يمكن دمج مجموعات الحقول التالية ضمن مجموعة حقول العملية:

process.code_signature.*
process.hash.*
process.pe.*
process.user.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	مصفوفة المعطيات التي تم تمريرها إلى العملية.
process.args_count	long	5	ESET	N/A	عدد المعطيات التي تم تمريرها إلى العملية.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	سطر الأوامر الكامل المستخدم لبدء العملية، بما في ذلك المعطيات.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	الطابع الزمني لوقت انتهاء العملية. إذا لم يكن الحقل مملوءاً، فهذا يعني أن العملية كانت لا تزال تعمل عند إنشاء الحدث.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	معرف فريد للعملية. يعتمد التنفيذ على مصدر البيانات.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	المسار الكامل لملف العملية القابل للتنفيذ.
process.name	keyword	whoami.exe	ESET	N/A	اسم العملية القابلة للتنفيذ.
process.pid	long	9988	ESET	N/A	معرّف العملية المعيّن من قبل نظام التشغيل.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	الطابع الزمني لوقت بدء العملية.

مجموعة الحقول ذات الصلة

يحتوي على قوائم بالمعرفات ذات الصلة بالحدث. تساعد هذه القيم في الربط بين الأحداث المختلفة التي قد يكون لها نفس القيمة في مجالات مختلفة مثل process.hash وprocess.parent.hash

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	مجموعة التجزئات المتعلقة بالحدث.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	مجموعة المضيفين ذوي الصلة بالحدث.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	مجموعة عناوين IP ذات الصلة بالحدث.
related.user	keyword array	S-1-5-18, system	ESET	N/A	مجموعة معرّفات المستخدم المتعلقة بالحدث.

مجموعة حقول القاعدة

يمثل تفاصيل حول المؤشر. تساعد هذه الحقول في تحديد المؤشرات وتصنيفها وربطها بناءً على منطق الكشف الذي أدى إلى تشغيلها.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
rule.author	keyword	ESET	ESET	N/A	مؤلف قواعد الاكتشاف.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	اسم القاعدة. يجب ملء هذه القيمة باستخدام جميع المؤشرات.
rule.category	keyword	File System	ESET	N/A	فئة واسعة من القاعدة.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	معرف فريد للقاعدة، ضمن نطاق النظام بأكمله. تم التعيين بواسطة مؤلف القاعدة. في حالة ESET Inspect، تكون هذه هي القيمة المستخدمة في علامات <guid> في رمز مصدر القاعدة.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	معرف فريد لإصدار القاعدة، ضمن نطاق المضيف. وغالباً ما يتم تعيينه بواسطة محرك الكشف.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	توفير شرح يمكن قراءته بواسطة الإنسان لما تكتشفه القاعدة أو الغرض المقصود منها. يساعد هذا الحقل المحللين على فهم المنطق أو السياق وراء التنبيه دون مراجعة تعريف القاعدة الكامل. في حالة حدوث ESET Inspect، تكون هذه محتويات علامات <explanation> في رمز مصدر القاعدة.

مجموعة حقول المصدر

الحقول التي تصف مصدر اتصال الشبكة أو نقل البيانات. وعادة ما تتضمن تفاصيل حول الأجهزة التي ترسل البيانات، مثل عنوان IP والمنفذ والنطاق.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
source.address	keyword	192.168.1.1	ESET	N/A	العنوان الأولي للمصدر، كما ورد من المصدر. قد يكون عنوان IP، أو اسم نطاق، أو أي معرّف شبكي آخر.
source.ip	ip	192.168.1.1	ESET	N/A	عنوان IP الخاص بالمضيف المصدر أو نقطة النهاية التي ترسل حركة الضغط على الشبكة.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	عنوان MAC لواجهة شبكة المصدر.
source.port	long	80	ESET	N/A	رقم منفذ الشبكة الخاص بالمصدر.

مجموعة حقول عناوين URL

تمثل تفاصيل حول عنوان URL المتضمن في الحدث. وتصف هذه الحقول بنية عنوان URL ومكوناته.

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	اسم النطاق المستخرج من عنوان URL.
url.extension	keyword	xml	ESET	N/A	امتداد الملف من مسار URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	عنوان URL الكامل.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	عنوان URL الكامل كما ورد في مصدر البيانات الأصلي.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	جزء من مسار عنوان URL.
url.scheme	keyword	http	ESET	N/A	البروتوكول أو المخطط المستخدَم.

مجموعة حقول المستخدِم

تمثل تفاصيل حول مستخدم مرتبط بالحدث. من المتوقع أن تُدمج حقول المستخدِم في:

process.user.*

اسم الحقل	تعيين الحقل	مثال	عمليات التكامل التي توفر هذا الحقل	القيم المسموح بها	ملاحظة
user.name	keyword	john	ESET	N/A	اسم المستخدم أو اسم الحساب.
user.domain	keyword	contoso	ESET	N/A	النطاق أو المجال الذي ينتمي إليه المستخدم.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	معرف فريد للمستخدم.

الامتدادات

امتدادات ECS المخصصة هي مجموعات حقول إضافية تقدمها التكاملات لالتقاط بيانات غير مشمولة في مخطط Elastic Common Schema القياسي. تسمح هذه الحقول بسياق أكثر ثراءً وسمات خاصة بالمورد مع الحفاظ على التوافق مع ECS. يجب أن تلتزم الامتدادات باتفاقيات تسمية ECS ويتم تجميعها ضمن مساحة اسم واضحة لتجنب التعارض مع حقول ECS القياسية.

امتداد ESET

يوحد امتداد ESET البيانات الواردة من منتجات ESET من خلال ربط اكتشافات برامج الحماية ضد الفيروسات والمؤشرات السلوكية بحقول ECS مخصصة ضمن eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	ملاحظة
eset.aggregated_count	long	2	ESET	N/A	إذا تم تشغيل المؤشر نفسه خلال فترة زمنية قصيرة، فسيتم إنشاء مستند واحد فقط. يحتوي هذا الحقل على عدد المؤشرات التي أنتجت المستند المحدد.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	معرف مشترك عبر مؤشرات ESET ذات الصلة.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	المعرف العالمي الفريد (GUID) لمثيل ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	معلومات حول التوقيع الرقمي. راجع حقول توقيع رمز ECS.
eset.executable.file_format	keyword	pe	ESET	elf pe macho	تنسيق الملف القابل للتنفيذ.
eset.executable.hash.*	N/A	N/A	ESET	N/A	تجزئات الملف القابل للتنفيذ. راجع مجموعة حقول تجزئة ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	معرف فريد للملف القابل للتنفيذ.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	إذا كانت القيمة true، فإن الملف القابل للتنفيذ يمثل مكتبة مرتبطة ديناميكياً.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	الطابع الزمني الذي أدى فيه الملف المرتبط أو الملف القابل للتنفيذ إلى اكتشاف برنامج الحماية ضد الفيروسات الذي تم تصنيفه على أنه شبه مفقود (كأن يكون مشابهاً لبرمجيات خبيثة معروفة لكن لا يرتقي لمستوى كافٍ للتبليغ عنه كبرمجية خبيثة مؤكدة).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	عدد الأيام منذ ظهور الملف القابل للتنفيذ لأول مرة في LiveGrid®. يتم تقريب الرقم إلى ما يعادل فئات زمنية شائعة مثل: يوم، وبضعة أيام، وأسبوع، وشهر، ونصف عام، وعام، وما إلى ذلك.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	كم عدد أجهزة الكمبيوتر التي أبلغت عن ملف قابل للتنفيذ لـ LiveGrid®. يتم تقريب الفاصل الزمني إلى أقرب مرتبة عددية من قوى العدد 10: 0.00 => 0 (لم يتم الإبلاغ بعد لـ LiveGrid®) 0.09 => 10⁰ = 1 0.18 => 10¹ = 10 0.27 => 10² = 100 وما إلى ذلك
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	رقم يشير إلى مدى أمان الملف القابل للتنفيذ وفقاً لـ LiveGrid®. كلما زاد الرقم، زادت موثوقية الملف القابل للتنفيذ بواسطة LiveGrid®. = 0.00 - برمجيات خبيثة أو مدرجة في القائمة السوداء <= 0.38 - من المحتمل أن يكون غير مرغوب فيه أو غير آمن >= 0.88 - الملفات النظيفة سائدة
eset.executable.name	keyword	usoclient.exe	ESET	N/A	اسم الملف القابل للتنفيذ، بما في ذلك امتداده ولكن بدون مسار الدليل.
eset.executable.marked_safe	boolean	false	ESET	N/A	إذا كانت القيمة true، فسيتم وضع علامة آمنة على الملف القابل للتنفيذ.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	اسم ضاغط الفيروسات المُستخدَم لإنشاء الملف القابل للتنفيذ كما حدده ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	حقل الاسم الداخلي من البيانات الوصفية القابلة للتنفيذ.
eset.executable.pe_is_native	boolean	false	ESET	N/A	إذا كانت القيمة true، فإن الملف التنفيذي هو برنامج تشغيل Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	حقل إصدار المنتج من البيانات الوصفية القابلة للتنفيذ.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	اسم أداة SFX المُستخدَمة لإنشاء الملف القابل للتنفيذ كما حدده ESET.
eset.executable.size	long	3,417,240	ESET	N/A	حجم الملف القابل للتنفيذ.
eset.executable.whitelist_type	keyword	livegrid	ESET	threat-scanner livegrid certificate	يتضمن نوع القائمة البيضاء. تتم إدارة هذه القوائم البيضاء بواسطة ESET ولا يمكن للمستخدم تكوينها.
eset.handling_status	keyword	remediated	ESET	mitigated remediated unhandled	يمثل نتيجة الإصلاح الآلية كما تم نفّذها منتج أمان ESET. mitigated - تم اتخاذ إجراءات آلية فورية جزئية للحد من تأثير التهديد، ولكن لم يتم القضاء عليه بالكامل. تتطلب الدقة الكاملة عادةً إعادة تشغيل النظام. remediated - تم حل التهديد بشكل كامل ودائم من خلال النظام المصدر أو التشغيل الآلي أو العملية الآلية، ما يشير إلى الإزالة الكاملة والتعافي إلى حالة آمنة في وقت الاكتشاف. unhandled - لم تتم معالجة الأداة الأساسية أو التي يمكن ملاحظتها، ولم يتم اتخاذ أي إجراء فوري أو آلي لاحتواء تأثيرها أو القضاء عليه أو الحد منه. يظل هذا المؤشر ذا أولوية عالية ويتطلب تحليلاً بشرياً سريعاً، نظراً لأن التهديد لا يزال نشطاً ولم يتم إيقافه أو إعاقته.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	سرد مجموعات إدارة ESET PROTECT التي ينتمي إليها الجهاز. يتم ترتيب المجموعات من المجموعة العليا إلى المجموعة الرئيسية المباشرة للمضيف.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	معرف فريد للمضيف. مثل host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	معرفات فريدة للعمليات الأصلية.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	untrusted low medium high system protected	مستوى تكامل العمليات الأصلية.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	أسماء العمليات الأصلية.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	معرفات العمليات (PID) الأصلية.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	عدد العمليات الناتجة عن العملية الأصلية.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	حالة إنهاء العملية الأصلية.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	معرفات فريدة للعمليات الفرعية.
eset.process.children.integrity_level	keyword array	medium, high	ESET	untrusted low medium high system protected	مستوى تكامل العمليات الفرعية.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	أسماء العمليات الخاصة بالعمليات الفرعية.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	معرفات العمليات الخاصة بالعمليات الفرعية.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	عدد العمليات الناتجة عن العملية الفرعية.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	حالة إنهاء العمليات الفرعية.
eset.process.dns_query_count	long	0	ESET	N/A	عدد استعلامات DNS التي أجرتها العملية.
eset.process.dropped_executable_count	long	1	ESET	N/A	عدد الملفات القابلة للتنفيذ التي أسقطتها العملية.
eset.process.http_request_count	long	9	ESET	N/A	عدد طلبات HTTP التي أجرتها العملية.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	المعرف الفريد للعملية.
eset.process.integrity_level	keyword	medium	ESET	untrusted low medium high system protected	مستوى تكامل العملية.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	يحدد المسار الكامل لنظام الملفات لملف اختصار Windows ‏(.lnk) الذي تم استخدامه لتشغيل العملية.
eset.process.modified_registry_count	long	42	ESET	N/A	عدد مفاتيح سجل Windows التي عدلتها العملية.
eset.process.network_connection_count	long	6	ESET	N/A	عدد اتصالات الشبكة التي أنشأتها العملية.
eset.process.spawned_child_process_count	long	2	ESET	N/A	عدد العمليات الناتجة عن العملية.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	عندما تكون القيمة true، يتم استبعاد العملية من اكتشاف التهديدات عبر ESET Endpoint Security بسبب استبعاد الأداء الذي تم تكوينه.
eset.process.username	keyword	contoso\administrator	ESET	N/A	يخزن القيمة المدمجة لكل من user.domain وuser.name بالصيغة domain\username، ممثلاً الحساب الذي تعمل ضمنه العملية.
eset.severity	keyword	Warning	ESET	Informational Warning Threat	تمثيل نصي لحقل event.severity. استنادا إلى حقل event.risk_score. 1–39 => معلوماتي (1) 40–69 => تحذير (2) 70-100 => تهديد (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	قيمة خاصة بالسياق مرتبطة بالحدث المحدد في. eset.triggering_event.type يحتوي هذا الحقل على الكائن أو المعلمة الأساسية ذات الصلة بالحدث، مثل: مسار الملف أو مسار العملية أو مفتاح التسجيل أو عنوان الشبكة أو المورد الآخر الذي وقع عليه الحدث.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	معرف فريد للحدث الذي تم تشغيله.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	بيانات منظمة عشوائية غير تخطيطية تعتمد على نوع الحدث.
eset.triggering_event.type	keyword	FileDeleted	ESET	ApiCalled CodeInjected DeviceConnected DnsResolved DriverLoaded DriverUnloaded ExecutableDropped FileAddedToBitsJob FileAttributesSet FileDeleted FileRead FileRenamed FileTruncated FileWritten HttpResourceRequested LibraryLoaded MultipleFilesChanged NamedPipeCreated ProcessCreated ProcessInjected ProcessOpened ProcessStartedViaWmi ProcessTerminated RegistryKeyCreated RegistryKeyDeleted RegistryKeyRenamed RegistryKeyValueChanged RegistryKeyValueDeleted ScheduledTaskCreated ScheduledTaskStarted ScriptExecuted ServiceInstalled ServiceStarted SystemApiCalled TcpIpAccepted TcpIpConnected TcpIpDisconnected TcpIpProtocolIdentified UserActivated UserAddedToGroup UserCreated UserDisabled UserLoggedin UserLoggedout UserRemoved UserRemovedFromGroup VirtualDiskMounted VolumeShadowCopyDeleted WmiPersistenceSetup WmiQueryExecuted	نوع الحدث الذي تم تشغيله بناءً على السلوك المرصود.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	الطابع الزمني الذي يشير إلى وقت تنفيذ إجراء الإصلاح.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	معرف فريد لإجراء الإصلاح.
eset.remediationactions.name	keyword array	KillProcess	ESET	BlockModule BlockProcessExecutable BlockProcessSuspiciousModules IsolateFromNetwork KillProcess LogOutUser Reboot Shutdown	اسم إجراء الإصلاح الذي تم تنفيذه بواسطة EDR (ESET Inspect). لمعرفة المزيد من التفاصيل، راجع قسم إجراءات دليل القواعد.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	يشير إلى نتيجة إجراء الإصلاح.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	إصدار محرك الفحص أو وحدة ESET التي اكتشفت الحدث أو أبلغت عنه.

˄˅