Rechercher dans le contenu de l'aide

Format de données Open XDR

Fil d'Ariane

Aide en ligne d'ESET > ESET PROTECT > Utilisation de ESET PROTECT > ESET PROTECT Menu principal > Recherche avancée > Format de données Open XDR

Copier l'URL de l'article actuel Envoyer par courriel

Cet article (PDF) Documentation complète (PDF)

Le format de données Open XDR est basé sur Elastic Common Schema (ECS), qui est le format normalisé utilisé pour ESET Open XDR. L'ECS simplifie l'écriture de requêtes et permet de corréler les données entre différentes sources de données. Les événements, indicateurs et incidents de télémétrie sont normalisés dans ce schéma à travers les produits et intégrations faisant partie de la plateforme Open XDR.

Les données Open XDR sont disponibles depuis les ordinateurs fonctionnant sous la version de l'agent ESET Management 13.0+ et du connecteur ESET Inspect 3.0+.

En savoir plus sur l'unification ESET Inspect et ESET PROTECT (Open XDR).

Ensembles de champs

L'ECS définit plusieurs groupes de champs apparentés, appelés ensembles de champs.

Ensemble de champs d'agent

Les champs d'agent décrivent le composant logiciel qui collecte, détecte ou observe les événements ou indicateurs de télémétrie.

Nom du champ

Cartographie des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

agent.build.original

keyword

13.01115.0

ESET

N/A

Informations sur la version étendue.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Type d'agent ou d'intégration qui a collecté ou observé l'événement.

•endpoint-security : pour les données de protection des terminaux (ESET PROTECT)

•endpoint-detection-response : pour les données EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Version de l'agent.

Ensembles de champs de base

L'ensemble de champs de base contient tous les champs qui sont à la racine des événements. Ces champs sont communs à tous les types d'événements.

Nom du champ

Cartographie des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Date/heure à laquelle l'événement a débuté. Généralement tiré de la source de l'événement. Si cette information n'est pas disponible, elle est définie à la date à laquelle le pipeline a reçu l'événement pour la première fois.

Tous les champs d'horodatage sont stockés en UTC. Lorsqu'ils sont affichés, ils sont convertis au fuseau horaire défini dans les paramètres de l'utilisateur de la console.

Ensemble de champs de nuage

Conçu pour capturer des métadonnées sur les ressources fonctionnant dans un environnement de nuage.

Nom du champ

Cartographie des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifie le fournisseur de services infonuagiques où la ressource s'exécute.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Identifiant unique pour l'instance (machine virtuelle ou ressource de calcul) fourni par le fournisseur de services infonuagiques.

Ensemble de champs de signature de code

Champs décrivant la signature numérique d'un fichier sur disque, d'un exécutable qui a lancé un processus, ou d'une bibliothèque chargée dynamiquement. Ils indiquent si le fichier est signé, qui l'a signé et si la signature est valide et fiable. Les champs de signature de code doivent être imbriqués à :

•process.*

•file.*

•dll.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
code_signature.exists	boolean	true	ESET	N/A	Indique si une signature numérique est présente. Rempli uniquement lorsque les données proviennent de ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identifiant associé à l'entité qui a signé le fichier. Rempli uniquement lorsque les données proviennent de ESET Inspect sur des périphériques macOS.
code_signature.status	keyword	trusted	ESET	Pour ESET, les valeurs suivantes sont autorisées : •trusted •valid •adhoc •none •invalid •unknown •present	Le statut de validation de la signature numérique, indiquant si elle est fiable, invalide ou possède un autre état. Rempli uniquement lorsque les données proviennent de ESET Inspect. •trusted : signature approuvée par ESET. •valid : signature approuvée par le système d'exploitation. •adhoc : auto-signé (macOS seulement). •none : pas de signature. •invalid : signature non approuvée par le système d'exploitation, corrompue ou révoquée. •unknown : impossible de déterminer si une signature est présente. •present : la signature est présente, mais la fiabilité n'a pas pu être vérifiée.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Nom de l'entité (individu, organisation ou éditeur) qui a signé le fichier, comme indiqué dans la signature numérique. Rempli uniquement lorsque les données proviennent de ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identifiant attribué à l'équipe de développement qui a signé le fichier. Rempli uniquement lorsque les données proviennent de ESET Inspect sur des périphériques macOS.

Ensemble de champs de destination

Champs qui décrivent la cible d'une connexion réseau ou d'un transfert de données. Cela inclut généralement des détails sur le terminal recevant les données, comme l'adresse IP, le port, le domaine.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
destination.address	keyword	192.168.1.1	ESET	N/A	L'adresse brute de la destination, telle que fournie par la source. Cela peut être une adresse IP, un nom de domaine ou un autre identifiant réseau.
destination.ip	ip	192.168.1.1	ESET	N/A	Adresse IP de l'hôte de destination ou du terminal recevant le trafic réseau.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Adresse MAC de l'interface réseau de destination.
destination.port	long	22	ESET	N/A	Numéro de port réseau de la destination.

Ensemble de champs du périphérique

Champs qui décrivent le périphérique matériel impliqué dans l'événement. Cela inclut généralement des attributs tels que les identifiants, le modèle, le fabricant, le numéro de série et d'autres caractéristiques du périphérique qui aident à identifier le périphérique physique générant ou recevant des données.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Le nom de l'entreprise ou du fournisseur qui a fabriqué le périphérique.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Un identifiant unique pour le modèle de périphérique, fourni par le fabricant afin de distinguer différents modèles matériels.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Le numéro de série unique attribué au périphérique par le fabricant.

Ensemble de champs DLL

Champs décrivant une bibliothèque chargée dynamiquement impliquée dans un événement. Bien que le nom soit centré sur Windows, cet ensemble de champs couvre plusieurs plateformes :

•Bibliothèque à liens dynamiques (.dll) couramment utilisée sous Windows

•Objet partagé (.so) couramment utilisé sur les systèmes d'exploitation de type Unix

•Bibliothèque dynamique (.dylib) couramment utilisée sur macOS

Les ensembles de champs suivants peuvent être imbriqués sous un ensemble de champs DLL :

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
dll.name	keyword	scrobj.dll	ESET	N/A	Le nom du fichier de bibliothèque chargée dynamiquement, sans le chemin.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Le chemin complet du système de fichiers vers la bibliothèque chargée dynamiquement.

Ensemble de champs ECS

Méta-informations spécifiques à ECS.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
ecs.version	keyword	8.16	all	N/A	Version ECS à laquelle cet événement se conforme.

Ensemble de champs d'événements

Champs qui décrivent les détails d'un événement ou d'une activité capturés par un système ou une application. Ces champs fournissent du contexte tel que la catégorie, le type, l'action, le résultat et les horodatages de l'événement.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
event.action	keyword	file-cleaned	ESET	Pour ESET, les valeurs suivantes sont autorisées : •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	L'action ou l'opération spécifique qui a déclenché l'événement. Le champ n'est fourni que s'il est applicable à l'événement spécifique.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Classification de haut niveau de l'événement, utilisée pour regrouper des types d'activités similaires. Ce domaine aide à organiser les événements en grandes catégories fonctionnelles pour faciliter le filtrage et l'analyse. Ce champ peut contenir plusieurs valeurs.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Représente l'horodatage lorsque l'agent a reçu ou observé l'événement pour la première fois. La valeur doit être légèrement différente de @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Nom de l'ensemble de données auquel l'événement appartient. Cette valeur est généralement utilisée pour regrouper les événements liés provenant de la même source ou intégration.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Identifiant unique de l'événement.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Représente l'horodatage de la réception de l'événement sur la console ESET PROTECT.
event.kind	keyword	alert	all	Pour ESET, les valeurs suivantes sont autorisées : •alert •event	Catégorisation de haut niveau du type d'informations véhiculées par l'événement. Dans le contexte de ESET, l'alerte de valeur correspond à un indicateur, tandis que l'événement fait référence à un événement de télémétrie.
event.module	keyword	eset	all	Pour ESET, les valeurs suivantes sont autorisées : •eset	Identifie le nom de l'intégration qui a généré l'événement. Ce champ est utilisé pour regrouper les événements selon leur source.
event.outcome	keyword	success	Tout	•failure •success •unknown	Indique le résultat de l'événement ou de l'action.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifie la source ou le composant dans le système qui a généré l'événement. Il s'agit généralement du nom de l'application, du service ou du sous-système responsable de la production des données. Dans le contexte de ESET, cette valeur est parfois appelée « scanner », indiquant quel moteur d'analyse ou module ESET a détecté ou signalé l'événement.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Fournit une explication descriptive des raisons de l'événement. Ce champ contient un texte lisible par l'humain qui clarifie la cause, le déclencheur ou la justification de l'événement.
event.risk_score	float	40	ESET	N/A	Valeur numérique représentant le risque estimé de l'événement tel que fourni par la source de l'événement.
event.severity	long	2	ESET	N/A	Valeur numérique représentant la gravité de l'événement telle que fournie par la source de l'événement.
event.type	keyword groupe	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Décrit le type ou l'action spécifique représentés par l'événement dans sa catégorie. Ce champ fournit une classification plus granulaire que event.category.

Ensemble de champs de fichiers

Représente des détails concernant un fichier impliqué dans l'événement. Les ensembles de champs suivants peuvent être imbriqués sous l'ensemble de champs de fichiers :

•file.code_signature.*

•file.hash.*

•file.pe.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
file.directory	keyword	C:\Windows\System32	ESET	N/A	Le chemin du répertoire où se trouve le fichier, excluant le nom du fichier.
file.extension	keyword	dll	ESET	N/A	L'extension du fichier, à l'exception du point principal.
file.name	keyword	rasadhlp.dll	ESET	N/A	Le nom du fichier, y compris l'extension, mais sans le chemin du répertoire.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Le chemin complet vers le fichier, y compris les répertoires et le nom du fichier.
file.type	keyword	file	ESET	•file •directory •symlink	Le type général du fichier. Indique la nature de l'objet dans le système de fichiers.

Ensemble de champs de hachage

Contient des valeurs de hachage cryptographiques qui identifient de façon unique les fichiers. Les champs de hachage doivent être imbriqués à :

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Le hachage MD5 du fichier ou des données.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Le hachage SHA1 du fichier ou des données.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Le hachage SHA256 du fichier ou des données.

Ensemble de champs hôtes

Représente des détails sur l'hôte (ordinateur, serveur ou périphérique) où l'événement a pris naissance ou a été observé. Les ensembles de champs suivants peuvent être imbriqués sous l'ensemble des champs hôtes :

•host.os.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
host.architecture	keyword	x86-64	ESET	N/A	Architecture du processeur de l'hôte.
host.domain	keyword	CONTOSO	ESET	N/A	Le nom de domaine de l'hôte, représentant typiquement le domaine Active Directory auquel l'hôte appartient.
host.hostname	keyword	SRV-02	ESET	N/A	Le nom d'hôte tel que rapporté par la commande du nom d'hôte du système d'exploitation.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identifiant unique pour l'hôte.
host.ip	ip array	192.168.1.35	ESET	N/A	Adresse(s) IP attribuée(s) à l'hôte.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Adresse(s) MAC des interfaces réseau de l'hôte.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Nom de l'hôte.
host.type	keyword	server	ESET	Pour ESET, les valeurs suivantes sont autorisées : •workstation •server •mobile	Le type d'hôte.

Ensemble de champs réseau

Représente des détails sur l'activité du réseau liée à l'événement. Ces champs décrivent le protocole, la direction et les identifiants pour le trafic réseau.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Valeur de hachage qui identifie de manière unique un flux réseau en fonction de son quintuplet (adresse IP source, adresse IP de destination, port source, port de destination et protocole de transport). Cela offre une façon cohérente de corréler les sessions réseau entre différents systèmes et outils. Plus d'informations sur github.
network.direction	keyword	ingress	ESET	•ingress •egress	Direction du trafic par rapport à l'hôte.
network.protocol	keyword	ssh	ESET	N/A	Nom du protocole réseau utilisé. Dans le modèle OSI, c'est l'équivalent de la couche Application.
network.transport	keyword	tcp	ESET	N/A	Protocole de transport sous-jacent. Dans le modèle OSI, c'est l'équivalent de la couche Transport.
network.type	keyword	ipv4	ESET	N/A	Type de trafic réseau. Dans le modèle OSI, c'est l'équivalent de la couche Réseau.

Ensemble de champs du système d'exploitation

Représente des détails sur le système d'exploitation fonctionnant sur un hôte ou un périphérique. Les champs du système d'exploitation doivent être imbriqués à :

•host.os.*

Nom du champ

Cartographie des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Nom lisible par l'humain du système d'exploitation.

os.type

keyword

windows

ESET

Pour ESET, les valeurs suivantes sont autorisées :

•windows

•linux

•macos

•ios

•android

Type général du système d'exploitation.

os.version

keyword

10.0.19045.6456

ESET

N/A

Chaîne de version du système d'exploitation.

Ensemble de champs PE

Représente les métadonnées extraites d'un fichier Windows Portable Executable (PE), tels que les fichiers exécutables, les DLL et les pilotes. Les champs PE doivent être imbriqués à :

•dll.pe.*

•file.pe.*

•process.pe.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
pe.architecture	keyword	x64	ESET	N/A	Précise l'architecture du processeur pour laquelle le fichier Portable Executable (PE) a été créé.
pe.company	keyword	Google LLC	ESET	N/A	Nom de l'entreprise qui a publié le fichier exécutable.
pe.description	keyword	Google Chrome	ESET	N/A	Description de l'objectif du fichier.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Nom que le fichier exécutable avait au moment de sa compilation et de sa signature.
pe.product	keyword	Google Chrome	ESET	N/A	Nom du produit auquel appartient le fichier.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Version du fichier telle que spécifiée dans ses métadonnées.

Ensemble de champs de processus

Représente des détails sur un processus qui s'exécute sur un hôte et qui est lié à l'événement. Les champs de processus doivent être imbriqués à :

•process.parent.*

Les ensembles de champs suivants peuvent être imbriqués sous l'ensemble de champs de processus :

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Un groupe d'arguments a été transmis au processus.
process.args_count	long	5	ESET	N/A	Le nombre d'arguments transmis au processus.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	La ligne de commande complète utilisait pour lancer le processus, y compris les arguments.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Horodatage de la fin du processus. Si le champ n'est pas rempli, le processus était toujours en cours d'exécution lorsque l'événement a été généré.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Identifiant unique pour le processus. La mise en œuvre dépend de la source de données.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Chemin complet vers le fichier exécutable du processus.
process.name	keyword	whoami.exe	ESET	N/A	Le nom du fichier exécutable du processus.
process.pid	long	9988	ESET	N/A	ID de processus attribué par le système d'exploitation.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Horodatage du début du processus.

Ensemble de champs connexes

Contient des listes d'identifiants liés à l'événement. Ces valeurs aident à pivoter entre différents événements qui peuvent avoir la même valeur dans différents domaines, par exemple process.hash et process.parent.hash.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Groupe de hachages liés à l'événement.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Groupe d'hôtes liés à l'événement.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Groupe d'adresses IP liées à l'événement.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Groupe d'identifiants utilisateurs liés à l'événement.

Ensemble de champs de règles

Représente des détails concernant un indicateur. Ces champs aident à identifier, catégoriser et corréler les indicateurs selon la logique de détection qui les a déclenchés.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
rule.author	keyword	ESET	ESET	N/A	Auteur de la règle de détection.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Nom de la règle. Cette valeur doit être remplie par tous les indicateurs.
rule.category	keyword	File System	ESET	N/A	Catégorie générale de la règle.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Identifiant unique pour la règle, dans le cadre de l'ensemble du système. Attribué par l'auteur de la règle. Dans le cas de ESET Inspect, c'est la valeur utilisée dans les balises <guid> du code source de la règle.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Identifiant unique pour la version de la règle, dans la portée de l'hôte. Souvent attribué par le moteur de détection.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Fournit une explication lisible par l'humain de ce que la règle détecte ou de son but prévu. Ce champ aide les analystes à comprendre la logique ou le contexte derrière l'alerte sans avoir à revoir la définition complète de la règle. Dans le cas de ESET Inspect, c'est le contenu des balises <explanation> dans le code source de la règle.

Ensemble de champs sources

Des champs qui décrivent la source d'une connexion réseau ou d'un transfert de données. Cela inclut généralement des détails sur le terminal qui envoie les données, comme l'adresse IP, le port, le domaine.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
source.address	keyword	192.168.1.1	ESET	N/A	L'adresse brute de la source, telle que fournie par la source. Cela peut être une adresse IP, un nom de domaine ou un autre identifiant réseau.
source.ip	ip	192.168.1.1	ESET	N/A	Adresse IP de l'hôte ou du terminal source qui envoie le trafic réseau.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Adresse MAC de l'interface réseau source.
source.port	long	80	ESET	N/A	Numéro de port réseau de la source.

Ensemble de champs URL

Représente des détails concernant une URL impliquée dans l'événement. Ces champs décrivent la structure et les composants de l'URL.

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Le nom de domaine extrait de l'URL.
url.extension	keyword	xml	ESET	N/A	L'extension de fichier du chemin de l'URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	L'URL complète.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	L'URL complète telle que fournie par la source de données d'origine.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	La partie du chemin de l'URL.
url.scheme	keyword	http	ESET	N/A	Le protocole ou le schéma utilisé.

Ensemble de champs utilisateurs

Représente des détails sur un utilisateur associé à l'événement. Les champs utilisateurs doivent être imbriqués à :

•process.user.*

Nom du champ	Cartographie des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
user.name	keyword	john	ESET	N/A	Le nom d'utilisateur ou le nom de compte.
user.domain	keyword	contoso	ESET	N/A	Domaine auquel l'utilisateur appartient.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Identificateur unique de l'utilisateur.

Extensions

Les extensions ECS personnalisées sont des ensembles de champs supplémentaires introduits par des intégrations pour capturer des données qui ne sont pas couvertes par le schéma Elastic Common Schema standard. Ces champs permettent un contexte plus riche et des attributs spécifiques au fournisseur tout en maintenant la compatibilité avec ECS. Les extensions doivent suivre les conventions de nommage ECS et sont regroupées sous un espace de noms clair afin d'éviter les conflits avec les champs ECS standard.

Extension ESET

L'extension ESET standardise les données des produits ESET en associant les détections antivirus et les indicateurs comportementaux à des champs ECS personnalisés sous eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Remarque
eset.aggregated_count	long	2	ESET	N/A	Si le même indicateur a été déclenché pendant une courte période, il ne produit qu'un seul document. Ce champ contient le nombre d'indicateurs qui ont produit le document spécifique.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identifiant partagé entre des indicateurs connexes ESET.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID de l'instance ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informations sur la signature numérique. Consultez les champs de signature de code ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Format du fichier exécutable.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hachages du fichier exécutable. Consultez l'ensemble de champs de hachage ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Identifiant unique du fichier exécutable.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Si cela est « vrai », le fichier exécutable représente une bibliothèque liée dynamiquement.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	L'horodatage lorsque le fichier ou le fichier exécutable associé a déclenché une détection antivirus classée comme un quasi-accident (par exemple, similaire à un logiciel malveillant connu, mais pas assez pour être signalé avec assurance comme un logiciel malveillant).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Le nombre de jours écoulés depuis que le fichier exécutable a été vu pour la première fois dans LiveGrid®. Le nombre est arrondi à l'équivalent des intervalles de temps courants : jour, quelques jours, semaine, mois, semestre, année, etc.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Le nombre d'ordinateurs ayant signalé un fichier exécutable à LiveGrid®. L'intervalle est assigné à des puissances de dix : •0,00 => 0 (pas encore signalé à LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •et cetera
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Nombre indiquant la sécurité du fichier exécutable selon LiveGrid®. Plus le nombre est élevé, plus le fichier exécutable est fiable selon LiveGrid®. •= 0,00 : logiciel malveillant ou sur liste noire •<= 0,38 : potentiellement indésirable ou dangereux •>= 0,88 : fichiers propres courants
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Le nom du fichier exécutable, incluant l'extension, mais sans le chemin du répertoire.
eset.executable.marked_safe	boolean	false	ESET	N/A	Si cela est « vrai », le fichier exécutable est marqué comme sûr.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Nom du compresseur utilisé pour créer le fichier exécutable tel qu'identifié par ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Champ de nom interne provenant des métadonnées du fichier exécutable.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Si cela est « vrai », le fichier exécutable est un pilote Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Champ de version du produit à partir des métadonnées du fichier exécutable.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Nom de l'outil SFX utilisé pour créer le fichier exécutable tel qu'identifié par ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Taille du fichier exécutable.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Contient le type de liste blanche. Ces listes blanches sont gérées par ESET et ne sont pas configurables par l'utilisateur.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Représente le résultat d'une correction automatisée telle qu'exécutée par le produit de sécurité ESET. •mitigated : des actions automatisées partielles immédiates ont été prises pour réduire l'impact de la menace, mais elle n'a pas été complètement éliminée. La résolution complète nécessite habituellement un redémarrage du système. •remediated : la menace a été complètement et définitivement éliminée par le système source, l'automatisation ou un processus automatisé, indiquant l'élimination complète et la récupération à un état sécurisé au moment de la détection. •unhandled : l'artéfact ou l'observable sous-jacent n'a pas été traité, et aucune action immédiate ou automatisée n'a été prise pour en contenir, éliminer ou réduire son impact. Cela demeure un indicateur prioritaire nécessitant une analyse humaine rapide, car la menace demeure active et sans entrave.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Liste les groupes d'administrateurs ESET PROTECT auxquels appartient le périphérique. Les groupes sont ordonnés du plus haut vers le groupe parent direct de l'hôte.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identifiant unique pour l'hôte. Identique à host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Identifiants uniques des processus ancêtres.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Niveau d'intégrité des processus ancêtres.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Noms des processus ancêtres.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Traitez les PID des processus ancêtres.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Nombre de processus issus du processus ancêtre.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Statut de résiliation du processus ancêtre.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Identifiants uniques des processus enfants.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Niveau d'intégrité des processus enfants.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Noms des processus enfants.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identifiants des processus enfants.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Nombre de processus issus du processus enfant.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Statut de résiliation des processus enfants.
eset.process.dns_query_count	long	0	ESET	N/A	Nombre de requêtes DNS effectuées par le processus.
eset.process.dropped_executable_count	long	1	ESET	N/A	Nombre de fichiers exécutables abandonnés par le processus.
eset.process.http_request_count	long	9	ESET	N/A	Nombre de requêtes HTTP effectuées par le processus.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Identifiant unique du processus.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Niveau d'intégrité du processus.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Spécifie le chemin complet du système de fichiers vers le fichier raccourci Windows (.lnk) utilisé pour lancer le processus.
eset.process.modified_registry_count	long	42	ESET	N/A	Nombre de clés du registre Windows modifiées par le processus.
eset.process.network_connection_count	long	6	ESET	N/A	Nombre de connexions réseau établies par le processus.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Nombre de processus issus de ce processus.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Lorsque true, le processus est exclu de la détection de menace ESET Endpoint Security en raison d'une exclusion de performance configurée.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Stocke les champs concaténés user.domain et user.name au format domain\username, représentant le compte sous lequel le processus est exécuté.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Représentation textuelle du champ event.severity. Basé sur le champ event.risk_score. •1–39 => Informationnel (1) •40–69 => Avertissement (2) •70-100 => Menace (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Une valeur spécifique au contexte associée à l'événement défini dans eset.triggering_event.type. Ce champ contient l'objet ou paramètre principal pertinent pour l'événement – par exemple, le chemin du fichier, le chemin du processus, la clé du registre, l'adresse réseau ou toute autre ressource sur laquelle l'événement s'est produit.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Identifiant unique de l'événement déclencheur.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Données structurées arbitraires, non schématiques, dépendantes du type d'événement.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Le type d'événement déclencheur basé sur le comportement observé.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	L'horodatage indiquant quand l'action de correction a été exécutée.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Identifiant unique de l'action de correction.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Nom de l'action de correction effectuée par l'EDR (ESET Inspect). Pour plus de détails, consultez la section Les règles guident les actions.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Indique le résultat de l'action de correction.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Version du moteur d'analyse ou du module ESET qui a détecté ou signalé l'événement.

˄˅