Buscar contenido de ayuda

Formato de datos de Open XDR

Direcciones

Ayuda en línea de ESET > ESET PROTECT > Utilización de ESET PROTECT > ESET PROTECT Menú principal > Búsqueda avanzada > Formato de datos de Open XDR

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

El formato de datos de Open XDR está basado en Elastic Common Schema (ECS), que es el formato normalizado usado para ESET Open XDR. ECS simplifica la redacción de consultas y permite correlacionar datos entre diferentes fuentes de datos. Los incidentes, los indicadores y los eventos de telemetría se normalizan en este esquema para todos los productos e integraciones que forman parte de la plataforma Open XDR.

Los datos de Open XDR están disponibles desde ordenadores que ejecutan ESET Management Agent versión 13.0+ y ESET Inspect Connector 3.0+.

Consulte más información sobre cómo unificar ESET Inspect y ESET PROTECT (Open XDR).

Conjuntos de campos

ECS define varios grupos de campos relacionados, conocidos como Conjuntos de campos.

Conjunto de campos del agente

Los campos del agente describen el componente de software que recopila, detecta u observa indicadores o eventos de telemetría.

Nombre del campo

Mapeo de campos

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

agent.build.original

keyword

13.01115.0

ESET

N/A

Información ampliada de compilación.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Tipo de agente o integración que recopiló u observó el evento.

•endpoint-security: para datos de protección de puntos de acceso (ESET PROTECT)

•endpoint-detection-response: para datos de EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Versión del agente.

Conjuntos de campos básicos

El conjunto de campos básicos contiene todos los campos que están en la raíz de los eventos. Estos campos son comunes en todos los tipos de eventos.

Nombre del campo

Mapeo de campos

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Fecha/hora en las que se originó el evento. Normalmente se toma de la fuente del evento. Si no está disponible, se configura con el valor del momento en el que el pipeline recibe el evento por primera vez.

Todos los campos de marca de tiempo se almacenan en UTC. Cuando se muestran, se convierten a la zona horaria configurada en los ajustes de usuario de la consola.

Conjunto de campos de nube

Diseñado para capturar metadatos sobre recursos que se ejecutan en un entorno de nube.

Nombre del campo

Mapeo de campos

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifica al proveedor de servicios de nube en el que se ejecuta el recurso.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Identificador único para la instancia (recurso de computación o máquina virtual) proporcionado por el proveedor de nube.

Conjunto de campos de firma de código

Campos que describen la firma digital de un archivo del disco, un ejecutable que ha iniciado un proceso o una biblioteca cargada dinámicamente. Indican si el archivo está firmado, quién lo ha firmado y si la firma es válida y de confianza. Se espera que los campos de firma de código estén anidados en:

•process.*

•file.*

•dll.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
code_signature.exists	boolean	true	ESET	N/A	Indica si hay una firma digital presente. Solo se rellena cuando los datos se originan en ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identificador asociado a la entidad que ha firmado el archivo. Solo se rellena cuando los datos se originan en ESET Inspect en dispositivos macOS.
code_signature.status	keyword	trusted	ESET	Para ESET, se permiten los siguientes valores: •trusted •valid •adhoc •none •invalid •unknown •present	El estado de validación de la firma digital, que indica si es de confianza, no es válida o tiene otro estado. Solo se rellena cuando los datos se originan en ESET Inspect. •trusted: firma de confianza para ESET. •valid: firma de confianza para el sistema operativo. •adhoc: autofirmado (solo macOS). •none: sin firma. •invalid: firma que no es de confianza para el sistema operativo, dañada o revocada. •unknown: no se puede determinar si hay una firma presente. •present: la firma está presente, pero la confianza no se ha podido verificar.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Nombre de la entidad (persona, organización o editor) que ha firmado el archivo, según figura en la firma digital. Solo se rellena cuando los datos se originan en ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identificador asignado al equipo de desarrollo que ha firmado el archivo. Solo se rellena cuando los datos se originan en ESET Inspect en dispositivos macOS.

Conjunto de campos de destino

Campos que describen el destino de una conexión de red o una transferencia de datos. Suele incluir detalles sobre el punto de acceso que recibe los datos, como dirección IP, puerto o dominio.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
destination.address	keyword	192.168.1.1	ESET	N/A	La dirección sin procesar del destino, según figura en la fuente. Puede ser una dirección IP, un nombre de dominio u otro identificador de red.
destination.ip	ip	192.168.1.1	ESET	N/A	Dirección IP del punto de acceso o el cliente de destino que reciben el tráfico de red.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Dirección MAC de la interfaz de red de destino.
destination.port	long	22	ESET	N/A	Número de puerto de red del destino.

Conjunto de campos de dispositivo

Campos que describen el dispositivo de hardware que participa en el evento. Suele incluir atributos como identificadores de dispositivo, modelo, fabricante, número de serie y otras características que ayudan a identificar el dispositivo físico que genera o recibe los datos.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	El nombre de la empresa o el proveedor que han fabricado el dispositivo.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Un identificador único para el modelo de dispositivo, proporcionado por el fabricante para distinguir entre diferentes modelos de hardware.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	El número de serie único asignado al dispositivo por el fabricante.

Conjunto de campos DLL

Campos que describen una biblioteca cargada dinámicamente que participa en un evento. Aunque el nombre es de Windows, este conjunto de campos cubre varias plataformas:

•Biblioteca de vínculo dinámico (.dll) frecuentemente usada en Windows

•Objeto compartido (.so) frecuentemente usado en sistemas operativos Unix

•Biblioteca dinámica (.dylib) frecuentemente usada en macOS

Los siguientes conjuntos de campos pueden anidarse en el conjunto de campos DLL:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
dll.name	keyword	scrobj.dll	ESET	N/A	El nombre del archivo de biblioteca cargada dinámicamente, sin la ruta.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	La ruta completa del sistema de archivos a la biblioteca cargada dinámicamente.

Conjunto de campos de ECS

Metainformación específica de ECS.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
ecs.version	keyword	8.16	all	N/A	Versión de ECS a la que se ajusta este evento.

Conjunto de campos de evento

Campos que describen los detalles de un evento o una actividad capturados por un sistema o una aplicación. Estos campos proporcionan contexto como la categoría, el tipo, la acción, el resultado y las marcas de tiempo del evento.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
event.action	keyword	file-cleaned	ESET	Para ESET, se permiten los siguientes valores: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	La acción o la operación específicas que han desencadenado el evento. El campo solo se proporciona si es aplicable al evento específico.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Clasificación general del evento, usada para agrupar tipos de actividad similares. Este campo ayuda a organizar los eventos en categorías funcionales amplias para facilitar la aplicación de filtros y el análisis. Este campo puede contener varios valores.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Representa la marca de tiempo que indica cuándo recibió u observó el agente el evento por primera vez. El valor debe ser ligeramente diferente de @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Nombre del conjunto de datos al que pertenece el evento. Este valor se suele usar para agrupar eventos relacionados de la misma fuente o la misma integración.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	ID único del evento.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Representa la marca de tiempo que indica cuándo llegó el evento a la consola ESET PROTECT.
event.kind	keyword	alert	all	Para ESET, se permiten los siguientes valores: •alert •event	Categorización general del tipo de información que contiene el evento. En el contexto de ESET, el valor alert corresponde a un indicador y event se refiere a un evento de telemetría.
event.module	keyword	eset	all	Para ESET, se permiten los siguientes valores: •eset	Identifica el nombre de la integración que ha generado el evento. Este campo se usa para agrupar eventos por fuente.
event.outcome	keyword	success	Todos	•failure •success •unknown	Indica el resultado del evento o de la acción.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifica la fuente o el componente del sistema que ha generado el evento. Suele ser el nombre de la aplicación, el servicio o el subsistema responsables de producir los datos. En el contexto de ESET, este valor se denomina a veces análisis, e indica qué módulo o motor de análisis de ESET han detectado o comunicado el evento.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Proporciona una explicación descriptiva de por qué se ha producido el evento. Este campo contiene texto legible por humanos que aclara el motivo, el desencadenante o la justificación del evento.
event.risk_score	float	40	ESET	N/A	Valor numérico que representa el riesgo estimado del evento según figura en la fuente del evento.
event.severity	long	2	ESET	N/A	Valor numérico que representa la gravedad del evento según figura en la fuente del evento.
event.type	keyword array	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Describe el tipo o la acción específicos representados por el evento en su categoría. Este campo proporciona una clasificación más detallada que event.category.

Conjunto de campos de archivo

Representa detalles sobre un archivo que participa en el evento. Los siguientes conjuntos de campos pueden anidarse en el conjunto de campos de archivo:

•file.code_signature.*

•file.hash.*

•file.pe.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
file.directory	keyword	C:\Windows\System32	ESET	N/A	La ruta del directorio en el que está el archivo, sin el nombre de archivo.
file.extension	keyword	dll	ESET	N/A	La extensión del archivo, sin el punto inicial.
file.name	keyword	rasadhlp.dll	ESET	N/A	El nombre del archivo, con la extensión, pero sin la ruta del directorio.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	La ruta completa al archivo, con los directorios y el nombre de archivo.
file.type	keyword	file	ESET	•file •directory •symlink	El tipo general del archivo. Indica la naturaleza del objeto en el sistema de archivos.

Conjunto de campos hash

Contiene valores hash criptográficos que identifican archivos de forma única. Se espera que los campos hash estén anidados en:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	El hash MD5 del archivo o de los datos.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	El hash SHA1 del archivo o de los datos.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	El hash SHA256 del archivo o de los datos.

Conjunto de campos de cliente

Representa detalles sobre el cliente (ordenador, servidor o dispositivo) en el que se ha originado u observado el evento. Los siguientes conjuntos de campos pueden anidarse en el conjunto de campos de cliente:

•host.os.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
host.architecture	keyword	x86-64	ESET	N/A	Arquitectura de CPU del cliente.
host.domain	keyword	CONTOSO	ESET	N/A	El nombre de dominio del cliente, que suele representar el dominio de Active Directory al que pertenece el cliente.
host.hostname	keyword	SRV-02	ESET	N/A	El nombre de cliente que devuelve el comando de nombre de cliente del sistema operativo.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificador único para el cliente.
host.ip	ip array	192.168.1.35	ESET	N/A	Direcciones IP asignadas al cliente.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Direcciones MAC de las interfaces de red del cliente.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Nombre del cliente.
host.type	keyword	server	ESET	Para ESET, se permiten los siguientes valores: •workstation •server •mobile	Tipo del cliente.

Conjunto de campos de red

Representa detalles sobre la actividad de red relacionada con el evento. Estos campos describen el protocolo, la dirección y los identificadores del tráfico de red.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Un valor hash que identifica de forma única un flujo de red basado en su tupla de cinco elementos (IP de fuente, IP de destino, puerto de fuente, puerto de destino y protocolo de transporte). Proporciona una forma constante de correlacionar sesiones de red en diferentes sistemas y herramientas. Más información en github.
network.direction	keyword	ingress	ESET	•ingress •egress	Dirección del tráfico en relación con el cliente.
network.protocol	keyword	ssh	ESET	N/A	Nombre del protocolo de red usado. En el modelo OSI, es equivalente a la capa Aplicación.
network.transport	keyword	tcp	ESET	N/A	Protocolo de transporte subyacente. En el modelo OSI, es equivalente a la capa Transporte.
network.type	keyword	ipv4	ESET	N/A	Tipo de tráfico de red. En el modelo OSI, es equivalente a la capa Red.

Conjunto de campos de sistema operativo

Representa detalles sobre el sistema operativo que se ejecuta en un cliente o en un dispositivo. Se espera que los campos de sistema operativo estén anidados en:

•host.os.*

Nombre del campo

Mapeo de campos

Ejemplo

Integraciones que proporcionan este campo

Valores permitidos

Nota

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Nombre legible por humanos del sistema operativo.

os.type

keyword

windows

ESET

Para ESET, se permiten los siguientes valores:

•windows

•linux

•macos

•ios

•android

Tipo general del sistema operativo.

os.version

keyword

10.0.19045.6456

ESET

N/A

Cadena de versión del sistema operativo.

Conjunto de campos PE

Representa metadatos extraídos de un archivo Portable Executable (PE) de Windows, como ejecutables, DLL y controladores. Se espera que los campos PE estén anidados en:

•dll.pe.*

•file.pe.*

•process.pe.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
pe.architecture	keyword	x64	ESET	N/A	Especifica la arquitectura de CPU para la que se ha creado el archivo Portable Executable (PE).
pe.company	keyword	Google LLC	ESET	N/A	Nombre de la empresa que ha publicado el ejecutable.
pe.description	keyword	Google Chrome	ESET	N/A	Descripción de la finalidad del archivo.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Nombre que tenía el ejecutable cuando se compiló y firmó.
pe.product	keyword	Google Chrome	ESET	N/A	Nombre del producto al que pertenece el archivo.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Versión del archivo según figura en sus metadatos.

Conjunto de campos de proceso

Representa detalles sobre un proceso que se ejecuta en un cliente relacionado con el evento. Se espera que los campos de proceso estén anidados en:

•process.parent.*

Los siguientes conjuntos de campos pueden anidarse en el conjunto de campos de proceso:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Matriz de argumentos pasada al proceso.
process.args_count	long	5	ESET	N/A	Número de argumentos pasados al proceso.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	La línea de comandos completa usada para iniciar el proceso, con los argumentos.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Marca de tiempo que indica cuándo terminó el proceso. Si el campo no se rellena, el proceso seguía en ejecución cuando se generó el evento.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Identificador único para el proceso. La implementación depende de la fuente de datos.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Ruta completa al archivo ejecutable del proceso.
process.name	keyword	whoami.exe	ESET	N/A	El nombre del ejecutable del proceso.
process.pid	long	9988	ESET	N/A	ID de proceso asignado por el sistema operativo.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Marca de tiempo que indica cuándo se inició el proceso.

Conjunto de campos relacionados

Contiene listas de identificadores relacionados con el evento. Estos valores ayudan a pivotar entre diferentes eventos que pueden tener el mismo valor en diferentes campos, como process.hash y process.parent.hash.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Matriz de hashes relacionados con el evento.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Matriz de clientes relacionados con el evento.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Matriz de direcciones IP relacionadas con el evento.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Matriz de identificadores de usuario relacionados con el evento.

Conjunto de campos de regla

Representa detalles sobre un indicador. Estos campos ayudan a identificar, categorizar y correlacionar indicadores en función de la lógica de detección que los desencadenó.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
rule.author	keyword	ESET	ESET	N/A	Autor de la regla de detección.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Nombre de la regla. Este valor deben rellenarlo todos los indicadores.
rule.category	keyword	File System	ESET	N/A	Categoría general de la regla.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Identificador único para la regla, dentro del alcance de todo el sistema. Asignado por el autor de la regla. En ESET Inspect, este es el valor usado en las etiquetas <guid> del código fuente de la regla.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Identificador único para la versión de la regla, dentro del alcance del cliente. Suele asignarlo el motor de detección.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Proporciona una explicación legible por humanos de lo que detecta la regla o de su finalidad prevista. Este campo ayuda a los analistas a comprender la lógica o el contexto de la alerta sin consultar la definición completa de la regla. En ESET Inspect, este es el contenido de las etiquetas <explanation> del código fuente de la regla.

Conjunto de campos de fuente

Campos que describen la fuente de una conexión de red o de una transferencia de datos. Suele incluir detalles sobre el punto de acceso que envía los datos, como dirección IP, puerto o dominio.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
source.address	keyword	192.168.1.1	ESET	N/A	La dirección sin procesar de la fuente, según figura en la fuente. Puede ser una dirección IP, un nombre de dominio u otro identificador de red.
source.ip	ip	192.168.1.1	ESET	N/A	Dirección IP del punto de acceso o el cliente fuente que envían el tráfico de red.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Dirección MAC de la interfaz de red fuente.
source.port	long	80	ESET	N/A	Número de puerto de red de la fuente.

Conjunto de campos de URL

Representa detalles sobre una URL que participa en el evento. Estos campos describen la estructura y los componentes de la URL.

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	El nombre de dominio extraído de la URL.
url.extension	keyword	xml	ESET	N/A	La extensión de archivo de la ruta de la URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	La URL completa.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	La URL completa según figura en la fuente de datos original.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	La parte de ruta de la URL.
url.scheme	keyword	http	ESET	N/A	El protocolo o el esquema usados.

Conjunto de campos de usuario

Representa detalles sobre un usuario asociado al evento. Se espera que los campos de usuario estén anidados en:

•process.user.*

Nombre del campo	Mapeo de campos	Ejemplo	Integraciones que proporcionan este campo	Valores permitidos	Nota
user.name	keyword	john	ESET	N/A	El nombre de usuario o el nombre de cuenta.
user.domain	keyword	contoso	ESET	N/A	Dominio o área a los que pertenece el usuario.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Identificador único del usuario.

Extensiones

Las extensiones de ECS personalizadas son conjuntos de campos adicionales introducidos por integraciones para capturar datos que no están cubiertos por el Elastic Common Schema estándar. Estos campos permiten un contexto más rico y atributos específicos del proveedor manteniendo la compatibilidad con ECS. Las extensiones deben seguir las convenciones de nombres de ECS y agruparse bajo un espacio de nombres claro para evitar conflictos con los campos de ECS estándar.

Extensión de ESET

La extensión de ESET estandariza los datos de los productos de ESET mapeando las detecciones del antivirus y los indicadores de comportamiento con campos de ECS personalizados en eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Nota
eset.aggregated_count	long	2	ESET	N/A	Si se ha desencadenado el mismo indicador durante un corto periodo, solo produce un documento. Este campo contiene cuántos indicadores ha producido el documento especificado.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identificador compartido entre indicadores de ESET relacionados.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID de la instancia de ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Información sobre la firma digital. Consulte los campos de firma de código de ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Formato del archivo ejecutable.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hashes del ejecutable. Consulte el conjunto de campos hash de ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Identificador único del ejecutable.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Si es true, el ejecutable representa la biblioteca vinculada dinámicamente.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	La marca de tiempo que indica cuándo desencadenaron el ejecutable o el archivo asociados una detección del antivirus clasificada como cuasi accidente (por ejemplo, similar a malware conocido, pero no suficiente para denunciarse con confianza como malware).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	El número de días transcurridos desde que el ejecutable se vio por primera vez en LiveGrid®. El número se redondea al equivalente a los intervalos de tiempo habituales: día, pocos días, semana, mes, medio año, año, etc.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Cuántos ordenadores han denunciado un ejecutable a LiveGrid®. El intervalo se mapea a potencias de diez: •0,00 => 0 (aún no denunciado a LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •etc.
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Número que indica la seguridad del ejecutable según LiveGrid®. Cuanto mayor es el número, más fiable es el ejecutable para LiveGrid®. •= 0,00: malware o en lista negra •<= 0,38: potencialmente no deseado o inseguro •>= 0,88: archivos predominantemente limpios
eset.executable.name	keyword	usoclient.exe	ESET	N/A	El nombre del ejecutable, con la extensión, pero sin la ruta del directorio.
eset.executable.marked_safe	boolean	false	ESET	N/A	Si es true, el ejecutable está marcado como seguro.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Nombre del empaquetador usado para crear el ejecutable tal como identifica ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Campo de nombre interno de los metadatos del ejecutable.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Si es true, el ejecutable es un controlador de Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Campo de versión de producto de los metadatos del ejecutable.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Nombre de la herramienta SFX usada para crear el ejecutable tal como identifica ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Tamaño de archivo del ejecutable.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Contiene el tipo de lista blanca. Estas listas blancas las administra ESET y no las puede configurar el usuario.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Representa el resultado de la corrección automatizada ejecutada por el producto de seguridad de ESET. •mitigated: se han tomado medidas automatizadas inmediatas parciales para reducir el impacto de la amenaza, pero la amenaza no se ha eliminado por completo. La resolución completa suele requerir un reinicio del sistema. •remediated: el proceso automatizado, la automatización o el sistema fuente han resuelto la amenaza de forma completa y permanente, lo que indica la erradicación completa y la recuperación a un estado seguro en el momento de la detección. •unhandled: el observable o el artefacto subyacente no se han abordado, y no se han tomado medidas inmediatas ni automatizadas para contener, erradicar o reducir su impacto. Este sigue siendo un indicador de alta prioridad que requiere análisis humano inmediato, ya que la amenaza sigue activa y sin obstáculos.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Muestra los Grupos de administración de ESET PROTECT a los que pertenece el dispositivo. Los grupos están ordenados del superior al grupo principal directo del cliente.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificador único para el cliente. Igual que host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Identificadores únicos de procesos anteriores.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Nivel de integridad de los procesos anteriores.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Nombres de proceso de los procesos anteriores.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	PID de proceso de los procesos anteriores.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Número de procesos generados a partir del proceso anterior.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Estado de terminación del proceso anterior.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Identificadores únicos de procesos secundarios.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Nivel de integridad de los procesos secundarios.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Nombres de proceso de los procesos secundarios.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identificadores de proceso de los procesos secundarios.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Número de procesos generados a partir del proceso secundario.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Estado de terminación de los procesos secundarios.
eset.process.dns_query_count	long	0	ESET	N/A	Número de consultas DNS realizadas por el proceso.
eset.process.dropped_executable_count	long	1	ESET	N/A	Número de ejecutables dejados por el proceso.
eset.process.http_request_count	long	9	ESET	N/A	Número de solicitudes HTTP realizadas por el proceso.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Identificador único del proceso.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Nivel de integridad del proceso.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Especifica la ruta completa del sistema de archivos al archivo de acceso directo (.lnk) de Windows usado para iniciar el proceso.
eset.process.modified_registry_count	long	42	ESET	N/A	Número de claves del Registro de Windows modificadas por el proceso.
eset.process.network_connection_count	long	6	ESET	N/A	Número de conexiones de red establecidas por el proceso.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Número de procesos generados a partir del proceso.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Si es true, el proceso se excluye de la detección de amenazas de ESET Endpoint Security debido a una exclusión de rendimiento configurada.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Almacena user.domain y user.name concatenados en el formato domain\username, que representa la cuenta en la que se ejecuta el proceso.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Representación textual del campo event.severity. Basado en el campo event.risk_score. •1-39 => Informativo (1) •40-69 => Advertencia (2) •70-100 => Amenaza (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Un valor específico del contexto asociado al evento definido en eset.triggering_event.type. Este campo contiene el parámetro o el objeto principal pertinente para el evento: por ejemplo, la ruta de archivo, la ruta de proceso, la clave de registro, la dirección de red u otro recurso en el que se ha producido el evento.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	ID único del evento desencadenante.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Datos estructurados dependientes del tipo de evento, no esquemáticos y arbitrarios.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Tipo del evento desencadenante basado en el comportamiento observado.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	La marca de tiempo que indica cuándo se ejecutó la acción de corrección.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	ID único de la acción de corrección.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Nombre de la acción de corrección realizada por EDR (ESET Inspect). Si desea más información, consulte la sección Acciones de la guía de reglas.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Indica el resultado de la acción de corrección.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Versión del módulo o el motor de análisis de ESET que detectó o denunció el evento.

˄˅