Hilfeinhalte durchsuchen

Open XDR-Datenformat

Navigationshilfe

ESET Online-Hilfe > ESET PROTECT > Verwendung von ESET PROTECT > ESET PROTECT Hauptmenü > Erweiterte Suche > Open XDR-Datenformat

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Das Open XDR-Datenformat basiert auf Elastic Common Schema (ECS), dem normalisierten Format, das für ESET Open XDR verwendet wird. ECS vereinfacht das Schreiben von Abfragen und ermöglicht das Korrelieren von Daten über mehrere Datenquellen hinweg. Telemetrie-Ereignisse, Indikatoren und Incidents werden in dieses Schema über Produkte und Integrationen hinweg normalisiert, die zur Open XDR-Plattform gehören.

Open XDR Daten sind von Computern verfügbar, auf denen ESET Management Agent Version 13.0+ und ESET Inspect Connector Version 3.0+ ausgeführt wird.

Erfahren Sie mehr die Vereinheitlichung von ESET Inspect und ESET PROTECT (Open XDR).

Feldsätze

ECS definiert mehrere Gruppen verwandter Felder, die als Feldsätze bekannt sind.

Agent-Feldsatz

Agentenfelder beschreiben die Softwarekomponente, die Telemetrie-Ereignisse oder -Indikatoren sammelt, erkennt oder beobachtet.

Feldname

Feldzuordnung

Beispiel

Integrationen, die dieses Feld bereitstellen

Zulässige Werte

Hinweis

agent.build.original

keyword

13.01115.0

ESET

N/A

Erweiterte Build-Informationen.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Art des Agenten oder der Integration, der bzw. die das Ereignis erfasst oder beobachtet hat.

•endpoint-security – für Endpoint-Schutzdaten (ESET PROTECT)

•endpoint-detection-response – für EDR-Daten (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Version des Agenten.

Grundlegende Feldsätze

Der grundlegende Feldsatz enthält alle Felder, die sich auf der Stammebene der Ereignisse befinden. Diese Felder sind in allen Arten von Ereignissen vorhanden.

Feldname

Feldzuordnung

Beispiel

Integrationen, die dieses Feld bereitstellen

Zulässige Werte

Hinweis

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Zeitpunkt (Datum/Uhrzeit), an dem das Ereignis aufgetreten ist. Wird meistens aus der Ereignisquelle übernommen. Wenn dieser Wert nicht verfügbar ist, wird er auf den Zeitpunkt gesetzt, an dem die Pipeline das Ereignis erstmals empfangen hat.

Alle Zeitstempelfelder werden als UTC gespeichert. Beim Anzeigen werden sie in die Zeitzone aus den Konsolenbenutzereinstellungen umgewandelt.

Cloud-Feldsatz

Dient zur Erfassung von Metadaten über Ressourcen, die in einer Cloud-Umgebung ausgeführt werden.

Feldname

Feldzuordnung

Beispiel

Integrationen, die dieses Feld bereitstellen

Zulässige Werte

Hinweis

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifiziert den Cloud-Dienstanbieter, bei dem die Ressource ausgeführt wird.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Eindeutiger Bezeichner für die Instanz (virtuelle Maschine oder Compute-Ressource), die vom Cloud-Anbieter bereitgestellt wird.

Codesignatur-Feldsatz

Diese Felder beschreiben die digitale Signatur einer Datei auf dem Datenträger, einer ausführbaren Datei, die einen Prozess gestartet hat, oder einer dynamisch geladenen Bibliothek. Sie geben an, ob die Datei signiert ist, wer sie signiert hat und ob die Signatur gültig und vertrauenswürdig ist. Codesignaturfelder befinden sich vermutlich verschachtelt unter:

•process.*

•file.*

•dll.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
code_signature.exists	boolean	true	ESET	N/A	Gibt an, ob eine digitale Signatur existiert. Wird nur ausgefüllt, wenn die Daten aus ESET Inspect stammen.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Bezeichner, der mit der Entität verknüpft ist, die die Datei signiert hat. Wird nur ausgefüllt, wenn die Daten aus ESET Inspect auf macOS-Geräten stammen.
code_signature.status	keyword	trusted	ESET	Für ESET sind folgende Werte zulässig: •trusted •valid •adhoc •none •invalid •unknown •present	Der Validierungsstatus der digitalen Signatur, der angibt, ob sie vertrauenswürdig oder ungültig ist oder einen anderen Zustand hat. Wird nur ausgefüllt, wenn die Daten aus ESET Inspect stammen. •trusted – von ESET als vertrauenswürdig eingestufte Signatur. •valid – vom Betriebssystem als vertrauenswürdig eingestufte Signatur. •adhoc – selbstsigniert (nur macOS). •none – keine Signatur. •invalid – vom Betriebssystem nicht als vertrauenswürdig eingestufte, beschädigte oder widerrufene Signatur. •unknown – Vorhandensein einer Signatur nicht feststellbar. •present – Signatur ist vorhanden, aber ihre Vertrauenswürdigkeit ist nicht überprüfbar.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Name der Entität (Einzelperson, Organisation oder Herausgeber), die die Datei signiert hat, wie in der digitalen Signatur angegeben. Wird nur ausgefüllt, wenn die Daten aus ESET Inspect stammen.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Bezeichner, der dem Entwicklungsteam zugewiesen wurde, das die Datei signiert hat. Wird nur ausgefüllt, wenn die Daten aus ESET Inspect auf macOS-Geräten stammen.

Ziel-Feldsatz

Diese Felder beschreiben das Ziel einer Netzwerkverbindung oder Datenübertragung. Umfasst typischerweise Details zum Endpoint, der die Daten empfängt, wie etwa IP-Adresse, Port oder Domäne.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
destination.address	keyword	192.168.1.1	ESET	N/A	Die Rohadresse des Ziels, wie sie von der Quelle angegeben wurde. Dieser Wert kann eine IP-Adresse, ein Domänenname oder ein anderer Netzwerkbezeichner sein.
destination.ip	ip	192.168.1.1	ESET	N/A	IP-Adresse des Zielhosts oder Endpoints, der den Netzwerkverkehr empfängt.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC-Adresse der Zielnetzwerkschnittstelle.
destination.port	long	22	ESET	N/A	Netzwerkportnummer des Ziels.

Gerätefeldsatz

Diese Felder beschreiben das am Ereignis beteiligte Hardwaregerät. Dazu gehören meistens Attribute wie Gerätekennungen, Modell, Hersteller, Seriennummer und weitere Merkmale, mit denen das physische Gerät identifiziert werden kann, das Daten generiert oder empfängt.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Der Name des Unternehmens oder Anbieters, von dem das Gerät stammt.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Eine eindeutige Kennung des Gerätemodells vom Hersteller, um zwischen verschiedenen Hardwaremodellen unterscheiden zu können.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Die vom Hersteller zugewiesene eindeutige Seriennummer des Geräts.

DLL-Feldsatz

Diese Felder beschreiben eine dynamisch geladene Bibliothek, die an einem Ereignis beteiligt ist. Obwohl der Name auf Windows schließen lässt, deckt dieser Feldsatz mehrere Plattformen ab:

•Dynamische Link-Bibliotheken (.dll), die häufig unter Windows verwendet werden.

•Shared Objects (.so) werden häufig in Unix-ähnlichen Betriebssystemen verwendet.

•Dynamische Bibliotheken (.dylib) werden häufig unter macOS verwendet.

Die folgenden Feldsätze können unter dem DLL-Feldsatz verschachtelt werden:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
dll.name	keyword	scrobj.dll	ESET	N/A	Der Name der dynamisch geladenen Bibliotheksdatei ohne den Pfad.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Der vollständige Dateisystempfad zur dynamisch geladenen Bibliothek.

ECS-Feldsatz

ECS-spezifische Metainformationen

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
ecs.version	keyword	8.16	all	N/A	Die ECS-Version, der dieses Ereignis entspricht

Ereignisfeldsatz

Dies Felder beschreiben die Details eines Ereignisses oder einer Aktivität, das bzw. die von einem System oder einer Anwendung erfasst wird. Diese Felder liefern Kontext wie Kategorie, Typ, Aktion, Ergebnis und Zeitstempel des Ereignisses.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
event.action	keyword	file-cleaned	ESET	Für ESET sind folgende Werte zulässig: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	Die spezifische Aktion oder Operation, die das Ereignis ausgelöst hat. Dieses Feld wird nur bereitgestellt, wenn für das jeweilige Ereignis verfügbar ist.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Eine allgemeine Klassifizierung des Ereignisses, die zur Gruppierung ähnlicher Aktivitätstypen dient. Dieses Feld hilft, Ereignisse in breite funktionale Kategorien zu unterteilen, um Filterung und Analysen zu erleichtern. Dieses Feld kann mehrere Werte enthalten.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Der Zeitstempel, an dem der Agent das Ereignis erstmals empfangen oder beobachtet hat. Der Wert sollte sich leicht von @timestamp unterscheiden.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Name des Datensatzes, zu dem das Ereignis gehört. Dieser Wert wird oft verwendet, um verwandte Ereignisse aus derselben Quelle oder Integration zu gruppieren.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Eindeutige ID des Ereignisses.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Der Zeitstempel, an dem das Ereignis von der ESET PROTECT Konsole empfangen wurde.
event.kind	keyword	alert	all	Für ESET sind folgende Werte zulässig: •alert •event	Eine allgemeine Kategorisierung des Informationstyps, den das Ereignis enthält. Im Kontext von ESET entspricht der Wertalarm einem Indikator, während das Ereignis sich auf ein Telemetrie-Ereignis bezieht.
event.module	keyword	eset	all	Für ESET sind folgende Werte zulässig: •eset	Identifiziert den Namen der Integration, die das Ereignis generiert hat. Dieses Feld wird verwendet, um Ereignisse nach ihrer Quelle zu gruppieren.
event.outcome	keyword	success	Alle	•failure •success •unknown	Das Ergebnis des Ereignisses oder der Aktion.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifiziert die Quelle oder Komponente im System, die das Ereignis generiert hat. Dies ist oft der Name der bzw. des für die Datenerzeugung verantwortlichen Anwendung, Diensts oder Subsystems. Im Kontext von ESET wird dieser Wert manchmal als Scanner bezeichnet und gibt an, welche ESET Scan Engine oder welches Modul das Ereignis erkannt oder gemeldet hat.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Eine beschreibende Erklärung, warum das Ereignis aufgetreten ist. Dieses Feld enthält für Menschen verständlichen Text mit der Ursache, dem Auslöser oder der Begründung des Ereignisses.
event.risk_score	float	40	ESET	N/A	Numerischer Wert für das geschätzte Risiko des Ereignisses, wie es von der Ereignisquelle bereitgestellt wurde.
event.severity	long	2	ESET	N/A	Numerischer Wert für den Schweregrad des Ereignisses, wie es von der Ereignisquelle bereitgestellt wurde.
event.type	keyword Array	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Beschreibt den Typ oder die Aktion des Ereignisses innerhalb der jeweiligen Kategorie. Dieses Feld bietet eine differenziertere Klassifizierung als event.category.

Dateifeldsatz

Enthält Details zu einer am Ereignis beteiligten Datei. Die folgenden Feldsätze können unter dem Dateifeldsatz verschachtelt werden:

•file.code_signature.*

•file.hash.*

•file.pe.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
file.directory	keyword	C:\Windows\System32	ESET	N/A	Der Verzeichnispfad, unter dem sich die Datei befindet, ohne den Dateinamen.
file.extension	keyword	dll	ESET	N/A	Die Dateiendung ohne den führenden Punkt.
file.name	keyword	rasadhlp.dll	ESET	N/A	Der Name der Datei, einschließlich der Erweiterung, aber ohne Verzeichnispfad.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Der vollständige Pfad zur Datei, einschließlich Verzeichnisse und Dateinamen.
file.type	keyword	file	ESET	•file •directory •symlink	Der allgemeine Dateityp. Gibt den Typ des Objekts im Dateisystem an.

Hash-Feldsatz

Enthält kryptografische Hash-Werte, die Dateien eindeutig identifizieren. Hash-Felder befinden sich vermutlich verschachtelt unter:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Der MD5-Hash der Datei oder der Daten.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Der SHA1-Hash der Datei oder der Daten.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Der SHA256-Hash der Datei oder der Daten.

Host-Feldsatz

Enthält Details zum Host (Computer, Server oder Gerät), auf dem das Ereignis ausgelöst oder beobachtet wurde. Die folgenden Feldsätze können unter dem Host-Feldsatz verschachtelt werden:

•host.os.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
host.architecture	keyword	x86-64	ESET	N/A	CPU-Architektur des Hosts.
host.domain	keyword	CONTOSO	ESET	N/A	Der Domänenname des Hosts. Dies ist typischerweise die Active Directory-Domäne, zu der der Host gehört.
host.hostname	keyword	SRV-02	ESET	N/A	Der Hostname, wie er vom „hostname“-Betriebssystemsbefehl zurückgegeben wird.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Eindeutiger Bezeichner für den Host.
host.ip	ip array	192.168.1.35	ESET	N/A	IP-Adressen, die dem Host zugewiesen wurden.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	MAC-Adresse(n) der Netzwerkschnittstellen des Hosts.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Name des Hosts.
host.type	keyword	server	ESET	Für ESET sind folgende Werte zulässig: •workstation •server •mobile	Art des Hosts.

Netzwerkfeldsatz

Enthält Details zur Netzwerkaktivität im Zusammenhang mit dem Ereignis. Diese Felder beschreiben das Protokoll, die Richtung und die Bezeichner des Netzwerkverkehrs.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Ein Hashwert, der einen Netzwerkfluss eindeutig identifiziert, basierend auf seinem 5-Tupel (Quell-IP, Ziel-IP, Quellport, Zielport und Transportprotokoll). Dieser Wert ermöglicht eine konsistente Korrelation von Netzwerksitzungen über verschiedene Systeme und Tools hinweg. Weitere Informationen finden Sie auf GitHub.
network.direction	keyword	ingress	ESET	•ingress •egress	Richtung des Datenverkehrs aus Perspektive des Hosts.
network.protocol	keyword	ssh	ESET	N/A	Name des verwendeten Netzwerkprotokolls. Entspricht der Anwendungsschicht im OSI-Modell.
network.transport	keyword	tcp	ESET	N/A	Zugrunde liegendes Transportprotokoll. Entspricht der Transportschicht im OSI-Modell.
network.type	keyword	ipv4	ESET	N/A	Art des Netzwerkverkehrs. Entspricht der Netzwerkschicht im OSI-Modell.

Betriebssystem-Feldsatz

Enthält Details zum Betriebssystem, das auf einem Host oder Gerät ausgeführt wird. Betriebssystemfelder befinden sich vermutlich verschachtelt unter:

•host.os.*

Feldname

Feldzuordnung

Beispiel

Integrationen, die dieses Feld bereitstellen

Zulässige Werte

Hinweis

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Für Menschen lesbarer Name des Betriebssystems.

os.type

keyword

windows

ESET

Für ESET sind folgende Werte zulässig:

•windows

•linux

•macos

•ios

•android

Allgemeiner Typ des Betriebssystems.

os.version

keyword

10.0.19045.6456

ESET

N/A

Versionszeichenfolge des Betriebssystems.

PE-Feldsatz

Enthält Metadaten, die aus einer Windows Portable Executable (PE)-Datei extrahiert wurden, wie etwa ausführbare Dateien, DLLs und Treiber. PE-Felder befinden sich vermutlich verschachtelt unter:

•dll.pe.*

•file.pe.*

•process.pe.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
pe.architecture	keyword	x64	ESET	N/A	Die CPU-Architektur, für die die Portable Executable (PE)-Datei erstellt wurde.
pe.company	keyword	Google LLC	ESET	N/A	Name des Unternehmens, die die ausführbare Datei veröffentlicht hat.
pe.description	keyword	Google Chrome	ESET	N/A	Beschreibung des Zwecks der Datei.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Name, den die ausführbare Datei hatte, als sie kompiliert und signiert wurde.
pe.product	keyword	Google Chrome	ESET	N/A	Name des Produkts, zu dem die Datei gehört.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Version der Datei gemäß ihren Metadaten.

Prozessfeldsatz

Enthält Details über einen Prozess, der auf einem Host ausgeführt und mit dem Ereignis in Verbindung steht. Prozessfelder befinden sich vermutlich verschachtelt unter:

•process.parent.*

Die folgenden Feldsätze können unter dem Prozessfeldsatz verschachtelt werden:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Array von Argumenten, die an den Prozess übergeben wurden.
process.args_count	long	5	ESET	N/A	Anzahl der Argumente, die an den Prozess übergeben wurden.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Die komplette Befehlszeile, mit der der Prozess gestartet wurde, inklusive Argumente.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Zeitstempel, an dem der Prozess beendet wurde. Wenn dieses Feld leer ist, wurde der Prozess noch ausgeführt, als das Ereignis generiert wurde.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Eindeutiger Bezeichner für den Prozess. Die genaue Implementierung hängt von der Datenquelle ab.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Vollständiger Pfad zur ausführbaren Datei des Prozesses.
process.name	keyword	whoami.exe	ESET	N/A	Der Name der ausführbaren Prozessdatei.
process.pid	long	9988	ESET	N/A	Vom Betriebssystem zugewiesene Prozess-ID.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Zeitstempel, an dem der Prozess gestartet wurde.

Verwandter Feldsatz

Enthält Listen von Bezeichnern, die mit dem Ereignis in Verbindung stehen. Diese Werte sind hilfreich bei der Analyse verschiedener Ereignisse, die in unterschiedlichen Bereichen denselben Wert haben können, z. B. process.hash und process.parent.hash.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Array von Hashes, die mit dem Ereignis zusammenhängen.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Array von Hosts, die mit dem Ereignis zusammenhängen.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Array von IP-Adressen, die mit dem Ereignis zusammenhängen.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Array von Benutzer-IDs, die mit dem Ereignis zusammenhängen.

Regelfeldsatz

Enthält Details zu einem Indikator. Diese Felder helfen, Indikatoren auf Basis der ausgelösten Erkennungslogik zu identifizieren, zu kategorisieren und zu korrelieren.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
rule.author	keyword	ESET	ESET	N/A	Autor der Erkennungsregel.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Name der Regel. Dieser Wert sollte von allen Indikatoren ausgefüllt werden.
rule.category	keyword	File System	ESET	N/A	Allgemeine Kategorie der Regel.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Eindeutiger Bezeichner für die Regel innerhalb des gesamten Systems. Vom Regelautor zugewiesen. Im Fall von ESET Inspect ist dies der Wert aus den <guid>-Tags im Quellcode der Regel.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Eindeutiger Bezeichner für die Regelversion im Geltungsbereich des Hosts. Wird oft von der Erkennungsroutine zugewiesen.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Enthält eine für Menschen lesbare Erklärung dazu, was die Regel erkennt oder welchen Zweck sie verfolgt. Dieses Feld hilft Analysten, die Logik oder den Kontext der Warnung zu verstehen, ohne die vollständige Regeldefinition überprüfen zu müssen. Im Fall von ESET Inspect ist dies der Inhalt der <explanation>-Tags im Quellcode der Regel.

Quellfeldsatz

Diese Felder beschreiben die Quelle einer Netzwerkverbindung oder Datenübertragung. Umfasst typischerweise Details zum Endpoint, der die Daten sendet, wie etwa IP-Adresse, Port oder Domäne.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
source.address	keyword	192.168.1.1	ESET	N/A	Die Rohadresse der Quelle, wie sie von der Quelle angegeben wurde. Dieser Wert kann eine IP-Adresse, ein Domänenname oder ein anderer Netzwerkbezeichner sein.
source.ip	ip	192.168.1.1	ESET	N/A	IP-Adresse des Quellhosts oder Endpoints, der den Netzwerkverkehr sendet.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC-Adresse der Quellnetzwerkschnittstelle.
source.port	long	80	ESET	N/A	Netzwerkportnummer der Quelle.

URL-Feldsatz

Enthält Details zu einer am Ereignis beteiligten URL. Diese Felder beschreiben die Struktur und die Komponenten der URL.

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Der Domänenname, der aus der URL extrahiert wurde.
url.extension	keyword	xml	ESET	N/A	Die Dateiendung aus dem URL-Pfad.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Die vollständige URL.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Die vollständige URL, wie sie von der ursprünglichen Datenquelle bereitgestellt wurde.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	Die Pfadkomponente der URL.
url.scheme	keyword	http	ESET	N/A	Das verwendete Protokoll oder Schema.

Benutzerfeldsatz

Enthält Details über einen Benutzer, der mit dem Ereignis zusammenhängt. Benutzerfelder befinden sich vermutlich verschachtelt unter:

•process.user.*

Feldname	Feldzuordnung	Beispiel	Integrationen, die dieses Feld bereitstellen	Zulässige Werte	Hinweis
user.name	keyword	john	ESET	N/A	Der Benutzer- oder Kontoname.
user.domain	keyword	contoso	ESET	N/A	Domäne oder Bereich des Benutzers.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Eindeutiger Bezeichner des Benutzers.

Erweiterungen

Benutzerdefinierte ECS-Erweiterungen sind zusätzliche Feldsätze, die durch Integrationen eingeführt werden. Sie erfassen Daten, die nicht vom standardmäßigen Elastic Common Schema abgedeckt werden. Diese Felder ermöglichen umfangreichere Kontext- und herstellerspezifische Attribute, ohne die ECS-Kompatibilität zu beeinträchtigen. Erweiterungen müssen den ECS-Namenskonventionen folgen und unter einem klaren Namensraum gruppiert werden, um Konflikte mit ECS-Standardfeldern zu vermeiden.

ESET Erweiterung

Die ESET Erweiterung standardisiert Daten aus ESET Produkten, indem Virenschutzereignisse und Verhaltensindikatoren zu benutzerdefinierten ECS-Feldern unter eset.* namespace zugeordnet werden.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Hinweis
eset.aggregated_count	long	2	ESET	N/A	Wenn derselbe Indikator innerhalb kurzer Zeit erneut ausgelöst wurde, erzeugt er nur ein Dokument. Dieses Feld enthält die Anzahl der Indikatoren, die das jeweilige Dokument erzeugt haben.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identifikator, der über verwandte ESET Indikatoren geteilt wird.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID der Instanz von ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informationen zur digitalen Signatur. Siehe ECS-Codesignaturfelder.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Format der ausführbaren Datei.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hashes der ausführbaren Datei. Siehe ECS-Hash-Feldsatz.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Eindeutiger Bezeichner der ausführbaren Datei.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Wenn dieser Wert gleich „Wahr“ ist, ist die ausführbare Datei eine dynamisch verknüpfte Bibliothek.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	Der Zeitstempel des Moments, in dem die zugehörige Datei oder ausführbare Datei ein Virenschutzereignis ausgelöst hat, das als Beinahe-Incident eingestuft wurde (z. B. ähnlich wie bekannte Malware, aber nicht ähnlich genug, um sicher als Malware gemeldet zu werden).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Die Anzahl der Tage, seitdem die ausführbare Datei erstmals in LiveGrid® beobachtet wurde. Diese Zahl wird auf das Äquivalent der üblichen Zeit-Buckets gerundet: Tag, wenige Tage, Woche, Monat, halbes Jahr, Jahr usw.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Gibt an, wie viele Computer eine ausführbare Datei an LiveGrid® gemeldet haben. Das Intervall wird auf Zehnerpotenzen abgebildet: •0,00 => 0 (noch nicht an LiveGrid® gemeldet) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •usw.
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Zahlenwert, der angibt, wie sicher die ausführbare Datei gemäß LiveGrid® ist. Je höher die Zahl, desto vertrauenswürdiger ist die ausführbare Datei laut LiveGrid®. •= 0,00 – Malware oder auf der Blacklist •<= 0,38 – potenziell unerwünscht oder unsicher •>= 0,88 – gängige, unproblematische Dateien
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Der Name der ausführbaren Datei, einschließlich der Erweiterung, aber ohne Verzeichnispfad.
eset.executable.marked_safe	boolean	false	ESET	N/A	Wenn dieser Wert gleich „Wahr“ ist, ist die ausführbare Datei als sicher markiert.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Name des Packprogramms, mit dem die ausführbare Datei erstellt wurde, gemäß der Identifikation durch ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Internes Namensfeld aus den Metadaten der ausführbaren Datei.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Wenn dieser Wert gleich „Wahr“ ist, ist die ausführbare Datei ein Windows-Treiber.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Das Produktversionsfeld aus den Metadaten der ausführbaren Datei.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Name des SFX-Tools, mit dem die ausführbare Datei erstellt wurde, gemäß der Identifikation durch ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Dateigröße der ausführbaren Datei.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Enthält die Art der Whitelist. Diese Whitelists werden von ESET verwaltet und können nicht von Benutzern konfiguriert werden.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Enthält das Ergebnis der automatisierten Behebung durch das ESET Sicherheitsprodukt. •mitigated – Teilweise automatisierte Sofortmaßnahmen wurden ergriffen, um die Auswirkungen der Bedrohung zu reduzieren, aber sie wurde nicht vollständig beseitigt. Für eine vollständige Behebung muss in der Regel das System neu gestartet werden. •remediated – Die Bedrohung wurde vollständig und dauerhaft durch das Quellsystem, eine Automatisierung oder einen automatisierten Prozess beseitigt. Die Bedrohung wurde komplett eliminiert, und das System wurde auf einen sicheren Status zum Zeitpunkt der Erkennung wiederhergestellt. •unhandled – Das zugrundeliegende Artefakt oder beobachtbare Element wurde nicht verarbeitet, und es wurde keine sofortige oder automatisierte Maßnahme ergriffen, um seine Auswirkungen einzudämmen, zu beseitigen oder zu reduzieren. Dieser Indikator hat weiterhin eine hohe Priorität und erfordert eine schnelle menschliche Analyse, da die Bedrohung weiterhin aktiv und unbeeinträchtigt ist.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Listet die ESET PROTECT Admin-Gruppen auf, zu denen das Gerät gehört. Die Gruppen sind von der obersten bis zur direkten übergeordneten Gruppe des Hosts geordnet.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Eindeutiger Bezeichner für den Host. Gleich wie host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Eindeutige Bezeichner für übergeordnete Prozesse.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Integritätsstufe der übergeordneten Prozesse.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Prozessnamen der übergeordneten Prozesse.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Prozess-PIDs der übergeordneten Prozesse.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Anzahl der Prozesse, die der übergeordnete Prozess erzeugt hat.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Beendigungsstatus des übergeordneten Prozesses.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Eindeutige Bezeichner für untergeordnete Prozesse.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Integritätsstufe der untergeordneten Prozesse.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Prozessnamen der untergeordneten Prozesse.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Prozessbezeichner der untergeordneten Prozesse.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Anzahl der Prozesse, die der untergeordnete Prozess erzeugt hat.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Beendigungsstatus der untergeordneten Prozesse.
eset.process.dns_query_count	long	0	ESET	N/A	Anzahl der DNS-Abfragen, die der Prozess gestellt hat.
eset.process.dropped_executable_count	long	1	ESET	N/A	Anzahl der vom Prozess erzeugten ausführbaren Dateien.
eset.process.http_request_count	long	9	ESET	N/A	Anzahl der HTTP-Anfragen, die der Prozess gestellt hat.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Eindeutiger Bezeichner des Prozesses.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Integritätsstufe des Prozesses.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Der vollständige Dateisystempfad zur Windows-Verknüpfungs- (.lnk)-Datei, mit der der Prozess gestartet wurde.
eset.process.modified_registry_count	long	42	ESET	N/A	Anzahl der Windows-Registrierungsschlüssel, die der Prozess modifiziert hat.
eset.process.network_connection_count	long	6	ESET	N/A	Anzahl der Netzwerkverbindungen, die der Prozess aufgebaut hat.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Anzahl der Prozesse, die der Prozess erzeugt hat.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Wenn dieser Wert gleich true ist, ist der Prozess aufgrund eines konfigurierten Leistungsausschlusses von der ESET Endpoint Security Bedrohungserkennung ausgeschlossen.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Speichert die Verkettung von user.domain und user.name im Format domain\username und gibt das Konto an, unter dem der Prozess ausgeführt wird.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Textdarstellung des Felds event.severity. Basiert auf dem Feld event.risk_score. •1–39 => Information (1) •40–69 => Warnung (2) •70–100 => Bedrohung (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Ein kontextspezifischer Wert, der dem in eset.triggering_event.type definierten Ereignis zugeordnet ist. Dieses Feld enthält das relevante primäre Objekt oder den relevanten Parameter für das Ereignis, z. B. Dateipfad, Prozesspfad, Registrierungsschlüssel, Netzwerkadresse oder eine andere Ressource, unter der das Ereignis aufgetreten ist.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Eindeutige ID des auslösenden Ereignisses.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Beliebige nicht-schematische, vom Ereignistyp abhängige, strukturierte Daten.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Art des auslösenden Ereignisses auf Basis des beobachteten Verhaltens.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Ein Zeitstempel, der angibt, wann die Behebungsmaßnahme ausgeführt wurde.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Eindeutige ID der Behebungsmaßnahme.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Name der von EDR ausgeführten Behebungsmaßnahme (ESET Inspect). Weitere Details finden Sie im Abschnitt Leitfaden zu Regeln und Aktionen.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Das Ergebnis der Behebungsmaßnahme.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Version der ESET Scan Engine oder des Moduls, die bzw. das das Ereignis erkannt oder gemeldet hat.

˄˅