Formato di dati Open XDR
Il formato di dati Open XDR si basa sullo schema Elastic Common Schema (ECS), che è il formato normalizzato utilizzato per ESET Open XDR. ECS semplifica la scrittura delle query e consente di trovare una correlazione tra i dati provenienti da diverse fonti. Gli eventi, gli indicatori e gli incidenti di telemetria sono normalizzati in questo schema tra prodotti e integrazioni che fanno parte della Piattaforma Open XDR.
I dati di Open XDR sono disponibili da computer su cui sono in esecuzione la versione ESET Management Agent 13.0+ e ESET Inspect Connector 3.0+. Scopri di più su come unificare ESET Inspect e ESET PROTECT (Open XDR). |
Set di campi
ECS definisce più gruppi di campi correlati, noti come Set di campi.
I campi dell’agente descrivono il componente software che raccoglie, rileva o osserva eventi o indicatori di telemetria.
|
Il set di campi di base contiene tutti i campi che sono alla radice degli eventi. Questi campi sono comuni a tutti i tipi di eventi.
|
Progettato per acquisire metadati sulle risorse in esecuzione in un ambiente cloud.
|
Campi che descrivono la firma digitale di un file su disco, un eseguibile che ha avviato un processo o una libreria caricata dinamicamente. Indicano se il file è firmato, chi lo ha firmato e se la firma è valida e attendibile. È previsto che i campi della firma del codice siano nidificati in: •process.* •file.* •dll.*
|
Campi che descrivono la destinazione di una connessione di rete o di un trasferimento dati. Sono tipicamente inclusi dettagli sull’endpoint che riceve i dati, come indirizzo IP, porta, dominio.
|
Campi che descrivono il dispositivo hardware coinvolto nell’evento. Sono tipicamente inclusi attributi come identificatori, modello, produttore, numero di serie e altre caratteristiche del dispositivo che aiutano a identificare il dispositivo fisico che genera o riceve dati.
|
Campi che descrivono una libreria caricata dinamicamente coinvolta in un evento. Sebbene il nome sia incentrato su Windows, questo set di campi copre più piattaforme: •Libreria a collegamento dinamico (.dll) comunemente utilizzata su Windows •Oggetto condiviso (.so) comunemente utilizzato su sistemi operativi tipo Unix •Libreria dinamica (.dylib) comunemente utilizzata su macOS I seguenti set di campi possono essere nidificati nel set di campi della DLL: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
Meta-informazioni specifiche di ECS.
|
Campi che descrivono i dettagli di un evento o un’attività acquisita da un sistema o un’applicazione. Questi campi forniscono un contesto come categoria, tipo, azione, esito e timestamp dell’evento.
|
Fornisce i dettagli di un file coinvolto nell’evento. I seguenti set di campi possono essere nidificati nel set di campi dei file: •file.code_signature.* •file.hash.* •file.pe.*
|
Contiene valori hash crittografici che identificano in modo univoco i file. È previsto che i campi dell’hash siano nidificati in: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
Fornisce dettagli sull’host (computer, server o dispositivo) da cui l’evento è stato originario o osservato. I seguenti set di campi possono essere nidificati nel set di campi dell’host: •host.os.*
|
Fornisce dettagli sull’attività di rete correlata all’evento. Questi campi descrivono il protocollo, la direzione e gli identificatori per il traffico di rete.
|
Fornisce dettagli sul sistema operativo in esecuzione su un host o dispositivo. È previsto che i campi del sistema operativo siano nidificati in: •host.os.*
|
Fornisce i metadati estratti da un file Portable Executable (PE) di Windows, come eseguibili, DLL e driver. È previsto che i campi del file PE siano nidificati in: •dll.pe.* •file.pe.* •process.pe.*
|
Fornisce dettagli su un processo in esecuzione su un host che è correlato all’evento. È previsto che i campi del processo siano nidificati in: •process.parent.* I seguenti set di campi possono essere nidificati nel set di campi del processo: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
Contiene elenchi di identificatori correlati all’evento. Questi valori aiutano a basarsi su diversi eventi che potrebbero avere lo stesso valore in campi differenti, ad es. process.hash e process.parent.hash.
|
Fornisce i dettagli su un indicatore. Questi campi aiutano a identificare, categorizzare e correlare gli indicatori in base alla logica di rilevamento che li ha attivati.
|
Campi che descrivono l’origine di una connessione di rete o di un trasferimento dati. Includono tipicamente dettagli sull’endpoint che invia i dati, come indirizzo IP, porta, dominio.
|
Fornisce dettagli su un URL coinvolto nell’evento. Questi campi descrivono la struttura e i componenti dell’URL.
|
Fornisce dettagli su un utente associato all’evento. È previsto che i campi dell’utente siano nidificati in: •process.user.*
|
Estensioni
Le estensioni ECS personalizzate sono set di campi aggiuntivi introdotti dalle integrazioni per acquisire dati non coperti dallo schema standard Elastic Common. Questi campi consentono un contesto più ricco e attributi specifici del fornitore mantenendo la compatibilità con ECS. Le estensioni devono seguire le convenzioni di denominazione ECS e sono raggruppate in uno spazio di nomi chiaro per evitare conflitti con i campi ECS standard.
ESET Extension
L’estensione ESET standardizza i dati provenienti dai prodotti ESET mappando i rilevamenti antivirus e gli indicatori comportamentali su campi ECS personalizzati all’interno dello spazio dei nomi ESET.
I campi dell’estensione ESET devono essere nidificati in:
•eset.*
L’insieme di campi di base ESET contiene tutti i campi che si trovano alla radice di eset.* namespace.
|
Rappresenta i dettagli relativi ai processi antenati. I campi antenati devono essere nidificati in: •eset.process.ancestors.* I seguenti campi ECS devono essere nidificati sotto eset.executable: •hash.*
|
Rappresenta i dettagli relativi ai processi antenati. I campi figli devono essere nidificati in: •eset.process.children.* I seguenti campi ECS devono essere nidificati sotto eset.executable: •hash.*
|
Fornisce informazioni su un eseguibile collegato all’evento. Quando questo campo appare sotto eset.process.*, si riferisce nello specifico all’eseguibile del processo in esecuzione sull’host in relazione all’evento. I campi eseguibili ESET devono essere nidificati in: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* I seguenti campi ECS devono essere nidificati sotto eset.executable: •code_signature.* •hash.* I seguenti campi di estensione ESET devono essere nidificati sotto eset.executable: •livegrid_findings.*
|
Fornisce informazioni sui dati ESET LiveGrid® collegati all’eseguibile. I campi dei risultati di ESET LiveGrid® devono essere nidificati in: •eset.executable.*
|
Fornisce informazioni sulle librerie caricate nel processo al momento della creazione dell’indicatore. I campi dei risultati di ESET LiveGrid® devono essere nidificati in: •eset.process.loaded_libraries.* I seguenti insiemi di campi devono essere nidificati sotto l’insieme di campi eset.loaded_libraries: •eset.executable.*
|
Fornisce dettagli su un processo in esecuzione su un host che è correlato all’evento. I seguenti insiemi di campi possono essere nidificati sotto l’insieme di campi eset.process: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
Rappresenta un’attività eseguita in risposta all’attivazione di una regola EDR, finalizzata a mitigare o neutralizzare una potenziale minaccia alla sicurezza. I campi delle azioni di correzione di ESET devono essere nidificati in: •eset.*
|
Rappresenta le informazioni relative all’evento che ha attivato una regola. I campi dell’evento scatenante devono essere nidificati in: •eset.triggering_event.*
|
L’estensione dei metadati ESET standardizza i metadati specifici di ESET per gli eventi di sicurezza. Acquisisce i dettagli del cliente, del servizio e della distribuzione per supportare l’assegnazione delle priorità e l’instradamento degli incidenti all’interno dei Security Operations Center (SoC) di ESET. I campi dei metadati ESET devono essere nidificati in: •eset_metadata.*
|