Formato de datos Open XDR
El formato de datos Open XDR se basa en el Esquema Común Elástico (ECS), que es el formato normalizado que usa para ESET Open XDR. ECS simplifica la redacción de consultas y permite correlacionar datos entre diferentes fuentes de datos. Los eventos, indicadores e incidentes de telemetría se normalizan en este esquema en productos e integraciones que forman parte de la Plataforma Open XDR.
Open XDR Los datos están disponibles desde equipos que ejecutan el Agente ESET Management, versión 13.0+, y el Conector ESET Inspect, versión 3.0+. Encuentre más información sobre cómo unificar ESET Inspect y ESET PROTECT (Open XDR). |
Conjuntos de campos
ECS define múltiples grupos de campos relacionados, conocidos como Conjuntos de campos.
Los campos de agente describen el componente de software que recopila, detecta u observa eventos o indicadores de telemetría.
|
El conjunto de campos base contiene todos los campos que están en la raíz de los eventos. Estos campos son comunes en todo tipo de eventos.
|
Diseñado para capturar metadatos sobre recursos que se ejecutan en un entorno en la nube.
|
Campos que describen la firma digital de un archivo en disco, un ejecutable que inició un proceso o una biblioteca cargada dinámicamente. Indican si el archivo está firmado, quién lo firmó y si la firma es válida y de confianza. Se espera que los campos de firma de código estén anidados en lo siguiente: •process.* •file.* •dll.*
|
Campos que describen el objetivo de una conexión de red o transferencia de datos. Esto suele incluir detalles sobre el punto de conexión que recibe los datos, como dirección IP, puerto, dominio.
|
Campos que describen el dispositivo de hardware involucrado en el evento. Esto suele incluir atributos como identificadores de dispositivos, modelo, fabricante, número de serie y otras características que ayudan a identificar el dispositivo físico que genera o recibe datos.
|
Campos que describen una biblioteca cargada dinámicamente involucrada en un evento. Aunque el nombre está centrado en Windows, este conjunto de campos cubre múltiples plataformas: •Biblioteca de enlace dinámico (.dll) que suele usarse en Windows •Objeto compartido (.so) comúnmente usado en sistemas operativos tipo Unix •Biblioteca dinámica (.dylib) comúnmente usada en macOS Los siguientes conjuntos de campos pueden anidarse bajo el conjunto de campos DLL: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
Información meta específica de ECS.
|
Campos que describen los detalles de un evento o actividad capturada por un sistema o aplicación. Estos campos proporcionan contexto como la categoría, tipo, acción, resultado y marcas de tiempo del evento.
|
Representa detalles sobre un archivo involucrado en el evento. Los siguientes conjuntos de campos pueden anidarse bajo el conjunto de campos de archivos: •file.code_signature.* •file.hash.* •file.pe.*
|
Contiene valores hash criptográficos que identifican archivos de forma única. Se espera que los campos hash estén anidados en: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
Representa detalles sobre el host (equipo, servidor o dispositivo) donde se originó o se observó el evento. Los siguientes conjuntos de campos pueden anidarse bajo el conjunto de campos del host: •host.os.*
|
Representa detalles sobre la actividad de la red relacionada con el evento. Estos campos describen el protocolo, la dirección y los identificadores para el tráfico de red.
|
Representa detalles sobre el sistema operativo que se ejecuta en un host o dispositivo. Se espera que los campos del sistema operativo estén anidados en lo siguiente: •host.os.*
|
Representa metadatos extraídos de un archivo ejecutable portátil de Windows (PE), como ejecutables, DLL y controladores. Se espera que los campos PE estén anidados en lo siguiente: •dll.pe.* •file.pe.* •process.pe.*
|
Representa detalles sobre un proceso que se ejecuta en un host y que está relacionado con el evento. Se espera que los campos de proceso estén anidados en lo siguiente: •process.parent.* Los siguientes conjuntos de campos pueden anidarse bajo conjuntos de campos del proceso: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
Contiene listas de identificadores relacionados con el evento. Estos valores ayudan a pivotar entre diferentes eventos que pueden tener el mismo valor en distintos campos, por ejemplo, process.hash y process.parent.hash.
|
Representa detalles sobre un indicador. Estos campos ayudan a identificar, categorizar y correlacionar indicadores según la lógica de detección que los activó.
|
Campos que describen la fuente de una conexión de red o transferencia de datos. Esto suele incluir detalles sobre el punto de conexión que envía los datos, como dirección IP, puerto, dominio.
|
Representa detalles sobre una URL involucrada en el evento. Estos campos describen la estructura y los componentes de la URL.
|
Representa detalles sobre un usuario asociado al evento. Se espera que los campos de usuario estén anidados en lo siguiente: •process.user.*
|
Extensiones
Las extensiones ECS personalizadas son conjuntos de campos adicionales introducidos por integraciones para capturar datos que no están cubiertos por el Esquema Común Elástico estándar. Estos campos permiten un contexto más rico y atributos específicos del proveedor a la vez que se mantiene la compatibilidad con ECS. Las extensiones deben seguir las convenciones de nombres de ECS y agruparse bajo un espacio de nombres claro para evitar conflictos con campos ECS estándar.
Extensión ESET
La Extensión ESET estandariza los datos de productos ESET mediante la asignación de detecciones de antivirus e indicadores de comportamiento a campos ECS personalizados en el espacio de nombres de ESET.
Se espera que los campos de la extensión ESET se aniden en la siguiente ubicación:
•eset.*
En el conjunto de campos base de ESET, se incluyen todos los campos que están en la raíz de eset.* namespace.
|
Representa detalles sobre los procesos antecesores. Se espera que los campos antecesores se aniden en la siguiente ubicación: •eset.process.ancestors.* Se espera que los siguientes campos de ECS se aniden en eset.executable: •hash.*
|
Representa detalles sobre los procesos antecesores. Se espera que los campos secundarios se aniden en la siguiente ubicación: •eset.process.children.* Se espera que los siguientes campos de ECS se aniden en eset.executable: •hash.*
|
Proporciona información sobre un ejecutable vinculado al evento. Cuando este campo aparece en eset.process.*, se refiere específicamente al ejecutable del proceso que se ejecuta en el host en relación con el evento. Se espera que los campos del ejecutable de ESET se aniden en la siguiente ubicación: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* Se espera que los siguientes campos de ECS se aniden en eset.executable: •code_signature.* •hash.* Se espera que los siguientes campos de la extensión ESET se aniden en eset.executable: •livegrid_findings.*
|
Proporciona información sobre los datos de ESET LiveGrid® vinculados al ejecutable. Se espera que los campos de búsqueda de ESET LiveGrid se aniden en la siguiente ubicación: •eset.executable.*
|
Proporciona información sobre las bibliotecas que se cargaron en el proceso al momento de crear el indicador. Se espera que los campos de búsqueda de ESET LiveGrid se aniden en la siguiente ubicación: •eset.process.loaded_libraries.* Se espera que los siguientes conjuntos de campos se aniden en el conjunto de campos eset.loaded_libraries: •eset.executable.*
|
Representa detalles sobre un proceso que se ejecuta en un host y que está relacionado con el evento. Los siguientes conjuntos de campos pueden anidarse en el conjunto de campos eset.process: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
Representa una tarea ejecutada en respuesta a la activación de una regla EDR con el objetivo de mitigar o neutralizar una posible amenaza para la seguridad. Se espera que los campos de acción de corrección se aniden en la siguiente ubicación: •eset.*
|
Representa información sobre el evento que activó una regla. Se espera que los campos de eventos de activación de ESET se aniden en la siguiente ubicación: •eset.triggering_event.*
|
La extensión de metadatos de ESET estandariza los metadatos específicos de ESET con respecto a los eventos de seguridad. Captura los detalles del cliente, el servicio y la implementación para ayudar en la priorización de incidentes y el enrutamiento dentro de los Centros de operaciones de seguridad (SoC) de ESET. Se espera que los campos de metadatos de ESET se aniden en la siguiente ubicación: •eset_metadata.*
|