Pretražite sadržaj pomoći

Open XDR format podataka

Putanje

ESET-ova online pomoć > ESET PROTECT > Upotreba sustava ESET PROTECT > ESET PROTECT Glavni izbornik > Napredno pretraživanje > Open XDR format podataka

Kopirajte URL-a trenutačnog članka Podijelite putem e-pošte

Ovaj članak (PDF) Cjelokupna dokumentacija (PDF)

Open XDR Data Format temelji se na Elastic Common Schemi (ECS), što je normalizirani format koji se koristi za ESET Open XDR. ECS pojednostavljuje pisanje upita i omogućuje povezivanje podataka između različitih izvora podataka. Telemetrijski događaji, indikatori i incidenti normalizirani su u ovu shemu kroz programe i integracije koje su dio Open XDR platforme.

Open XDR podaci su dostupni s računala koja koriste ESET Management Agent verziju 13.0+ i ESET Inspect Connector 3.0+.

Saznajte više o ujednačavanju programa ESET Inspect i ESET PROTECT (Open XDR).

Skupovi polja

ECS definira više skupina povezanih polja, poznatih kao skupovi polja.

Skup polja agenta

Polja agenta opisuju softversku komponentu koja prikuplja, detektira ili promatra telemetrijske događaje ili indikatore.

Naziv polja

Mapiranje polja

Primjer

Integracije koje pružaju ovo područje

Dopuštene vrijednosti

Napomena

agent.build.original

keyword

13.01115.0

ESET

N/A

Proširene informacije o verziji.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Vrsta agenta ili integracije koja je prikupljala ili promatrala događaj.

•endpoint-security – za podatke o zaštiti krajnjih točaka (ESET PROTECT)

•endpoint-detection-response – za EDR podatke (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Verzija agenta.

Skupovi temeljnih polja

Skup temeljnih polja sadrži sva polja koja su u osnovi događaja. Ta su područja zajednička za sve vrste događaja.

Naziv polja

Mapiranje polja

Primjer

Integracije koje pružaju ovo područje

Dopuštene vrijednosti

Napomena

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Datum/vrijeme kada je događaj započeo. Obično se uzima iz izvora događaja. Ako nije dostupno, postavlja se na trenutak kada je cjevovod prvi put primio događaj.

Sva polja vremenskih oznaka pohranjena su u UTC-u. Kada se prikažu, pretvaraju se u vremensku zonu postavljenu u postavkama konzole.

Skup polja u cloudu

Dizajniran za prikupljanje metapodataka o resursima koji rade u cloud okruženju.

Naziv polja

Mapiranje polja

Primjer

Integracije koje pružaju ovo područje

Dopuštene vrijednosti

Napomena

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identificira dobavljača usluga u cloudu na kojem se resurs izvršava.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Jedinstveni identifikator za instancu (virtualno računalo ili računalni resurs) koji pruža dobavljač usluga u cloudu.

Skup polja kodnog potpisa

Polja koja opisuju digitalni potpis datoteke na disku, izvršne datoteke koja pokreće proces ili dinamički učitane biblioteke. Oni označavaju je li dosje potpisan, tko ga je potpisao i je li potpis valjan i pouzdan. Očekuje se da će polja kodnih potpisa biti ugniježđena u:

•process.*

•file.*

•dll.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
code_signature.exists	boolean	true	ESET	N/A	Označava je li prisutan digitalni potpis. Popunjen je samo kada podaci potječu iz programa ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identifikator povezan s entitetom koji je potpisao datoteku. Popunjava se samo kada podaci dolaze iz programa ESET Inspect na uređaju macOS.
code_signature.status	keyword	trusted	ESET	Za ESET su dopuštene sljedeće vrijednosti: •trusted •valid •adhoc •none •invalid •unknown •present	Status validacije digitalnog potpisa, koji označava je li pouzdan, nevažeći ili ima drugo stanje. Popunjen je samo kada podaci potječu iz programa ESET Inspect. •trusted – potpis kojem ESET vjeruje. •valid – potpis kojem OS vjeruje. •adhoc – samostalno potpisan (samo macOS). •none – bez potpisa. •invalid – potpis kojem OS ne vjeruje, koji je oštećen ili opozvan. •unknown – ne može se utvrditi je li potpis prisutan. •present – potpis je prisutan, ali pouzdanost nije potvrđena.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Naziv subjekta (pojedinac, organizacija ili izdavač) koji je potpisao datoteku, kako je navedeno u digitalnom potpisu. Popunjen je samo kada podaci potječu iz programa ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identifikator dodijeljen razvojnom timu koji je potpisao datoteku. Popunjava se samo kada podaci dolaze iz programa ESET Inspect na uređaju macOS.

Odredišni skup polja

Polja koja opisuju cilj mrežne veze ili prijenosa podataka. To obično uključuje detalje o krajnjoj točki koja prima podatke, poput IP adrese, porta, domene.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
destination.address	keyword	192.168.1.1	ESET	N/A	Sirova adresa odredišta, kako ju je dao izvor. To može biti IP adresa, naziv domene ili neki drugi mrežni identifikator.
destination.ip	ip	192.168.1.1	ESET	N/A	IP adresa odredišnog računala ili krajnje točke koja prima mrežni promet.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC adresu odredišnog mrežnog sučelja.
destination.port	long	22	ESET	N/A	Broj mrežnog porta odredišta.

Skup polja uređaja

Polja koja opisuju hardverski uređaj uključen u događaj. To obično uključuje atribute poput identifikatora uređaja, modela, proizvođača, serijskog broja i drugih karakteristika koje pomažu u identifikaciji fizičkog uređaja koji generira ili prima podatke.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Naziv tvrtke ili dobavljača koji je proizveo uređaj.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Jedinstveni identifikator za model uređaja, koji proizvođač daje za razlikovanje različitih modela hardvera.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Jedinstveni serijski broj koji je proizvođač dodijelio uređaju.

Skup DLL polja

Polja koja opisuju dinamički učitanu biblioteku uključenu u događaj. Iako je naziv usredotočen na Windows, ovaj skup terena pokriva više platformi:

•Dinamička poveznica biblioteka (.dll) koja se često koristi na Windowsu

•Shared Object (.so) se često koristi na Unix-sličnim operativnim sustavima

•Dinamička biblioteka (.dylib) koja se često koristi na macOS-u

Sljedeći skupovi polja mogu se ugnijezditi pod DLL skupom polja:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
dll.name	keyword	scrobj.dll	ESET	N/A	Naziv dinamički učitane knjižnične datoteke, bez putanje.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Puni put datotečnog sustava do dinamički učitane biblioteke.

Skup ECS polja

Metapodaci u vezi s ECS-om.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
ecs.version	keyword	8.16	all	N/A	ECS verzija kojoj ovaj događaj odgovara.

Set terena za događaje

Polja koja opisuju detalje događaja ili aktivnosti koju je zabilježio sustav ili aplikacija. Ta polja pružaju kontekst poput kategorije, vrste, akcije, ishoda i vremenskih oznaka događaja.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
event.action	keyword	file-cleaned	ESET	Za ESET su dopuštene sljedeće vrijednosti: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	Specifična radnja ili operacija koja je pokrenula događaj. Polje je dostupno samo ako je primjenjivo na određeni događaj.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Visoka razina klasifikacije događaja, koristi se za grupiranje sličnih vrsta aktivnosti. Ovo područje pomaže organizirati događaje u široke funkcionalne kategorije radi lakšeg filtriranja i analize. Ovo polje može sadržavati više vrijednosti.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Predstavlja vremensku oznaku kada je agent prvi put primio ili promatrao događaj. Vrijednost bi trebala biti malo drugačija od @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Naziv skupa podataka kojem događaj pripada. Ova se vrijednost obično koristi za grupiranje povezanih događaja iz istog izvora ili integracije.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Jedinstveni identitet događaja.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Predstavlja vremensku oznaku kada je događaj stigao na konzolu ESET PROTECT.
event.kind	keyword	alert	all	Za ESET su dopuštene sljedeće vrijednosti: •alert •event	Visoka razina kategorizacije tipa informacija koje događaj nosi. U kontekstu programa ESET, upozorenje o vrijednosti odgovara indikatoru, dok se događaj odnosi na telemetrijski događaj.
event.module	keyword	eset	all	Za ESET su dopuštene sljedeće vrijednosti: •eset	Identificira naziv integracije koja je generirala događaj. Ovo polje se koristi za grupiranje događaja prema izvoru.
event.outcome	keyword	success	Sve	•failure •success •unknown	Označava rezultat događaja ili radnje.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identificira izvor ili komponentu unutar sustava koja je generirala događaj. To je često naziv aplikacije, usluge ili podsustava odgovornog za proizvodnju podataka. U kontekstu programa ESET, ova se vrijednost ponekad naziva skener, što označava koji ESET je skenirajući mehanizam ili modul detektirao ili prijavio događaj.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Pruža opisno objašnjenje zašto se događaj dogodio. Ovo polje sadrži tekst čitljiv čovjeku koji pojašnjava uzrok, okidač ili opravdanje za događaj.
event.risk_score	float	40	ESET	N/A	Numerička vrijednost koja predstavlja procijenjeni rizik događaja kako ga daje izvor događaja.
event.severity	long	2	ESET	N/A	Numerička vrijednost koja predstavlja težinu događaja kako je naveden izvorom događaja.
event.type	keyword niz	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Opisuje specifičnu vrstu ili radnju koju događaj predstavlja unutar svoje kategorije. Ovo polje pruža detaljniju klasifikaciju nego event.category.

Skup polja datoteke

Predstavlja detalje o dosjeu uključenom u događaj. Sljedeći skupovi polja mogu se ugnijezditi pod skup polja datoteke:

•file.code_signature.*

•file.hash.*

•file.pe.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
file.directory	keyword	C:\Windows\System32	ESET	N/A	Putanja direktorija na kojoj se datoteka nalazi, isključujući naziv datoteke.
file.extension	keyword	dll	ESET	N/A	Ekstenzija datoteke, osim početne točke.
file.name	keyword	rasadhlp.dll	ESET	N/A	Naziv datoteke, uključujući ekstenziju, ali bez putanje do direktorija.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Potpuni put do datoteke, uključujući direktorije i ime datoteke.
file.type	keyword	file	ESET	•file •directory •symlink	Opći tip datoteke. Označava prirodu objekta u datotečnom sustavu.

Skup hash polja

Sadrži kriptografske hash vrijednosti koje jedinstveno identificiraju datoteke. Očekuje se da će hash polja biti ugniježđena u:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Hash MD5 datoteke ili podataka.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Hash SHA1 datoteke ili podataka.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Hash SHA256 datoteke ili podataka.

Skup polja domaćina

Predstavlja detalje o računalu (računalu, poslužitelju ili uređaju) gdje je događaj započeo ili je opažen. Sljedeći skupovi polja mogu se ugnijezditi pod skupom polja domaćina:

•host.os.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
host.architecture	keyword	x86-64	ESET	N/A	CPU arhitektura hosta.
host.domain	keyword	CONTOSO	ESET	N/A	Domena domaćina, koja obično predstavlja Active Directory domenu kojoj host pripada.
host.hostname	keyword	SRV-02	ESET	N/A	Naziv računala kako ga prikazuje naredba za naziv računala operativnog sustava.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Jedinstveni identifikator za domaćina.
host.ip	ip array	192.168.1.35	ESET	N/A	IP adresa(e) dodijeljene hostu.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	MAC adrese mrežnih sučelja domaćina.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Ime servera.
host.type	keyword	server	ESET	Za ESET su dopuštene sljedeće vrijednosti: •workstation •server •mobile	Vrsta servera.

Mrežni skup polja

Predstavlja detalje o mrežnim aktivnostima vezanim uz događaj. Ta polja opisuju protokol, smjer i identifikatore za mrežni promet.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Hash vrijednost koja jedinstveno identificira mrežni tok na temelju njegovih 5-torki (izvorna IP adresa, odredišna IP adresa, izvorni port, odredišni port i transportni protokol). Pruža dosljedan način korelacije mrežnih sesija između različitih sustava i alata. Više informacija na githubu.
network.direction	keyword	ingress	ESET	•ingress •egress	Smjer prometa u odnosu na domaćina.
network.protocol	keyword	ssh	ESET	N/A	Naziv mrežnog protokola koji se koristi. U OSI modelu je to ekvivalent sloju aplikacije.
network.transport	keyword	tcp	ESET	N/A	Temeljni transportni protokol. U OSI modelu je to ekvivalent transportnom sloju.
network.type	keyword	ipv4	ESET	N/A	Vrsta mrežnog prometa. U OSI modelu je to ekvivalent mrežnom sloju.

Skup polja operativnom sustavu

Predstavlja detalje o operativnom sustavu koji radi na računalu ili uređaju. Očekuje se da će polja operativnog sustava biti ugniježđena u:

•host.os.*

Naziv polja

Mapiranje polja

Primjer

Integracije koje pružaju ovo područje

Dopuštene vrijednosti

Napomena

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Ljudski čitljiv naziv operativnog sustava.

os.type

keyword

windows

ESET

Za ESET su dopuštene sljedeće vrijednosti:

•windows

•linux

•macos

•ios

•android

Opći tip operativnog sustava.

os.version

keyword

10.0.19045.6456

ESET

N/A

Verzijski niz operativnog sustava.

PE skup polja

Predstavlja metapodatke izdvojene iz Windows Portable Executable (PE) datoteke, poput izvršnih datoteka, DLL-ova i upravljačkih programa. Očekuje se da će PE polja biti ugniježđena u:

•dll.pe.*

•file.pe.*

•process.pe.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
pe.architecture	keyword	x64	ESET	N/A	Specificira CPU arhitekturu za koju je izrađena datoteka Portable Executable (PE).
pe.company	keyword	Google LLC	ESET	N/A	Naziv tvrtke koja je objavila izvršnu datoteku.
pe.description	keyword	Google Chrome	ESET	N/A	Opis svrhe datoteke.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Ime koje je izvršna datoteka imala kad je kompajlirana i potpisana.
pe.product	keyword	Google Chrome	ESET	N/A	Naziv proizvoda kojem datoteka pripada.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Verzija datoteke kako je specificirana u njezinim metapodacima.

Skup polja procesa

Predstavlja detalje o procesu koji se izvršava na računalu i koji su povezani s događajem. Očekuje se da će polja procesa biti ugniježđena u:

•process.parent.*

Sljedeći skupovi polja mogu se ugnijezditi pod skup polja procesa:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Niz argumenata proslijeđen procesu.
process.args_count	long	5	ESET	N/A	Broj argumenata koji su proslijeđeni procesu.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Cijela naredbena linija korištena za pokretanje procesa, uključujući argumente.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Označite vrijeme kada je proces završio. Ako polje nije popunjeno, proces je i dalje bio u tijeku kada je događaj generiran.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Jedinstveni identifikator procesa. Implementacija ovisi o izvoru podataka.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Potpuni put do izvršne datoteke procesa.
process.name	keyword	whoami.exe	ESET	N/A	Naziv izvršne datoteke procesa.
process.pid	long	9988	ESET	N/A	ID procesa dodijeljen od strane operativnog sustava.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Zabilježite vrijeme kada je proces započeo.

Povezani skup polja

Sadrži popise identifikatora povezanih s događajem. Te vrijednosti pomažu u pivotiranju između različitih događaja koji mogu imati istu vrijednost u različitim poljima, npr. process.hash i process.parent.hash.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Niz hash vrijednosti vezanih uz događaj.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Niz voditelja povezanih s događajem.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Niz IP adresa povezanih s događajem.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Niz korisničkih identifikatora vezanih uz događaj.

Skup pravila polja

Predstavlja detalje o indikatoru. Ta polja pomažu identificirati, kategorizirati i povezati indikatore na temelju logike detekcije koja ih je pokrenula.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
rule.author	keyword	ESET	ESET	N/A	Autor pravila otkrivanja.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Naziv pravila. Ova vrijednost treba biti ispunjena svim indikatorima.
rule.category	keyword	File System	ESET	N/A	Široka kategorija pravila.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Jedinstveni identifikator pravila, unutar opsega cijelog sustava. Dodijeljeno od strane autora pravila. U programu ESET Inspect to je vrijednost korištena u oznakama <guid> u izvornom kodu pravila.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Jedinstveni identifikator za verziju pravila, unutar opsega hosta. Često ih dodjeljuje modul detekcije.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Pruža ljudski čitljivo objašnjenje onoga što pravilo detektira ili njegove namjene. Ovo područje pomaže analitičarima razumjeti logiku ili kontekst iza upozorenja bez pregleda cijele definicije pravila. U programu ESET Inspect je sadržaj oznaka <explanation> u izvornom kodu pravila.

Skup izvornog polja

Polja koja opisuju izvor mrežne veze ili prijenosa podataka. To obično uključuje detalje o krajnjoj točki koja šalje podatke, poput IP adrese, porta, domene.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
source.address	keyword	192.168.1.1	ESET	N/A	Sirova adresa izvora, kako ju je izvor dao. To može biti IP adresa, naziv domene ili neki drugi mrežni identifikator.
source.ip	ip	192.168.1.1	ESET	N/A	IP adresa izvornog računala ili krajnje točke koja šalje mrežni promet.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC adrese izvornog mrežnog sučelja.
source.port	long	80	ESET	N/A	Broj mrežnog porta izvora.

Skup polja URL-a

Predstavlja detalje o URL-u uključenom u događaj. Ta polja opisuju strukturu i komponente URL-a.

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Naziv domene izvučen iz URL-a.
url.extension	keyword	xml	ESET	N/A	Ekstenzija datoteke iz URL putanje.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Cijeli URL.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Potpuni URL prema izvornom izvoru podataka.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	Dio s putanjom URL-a.
url.scheme	keyword	http	ESET	N/A	Protokol ili shema koja se koristi.

Korisnički skup polja

Predstavlja detalje o korisniku povezanom s događajem. Očekuje se da će korisnička polja biti ugniježđena na:

•process.user.*

Naziv polja	Mapiranje polja	Primjer	Integracije koje pružaju ovo područje	Dopuštene vrijednosti	Napomena
user.name	keyword	john	ESET	N/A	Korisničko ime ili ime računa.
user.domain	keyword	contoso	ESET	N/A	Domena ili kraljevstvo kojem korisnik pripada.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Jedinstveni identifikator korisnika.

Ekstenzije

Prilagođena ECS proširenja su dodatni skupovi polja uvedeni integracijama radi prikupljanja podataka koji nisu pokriveni standardnom Elastic Common Schema. Ta polja omogućuju bogatiji kontekst i atribute specifične za proizvođača, uz održavanje kompatibilnosti s ECS-om. Proširenja moraju slijediti ECS konvencije imenovanja i grupirana su pod jasnim imenskim prostorom kako bi se izbjegli sukobi sa standardnim ECS poljima.

ESET proširenje

ESET ekstenzija standardizira podatke iz ESET proizvoda mapiranjem antivirusnih detekcija i indikatora ponašanja na prilagođena ECS polja u odjeljku eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Napomena
eset.aggregated_count	long	2	ESET	N/A	Ako se isti indikator aktivira tijekom kratkog vremenskog razdoblja, proizvodi se samo jedan dokument. Ovo polje sadrži broj indikatora koji su proizveli određeni dokument.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identifikator dijeljen među povezanim ESET indikatorima.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID ESET PROTECT instance.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informacije o digitalnom potpisu. Pogledajte polja ECS Code Signature.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Format izvršne datoteke.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hashovi izvršne datoteke. Vidi ECS skup hash polja.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Jedinstveni identifikator izvršne datoteke.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Ako je točno, izvršna datoteka predstavlja dinamički povezanu biblioteku.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	Vremenska oznaka u kojoj je povezana datoteka ili izvršna datoteka pokrenula antivirusno otkrivanje koje je klasificirano kao bliski promašaj (na primjer, slično poznatom zlonamjernom softveru, ali ne dovoljno da se pouzdano prijavi kao zlonamjerni softver).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Broj dana od kada je izvršna datoteka prvi put viđena u LiveGrid®. Broj se zaokružuje na ekvivalent uobičajenih vremenskih skupina: dan, nekoliko dana, tjedan, mjesec, polovica godine, godina itd.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Koliko računala je prijavilo izvršnu datoteku na LiveGrid®. Interval se preslikava u potencije broja deset: •0,00 => 0 (još nije prijavljeno LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •i tako dalje
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Broj koji označava koliko je izvršna datoteka sigurna prema LiveGrid®. Što je broj veći, to je izvršna datoteka pouzdanija od LiveGrid®. •= 0.00 - zlonamjerni softver ili na popisu nepoželjnih •<= 0,38 - potencijalno neželjeno ili nesigurno •>= 0,88 - prevladavajuće čiste datoteke
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Naziv izvršne datoteke, uključujući ekstenziju, ali bez puta direktorija.
eset.executable.marked_safe	boolean	false	ESET	N/A	Ako je točno, izvršna datoteka je označena sigurnom.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Naziv packer programa koji se koristi za kreiranje izvršne datoteke, kako ga identificira ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Interno polje imena iz metapodataka izvršne datoteke.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Ako je točno, izvršna datoteka je Windows driver.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Polje za verziju proizvoda iz metapodataka izvršne datoteke.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Naziv alata korištenog SFX za izradu izvršne datoteke, identificiran s ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Veličina datoteke izvršne datoteke.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Sadrži vrstu popisa pouzdanih. Popisima pouzdanih upravlja ESET i ne mogu ih konfigurirati korisnici.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Predstavlja rezultat automatiziranog ispravljanja provedenog sigurnosnim programom ESET. •mitigated – djelomične su trenutne automatizirane mjere poduzete kako bi se smanjio utjecaj prijetnje, ali ona nije u potpunosti eliminirana. Potpuna rezolucija obično zahtijeva ponovno pokretanje sustava. •remediated – prijetnja je potpuno i trajno riješena izvornim sustavom, automatizacijom ili automatiziranim procesom, što ukazuje na potpuno uklanjanje i povratak u sigurno stanje u trenutku detekcije. •unhandled – temeljni artefakt ili opažanje nije riješen, niti su poduzete trenutne ili automatizirane mjere za suzbijanje, iskorjenjivanje ili smanjenje njegovog utjecaja. Ovo ostaje indikator visokog prioriteta koji zahtijeva brzu ljudsku analizu, jer je prijetnja i dalje aktivna i neometana.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Navodi administratorske ESET PROTECT grupe kojima uređaj pripada. Grupe su poredane od najviše do izravne roditeljske grupe domaćina.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Jedinstveni identifikator za domaćina. Isto kao host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Jedinstveni identifikatori procesa predaka.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Razina integriteta procesa predaka.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Nazivi procesa predaka.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Procesni PID-ovi procesa predaka.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Broj procesa nastalih iz procesa predaka.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Status završetka procesa pretka.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Jedinstveni identifikatori podređenih procesa.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Razina integriteta podređenih procesa.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Nazivi procesa podređenih procesa.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identifikatori procesa podređenih procesa.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Broj procesa nastalih iz podređenih procesa.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Statusi prekida podređenih procesa.
eset.process.dns_query_count	long	0	ESET	N/A	Broj DNS upita koje je proces napravio.
eset.process.dropped_executable_count	long	1	ESET	N/A	Broj izbačenih izvršnih datoteka u procesu.
eset.process.http_request_count	long	9	ESET	N/A	Broj HTTP zahtjeva koje je proces napravio.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Jedinstveni identifikator procesa.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Razina integriteta procesa.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Specificira puni put datotečnog sustava do Windows datoteke prečaca (.lnk) koja je korištena za pokretanje procesa.
eset.process.modified_registry_count	long	42	ESET	N/A	Broj Windows Registry ključeva izmijenjen procesom.
eset.process.network_connection_count	long	6	ESET	N/A	Broj mrežnih veza uspostavljenih procesom.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Broj procesa koji su nastali iz tog procesa.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Kada true, proces je isključen iz ESET Endpoint Security otkrivanja prijetnji zbog konfiguriranog isključenja performansi.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Pohranjuje spojene user.domain i u formatu user.name domain\username, koji predstavlja račun pod kojim se proces izvršava.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Tekstualna reprezentacija event.severity polja. Na temelju event.risk_score polja. •1–39 => Informativno (1) •40–69 => Upozorenje (2) •70-100 => Prijetnja (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Kontekst-specifična vrijednost povezana sa događajem definiranim u eset.triggering_event.type. Ovo polje sadrži primarni objekt ili parametar relevantan za događaj — na primjer, putanju datoteke, putanju procesa, ključ registra, mrežnu adresu ili drugi resurs na kojem se događaj dogodio.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Jedinstveni ID okidačkog događaja.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Proizvoljni, neshematski, ovisni o vrsti događaja strukturirani podaci.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Vrsta okidačkog događaja na temelju opaženog ponašanja.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Vremenska oznaka označava kada je radnja ispravljanja provedena.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Jedinstveni ID postupka ispravljanja.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Naziv radnje ispravljanja koju provodi EDR (ESET Inspect). Za više detalja pogledajte odjeljak Pravila i radnje.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Označava rezultat postupka ispravljanja.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Verzija skenera ESET ili modula koji je detektirao ili prijavio događaj.

˄˅