Prohledat obsah nápovědy

Datový formát Open XDR

Drobečková navigace

ESET Online nápověda > ESET PROTECT > Používání ESET PROTECT > Hlavní menu ESET PROTECT > Rozšířené vyhledávání > Datový formát Open XDR

Kopírovat odkaz na aktuální článek Sdílet e-mailem

Tento článek (PDF) Celá dokumentace (PDF)

Datový formát Open XDR Data založen na Elastic Common Schema (ECS), což je normalizovaný formát používaný pro ESET Open XDR. ECS zjednodušuje psaní dotazů a umožňuje korelaci dat mezi různými zdroji dat. Telemetrické události, indikátory i incidenty jsou do tohoto schématu normalizovány ve všech produktech a integracích, které jsou součástí platformy Open XDR.

Data Open XDR jsou k dispozici z počítačů se spuštěným ESET Management Agentem verze 13.0+ a aplikací ESET Inspect Connector 3.0+.

Přečtěte si další informace o sjednocení ESET Inspect a ESET PROTECT (Open XDR).

Sady polí

ECS definuje několik skupin souvisejících polí, známých jako sady polí.

Sada polí agentů

Pole agenta popisují softwarovou komponentu, která shromažďuje, zjišťuje nebo sleduje telemetrické události nebo indikátory.

Název pole

Mapování pole

Příklad

Integrace poskytující toto pole

Povolené hodnoty

Poznámka

agent.build.original

keyword

13.01115.0

ESET

N/A

Rozšířené informace o sestavení.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Typ agentu nebo integrace, která událost shromáždila nebo zaznamenala.

•endpoint-security – pro údaje o ochraně koncového zařízení (ESET PROTECT)

•endpoint-detection-response – pro data EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Verze agenta.

Základní sady polí

Základní sada polí obsahuje všechna pole, která se nacházejí na kořenové úrovni událostí. Tato pole jsou společná pro všechny typy událostí.

Název pole

Mapování pole

Příklad

Integrace poskytující toto pole

Povolené hodnoty

Poznámka

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Datum a čas vzniku události. Obvykle jsou převzaty ze zdroje události. Pokud nejsou dostupné, použije se čas, kdy pipeline událost poprvé přijala.

Všechna pole s časovým razítkem jsou uložena v UTC. Při zobrazení jsou převedena do časového pásma nastaveného v uživatelském nastavení konzole.

Sada cloudových polí

Je určena k zaznamenávání metadat o prostředcích provozovaných v cloudovém prostředí.

Název pole

Mapování pole

Příklad

Integrace poskytující toto pole

Povolené hodnoty

Poznámka

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifikuje poskytovatele cloudových služeb, u kterého je prostředek spuštěn.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Jedinečný identifikátor instance (virtuálního počítače nebo výpočetního prostředku), který přiděluje poskytovatel cloudu.

Sada polí pro podpis kódu

Pole popisující digitální podpis souboru na disku, spustitelného souboru, který spustil proces, nebo dynamicky načítané knihovny. Uvádějí, zda je soubor podepsán, kdo jej podepsal a zda je podpis platný a důvěryhodný. Očekává se, že pole pro podpis kódu budou vnořena v:

•process.*

•file.*

•dll.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
code_signature.exists	boolean	true	ESET	N/A	Označuje, zda je přítomen digitální podpis. Vyplňuje se pouze tehdy, pokud data pocházejí z ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identifikátor přiřazený entitě, která soubor podepsala. Vyplňuje se pouze tehdy, pokud data pocházejí z ESET Inspect na zařízeních s macOS.
code_signature.status	keyword	trusted	ESET	Pro ESET jsou povoleny následující hodnoty: •trusted •valid •adhoc •none •invalid •unknown •present	Stav ověření digitálního podpisu, který udává, zda je důvěryhodný, neplatný nebo má jiný stav. Vyplňuje se pouze tehdy, pokud data pocházejí z ESET Inspect. •trusted – podpis, který společnost ESET považuje za důvěryhodný. •valid – podpis, který OS považuje za důvěryhodný. •adhoc – podepsaný sám sebou (pouze macOS). •none – bez podpisu. •invalid – podpis, který OS nepovažuje za důvěryhodný (poškozený nebo odvolaný). •unknown – nelze určit, zda je podpis přítomen. •present – podpis je přítomen, ale důvěryhodnost se nepodařilo ověřit.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Jméno entity (jednotlivce, organizace nebo vydavatele), která soubor podepsala, jak je uvedeno v digitálním podpisu. Vyplňuje se pouze tehdy, pokud data pocházejí z ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identifikátor přidělený vývojovému týmu, který soubor podepsal. Vyplňuje se pouze tehdy, pokud data pocházejí z ESET Inspect na zařízeních s macOS.

Sada polí cíle

Pole, která popisují cíl síťového připojení nebo přenosu dat. Obvykle obsahují podrobnosti o koncovém zařízení, které přijímá data, jako je IP adresa, port nebo doména.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
destination.address	keyword	192.168.1.1	ESET	N/A	Nezpracovaná adresa cíle poskytnutá zdrojem. Může se jednat o IP adresu, název domény nebo jiný síťový identifikátor.
destination.ip	ip	192.168.1.1	ESET	N/A	IP adresa cílového hostitele nebo koncového zařízení přijímajícího síťovou komunikaci.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC adresa cílového síťového rozhraní.
destination.port	long	22	ESET	N/A	Číslo síťového portu cíle.

Sada polí zařízení

Pole, která popisují hardwarové zařízení související s událostí. Obvykle zahrnují atributy, jako jsou identifikátory zařízení, model, výrobce, sériové číslo a další charakteristiky, které pomáhají identifikovat fyzické zařízení generující nebo přijímající data.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Název společnosti nebo dodavatele, který zařízení vyrobil.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Jedinečný identifikátor modelu zařízení poskytovaný výrobcem, který slouží k rozlišení různých hardwarových modelů.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Jedinečné sériové číslo přidělené zařízení výrobcem.

Sada polí DLL

Pole popisující dynamicky načtenou knihovnu zapojenou do události. Ačkoliv název vychází z terminologie Windows, tato sada polí se vztahuje na více platforem:

•Dynamická linkovaná knihovna (.dll) běžně používaná ve Windows.

•Sdílený objekt (.so) běžně používaný v unixových operačních systémech.

•Dynamická knihovna (.dylib) běžně používaná v systému macOS.

V rámci sady polí DLL mohou být vnořeny následující sady polí:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
dll.name	keyword	scrobj.dll	ESET	N/A	Název souboru dynamicky načítané knihovny bez cesty.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Úplná cesta v systému souborů k dynamicky načítané knihovně.

Sada polí ECS

Metadata specifická pro ECS.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
ecs.version	keyword	8.16	all	N/A	Verze ECS, které tato událost odpovídá.

Sada polí události

Pole, která popisují detaily události nebo aktivity zaznamenané systémem nebo aplikací. Tato pole poskytují kontext, jako je kategorie, typ, akce, výsledek a časová razítka.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
event.action	keyword	file-cleaned	ESET	Pro ESET jsou povoleny následující hodnoty: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	Konkrétní akce nebo operace, která událost spustila. Pole je uvedeno pouze v případě, že je pro danou událost relevantní.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Klasifikace události na vysoké úrovni sloužící k seskupení podobných typů aktivity. Toto pole pomáhá uspořádat události do širokých funkčních kategorií pro snadnější filtrování a analýzu. Pole může obsahovat více hodnot.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Představuje časové razítko, kdy agent událost poprvé přijal nebo zaznamenal. Hodnota by se měla mírně lišit od @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Název datové sady, do které událost patří. Tato hodnota se obvykle používá k seskupení souvisejících událostí ze stejného zdroje nebo integrace.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Jedinečné ID události.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Představuje časové razítko, kdy byla událost přijata v konzoli ESET PROTECT.
event.kind	keyword	alert	all	Pro ESET jsou povoleny následující hodnoty: •alert •event	Kategorizace na vysoké úrovni typu informace, kterou událost nese. V kontextu ESET hodnota alert odpovídá indikátoru, zatímco event se vztahuje k telemetrické události.
event.module	keyword	eset	all	Pro ESET jsou povoleny následující hodnoty: •eset	Identifikuje název integrace, která událost vygenerovala. Toto pole slouží k seskupení událostí podle jejich zdroje.
event.outcome	keyword	success	vše	•failure •success •unknown	Označuje výsledek události nebo akce.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifikuje zdroj nebo komponentu v systému, která událost vygenerovala. Často se jedná o název aplikace, služby nebo subsystému odpovědného za vytvoření dat. V kontextu ESET je tato hodnota někdy označována jako skener a udává, které skenovací jádro nebo modul ESET událost detekoval nebo nahlásil.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Poskytuje popisné vysvětlení, proč k události došlo. Toto pole obsahuje čitelný text, který objasňuje příčinu, spouštěč nebo zdůvodnění události.
event.risk_score	float	40	ESET	N/A	Číselná hodnota vyjadřující odhadované riziko události poskytnutou zdrojem události.
event.severity	long	2	ESET	N/A	Číselná hodnota vyjadřující závažnost události poskytnutou zdrojem události.
event.type	keyword pole	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Popisuje konkrétní typ nebo akci, kterou událost představuje v rámci své kategorie. Toto pole poskytuje podrobnější klasifikaci než event.category.

Sada polí souboru

Popisuje podrobnosti o souboru, kterého se událost týká. V rámci sady polí souboru mohou být vnořeny následující sady polí:

•file.code_signature.*

•file.hash.*

•file.pe.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
file.directory	keyword	C:\Windows\System32	ESET	N/A	Cesta k adresáři, kde se soubor nachází, s výjimkou názvu souboru.
file.extension	keyword	dll	ESET	N/A	Přípona souboru bez úvodní tečky.
file.name	keyword	rasadhlp.dll	ESET	N/A	Název souboru včetně přípony, ale bez cesty k adresáři.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Úplná cesta k souboru, včetně adresářů a názvu souboru.
file.type	keyword	file	ESET	•file •directory •symlink	Obecný typ souboru. Určuje povahu objektu v systému souborů.

Sada polí hash

Obsahuje kryptografické hashovací hodnoty, které jednoznačně identifikují soubory. Očekává se, že pole hash budou vnořena v:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Hodnota hash MD5 souboru nebo dat.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Hodnota hash SHA1 souboru nebo dat.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Hodnota hash SHA256 souboru nebo dat.

Sada polí hostitele

Popisuje podrobnosti o hostiteli (počítači, serveru nebo zařízení), kde událost vznikla nebo byla zaznamenána. V rámci sady polí hostitele mohou být vnořeny následující sady polí:

•host.os.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
host.architecture	keyword	x86-64	ESET	N/A	Architektura CPU hostitele.
host.domain	keyword	CONTOSO	ESET	N/A	Název domény hostitele, obvykle představující doménu Active Directory, do které hostitel patří.
host.hostname	keyword	SRV-02	ESET	N/A	Název hostitele hlášený operačním systémem pomocí příkazu hostname.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Jedinečný identifikátor hostitele.
host.ip	ip array	192.168.1.35	ESET	N/A	IP adresa nebo adresy přiřazené hostiteli.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	MAC adresa nebo adresy síťových rozhraní hostitele.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Název hostitele.
host.type	keyword	server	ESET	Pro ESET jsou povoleny následující hodnoty: •workstation •server •mobile	Typ hostitele.

Sada polí sítě

Zobrazuje podrobnosti o síťové aktivitě související s událostí. Pole zahrnují informace o protokolu, směru a identifikátorech síťové komunikace.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Hash hodnota, která jednoznačně identifikuje síťový tok na základě pětice údajů (zdrojová IP adresa, cílová IP adresa, zdrojový port, cílový port a transportní protokol). Umožňuje konzistentní korelaci síťových relací mezi různými systémy a nástroji. Další informace naleznete na githubu.
network.direction	keyword	ingress	ESET	•ingress •egress	Směr síťové komunikace vůči hostiteli.
network.protocol	keyword	ssh	ESET	N/A	Název použitého síťového protokolu. V modelu OSI je to ekvivalent aplikační vrstvy.
network.transport	keyword	tcp	ESET	N/A	Základní transportní protokol. V modelu OSI je to ekvivalent transportní vrstvy.
network.type	keyword	ipv4	ESET	N/A	Typ síťové komunikace. V modelu OSI je to ekvivalent síťové vrstvy.

Sada polí operačního systému

Popisuje podrobnosti o operačním systému spuštěném na hostiteli nebo zařízení. Očekává se, že pole operačního systému budou vnořena v:

•host.os.*

Název pole

Mapování pole

Příklad

Integrace poskytující toto pole

Povolené hodnoty

Poznámka

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Lidsky čitelný název operačního systému.

os.type

keyword

windows

ESET

Pro ESET jsou povoleny následující hodnoty:

•windows

•linux

•macos

•ios

•android

Obecný typ operačního systému.

os.version

keyword

10.0.19045.6456

ESET

N/A

Řetězec verze operačního systému.

Sada polí PE

Popisuje metadata extrahovaná ze souboru Windows Portable Executable (PE), jako jsou spustitelné soubory, knihovny DLL a ovladače. Očekává se, že pole PE budou vnořena v:

•dll.pe.*

•file.pe.*

•process.pe.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
pe.architecture	keyword	x64	ESET	N/A	Specifikuje architekturu CPU, pro kterou byl soubor Portable Executable (PE) vytvořen.
pe.company	keyword	Google LLC	ESET	N/A	Název společnosti, která zveřejnila spustitelný soubor.
pe.description	keyword	Google Chrome	ESET	N/A	Popis účelu souboru.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Název, který měl spustitelný soubor při kompilaci a podpisu.
pe.product	keyword	Google Chrome	ESET	N/A	Název produktu, ke kterému soubor patří.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Verze souboru uvedená v jeho metadatech.

Sada polí procesu

Popisuje podrobnosti o procesu spuštěném na hostiteli, který souvisí s událostí. Očekává se, že pole procesu budou vnořena v:

•process.parent.*

V rámci sady polí procesu mohou být vnořeny následující sady polí:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Pole argumentů předaných procesu.
process.args_count	long	5	ESET	N/A	Počet argumentů předaných procesu.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Úplný příkazový řádek použitý ke spuštění procesu včetně argumentů.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Časové razítko ukončení procesu. Pokud toto pole není vyplněno, proces v době generování události stále probíhal.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Jedinečný identifikátor procesu. Implementace závisí na zdroji dat.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Úplná cesta ke spustitelnému souboru procesu.
process.name	keyword	whoami.exe	ESET	N/A	Název spustitelného souboru procesu.
process.pid	long	9988	ESET	N/A	ID procesu přiřazené operačním systémem.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Časové razítko zahájení procesu.

Sada polí identifikátorů souvisejících s událostí

Obsahuje seznamy identifikátorů souvisejících s událostí. Tyto hodnoty pomáhají s propojováním různých událostí, které mohou mít stejnou hodnotu v různých polích, např. process.hash a process.parent.hash.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Pole hashů souvisejících s událostí.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Pole hostitelů souvisejících s událostí.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Pole IP adres souvisejících s událostí.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Pole identifikátorů uživatelů souvisejících s událostí.

Sada polí pravidla

Obsahuje podrobnosti o indikátoru. Tato pole pomáhají identifikovat, kategorizovat a korelovat indikátory na základě detekční logiky, která je spustila.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
rule.author	keyword	ESET	ESET	N/A	Autor pravidla detekce.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Název pravidla. Tato hodnota by měla být vyplněna všemi indikátory.
rule.category	keyword	File System	ESET	N/A	Širší kategorie pravidla.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Jedinečný identifikátor pravidla v rámci celého systému. Přidělen autorem pravidla. V případě ESET Inspect se jedná o hodnotu používanou ve štítcích <guid> ve zdrojovém kódu pravidla.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Jedinečný identifikátor pravidla v rámci hostitele. Často je přiřazován detekčním jádrem.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Uvádí lidsky čitelné vysvětlení toho, co pravidlo detekuje, nebo jeho zamýšlený účel. Toto pole pomáhá analytikům pochopit logiku nebo kontext, který stojí za upozorněním, aniž by museli procházet celou definici pravidla. V případě ESET Inspect se jedná o obsah štítků <explanation> ve zdrojovém kódu pravidel.

Sada polí zdroje

Pole popisující zdroj síťového připojení nebo přenosu dat. Obvykle obsahují podrobnosti o koncovém zařízení, které odesílá data, jako je IP adresa, port nebo doména.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
source.address	keyword	192.168.1.1	ESET	N/A	Nezpracovaná adresa zdroje poskytnutá zdrojem. Může se jednat o IP adresu, název domény nebo jiný síťový identifikátor.
source.ip	ip	192.168.1.1	ESET	N/A	IP adresa zdrojového hostitele nebo koncového zařízení odesílajícího síťovou komunikaci.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC adresa zdrojového síťového rozhraní.
source.port	long	80	ESET	N/A	Číslo síťového portu zdroje.

Sada polí URL

Obsahuje podrobnosti o adrese URL, které se událost týká. Tato pole popisují strukturu a součásti adresy URL.

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Název domény získaný z adresy URL.
url.extension	keyword	xml	ESET	N/A	Přípona souboru z cesty URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Úplná adresa URL.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Úplná adresa URL poskytnutá původním zdrojem dat.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	Část adresy URL představující cestu.
url.scheme	keyword	http	ESET	N/A	Použitý protokol nebo schéma.

Sada polí uživatele

Popisuje podrobnosti o uživateli, který je spojen s událostí. Očekává se, že pole uživatele budou vnořena v:

•process.user.*

Název pole	Mapování pole	Příklad	Integrace poskytující toto pole	Povolené hodnoty	Poznámka
user.name	keyword	john	ESET	N/A	Uživatelské jméno nebo název účtu.
user.domain	keyword	contoso	ESET	N/A	Doména nebo realm, do něhož uživatel patří.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Jedinečný identifikátor uživatele.

Přípony

Vlastní rozšíření ECS jsou doplňkové sady polí zavedené integracemi za účelem zaznamenání dat, jež nejsou zahrnuta ve standardním schématu Elastic Common Schema. Tato pole umožňují používat širší kontext a atributy specifické pro dodavatele při zachování kompatibility s ECS. Rozšíření musí dodržovat konvence pojmenování ECS a jsou seskupena pod jednoznačným jmenným prostorem, aby se předešlo konfliktům se standardními poli ECS.

Rozšíření ESET

Rozšíření ESET standardizuje data z produktů ESET mapováním antivirových detekcí a indikátorů chování do vlastních polí ECS v rámci eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Poznámka
eset.aggregated_count	long	2	ESET	N/A	Pokud byl stejný indikátor spuštěn během krátkého časového úseku, vytvoří pouze jeden dokument. Toto pole obsahuje počet indikátorů, které vytvořily daný dokument.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identifikátor společný pro související indikátory ESET.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID instance ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informace o digitálním podpisu. Viz pole ECS pro podpis kódu.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Formát spustitelného souboru.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hashe spustitelného souboru. Viz sada ECS polí hash.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Jedinečný identifikátor spustitelného souboru.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Pokud je hodnota true, spustitelný soubor představuje dynamicky linkovanou knihovnu.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	Časové razítko okamžiku, kdy přidružený soubor nebo spustitelný soubor vyvolal antivirovou detekci, která byla klasifikována jako hraniční případ (tzv. near miss) (například podobný známému malwaru, ale ne natolik, aby byl s jistotou nahlášen jako malware).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Počet dní od prvního zobrazení spustitelného souboru v LiveGrid®. Číslo se zaokrouhluje na ekvivalent běžných časových intervalů: den, několik dní, týden, měsíc, polovina roku, rok atd.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Kolik počítačů nahlásilo spustitelný soubor do LiveGrid®. Interval je převeden na mocniny deseti: •0,00 => 0 (zatím není hlášeno do LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •a tak dále.
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Číslo udávající, jak bezpečný je spustitelný soubor podle LiveGrid®. Čím vyšší číslo, tím je podle LiveGrid® spustitelný soubor důvěryhodnější. •= 0,00 – malware nebo na seznamu blokovaných souborů •<= 0,38 – potenciálně nežádoucí nebo nebezpečný soubor •>= 0,88 – běžně se vyskytující čisté soubory
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Název spustitelného souboru včetně přípony, ale bez cesty k adresáři.
eset.executable.marked_safe	boolean	false	ESET	N/A	Pokud je hodnota true, spustitelný soubor je označen jako bezpečný.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Název packeru použitého k vytvoření spustitelného souboru, jak je identifikován společností ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Pole obsahující interní název z metadat spustitelného souboru.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Pokud je hodnota true, spustitelný soubor je ovladačem systému Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Pole obsahující verzi produktu z metadat spustitelného souboru.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Název nástroje SFX použitého k vytvoření spustitelného souboru, jak je identifikován společností ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Velikost spustitelného souboru.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Pole obsahující typ seznamu důvěryhodných souborů či adres. Tyto seznamy spravuje ESET a nejsou uživatelsky konfigurovatelné.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Pole popisující výsledek automatizované nápravy provedeného bezpečnostním produktem ESET. •mitigated – byla přijata částečná okamžitá automatická opatření ke zmírnění dopadu hrozby, ale hrozba nebyla plně eliminována. Úplné řešení obvykle vyžaduje restart systému. •remediated – hrozba byla zcela a trvale vyřešena zdrojovým systémem, automatizací nebo automatizovaným procesem, což znamená úplné odstranění hrozby a obnovení bezpečného stavu v době detekce. •unhandled –základní artefakt nebo pozorovatelný objekt nebyl vyřešen a nebyla přijata žádná okamžitá ani automatizovaná opatření k omezení, odstranění nebo snížení jeho dopadu. Jedná se o vysoce prioritní indikátor vyžadující rychlou lidskou analýzu, protože hrozba je stále aktivní a neomezovaná.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Zobrazuje seznam skupin správců ESET PROTECT, do kterých zařízení patří. Skupiny jsou seřazeny od nejvyšší úrovně po přímou nadřazenou skupinu hostitele.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Jedinečný identifikátor hostitele. Stejný jako host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Jedinečné identifikátory nadřazených procesů.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Úroveň integrity nadřazených procesů.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Názvy nadřazených procesů.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Identifikátory PID nadřazených procesů.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Počet procesů spuštěných z nadřazeného procesu.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Stav ukončení nadřazeného procesu.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Jedinečné identifikátory podřízených procesů.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Úroveň integrity podřízených procesů.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Názvy podřízených procesů.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identifikátory podřízených procesů.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Počet procesů spuštěných z podřízeného procesu.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Stav ukončení podřízených procesů.
eset.process.dns_query_count	long	0	ESET	N/A	Počet DNS dotazů provedených procesem.
eset.process.dropped_executable_count	long	1	ESET	N/A	Počet spustitelných souborů zahozených procesem.
eset.process.http_request_count	long	9	ESET	N/A	Počet HTTP požadavků provedených procesem.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Jedinečný identifikátor procesu.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Úroveň integrity procesu.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Určuje úplnou cestu v systému souborů k souboru zástupce systému Windows (.lnk), který byl použit ke spuštění procesu.
eset.process.modified_registry_count	long	42	ESET	N/A	Počet klíčů registru systému Windows změněných procesem.
eset.process.network_connection_count	long	6	ESET	N/A	Počet síťových připojení navázaných procesem.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Počet procesů vytvořených z procesu.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Pokud je hodnota true, je proces vyloučen z detekce hrozby ESET Endpoint Security z důvodu nakonfigurované výkonnostní výjimky.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Ukládá zřetězená pole user.domain a user.name do formátu domain\username, který představuje účet, pod kterým je proces prováděn.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Textová reprezentace pole event.severity. Vychází z pole event.risk_score. •1–39 => Informativní (1) •40–69 => Varování (2) •70–100 => Hrozba (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Kontextově specifická hodnota spojená s událostí definovanou v poli eset.triggering_event.type. Toto pole obsahuje primární objekt nebo parametr relevantní pro událost – například cestu k souboru, cestu k procesu, klíč registru, síťovou adresu nebo jiný prostředek, na kterém k události došlo.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Jedinečné ID spouštěcí události.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Libovolná neschematická strukturovaná data závislá na typu události.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Typ spouštěcí události na základě pozorovaného chování.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Časové razítko udávající, kdy byla provedena nápravná akce.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Jedinečné ID nápravné akce.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Název nápravné akce provedené EDR (ESET Inspect). Další informace naleznete v sekci Akce průvodce pravidly.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Označuje výsledek nápravné akce.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Verze skenovacího jádra nebo modulu ESET, který událost detekoval nebo nahlásil.

˄˅