Buscar contenido de ayuda

Formato de datos Open XDR

Migas de pan

Ayuda en línea de ESET > ESET PROTECT > Usar ESET PROTECT > ESET PROTECT Menú principal > Búsqueda avanzada > Formato de datos Open XDR

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

El formato de datos Open XDR se basa en el Esquema Común Elástico (ECS), que es el formato normalizado que usa para ESET Open XDR. ECS simplifica la redacción de consultas y permite correlacionar datos entre diferentes fuentes de datos. Los eventos, indicadores e incidentes de telemetría se normalizan en este esquema en productos e integraciones que forman parte de la Plataforma Open XDR.

Open XDR Los datos están disponibles desde equipos que ejecutan el Agente ESET Management, versión 13.0+, y el Conector ESET Inspect, versión 3.0+.

Encuentre más información sobre cómo unificar ESET Inspect y ESET PROTECT (Open XDR).

Conjuntos de campos

ECS define múltiples grupos de campos relacionados, conocidos como Conjuntos de campos.

Conjunto de campos de agente

Los campos de agente describen el componente de software que recopila, detecta u observa eventos o indicadores de telemetría.

Nombre del campo

Mapeo del campo

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

agent.build.original

keyword

13.01115.0

ESET

N/A

Información ampliada de la versión.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Tipo de agente o integración que recogió u observó el evento.

•endpoint-security: para datos de protección de puntos de conexión (ESET PROTECT)

•endpoint-detection-response: para datos EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Versión del agente.

Conjuntos de campos base

El conjunto de campos base contiene todos los campos que están en la raíz de los eventos. Estos campos son comunes en todo tipo de eventos.

Nombre del campo

Mapeo del campo

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Fecha/hora en que se originó el evento. Por lo general, se toma de la fuente del evento. Si no está disponible, se establece para que el canal reciba el evento por primera vez.

Todos los campos de marca de tiempo se almacenan en UTC. Cuando se muestran, se convierten a la zona horaria establecida en la configuración del usuario de consola.

Conjunto de campos de nube

Diseñado para capturar metadatos sobre recursos que se ejecutan en un entorno en la nube.

Nombre del campo

Mapeo del campo

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifica al proveedor de servicios en la nube donde se está ejecutando el recurso.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Identificador único para la instancia (máquina virtual o recurso de cómputo) proporcionado por el proveedor de la nube.

Conjunto de campos de firma de código

Campos que describen la firma digital de un archivo en disco, un ejecutable que inició un proceso o una biblioteca cargada dinámicamente. Indican si el archivo está firmado, quién lo firmó y si la firma es válida y de confianza. Se espera que los campos de firma de código estén anidados en lo siguiente:

•process.*

•file.*

•dll.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
code_signature.exists	boolean	true	ESET	N/A	Indica si hay una firma digital presente. Solo se llena cuando los datos se originan desde ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identificador asociado a la entidad que firmó el archivo. Solo se llena cuando los datos se originan desde ESET Inspect en los dispositivos macOS.
code_signature.status	keyword	trusted	ESET	Para ESET, se permiten los siguientes valores: •trusted •valid •adhoc •none •invalid •unknown •present	El estado de validación de la firma digital, que indica si es de confianza, no es válido o tiene otro estado. Solo se llena cuando los datos se originan desde ESET Inspect. •trusted: firma de confianza de ESET. •valid: firma de confianza del sistema operativo. •adhoc: autofirmado (solo macOS). •none: sin firma. •invalid: firma no confiable para el SO, corrupta o revocada. •unknown: no es capaz de determinar si hay una firma presente. •present: la firma está presente, pero la confianza no pudo verificarse.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Nombre de la entidad (individuo, organización o editor) que firmó el archivo, según lo indicado en la firma digital. Solo se llena cuando los datos se originan desde ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identificador asignado al equipo de desarrollo que firmó el archivo. Solo se llena cuando los datos se originan desde ESET Inspect en los dispositivos macOS.

Conjunto de campo de destino

Campos que describen el objetivo de una conexión de red o transferencia de datos. Esto suele incluir detalles sobre el punto de conexión que recibe los datos, como dirección IP, puerto, dominio.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
destination.address	keyword	192.168.1.1	ESET	N/A	La dirección en bruto del destino, tal como la proporcionó la fuente. Esto puede ser una dirección IP, un nombre de dominio u otro identificador de red.
destination.ip	ip	192.168.1.1	ESET	N/A	Dirección IP del host o punto de conexión de destino que recibe el tráfico de red.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Dirección MAC de la interfaz de la red de destino.
destination.port	long	22	ESET	N/A	Número de puerto de red de destino.

Conjunto de campos de dispositivos

Campos que describen el dispositivo de hardware involucrado en el evento. Esto suele incluir atributos como identificadores de dispositivos, modelo, fabricante, número de serie y otras características que ayudan a identificar el dispositivo físico que genera o recibe datos.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	El nombre de la empresa o proveedor que fabricó el dispositivo.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Un identificador único para el modelo del dispositivo, proporcionado por el fabricante para distinguir entre diferentes modelos de hardware.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	El número de serie único asignado al dispositivo por el fabricante.

Conjunto de campos DLL

Campos que describen una biblioteca cargada dinámicamente involucrada en un evento. Aunque el nombre está centrado en Windows, este conjunto de campos cubre múltiples plataformas:

•Biblioteca de enlace dinámico (.dll) que suele usarse en Windows

•Objeto compartido (.so) comúnmente usado en sistemas operativos tipo Unix

•Biblioteca dinámica (.dylib) comúnmente usada en macOS

Los siguientes conjuntos de campos pueden anidarse bajo el conjunto de campos DLL:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
dll.name	keyword	scrobj.dll	ESET	N/A	El nombre del archivo de biblioteca cargado dinámicamente, sin la ruta.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	La ruta completa del sistema de archivos hacia la biblioteca cargada dinámicamente.

Conjunto de campos ECS

Información meta específica de ECS.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
ecs.version	keyword	8.16	all	N/A	Versión ECS a la que se ajusta este evento.

Conjunto de campos de eventos

Campos que describen los detalles de un evento o actividad capturada por un sistema o aplicación. Estos campos proporcionan contexto como la categoría, tipo, acción, resultado y marcas de tiempo del evento.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
event.action	keyword	file-cleaned	ESET	Para ESET, se permiten los siguientes valores: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	La acción u operación específica que desencadenó el evento. El campo solo se proporciona si es aplicable al evento específico.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Clasificación de alto nivel del evento, que se usa para agrupar tipos similares de actividades. Este campo ayuda a organizar los eventos en categorías funcionales amplias para facilitar el filtrado y el análisis. Este campo puede contener múltiples valores.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Representa la marca de tiempo cuando el agente recibió o observó por primera vez el evento. El valor debería ser un tanto diferente de @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Nombre del conjunto de datos al que pertenece el evento. Este valor se usa por lo general para agrupar eventos relacionados de la misma fuente o integración.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Identificación única del evento.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Representa la marca de tiempo cuando el evento llegó a la consola de ESET PROTECT.
event.kind	keyword	alert	all	Para ESET, se permiten los siguientes valores: •alert •event	Categorización a alto nivel del tipo de información que contiene el evento. En el contexto de ESET, la alerta de valor corresponde a un indicador, mientras que evento se refiere a un evento de telemetría.
event.module	keyword	eset	all	Para ESET, se permiten los siguientes valores: •eset	Identifica el nombre de la integración que generó el evento. Este campo se usa para agrupar eventos según su origen.
event.outcome	keyword	success	Todo	•failure •success •unknown	Indica el resultado del evento o acción.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifica la fuente o el componente dentro del sistema que generó el evento. Este suele ser el nombre de la aplicación, servicio o subsistema responsable de producir los datos. En el contexto de ESET, este valor a veces se denomina explorador e indica qué módulo o motor de exploración de ESET detectó o reportó el evento.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Proporciona una explicación descriptiva de por qué ocurrió el evento. Este campo contiene texto legible para humanos que aclara la causa, el desencadenante o la justificación del evento.
event.risk_score	float	40	ESET	N/A	Valor numérico que representa el riesgo estimado del evento proporcionado por la fuente del evento.
event.severity	long	2	ESET	N/A	Valor numérico que representa la gravedad del evento proporcionada por la fuente del evento.
event.type	keyword matriz	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Describe el tipo o acción específica representada por el evento dentro de su categoría. Este campo proporciona una clasificación más detallada que event.category.

Conjunto de campos de archivo

Representa detalles sobre un archivo involucrado en el evento. Los siguientes conjuntos de campos pueden anidarse bajo el conjunto de campos de archivos:

•file.code_signature.*

•file.hash.*

•file.pe.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
file.directory	keyword	C:\Windows\System32	ESET	N/A	La ruta del directorio donde se encuentra el archivo, sin incluir el nombre del archivo.
file.extension	keyword	dll	ESET	N/A	La extensión del archivo, sin incluir el punto inicial.
file.name	keyword	rasadhlp.dll	ESET	N/A	El nombre del archivo, incluida la extensión pero sin la ruta de directorio.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	La ruta completa al archivo, incluidos los directorios y el nombre del archivo.
file.type	keyword	file	ESET	•file •directory •symlink	El tipo general del archivo. Indica la naturaleza del objeto en el sistema de archivos.

Conjunto de campos hash

Contiene valores hash criptográficos que identifican archivos de forma única. Se espera que los campos hash estén anidados en:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	El hash MD5 del archivo o los datos.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	El hash SHA1 del archivo o los datos.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	El hash SHA256 del archivo o los datos.

Conjunto de campos de host

Representa detalles sobre el host (equipo, servidor o dispositivo) donde se originó o se observó el evento. Los siguientes conjuntos de campos pueden anidarse bajo el conjunto de campos del host:

•host.os.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
host.architecture	keyword	x86-64	ESET	N/A	Arquitectura de CPU del host.
host.domain	keyword	CONTOSO	ESET	N/A	El nombre de dominio del host, que normalmente representa el dominio de Active Directory al que pertenece el host.
host.hostname	keyword	SRV-02	ESET	N/A	El nombre de host tal como se reporta mediante el comando de nombre de host del sistema operativo.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificador único para el host.
host.ip	ip array	192.168.1.35	ESET	N/A	Direcciónes IP asignadas al host.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Direcciónes MAC de las interfaces de red del host.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Nombre del host.
host.type	keyword	server	ESET	Para ESET, se permiten los siguientes valores: •workstation •server •mobile	Tipo de host.

Conjunto de campos de red

Representa detalles sobre la actividad de la red relacionada con el evento. Estos campos describen el protocolo, la dirección y los identificadores para el tráfico de red.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Un valor hash que identifica de forma única un flujo de red basado en su 5-tupla (IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo de transporte). Proporciona una forma consistente de correlacionar las sesiones de red entre diferentes sistemas y herramientas. Más información en github.
network.direction	keyword	ingress	ESET	•ingress •egress	Dirección del tráfico en relación con el host.
network.protocol	keyword	ssh	ESET	N/A	Nombre del protocolo de red usado. En el modelo de OSI, esto equivale a la capa de aplicación.
network.transport	keyword	tcp	ESET	N/A	Protocolo de transporte subyacente. En el modelo de OSI, esto equivale a la capa de transporte.
network.type	keyword	ipv4	ESET	N/A	Tipo de tráfico de red. En el modelo de OSI, esto equivale a la capa de red.

Conjunto de campo del sistema operativo

Representa detalles sobre el sistema operativo que se ejecuta en un host o dispositivo. Se espera que los campos del sistema operativo estén anidados en lo siguiente:

•host.os.*

Nombre del campo

Mapeo del campo

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Nombre legible por humanos del sistema operativo.

os.type

keyword

windows

ESET

Para ESET, se permiten los siguientes valores:

•windows

•linux

•macos

•ios

•android

Tipo general del sistema operativo.

os.version

keyword

10.0.19045.6456

ESET

N/A

Cadena de versiones del sistema operativo.

Conjunto de campos PE

Representa metadatos extraídos de un archivo ejecutable portátil de Windows (PE), como ejecutables, DLL y controladores. Se espera que los campos PE estén anidados en lo siguiente:

•dll.pe.*

•file.pe.*

•process.pe.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
pe.architecture	keyword	x64	ESET	N/A	Especifica la arquitectura de CPU para la que se construyó el archivo Portátil Ejecutable (PE).
pe.company	keyword	Google LLC	ESET	N/A	Nombre de la empresa que publicó el ejecutable.
pe.description	keyword	Google Chrome	ESET	N/A	Descripción del propósito del archivo.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Nombre que tenía el ejecutable cuando se compiló y firmó.
pe.product	keyword	Google Chrome	ESET	N/A	Nombre del producto al que pertenece el archivo.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Versión del archivo según lo especificado en sus metadatos.

Conjunto de campos de proceso

Representa detalles sobre un proceso que se ejecuta en un host y que está relacionado con el evento. Se espera que los campos de proceso estén anidados en lo siguiente:

•process.parent.*

Los siguientes conjuntos de campos pueden anidarse bajo conjuntos de campos del proceso:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Matriz de argumentos pasados al proceso.
process.args_count	long	5	ESET	N/A	Recuento de los argumentos que se transmitieron al proceso.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	La línea de comandos completa se usaba para iniciar el proceso, incluidos los argumentos.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Marca de tiempo de cuando terminó el proceso. Si el campo no está lleno, el proceso seguía en ejecución cuando se generó el evento.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Identificador único para el proceso. La implementación depende de la fuente de datos.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Ruta completa al archivo ejecutable del proceso.
process.name	keyword	whoami.exe	ESET	N/A	El nombre del ejecutable del proceso.
process.pid	long	9988	ESET	N/A	ID de proceso asignado por el sistema operativo.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Marca de tiempo de cuando empezó el proceso.

Conjunto de campos relacionados

Contiene listas de identificadores relacionados con el evento. Estos valores ayudan a pivotar entre diferentes eventos que pueden tener el mismo valor en distintos campos, por ejemplo, process.hash y process.parent.hash.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Matriz de hashes relacionados con el evento.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Matriz de hosts relacionados con el evento.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Matriz de direcciones IP relacionadas con el evento.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Matriz de identificadores de usuario relacionados con el evento.

Conjunto de campos de reglas

Representa detalles sobre un indicador. Estos campos ayudan a identificar, categorizar y correlacionar indicadores según la lógica de detección que los activó.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
rule.author	keyword	ESET	ESET	N/A	Autor de la regla de detección.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Nombre de la regla. Este valor debe tener todos los indicadores completos.
rule.category	keyword	File System	ESET	N/A	Categoría amplia de la regla.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Identificador único para la regla, dentro del alcance de todo el sistema. Asignado por el autor de la regla. En el caso de ESET Inspect, este es el valor usado en las etiquetas <guid> del código fuente de la regla.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Identificador único para la versión de la regla, dentro del alcance del host. A menudo asignado por el motor de detección.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Proporciona una explicación legible para humanos de lo que detecta la regla o su propósito previsto. Este campo ayuda a los analistas a comprender la lógica o el contexto detrás de la alerta sin revisar la definición completa de la regla. En el caso de ESET Inspect, es el contenido de las etiquetas <explanation> en el código fuente de la regla.

Conjunto de campos de origen

Campos que describen la fuente de una conexión de red o transferencia de datos. Esto suele incluir detalles sobre el punto de conexión que envía los datos, como dirección IP, puerto, dominio.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
source.address	keyword	192.168.1.1	ESET	N/A	La dirección en bruto de la fuente, tal como la proporcionó la fuente. Esto puede ser una dirección IP, un nombre de dominio u otro identificador de red.
source.ip	ip	192.168.1.1	ESET	N/A	Dirección IP del host o punto de conexión de origen que envía el tráfico de red.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Dirección MAC de la interfaz de la red de origen.
source.port	long	80	ESET	N/A	Número de puerto de red de origen.

Conjunto de campos URL

Representa detalles sobre una URL involucrada en el evento. Estos campos describen la estructura y los componentes de la URL.

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	El nombre de dominio extraído de la URL.
url.extension	keyword	xml	ESET	N/A	La extensión del archivo desde la ruta URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	La URL completa.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	La URL completa proporcionada por la fuente original de datos.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	La parte de ruta de la URL.
url.scheme	keyword	http	ESET	N/A	El protocolo o esquema usado.

Conjunto de campos de usuario

Representa detalles sobre un usuario asociado al evento. Se espera que los campos de usuario estén anidados en lo siguiente:

•process.user.*

Nombre del campo	Mapeo del campo	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
user.name	keyword	john	ESET	N/A	El nombre de usuario o de cuenta.
user.domain	keyword	contoso	ESET	N/A	Dominio o reino al que pertenece el usuario.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Identificador único del usuario.

Extensiones

Las extensiones ECS personalizadas son conjuntos de campos adicionales introducidos por integraciones para capturar datos que no están cubiertos por el Esquema Común Elástico estándar. Estos campos permiten un contexto más rico y atributos específicos del proveedor a la vez que se mantiene la compatibilidad con ECS. Las extensiones deben seguir las convenciones de nombres de ECS y agruparse bajo un espacio de nombres claro para evitar conflictos con campos ECS estándar.

Extensión ESET

La Extensión ESET estandariza los datos de productos ESET mediante el mapeo de las detecciones de antivirus e indicadores de comportamiento a campos ECS personalizados bajo eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Nota
eset.aggregated_count	long	2	ESET	N/A	Si el mismo indicador se activó durante un periodo de tiempo corto, solo produce un documento. Este campo contiene el número de indicadores que produjeron el documento específico.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identificador compartido entre indicadores relacionados de ESET.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID de la instancia ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Información sobre la firma digital. Consulte los campos de firma de código ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Formato del archivo ejecutable.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hashes del ejecutable. Ver conjunto de campos hash ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Identificador único del ejecutable.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Si es cierto, el ejecutable representa una biblioteca enlazada dinámicamente.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	La marca de tiempo en la que el archivo o ejecutable asociado activó una detección antivirus clasificada como casi accidente (por ejemplo, similar a malware conocido pero no suficiente como para ser reportado con confianza como malware).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	El número de días transcurridos desde que el ejecutable se vio por primera vez en LiveGrid®. El número se redondea al equivalente a los cubos de depósitos comunes: día, pocos días, semana, mes, mitad del año, año, etcétera.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	¿Cuántos equipos reportaron un ejecutable a LiveGrid®? El intervalo se asigna a potencias de diez: •0,00 => 0 (aún no reportado a LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •etc
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Número que indica cuán seguro es el ejecutable según LiveGrid®. Cuanto mayor es el número, más confiable es el ejecutable por LiveGrid®. •= 0,00 - malware o en lista negra •<= 0,38 - potencialmente no deseado o inseguro •>= 0,88 - archivos limpios predominantes
eset.executable.name	keyword	usoclient.exe	ESET	N/A	El nombre del ejecutable, incluida la extensión pero sin la ruta de directorio.
eset.executable.marked_safe	boolean	false	ESET	N/A	Si es cierto, el ejecutable está marcado como seguro.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Nombre del empaquetador que se usa para crear el ejecutable tal como lo identifica ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Campo interno de nombre de los metadatos ejecutables.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Si es cierto, el ejecutable es un controlador de Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Campo de versión del producto desde los metadatos ejecutables.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Nombre de la herramienta SFX que se usa para crear el ejecutable tal como lo identifica ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Tamaño del archivo del ejecutable.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Contiene el tipo de lista blanca. Estas listas blancas las gestiona ESET y el usuario no puede configurarlas.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Representa el resultado de la corrección automatizada ejecutada por el productos de seguridad de ESET. •mitigated: se tomaron acciones automatizadas parcialmente inmediatas para reducir el impacto de la amenaza, pero no se eliminó por completo. La resolución completa suele requerir un reinicio del sistema. •remediated: el sistema de origen o la automatización o un proceso automatizado resolvieron la amenaza de forma completa y permanente, lo que indica la erradicación completa y recuperación a un estado seguro en el momento de la detección. •unhandled: el artefacto o observable subyacente no se abordó y no se tomó ninguna acción inmediata o automatizada para contener, erradicar o reducir su impacto. Esto sigue siendo un indicador de alta prioridad que requiere un análisis humano inmediato, ya que la amenaza sigue activa y sin obstáculos.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Enumera los Grupos de administración de ESET PROTECT a los que pertenece el dispositivo. Los grupos están ordenados desde el más alto hasta el grupo principal directo del host.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificador único para el host. Igual que host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Identificadores únicos de los procesos heredados.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Nivel de integridad de los procesos heredados.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Nombres de procesos de los procesos heredados.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Procesa los PID de los procesos heredados.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Número de procesos generados a partir del proceso heredado.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Estados de finalización de los procesos heredados.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Identificadores únicos de los procesos secundarios.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Nivel de integridad de los procesos secundarios.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Nombres de procesos de los procesos secundarios.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identificadores de procesos secundarios.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Número de procesos generados a partir del proceso secundario.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Estados de finalización de los procesos secundarios.
eset.process.dns_query_count	long	0	ESET	N/A	Número de consultas DNS realizadas por el proceso.
eset.process.dropped_executable_count	long	1	ESET	N/A	Número de ejecutables eliminados por el proceso.
eset.process.http_request_count	long	9	ESET	N/A	Número de solicitudes HTTP realizadas por el proceso.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Identificador único del proceso.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Nivel de integridad del proceso.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Especifica la ruta completa del sistema de archivos hacia el archivo de acceso directo (.lnk) de Windows que se usó para iniciar el proceso.
eset.process.modified_registry_count	long	42	ESET	N/A	Número de claves del Registro de Windows modificadas por el proceso.
eset.process.network_connection_count	long	6	ESET	N/A	Número de conexiones de red establecidas por el proceso.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Número de procesos surgidos de dicho proceso.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Cuando true, el proceso queda excluido de la detección de amenazas de ESET Endpoint Security debido a una exclusión de rendimiento configurada.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Almacena el user.domain concatenado y user.name en el formato domain\username, que representa la cuenta bajo la cual se ejecuta el proceso.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Representación textual del campo event.severity. Según el campo event.risk_score. •1–39 => Informativo (1) •40–69 => Advertencia (2) •70-100 => Amenaza (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Un valor específico de contexto asociado al evento definido en eset.triggering_event.type. Este campo contiene el objeto o parámetro principal relevante para el evento (por ejemplo, la ruta del archivo, la ruta del proceso, la clave del registro, la dirección de red u otro recurso en el que ocurrió el evento).
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Identificación única del evento que se activó.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Datos estructurados arbitrarios, no esquemáticos y dependientes del tipo de evento.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	El tipo de evento desencadenante basado en el comportamiento observado.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	La marca de tiempo indica cuándo se ejecutó la acción de corrección.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Identificación única de la acción de corrección.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Nombre de la acción de corrección realizada por EDR (ESET Inspect). Para más detalles, consulte la sección Acciones de la guía de reglas.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Indica el resultado de la acción de corrección.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Versión del módulo o motor de exploración de ESET que detectó o reportó el evento.

˄˅