Recherche dans le contenu de l'aide

Format de données Open XDR

Chemin de navigation

Aide en ligne ESET > ESET PROTECT > Utilisation d'ESET PROTECT > ESET PROTECT Menu principal > Recherche avancée > Format de données Open XDR

Copier l'URL de l'article actuel Partager par e-mail

Cet article (PDF) Documentation complète (PDF)

Le format de données Open XDR est basé sur Elastic Common Schema (ECS), qui est le format normalisé utilisé pour ESET Open XDR. ECS simplifie l'écriture des requêtes et permet de corréler les données provenant de différentes sources. Les événements, indicateurs et incidents de télémétrie sont normalisés dans ce schéma pour tous les produits et intégrations qui font partie de la plateforme Open XDR.

Les données Open XDR sont disponibles sur des ordinateurs exécutant ESET Management Agent version 13.0+ et ESET Inspect Connector 3.0+.

En savoir plus sur l'unification d'ESET Inspect et de ESET PROTECT (Open XDR).

Ensembles de champs

ECS définit plusieurs groupes de champs associés, appelés ensembles de champs.

Ensemble de champs d'agent

Les champs d'agent décrivent le composant logiciel qui collecte, détecte ou observe les événements ou indicateurs télémétriques.

Nom du champ

Mappage des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

agent.build.original

keyword

13.01115.0

ESET

N/A

Informations détaillées sur la version.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Type d'agent ou d'intégration qui a collecté ou observé l'événement.

•endpoint-security : pour les données de protection des endpoints (ESET PROTECT)

•endpoint-detection-response : pour les données EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Version de l'agent.

Ensembles de champs de base

L'ensemble de champs de base contient tous les champs qui sont à la racine des événements. Ces champs sont communs à tous types d'événements.

Nom du champ

Mappage des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Date/heure à laquelle l'événement a eu lieu. Généralement tiré de la source de l'événement. Si cette information n'est pas disponible, elle est définie à la date à laquelle le pipeline a reçu l'événement pour la première fois.

Tous les champs d'horodatage sont stockés en UTC. Lorsqu'elles sont affichées, elles sont converties dans le fuseau horaire défini dans les paramètres utilisateur de la console.

Ensemble de champs cloud

Conçu pour capturer les métadonnées relatives aux ressources exécutées dans un environnement cloud.

Nom du champ

Mappage des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifie le fournisseur de services cloud où la ressource s'exécute.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Identifiant unique de l'instance (machine virtuelle ou ressource de calcul) fourni par le fournisseur de services cloud.

Ensemble de champs de signature de code

Champs décrivant la signature numérique d'un fichier sur disque, d'un exécutable qui a lancé un processus ou d'une bibliothèque chargée dynamiquement. Ils indiquent si le fichier est signé, qui l'a signé et si la signature est valide et fiable. Les champs de signature de code sont censés être imbriqués au niveau de :

•process.*

•file.*

•dll.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
code_signature.exists	boolean	true	ESET	N/A	Indique si une signature numérique est présente. Renseigné uniquement lorsque les données proviennent de ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identifiant associé à l'entité qui a signé le fichier. Renseigné uniquement lorsque les données proviennent de ESET Inspect sur les appareils macOS.
code_signature.status	keyword	trusted	ESET	Pour ESET, les valeurs suivantes sont autorisées : •trusted •valid •adhoc •none •invalid •unknown •present	Statut de validation de la signature numérique, indiquant si elle est fiable, invalide ou si elle présente un autre état. Renseigné uniquement lorsque les données proviennent de ESET Inspect. •trusted : signature approuvée par ESET. •valid : signature approuvée par le système d'exploitation. •adhoc : auto-signé (macOS uniquement). •none : pas de signature. •invalid : signature non fiable pour le système d'exploitation, corrompue ou révoquée. •unknown : impossible de déterminer si une signature est présente. •present : la signature est présente, mais la fiabilité n'a pas pu être vérifiée.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Nom de l'entité (personne physique, organisation ou éditeur) qui a signé le fichier, tel qu'il apparaît dans la signature numérique. Renseigné uniquement lorsque les données proviennent de ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identifiant attribué à l'équipe de développement qui a signé le fichier. Renseigné uniquement lorsque les données proviennent de ESET Inspect sur les appareils macOS.

Ensemble de champs de destination

Champs qui décrivent la cible d'une connexion réseau ou d'un transfert de données. Cela comprend généralement des informations sur l'endpoint qui reçoit les données, telles que l'adresse IP, le port et le domaine.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
destination.address	keyword	192.168.1.1	ESET	N/A	Adresse brute de la destination, telle que fournie par la source. Il peut s'agir d'une adresse IP, d'un nom de domaine ou d'un autre identifiant réseau.
destination.ip	ip	192.168.1.1	ESET	N/A	Adresse IP de l'hôte ou de l'endpoint de destination recevant le trafic réseau.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Adresse MAC de l'interface réseau de destination.
destination.port	long	22	ESET	N/A	Numéro de port réseau de la destination.

Jeu de champs d'appareil

Champs qui décrivent le périphérique matériel impliqué dans l'événement. Cela comprend généralement des attributs tels que les identifiants de l'appareil, le modèle, le fabricant, le numéro de série et d'autres caractéristiques qui permettent d'identifier l'appareil physique générant ou recevant les données.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Nom de la société ou du fournisseur qui a fabriqué l'appareil.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Identifiant unique du modèle de l'appareil, fourni par le fabricant afin de distinguer les différents modèles matériels.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Numéro de série unique attribué à l'appareil par le fabricant.

Ensemble de champs DLL

Champs décrivant une bibliothèque chargée dynamiquement impliquée dans un événement. Bien que le nom soit centré sur Windows, ce champ couvre plusieurs plateformes :

•Bibliothèque de liens dynamiques (.dll) couramment utilisée sous Windows

•Objet partagé (.so) couramment utilisé sur les systèmes d'exploitation de type Unix

•Bibliothèque dynamique (.dylib) couramment utilisée sur macOS

Les ensembles de champs suivants peuvent être imbriqués sous l'ensemble de champs DLL :

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
dll.name	keyword	scrobj.dll	ESET	N/A	Nom du fichier de bibliothèque chargé dynamiquement, sans le chemin d'accès.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Chemin d'accès complet au système de fichiers vers la bibliothèque chargée dynamiquement.

Ensemble de champs ECS

Méta-informations spécifiques à ECS.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
ecs.version	keyword	8.16	all	N/A	Version ECS à laquelle cet événement est conforme.

Ensemble de champs d'événement

Champs qui décrivent les détails d'un événement ou d'une activité capturés par un système ou une application. Ces champs fournissent des informations contextuelles telles que la catégorie, le type, l'action, le résultat et les horodatages de l'événement.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
event.action	keyword	file-cleaned	ESET	Pour ESET, les valeurs suivantes sont autorisées : •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	L'action ou l'opération spécifique qui a déclenché l'événement. Ce champ n'est fourni que s'il s'applique à l'événement spécifique.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Classification générale de l'événement, utilisée pour regrouper des types d'activités similaires. Ce champ permet d'organiser les événements en grandes catégories fonctionnelles afin de faciliter le filtrage et l'analyse. Ce champ peut contenir plusieurs valeurs.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Représente l'horodatage auquel l'agent a reçu ou observé l'événement pour la première fois. La valeur doit être légèrement différente de @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Nom du jeu de données auquel appartient l'événement. Cette valeur est généralement utilisée pour regrouper des événements connexes provenant de la même source ou intégration.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	ID unique de l'événement.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Représente l'horodatage auquel l'événement est arrivé à la console ESET PROTECT.
event.kind	keyword	alert	all	Pour ESET, les valeurs suivantes sont autorisées : •alert •event	Catégorisation de haut niveau du type d'informations véhiculées par l'événement. Dans le contexte d'ESET, l'alerte de valeur correspond à un indicateur, tandis que l'événement fait référence à un événement télémétrique.
event.module	keyword	eset	all	Pour ESET, les valeurs suivantes sont autorisées : •eset	Identifie le nom de l'intégration qui a généré l'événement. Ce champ est utilisé pour regrouper les événements selon leur source.
event.outcome	keyword	success	Tout	•failure •success •unknown	Indique le résultat de l'événement ou de l'action.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifie la source ou le composant au sein du système qui a généré l'événement. Il s'agit souvent du nom de l'application, du service ou du sous-système responsable de la production des données. Dans le contexte d'ESET, cette valeur est parfois appelée analyseur, indiquant quel moteur ou module d'analyse ESET a détecté ou signalé l'événement.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Fournit une explication descriptive des raisons pour lesquelles l'événement s'est produit. Ce champ contient un texte lisible par l'utilisateur qui clarifie la cause, le déclencheur ou la justification de l'événement.
event.risk_score	float	40	ESET	N/A	Valeur numérique représentant le risque estimé de l'événement tel que fourni par la source de l'événement.
event.severity	long	2	ESET	N/A	Valeur numérique représentant la gravité de l'événement telle que fournie par la source de l'événement.
event.type	keyword tableau	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Décrit le type ou l'action spécifique représenté par l'événement dans sa catégorie. Ce champ fournit une classification plus granulaire que event.category.

Ensemble de champs de fichier

Représente les détails d'un fichier impliqué dans l'événement. Les ensembles de champs suivants peuvent être imbriqués sous l'ensemble de champs de fichier :

•file.code_signature.*

•file.hash.*

•file.pe.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
file.directory	keyword	C:\Windows\System32	ESET	N/A	Chemin d'accès au répertoire où se trouve le fichier, sans le nom du fichier.
file.extension	keyword	dll	ESET	N/A	Extension du fichier, sans le point initial.
file.name	keyword	rasadhlp.dll	ESET	N/A	Nom du fichier, y compris l'extension, mais sans le chemin d'accès au répertoire.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Chemin d'accès complet au fichier, y compris les répertoires et le nom du fichier.
file.type	keyword	file	ESET	•file •directory •symlink	Type général du fichier. Indique la nature de l'objet dans le système de fichiers.

Ensemble de champs de hachage

Contient des valeurs de hachage cryptographiques qui identifient de manière unique les fichiers. Les champs de hachage sont censés être imbriqués au niveau de :

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Hachage MD5 du fichier ou des données.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Hachage SHA1 du fichier ou des données.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Hachage SHA256 du fichier ou des données.

Ensemble de champs d'hôte

Représente les détails concernant l'hôte (ordinateur, serveur ou appareil) où l'événement a pris naissance ou a été observé. Les ensembles de champs suivants peuvent être imbriqués sous l'ensemble de champs d'hôte :

•host.os.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
host.architecture	keyword	x86-64	ESET	N/A	Architecture CPU de l'hôte.
host.domain	keyword	CONTOSO	ESET	N/A	Nom de domaine de l'hôte, représentant généralement le domaine Active Directory auquel appartient l'hôte.
host.hostname	keyword	SRV-02	ESET	N/A	Le nom d'hôte tel qu'il est indiqué par la commande hostname du système d'exploitation.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identifiant unique pour l'hôte.
host.ip	ip array	192.168.1.35	ESET	N/A	Adresses(s) IP attribuées à l'hôte.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Adresse(s) MAC des interfaces réseau de l'hôte.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Nom de l'hôte.
host.type	keyword	server	ESET	Pour ESET, les valeurs suivantes sont autorisées : •workstation •server •mobile	Type de l'hôte.

Ensemble de champs réseau

Représente les détails de l'activité réseau liée à l'événement. Ces champs décrivent le protocole, le sens et les identifiants du trafic réseau.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Valeur de hachage qui identifie de manière unique un flux réseau en fonction de son quintuplet (adresse IP source, adresse IP destination, port source, port destination et protocole de transport). Il offre un moyen cohérent de corréler les sessions réseau entre différents systèmes et outils. Plus d’informations sur github.
network.direction	keyword	ingress	ESET	•ingress •egress	Sens du trafic par rapport à l'hôte.
network.protocol	keyword	ssh	ESET	N/A	Nom du protocole réseau utilisé. Dans le modèle OSI, cela équivaut à la couche d'application.
network.transport	keyword	tcp	ESET	N/A	Protocole de transport sous-jacent. Dans le modèle OSI, cela équivaut à la couche de transport.
network.type	keyword	ipv4	ESET	N/A	Type de trafic réseau. Dans le modèle OSI, cela équivaut à la couche réseau.

Ensemble de champs du système d'exploitation

Représente les détails concernant le système d'exploitation exécuté sur un hôte ou un appareil. Les champs du système d'exploitation doivent être imbriqués au niveau de :

•host.os.*

Nom du champ

Mappage des champs

Exemple

Intégrations fournissant ce champ

Valeurs autorisées

Remarque

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Nom lisible par l'utilisateur du système d'exploitation.

os.type

keyword

windows

ESET

Pour ESET, les valeurs suivantes sont autorisées :

•windows

•linux

•macos

•ios

•android

Type général du système d'exploitation.

os.version

keyword

10.0.19045.6456

ESET

N/A

Chaîne de version du système d'exploitation.

Ensemble de champs PE

Représente les métadonnées extraites d'un fichier Windows Portable Executable (PE), tel que les fichiers exécutables, les DLL et les pilotes. Les champs PE sont censés être imbriqués au niveau de :

•dll.pe.*

•file.pe.*

•process.pe.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
pe.architecture	keyword	x64	ESET	N/A	Spécifie l'architecture CPU pour laquelle le fichier Portable Executable (PE) a été créé.
pe.company	keyword	Google LLC	ESET	N/A	Nom de l'entreprise qui a publié l'exécutable.
pe.description	keyword	Google Chrome	ESET	N/A	Description de la finalité du fichier.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Nom donné à l'exécutable lors de sa compilation et de sa signature.
pe.product	keyword	Google Chrome	ESET	N/A	Nom du produit auquel appartient le fichier.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Version du fichier telle que spécifiée dans ses métadonnées.

Ensemble de champs de processus

Représente les détails d'un processus s'exécutant sur un hôte lié à l'événement. Les champs de processus sont censés être imbriqués au niveau de :

•process.parent.*

Les ensembles de champs suivants peuvent être imbriqués sous l’ensemble de champs de processus :

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Tableau d'arguments transmis au processus.
process.args_count	long	5	ESET	N/A	Nombre d'arguments transmis au processus.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Ligne de commande complète utilisée pour démarrer le processus, y compris les arguments.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Horodatage de la fin du processus. Si le champ n'est pas renseigné, le processus était toujours en cours d'exécution lorsque l'événement a été généré.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Identifiant unique pour le processus. L'implémentation dépend de la source de données.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Chemin complet vers le fichier exécutable du processus.
process.name	keyword	whoami.exe	ESET	N/A	Nom de l'exécutable du processus.
process.pid	long	9988	ESET	N/A	ID de processus attribué par le système d'exploitation.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Horodatage du début du processus.

Ensemble de champs associés

Contient des listes d'identificateurs liés à l'événement. Ces valeurs facilitent le pivotement entre différents événements qui peuvent avoir la même valeur dans différents champs, par exemple process.hash et process.parent.hash.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Tableau de hachages liés à l'événement.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Tableau d'hôtes liés à l’événement.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Tableau d'adresses IP liées à l'événement.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Tableau d'identifiants utilisateur liés à l'événement.

Ensemble de champs de règles

Représente les détails d'un indicateur. Ces champs permettent d'identifier, de classer et de corréler les indicateurs en fonction de la logique de détection qui les a déclenchés.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
rule.author	keyword	ESET	ESET	N/A	Auteur de la règle de détection.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Nom de la règle. Cette valeur doit être remplie par tous les indicateurs.
rule.category	keyword	File System	ESET	N/A	Catégorie générale de la règle.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Identifiant unique de la règle, dans le cadre de l'ensemble du système. Attribué par l'auteur de la règle. Dans le cas de ESET Inspect, il s'agit de la valeur utilisée dans les balises <guid> du code source de la règle.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Identifiant unique pour la version de la règle, dans le cadre de l'hôte. Souvent attribué par le moteur de détection.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Fournit une explication lisible par l'utilisateur sur ce que la règle détecte ou sur son objectif. Ce champ permet aux analystes de comprendre la logique ou le contexte derrière l'alerte sans avoir à examiner la définition complète de la règle. Dans le cas de ESET Inspect, il s'agit du contenu des balises <explanation> du code source de la règle.

Ensemble de champs sources

Champs qui décrivent la source d'une connexion réseau ou d'un transfert de données. Cela comprend généralement des informations sur l'endpoint qui envoie les données, telles que l'adresse IP, le port et le domaine.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
source.address	keyword	192.168.1.1	ESET	N/A	Adresse brute de la source, telle qu'elle est fournie par la source. Il peut s'agir d'une adresse IP, d'un nom de domaine ou d'un autre identifiant réseau.
source.ip	ip	192.168.1.1	ESET	N/A	Adresse IP de l'hôte source ou de l'endpoint qui envoie le trafic réseau.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Adresse MAC de l'interface réseau source.
source.port	long	80	ESET	N/A	Numéro de port réseau de la source.

Ensemble de champs URL

Représente les détails d'une URL impliquée dans l'événement. Ces champs décrivent la structure et les composants de l'URL.

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Nom de domaine extrait de l'URL.
url.extension	keyword	xml	ESET	N/A	Extension de fichier du chemin d'accès URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	URL complète.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	URL complète telle que fournie par la source de données originale.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	Partie chemin de l'URL.
url.scheme	keyword	http	ESET	N/A	Protocole ou schéma utilisé.

Ensemble de champs utilisateur

Représente les détails concernant un utilisateur associé à l'événement. Les champs utilisateur doivent être imbriqués à :

•process.user.*

Nom du champ	Mappage des champs	Exemple	Intégrations fournissant ce champ	Valeurs autorisées	Remarque
user.name	keyword	john	ESET	N/A	Nom d'utilisateur ou nom de compte.
user.domain	keyword	contoso	ESET	N/A	Domaine auquel appartient l'utilisateur.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Identifiant unique de l'utilisateur.

Extensions

Les extensions ECS personnalisées sont des ensembles de champs supplémentaires introduits par les intégrations afin de capturer les données qui ne sont pas couvertes par le schéma Elastic Common Schema standard. Ces champs permettent d'enrichir le contexte et les attributs spécifiques aux fournisseurs tout en conservant la compatibilité avec ECS. Les extensions doivent respecter les conventions de nommage ECS et sont regroupées sous un espace de noms clair afin d'éviter tout conflit avec les champs ECS standard.

Extension ESET

L'extension ESET normalise les données provenant des produits ESET en mappant les détections antivirus et les indicateurs comportementaux à des champs ECS personnalisés sous eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Remarque
eset.aggregated_count	long	2	ESET	N/A	Si le même indicateur a été déclenché pendant une courte période, il ne produit qu'un seul document. Ce champ contient le nombre d'indicateurs générés par le document spécifique.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identifiant partagé entre des indicateurs ESET liés.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID de l'instance ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informations sur la signature numérique. Voir les champs de signature de code ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Format du fichier exécutable.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hachages de l'exécutable. Voir l'ensemble de champs de hachage ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Identifiant unique de l'exécutable.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Si cela est vrai, l'exécutable représente une bibliothèque liée dynamiquement.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	Horodatage auquel le fichier ou l'exécutable associé a déclenché une détection antivirus classée comme quasi-incident (par exemple, similaire à un logiciel malveillant connu, mais pas suffisamment pour être signalé avec certitude comme tel).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Nombre de jours écoulés depuis la première apparition de l'exécutable dans LiveGrid®. Le nombre est arrondi à l'équivalent des intervalles de temps courants : jour, quelques jours, semaine, mois, semestre, année, etc.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Nombre d'ordinateurs qui ont signalé un exécutable à LiveGrid®. L'intervalle est mappé à des puissances de dix : •0,00 => 0 (pas encore signalé à LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •etc.
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Nombre indiquant le niveau de sécurité de l'exécutable selon LiveGrid®. Plus le nombre est élevé, plus l'exécutable est fiable pour LiveGrid®. •= 0,00 : logiciel malveillant ou sur liste noire •<= 0,38 : potentiellement indésirable ou dangereux •>= 0,88 : fichiers non infectés prédominants
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Nom de l'exécutable, y compris l'extension, mais sans le chemin d'accès au répertoire.
eset.executable.marked_safe	boolean	false	ESET	N/A	Si cela est vrai, l'exécutable est marqué comme fiable.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Nom de l'installeur utilisé pour créer l'exécutable tel qu'identifié par ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Champ de nom interne issu des métadonnées de l'exécutable.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Si cela est vrai, l'exécutable est un pilote Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Champ de version de produit provenant des métadonnées de l'exécutable.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Nom de l'outil SFX utilisé pour créer l'exécutable tel qu'identifié par ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Taille du fichier exécutable.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Contient le type de liste blanche. Ces listes blanches sont gérées par ESET et ne sont pas configurables par l'utilisateur.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Représente le résultat de la correction automatisée telle qu'elle a été exécutée par le produit de sécurité ESET. •mitigated : des mesures automatisées immédiates partielles ont été prises pour réduire l'impact de la menace, mais celle-ci n'a pas été totalement éliminée. La résolution complète nécessite généralement un redémarrage du système. •remediated : la menace a été complètement et définitivement résolue par le système source, l'automatisation ou un processus automatisé, indiquant une éradication complète et un retour à un état sécurisé au moment de la détection. •unhandled : l'artefact ou l'observable sous-jacent n'a pas été traité, et aucune mesure immédiate ou automatisée n'a été prise pour contenir, éliminer ou réduire son impact. Il s'agit toujours d'un indicateur hautement prioritaire qui nécessite une analyse humaine rapide, car la menace est toujours active et sans entrave.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Répertorie les groupes d'administration ESET PROTECT auxquels appartient l'appareil. Les groupes sont classés par ordre décroissant, du groupe le plus haut au groupe parent direct de l'hôte.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identifiant unique pour l'hôte. Identique à host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Identifiants uniques des processus ancêtres.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Niveau d'intégrité des processus ancêtres.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Noms de processus des processus ancêtres.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Processus PID des processus ancêtres.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Nombre de processus issus du processus ancêtre.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	État de résiliation du processus ancêtre.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Identifiants uniques des processus enfants.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Niveau d'intégrité des processus enfants.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Noms des processus enfants.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identifiants des processus enfants.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Nombre de processus issus du processus enfant.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	État de terminaison des processus enfants.
eset.process.dns_query_count	long	0	ESET	N/A	Nombre de requêtes DNS effectuées par le processus.
eset.process.dropped_executable_count	long	1	ESET	N/A	Nombre d'exécutables supprimés par le processus.
eset.process.http_request_count	long	9	ESET	N/A	Nombre de requêtes HTTP effectuées par le processus.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Identifiant unique du processus.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Niveau d'intégrité du processus.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Spécifie le chemin d'accès complet au fichier de raccourci Windows (.lnk) qui a été utilisé pour lancer le processus.
eset.process.modified_registry_count	long	42	ESET	N/A	Nombre de clés du registre Windows modifiées par le processus.
eset.process.network_connection_count	long	6	ESET	N/A	Nombre de connexions réseau établies par le processus.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Nombre de processus issus de ce processus.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Lorsque true, le processus est exclu de la détection de menaces ESET Endpoint Security en raison d'une exclusion de performance configurée.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Stocke les chaînes concaténées user.domain et user.name au format domain\username, représentant le compte sous lequel le processus est exécuté.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Représentation textuelle du champ event.severity. Basé sur le champ event.risk_score. •1–39 => Informations (1) •40–69 => Avertissement (2) •70-100 => Menace (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Valeur spécifique au contexte associée à l'événement défini dans eset.triggering_event.type. Ce champ contient l'objet ou le paramètre principal lié à l'événement, par exemple le chemin d'accès au fichier, le chemin d'accès au processus, la clé de registre, l'adresse réseau ou toute autre ressource sur laquelle l'événement s'est produit.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	ID unique de l'événement déclencheur.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Données structurées arbitraires non schématiques, dépendantes du type d'événement.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Type d'événement déclencheur basé sur le comportement observé.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Horodatage indiquant quand l'action de correction a été exécutée.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	ID unique de l'action de correction.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Nom de l'action de correction réalisée par EDR (ESET Inspect). Pour plus de détails, consultez la section Guide des règles d'actions.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Indique le résultat de l'action de correction.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Version du moteur ou du module d'analyse ESET qui a détecté ou signalé l'événement.

˄˅