eset.aggregated_count
|
long
|
2
|
ESET
|
N/A
|
Si le même indicateur a été déclenché pendant une courte période, il ne produit qu'un seul document. Ce champ contient le nombre d'indicateurs générés par le document spécifique.
|
eset.correlation_id
|
keyword
|
09f03498-8228-d345-f998-491d11a306d7
|
ESET
|
N/A
|
Identifiant partagé entre des indicateurs ESET liés.
|
eset.epc_instance.id
|
keyword
|
7835678-c65c-41f6-ae2a-c784a2852a15
|
ESET
|
N/A
|
GUID de l'instance ESET PROTECT.
|
eset.executable.code_signature.*
|
N/A
|
N/A
|
ESET
|
N/A
|
Informations sur la signature numérique.
Voir les champs de signature de code ECS.
|
eset.executable.file_format
|
keyword
|
pe
|
ESET
|
•elf
•pe
•macho |
Format du fichier exécutable.
|
eset.executable.hash.*
|
N/A
|
N/A
|
ESET
|
N/A
|
Hachages de l'exécutable. Voir l'ensemble de champs de hachage ECS.
|
eset.executable.id
|
keyword
|
DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_
|
ESET
|
N/A
|
Identifiant unique de l'exécutable.
|
eset.executable.is_dynamically_linked_library
|
boolean
|
false
|
ESET
|
N/A
|
Si cela est vrai, l'exécutable représente une bibliothèque liée dynamiquement.
|
eset.executable.last_nearmiss_time
|
date
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
Horodatage auquel le fichier ou l'exécutable associé a déclenché une détection antivirus classée comme quasi-incident (par exemple, similaire à un logiciel malveillant connu, mais pas suffisamment pour être signalé avec certitude comme tel).
|
eset.executable.livegrid_findings.age_days
|
long
|
5
|
ESET
|
N/A
|
Nombre de jours écoulés depuis la première apparition de l'exécutable dans LiveGrid®.
Le nombre est arrondi à l'équivalent des intervalles de temps courants : jour, quelques jours, semaine, mois, semestre, année, etc.
|
eset.executable.livegrid_findings.popularity
|
double
|
0.64
|
ESET
|
Interval 0.0 - 1.0
|
Nombre d'ordinateurs qui ont signalé un exécutable à LiveGrid®. L'intervalle est mappé à des puissances de dix :
•0,00 => 0 (pas encore signalé à LiveGrid®)
•0,09 => 10⁰ = 1
•0,18 => 10¹ = 10
•0,27 => 10² = 100
•etc. |
eset.executable.livegrid_findings.reputation
|
double
|
0.88
|
ESET
|
Interval 0.0 - 1.0
|
Nombre indiquant le niveau de sécurité de l'exécutable selon LiveGrid®.
Plus le nombre est élevé, plus l'exécutable est fiable pour LiveGrid®.
•= 0,00 : logiciel malveillant ou sur liste noire
•<= 0,38 : potentiellement indésirable ou dangereux
•>= 0,88 : fichiers non infectés prédominants |
eset.executable.name
|
keyword
|
usoclient.exe
|
ESET
|
N/A
|
Nom de l'exécutable, y compris l'extension, mais sans le chemin d'accès au répertoire.
|
eset.executable.marked_safe
|
boolean
|
false
|
ESET
|
N/A
|
Si cela est vrai, l'exécutable est marqué comme fiable.
|
eset.executable.packer_name
|
keyword
|
UPX v13_m8
|
ESET
|
N/A
|
Nom de l'installeur utilisé pour créer l'exécutable tel qu'identifié par ESET.
|
eset.executable.pe_internal_name
|
keyword
|
chrome_exe
|
ESET
|
N/A
|
Champ de nom interne issu des métadonnées de l'exécutable.
|
eset.executable.pe_is_native
|
boolean
|
false
|
ESET
|
N/A
|
Si cela est vrai, l'exécutable est un pilote Windows.
|
eset.executable.product_version
|
keyword
|
142.0.7444.176
|
ESET
|
N/A
|
Champ de version de produit provenant des métadonnées de l'exécutable.
|
eset.executable.sfx_name
|
keyword
|
PYINSTALLER
|
ESET
|
N/A
|
Nom de l'outil SFX utilisé pour créer l'exécutable tel qu'identifié par ESET.
|
eset.executable.size
|
long
|
3,417,240
|
ESET
|
N/A
|
Taille du fichier exécutable.
|
eset.executable.whitelist_type
|
keyword
|
livegrid
|
ESET
|
•threat-scanner
•livegrid
•certificate |
Contient le type de liste blanche. Ces listes blanches sont gérées par ESET et ne sont pas configurables par l'utilisateur.
|
eset.handling_status
|
keyword
|
remediated
|
ESET
|
•mitigated
•remediated
•unhandled |
Représente le résultat de la correction automatisée telle qu'elle a été exécutée par le produit de sécurité ESET.
•mitigated : des mesures automatisées immédiates partielles ont été prises pour réduire l'impact de la menace, mais celle-ci n'a pas été totalement éliminée. La résolution complète nécessite généralement un redémarrage du système.
•remediated : la menace a été complètement et définitivement résolue par le système source, l'automatisation ou un processus automatisé, indiquant une éradication complète et un retour à un état sécurisé au moment de la détection.
•unhandled : l'artefact ou l'observable sous-jacent n'a pas été traité, et aucune mesure immédiate ou automatisée n'a été prise pour contenir, éliminer ou réduire son impact. Il s'agit toujours d'un indicateur hautement prioritaire qui nécessite une analyse humaine rapide, car la menace est toujours active et sans entrave. |
eset.host.group_path
|
keyword array
|
All, Companies, ESET, Accounting
|
ESET
|
N/A
|
Répertorie les groupes d'administration ESET PROTECT auxquels appartient l'appareil. Les groupes sont classés par ordre décroissant, du groupe le plus haut au groupe parent direct de l'hôte.
|
eset.host.id
|
keyword
|
59a611f9-a01e-47a6-a839-03b1e4ac3e67
|
ESET
|
N/A
|
Identifiant unique pour l'hôte. Identique à host.id.
|
eset.process.ancestors.id
|
keyword array
|
18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0
|
ESET
|
N/A
|
Identifiants uniques des processus ancêtres.
|
eset.process.ancestors.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Niveau d'intégrité des processus ancêtres.
|
eset.process.ancestors.name
|
keyword array
|
chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe
|
ESET
|
N/A
|
Noms de processus des processus ancêtres.
|
eset.process.ancestors.pid
|
long array
|
15,916, 2,268, 7,784, 1,192, 1,084
|
ESET
|
N/A
|
Processus PID des processus ancêtres.
|
eset.process.ancestors.subprocesses_count
|
long array
|
117, 9, 1, 6, 2
|
ESET
|
N/A
|
Nombre de processus issus du processus ancêtre.
|
eset.process.ancestors.terminated
|
boolean array
|
true, false, true
|
ESET
|
N/A
|
État de résiliation du processus ancêtre.
|
eset.process.children.id
|
keyword array
|
18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0
|
ESET
|
N/A
|
Identifiants uniques des processus enfants.
|
eset.process.children.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Niveau d'intégrité des processus enfants.
|
eset.process.children.name
|
keyword array
|
conhost.exe, cmd.exe
|
ESET
|
N/A
|
Noms des processus enfants.
|
eset.process.children.pid
|
long array
|
708, 7,964
|
ESET
|
N/A
|
Identifiants des processus enfants.
|
eset.process.children.subprocess_count
|
long array
|
1, 5
|
ESET
|
N/A
|
Nombre de processus issus du processus enfant.
|
eset.process.children.terminated
|
boolean array
|
true, false
|
ESET
|
N/A
|
État de terminaison des processus enfants.
|
eset.process.dns_query_count
|
long
|
0
|
ESET
|
N/A
|
Nombre de requêtes DNS effectuées par le processus.
|
eset.process.dropped_executable_count
|
long
|
1
|
ESET
|
N/A
|
Nombre d'exécutables supprimés par le processus.
|
eset.process.http_request_count
|
long
|
9
|
ESET
|
N/A
|
Nombre de requêtes HTTP effectuées par le processus.
|
eset.process.id
|
keyword
|
8d053e9-8cf5-885d-a17b-0c14e4110000
|
ESET
|
N/A
|
Identifiant unique du processus.
|
eset.process.integrity_level
|
keyword
|
medium
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Niveau d'intégrité du processus.
|
eset.process.lnk_path
|
keyword
|
c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk
|
ESET
|
N/A
|
Spécifie le chemin d'accès complet au fichier de raccourci Windows (.lnk) qui a été utilisé pour lancer le processus.
|
eset.process.modified_registry_count
|
long
|
42
|
ESET
|
N/A
|
Nombre de clés du registre Windows modifiées par le processus.
|
eset.process.network_connection_count
|
long
|
6
|
ESET
|
N/A
|
Nombre de connexions réseau établies par le processus.
|
eset.process.spawned_child_process_count
|
long
|
2
|
ESET
|
N/A
|
Nombre de processus issus de ce processus.
|
eset.process.threat_detection_performance_excluded
|
boolean
|
false
|
ESET
|
N/A
|
Lorsque true, le processus est exclu de la détection de menaces ESET Endpoint Security en raison d'une exclusion de performance configurée.
|
eset.process.username
|
keyword
|
contoso\administrator
|
ESET
|
N/A
|
Stocke les chaînes concaténées user.domain et user.name au format domain\username, représentant le compte sous lequel le processus est exécuté.
|
eset.severity
|
keyword
|
Warning
|
ESET
|
•Informational
•Warning
•Threat |
Représentation textuelle du champ event.severity. Basé sur le champ event.risk_score.
•1–39 => Informations (1)
•40–69 => Avertissement (2)
•70-100 => Menace (3) |
eset.triggering_event.argument
|
wildcard
Multi-field:
eset.triggering_event.argument.text - match_only_text
|
%WINDIR%\explorer.exe (Remote thread)
|
ESET
|
N/A
|
Valeur spécifique au contexte associée à l'événement défini dans eset.triggering_event.type.
Ce champ contient l'objet ou le paramètre principal lié à l'événement, par exemple le chemin d'accès au fichier, le chemin d'accès au processus, la clé de registre, l'adresse réseau ou toute autre ressource sur laquelle l'événement s'est produit.
|
eset.triggering_event.id
|
keyword
|
8b4df3a4-2c87-4f50-94af-ab0e0d8589eb
|
ESET
|
N/A
|
ID unique de l'événement déclencheur.
|
eset.triggering_event.data
|
flattened
|
{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }
|
ESET
|
N/A
|
Données structurées arbitraires non schématiques, dépendantes du type d'événement.
|
eset.triggering_event.type
|
keyword
|
FileDeleted
|
ESET
|
•ApiCalled
•CodeInjected
•DeviceConnected
•DnsResolved
•DriverLoaded
•DriverUnloaded
•ExecutableDropped
•FileAddedToBitsJob
•FileAttributesSet
•FileDeleted
•FileRead
•FileRenamed
•FileTruncated
•FileWritten
•HttpResourceRequested
•LibraryLoaded
•MultipleFilesChanged
•NamedPipeCreated
•ProcessCreated
•ProcessInjected
•ProcessOpened
•ProcessStartedViaWmi
•ProcessTerminated
•RegistryKeyCreated
•RegistryKeyDeleted
•RegistryKeyRenamed
•RegistryKeyValueChanged
•RegistryKeyValueDeleted
•ScheduledTaskCreated
•ScheduledTaskStarted
•ScriptExecuted
•ServiceInstalled
•ServiceStarted
•SystemApiCalled
•TcpIpAccepted
•TcpIpConnected
•TcpIpDisconnected
•TcpIpProtocolIdentified
•UserActivated
•UserAddedToGroup
•UserCreated
•UserDisabled
•UserLoggedin
•UserLoggedout
•UserRemoved
•UserRemovedFromGroup
•VirtualDiskMounted
•VolumeShadowCopyDeleted
•WmiPersistenceSetup
•WmiQueryExecuted |
Type d'événement déclencheur basé sur le comportement observé.
|
eset.remediationactions.created
|
date array
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
Horodatage indiquant quand l'action de correction a été exécutée.
|
eset.remediationactions.id
|
keyword array
|
8b4df3a4-2c87-4f50-94af-ab0e0c8589eb
|
ESET
|
N/A
|
ID unique de l'action de correction.
|
eset.remediationactions.name
|
keyword array
|
KillProcess
|
ESET
|
•BlockModule
•BlockProcessExecutable
•BlockProcessSuspiciousModules
•IsolateFromNetwork
•KillProcess
•LogOutUser
•Reboot
•Shutdown |
Nom de l'action de correction réalisée par EDR (ESET Inspect).
Pour plus de détails, consultez la section Guide des règles d'actions.
|
eset.remediationactions.outcome
|
keyword array
|
true
|
ESET
|
N/A
|
Indique le résultat de l'action de correction.
|
eset.scan.scanner_version
|
text
|
32438 (20251230)
|
ESET
|
N/A
|
Version du moteur ou du module d'analyse ESET qui a détecté ou signalé l'événement.
|