eset.aggregated_count
|
long
|
2
|
ESET
|
N/A
|
Se lo stesso indicatore è stato attivato in un breve intervallo di tempo, produce un solo documento. Questo campo contiene il numero di indicatori che hanno prodotto il documento specifico.
|
eset.correlation_id
|
keyword
|
09f03498-8228-d345-f998-491d11a306d7
|
ESET
|
N/A
|
Identificatore condiviso tra indicatori ESET correlati.
|
eset.epc_instance.id
|
keyword
|
7835678-c65c-41f6-ae2a-c784a2852a15
|
ESET
|
N/A
|
GUID dell’istanza di ESET PROTECT.
|
eset.executable.code_signature.*
|
N/A
|
N/A
|
ESET
|
N/A
|
Informazioni sulla firma digitale.
Vedere i campi della firma del codice ECS.
|
eset.executable.file_format
|
keyword
|
pe
|
ESET
|
•elf
•pe
•macho |
Formato del file eseguibile.
|
eset.executable.hash.*
|
N/A
|
N/A
|
ESET
|
N/A
|
Hash dell’eseguibile. Vedere il set di campi dell’hash ECS.
|
eset.executable.id
|
keyword
|
DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_
|
ESET
|
N/A
|
Identificatore univoco dell’eseguibile.
|
eset.executable.is_dynamically_linked_library
|
boolean
|
false
|
ESET
|
N/A
|
Se questa condizione è vera, l’eseguibile rappresenta una libreria dinamicamente collegata.
|
eset.executable.last_nearmiss_time
|
date
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
Timestamp in cui il file o l’eseguibile associato ha attivato un rilevamento antivirus classificato come quasi incidente (ad esempio, simile a un malware noto ma non abbastanza da essere segnalato con sicurezza come malware).
|
eset.executable.livegrid_findings.age_days
|
long
|
5
|
ESET
|
N/A
|
Numero di giorni trascorsi da quando l’eseguibile è stato visto per la prima volta in LiveGrid®.
Il numero è arrotondato all’equivalente degli intervalli temporali comuni: giorno, alcuni giorni, settimana, mese, semestre, anno, eccetera.
|
eset.executable.livegrid_findings.popularity
|
double
|
0.64
|
ESET
|
Interval 0.0 - 1.0
|
Numero di computer che hanno segnalato un eseguibile a LiveGrid®. L’intervallo è mappato in base a potenze di dieci:
•0,00 => 0 (non ancora segnalato a LiveGrid®)
•0,09 => 10⁰ = 1
•0,18 => 10¹ = 10
•0,27 => 10² = 100
•e così via |
eset.executable.livegrid_findings.reputation
|
double
|
0.88
|
ESET
|
Interval 0.0 - 1.0
|
Numero che indica il livello di sicurezza dell’eseguibile secondo LiveGrid®.
Più alto è il numero, più viene considerato attendibile da LiveGrid®.
•= 0,00: malware o elemento spostato nella blacklist
•<= 0,38: potenzialmente indesiderato o non sicuro
•>= 0,88: file prevalenti puliti |
eset.executable.name
|
keyword
|
usoclient.exe
|
ESET
|
N/A
|
Nome dell’eseguibile, inclusa l’estensione ma senza il percorso della directory.
|
eset.executable.marked_safe
|
boolean
|
false
|
ESET
|
N/A
|
Se questa condizione è vera, l’eseguibile è contrassegnato come sicuro.
|
eset.executable.packer_name
|
keyword
|
UPX v13_m8
|
ESET
|
N/A
|
Nome del packer utilizzato per creare l’eseguibile identificato da ESET.
|
eset.executable.pe_internal_name
|
keyword
|
chrome_exe
|
ESET
|
N/A
|
Campo del nome interno ricavato dai metadati eseguibili.
|
eset.executable.pe_is_native
|
boolean
|
false
|
ESET
|
N/A
|
Se questa condizione è vera, l’eseguibile è un driver di Windows.
|
eset.executable.product_version
|
keyword
|
142.0.7444.176
|
ESET
|
N/A
|
Campo della versione del prodotto ricavato dai metadati eseguibili.
|
eset.executable.sfx_name
|
keyword
|
PYINSTALLER
|
ESET
|
N/A
|
Nome dello strumento SFX utilizzato per creare l’eseguibile identificato da ESET.
|
eset.executable.size
|
long
|
3,417,240
|
ESET
|
N/A
|
Dimensione del file eseguibile.
|
eset.executable.whitelist_type
|
keyword
|
livegrid
|
ESET
|
•threat-scanner
•livegrid
•certificate |
Contiene il tipo di whitelist. Queste whitelist sono gestite da ESET e non sono configurabili dall’utente.
|
eset.handling_status
|
keyword
|
remediated
|
ESET
|
•mitigated
•remediated
•unhandled |
Rappresenta il risultato di una correzione automatizzata eseguita dal prodotto di protezione ESET.
•mitigated: sono state adottate azioni automatiche parziali e immediate per ridurre l’impatto della minaccia, che tuttavia non è stata completamente rimossa. La risoluzione completa richiede di solito un riavvio del sistema.
•remediated: la minaccia è stata risolta in modo completo e permanente dal sistema sorgente, dall’automazione o da un processo automatizzato, indicando l’eliminazione completa e il recupero di uno stato di protezione al momento del rilevamento.
•unhandled: l’artefatto o l’osservabile sottostante non è stato gestito e non è stata intrapresa alcuna azione immediata o automatica per contenere, sradicare o ridurne l’impatto. Questo rimane un indicatore ad alta priorità che richiede un’analisi umana tempestiva, poiché la minaccia è ancora attiva e priva di impedimenti. |
eset.host.group_path
|
keyword array
|
All, Companies, ESET, Accounting
|
ESET
|
N/A
|
Fornisce un elenco dei gruppi di amministrazione di ESET PROTECT a cui appartiene il dispositivo. I gruppi sono ordinati dal più alto al gruppo principale diretto dell’host.
|
eset.host.id
|
keyword
|
59a611f9-a01e-47a6-a839-03b1e4ac3e67
|
ESET
|
N/A
|
Identificatore univoco dell’host. Lo stesso vale per host.id.
|
eset.process.ancestors.id
|
keyword array
|
18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0
|
ESET
|
N/A
|
Identificatori univoci dei processi predecessori.
|
eset.process.ancestors.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Livello di integrità dei processi predecessori.
|
eset.process.ancestors.name
|
keyword array
|
chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe
|
ESET
|
N/A
|
Nomi dei processi predecessori.
|
eset.process.ancestors.pid
|
long array
|
15,916, 2,268, 7,784, 1,192, 1,084
|
ESET
|
N/A
|
Elabora i PID dei processi predecessori.
|
eset.process.ancestors.subprocesses_count
|
long array
|
117, 9, 1, 6, 2
|
ESET
|
N/A
|
Numero di processi generati dal processo predecessore.
|
eset.process.ancestors.terminated
|
boolean array
|
true, false, true
|
ESET
|
N/A
|
Stato di cessazione del processo predecessore.
|
eset.process.children.id
|
keyword array
|
18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0
|
ESET
|
N/A
|
Identificatori univoci dei processi secondari.
|
eset.process.children.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Livello di integrità dei processi secondari.
|
eset.process.children.name
|
keyword array
|
conhost.exe, cmd.exe
|
ESET
|
N/A
|
Nomi dei processi secondari.
|
eset.process.children.pid
|
long array
|
708, 7,964
|
ESET
|
N/A
|
Identificatori dei processi secondari.
|
eset.process.children.subprocess_count
|
long array
|
1, 5
|
ESET
|
N/A
|
Numero di processi generati dal processo secondario.
|
eset.process.children.terminated
|
boolean array
|
true, false
|
ESET
|
N/A
|
Stato di cessazione dei processi secondari.
|
eset.process.dns_query_count
|
long
|
0
|
ESET
|
N/A
|
Query DNS numeriche effettuate dal processo.
|
eset.process.dropped_executable_count
|
long
|
1
|
ESET
|
N/A
|
Numero di eseguibili eliminati dal processo.
|
eset.process.http_request_count
|
long
|
9
|
ESET
|
N/A
|
Numero di richieste HTTP effettuate dal processo.
|
eset.process.id
|
keyword
|
8d053e9-8cf5-885d-a17b-0c14e4110000
|
ESET
|
N/A
|
Identificatore univoco del processo.
|
eset.process.integrity_level
|
keyword
|
medium
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Livello di integrità del processo.
|
eset.process.lnk_path
|
keyword
|
c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk
|
ESET
|
N/A
|
Specifica il percorso completo del file system al file del collegamento (.lnk) di Windows che è stato utilizzato per avviare il processo.
|
eset.process.modified_registry_count
|
long
|
42
|
ESET
|
N/A
|
Numero di chiavi del registro di Windows modificate dal processo.
|
eset.process.network_connection_count
|
long
|
6
|
ESET
|
N/A
|
Numero di connessioni di rete stabilite dal processo.
|
eset.process.spawned_child_process_count
|
long
|
2
|
ESET
|
N/A
|
Numero di processi generati dal processo.
|
eset.process.threat_detection_performance_excluded
|
boolean
|
false
|
ESET
|
N/A
|
Se la condizione è true, il processo viene escluso dal rilevamento delle minacce di ESET Endpoint Security a causa di un’esclusione delle prestazioni configurata.
|
eset.process.username
|
keyword
|
contoso\administrator
|
ESET
|
N/A
|
Memorizza le istanze di user.domain e user.name concatenate nel formato domain\username, che rappresenta l’account nel quale viene eseguito il processo.
|
eset.severity
|
keyword
|
Warning
|
ESET
|
•Informational
•Warning
•Threat |
Rappresentazione testuale del campo event.severity. In base al campo event.risk_score.
•1-39 => Informativo (1)
•40-69 => Avvertenza (2)
•70-100 => Minaccia (3) |
eset.triggering_event.argument
|
wildcard
Multi-field:
eset.triggering_event.argument.text - match_only_text
|
%WINDIR%\explorer.exe (Remote thread)
|
ESET
|
N/A
|
Valore contestuale associato all’evento definito in eset.triggering_event.type.
Questo campo contiene l’oggetto o il parametro principale rilevante per l’evento, ad esempio, il percorso del file, il percorso del processo, la chiave del registro, l’indirizzo di rete o un’altra risorsa su cui si è verificato l’evento.
|
eset.triggering_event.id
|
keyword
|
8b4df3a4-2c87-4f50-94af-ab0e0d8589eb
|
ESET
|
N/A
|
ID univoco dell’evento scatenante.
|
eset.triggering_event.data
|
flattened
|
{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }
|
ESET
|
N/A
|
Dati strutturati arbitrari, non schematici e dipendenti dal tipo di evento.
|
eset.triggering_event.type
|
keyword
|
FileDeleted
|
ESET
|
•ApiCalled
•CodeInjected
•DeviceConnected
•DnsResolved
•DriverLoaded
•DriverUnloaded
•ExecutableDropped
•FileAddedToBitsJob
•FileAttributesSet
•FileDeleted
•FileRead
•FileRenamed
•FileTruncated
•FileWritten
•HttpResourceRequested
•LibraryLoaded
•MultipleFilesChanged
•NamedPipeCreated
•ProcessCreated
•ProcessInjected
•ProcessOpened
•ProcessStartedViaWmi
•ProcessTerminated
•RegistryKeyCreated
•RegistryKeyDeleted
•RegistryKeyRenamed
•RegistryKeyValueChanged
•RegistryKeyValueDeleted
•ScheduledTaskCreated
•ScheduledTaskStarted
•ScriptExecuted
•ServiceInstalled
•ServiceStarted
•SystemApiCalled
•TcpIpAccepted
•TcpIpConnected
•TcpIpDisconnected
•TcpIpProtocolIdentified
•UserActivated
•UserAddedToGroup
•UserCreated
•UserDisabled
•UserLoggedin
•UserLoggedout
•UserRemoved
•UserRemovedFromGroup
•VirtualDiskMounted
•VolumeShadowCopyDeleted
•WmiPersistenceSetup
•WmiQueryExecuted |
Tipo di evento scatenante basato sul comportamento osservato.
|
eset.remediationactions.created
|
date array
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
Timestamp che indica quando è stata eseguita l’azione di correzione.
|
eset.remediationactions.id
|
keyword array
|
8b4df3a4-2c87-4f50-94af-ab0e0c8589eb
|
ESET
|
N/A
|
ID univoco dell’azione di correzione.
|
eset.remediationactions.name
|
keyword array
|
KillProcess
|
ESET
|
•BlockModule
•BlockProcessExecutable
•BlockProcessSuspiciousModules
•IsolateFromNetwork
•KillProcess
•LogOutUser
•Reboot
•Shutdown |
Nome dell’azione di correzione eseguita da EDR (ESET Inspect).
Per maggiori dettagli, consultare la sezione Azioni alla base delle regole.
|
eset.remediationactions.outcome
|
keyword array
|
true
|
ESET
|
N/A
|
Indica il risultato dell’azione di correzione.
|
eset.scan.scanner_version
|
text
|
32438 (20251230)
|
ESET
|
N/A
|
Versione del motore o del modulo di controllo di ESET che ha rilevato o segnalato l’evento.
|