Open XDR-Datenformat
Das Open XDR-Datenformat basiert auf Elastic Common Schema (ECS), dem normalisierten Format, das für ESET Open XDR verwendet wird. ECS vereinfacht das Schreiben von Abfragen und ermöglicht das Korrelieren von Daten über mehrere Datenquellen hinweg. Telemetrie-Ereignisse, Indikatoren und Incidents werden in dieses Schema über Produkte und Integrationen hinweg normalisiert, die zur Open XDR-Plattform gehören.
Open XDR Daten sind von Computern verfügbar, auf denen ESET Management Agent Version 13.0+ und ESET Inspect Connector Version 3.0+ ausgeführt wird. Erfahren Sie mehr die Vereinheitlichung von ESET Inspect und ESET PROTECT (Open XDR). |
Feldsätze
ECS definiert mehrere Gruppen verwandter Felder, die als Feldsätze bekannt sind.
Agentenfelder beschreiben die Softwarekomponente, die Telemetrie-Ereignisse oder -Indikatoren sammelt, erkennt oder beobachtet.
|
Der grundlegende Feldsatz enthält alle Felder, die sich auf der Stammebene der Ereignisse befinden. Diese Felder sind in allen Arten von Ereignissen vorhanden.
|
Dient zur Erfassung von Metadaten über Ressourcen, die in einer Cloud-Umgebung ausgeführt werden.
|
Diese Felder beschreiben die digitale Signatur einer Datei auf dem Datenträger, einer ausführbaren Datei, die einen Prozess gestartet hat, oder einer dynamisch geladenen Bibliothek. Sie geben an, ob die Datei signiert ist, wer sie signiert hat und ob die Signatur gültig und vertrauenswürdig ist. Codesignaturfelder befinden sich vermutlich verschachtelt unter: •process.* •file.* •dll.*
|
Diese Felder beschreiben das Ziel einer Netzwerkverbindung oder Datenübertragung. Umfasst typischerweise Details zum Endpoint, der die Daten empfängt, wie etwa IP-Adresse, Port oder Domäne.
|
Diese Felder beschreiben das am Ereignis beteiligte Hardwaregerät. Dazu gehören meistens Attribute wie Gerätekennungen, Modell, Hersteller, Seriennummer und weitere Merkmale, mit denen das physische Gerät identifiziert werden kann, das Daten generiert oder empfängt.
|
Diese Felder beschreiben eine dynamisch geladene Bibliothek, die an einem Ereignis beteiligt ist. Obwohl der Name auf Windows schließen lässt, deckt dieser Feldsatz mehrere Plattformen ab: •Dynamische Link-Bibliotheken (.dll), die häufig unter Windows verwendet werden. •Shared Objects (.so) werden häufig in Unix-ähnlichen Betriebssystemen verwendet. •Dynamische Bibliotheken (.dylib) werden häufig unter macOS verwendet. Die folgenden Feldsätze können unter dem DLL-Feldsatz verschachtelt werden: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
ECS-spezifische Metainformationen
|
Dies Felder beschreiben die Details eines Ereignisses oder einer Aktivität, das bzw. die von einem System oder einer Anwendung erfasst wird. Diese Felder liefern Kontext wie Kategorie, Typ, Aktion, Ergebnis und Zeitstempel des Ereignisses.
|
Enthält Details zu einer am Ereignis beteiligten Datei. Die folgenden Feldsätze können unter dem Dateifeldsatz verschachtelt werden: •file.code_signature.* •file.hash.* •file.pe.*
|
Enthält kryptografische Hash-Werte, die Dateien eindeutig identifizieren. Hash-Felder befinden sich vermutlich verschachtelt unter: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
Enthält Details zum Host (Computer, Server oder Gerät), auf dem das Ereignis ausgelöst oder beobachtet wurde. Die folgenden Feldsätze können unter dem Host-Feldsatz verschachtelt werden: •host.os.*
|
Enthält Details zur Netzwerkaktivität im Zusammenhang mit dem Ereignis. Diese Felder beschreiben das Protokoll, die Richtung und die Bezeichner des Netzwerkverkehrs.
|
Enthält Details zum Betriebssystem, das auf einem Host oder Gerät ausgeführt wird. Betriebssystemfelder befinden sich vermutlich verschachtelt unter: •host.os.*
|
Enthält Metadaten, die aus einer Windows Portable Executable (PE)-Datei extrahiert wurden, wie etwa ausführbare Dateien, DLLs und Treiber. PE-Felder befinden sich vermutlich verschachtelt unter: •dll.pe.* •file.pe.* •process.pe.*
|
Enthält Details über einen Prozess, der auf einem Host ausgeführt und mit dem Ereignis in Verbindung steht. Prozessfelder befinden sich vermutlich verschachtelt unter: •process.parent.* Die folgenden Feldsätze können unter dem Prozessfeldsatz verschachtelt werden: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
Enthält Listen von Bezeichnern, die mit dem Ereignis in Verbindung stehen. Diese Werte sind hilfreich bei der Analyse verschiedener Ereignisse, die in unterschiedlichen Bereichen denselben Wert haben können, z. B. process.hash und process.parent.hash.
|
Enthält Details zu einem Indikator. Diese Felder helfen, Indikatoren auf Basis der ausgelösten Erkennungslogik zu identifizieren, zu kategorisieren und zu korrelieren.
|
Diese Felder beschreiben die Quelle einer Netzwerkverbindung oder Datenübertragung. Umfasst typischerweise Details zum Endpoint, der die Daten sendet, wie etwa IP-Adresse, Port oder Domäne.
|
Enthält Details zu einer am Ereignis beteiligten URL. Diese Felder beschreiben die Struktur und die Komponenten der URL.
|
Enthält Details über einen Benutzer, der mit dem Ereignis zusammenhängt. Benutzerfelder befinden sich vermutlich verschachtelt unter: •process.user.*
|
Erweiterungen
Benutzerdefinierte ECS-Erweiterungen sind zusätzliche Feldsätze, die durch Integrationen eingeführt werden. Sie erfassen Daten, die nicht vom standardmäßigen Elastic Common Schema abgedeckt werden. Diese Felder ermöglichen umfangreichere Kontext- und herstellerspezifische Attribute, ohne die ECS-Kompatibilität zu beeinträchtigen. Erweiterungen müssen den ECS-Namenskonventionen folgen und unter einem klaren Namensraum gruppiert werden, um Konflikte mit ECS-Standardfeldern zu vermeiden.
ESET Erweiterung
Die ESET Erweiterung standardisiert Daten aus ESET Produkten, indem Virenschutzereignisse und Verhaltensindikatoren zu benutzerdefinierten ECS-Feldern im ESET Namensraum zugeordnet werden.
Die Felder der ESET Erweiterung befinden sich normalerweise verschachtelt unter:
•eset.*
Der grundlegende ESET Feldsatz enthält alle Felder, die sich auf der Stammebene von eset.* namespace befinden.
|
Enthält Details zu übergeordneten Prozessen. Felder zu übergeordneten Prozessen befinden sich normalerweise verschachtelt unter: •eset.process.ancestors.* Die folgenden ECS-Felder befinden sich normalerweise verschachtelt unter eset.executable: •hash.*
|
Enthält Details zu übergeordneten Prozessen. Felder zu untergeordneten Prozessen befinden sich normalerweise verschachtelt unter: •eset.process.children.* Die folgenden ECS-Felder befinden sich normalerweise verschachtelt unter eset.executable: •hash.*
|
Enthält Informationen zu einer ausführbaren Datei, die mit dem Ereignis verknüpft ist. Wenn sich dieses Feld unter eset.process.* befindet, bezieht es sich spezifisch auf die ausführbare Datei des Prozesses, der auf dem Host ausgeführt wird, der mit dem Ereignis verknüpft ist. Felder zu ausführbaren Dateien befinden sich normalerweise verschachtelt unter: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* Die folgenden ECS-Felder befinden sich normalerweise verschachtelt unter eset.executable: •code_signature.* •hash.* Die folgenden Felder der ESET Erweiterung befinden sich normalerweise verschachtelt unter eset.executable: •livegrid_findings.*
|
Enthält Informationen zu den mit der ausführbaren Datei verknüpften ESET LiveGrid® Daten. Die Felder mit ESET LiveGrid Ergebnissen befinden sich normalerweise verschachtelt unter: •eset.executable.*
|
Liefert Informationen zu den Bibliotheken, die der Prozess zum Zeitpunkt der Erstellung des Indikators geladen hatte. Die Felder mit ESET LiveGrid Ergebnissen befinden sich normalerweise verschachtelt unter: •eset.process.loaded_libraries.* Die folgenden Feldsätze befinden sich normalerweise verschachtelt unter dem Feldsatz eset.loaded_libraries: •eset.executable.*
|
Enthält Details über einen Prozess, der auf einem Host ausgeführt und mit dem Ereignis in Verbindung steht. Die folgenden Feldsätze können unter dem eset.process Feldsatz verschachtelt werden: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
Stellt einen Task dar, der als Reaktion auf eine ausgelöste EDR-Regel ausgeführt wird, um eine potenzielle Sicherheitsbedrohung abzuschwächen oder zu neutralisieren. ESET Felder zu Behebungsaktionen befinden sich normalerweise verschachtelt unter: •eset.*
|
Enthält Informationen zu dem Ereignis, das eine Regel ausgelöst hat. ESET Felder für das auslösende Ereignis befinden sich normalerweise verschachtelt unter: •eset.triggering_event.*
|
Die ESET Metadaten-Erweiterung standardisiert ESET spezifische Metadaten für Sicherheitsereignisse. Sie erfasst Kunden-, Dienst- und Bereitstellungsdaten, um die Priorisierung und Weiterleitung von Incidents im ESET Security Operations Centers (SoC) zu unterstützen. ESET Metadatenfelder befinden sich normalerweise verschachtelt unter: •eset_metadata.*
|