Cerca il contenuto della guida

Formato di dati Open XDR

Barre di navigazione

Guida online ESET > ESET PROTECT > Utilizzo di ESET PROTECT > ESET PROTECT Menu principale > Ricerca avanzata > Formato di dati Open XDR

Copia l’URL dell’articolo corrente Invia tramite e-mail

Questo articolo (PDF) Tutta la documentazione (PDF)

Il formato di dati Open XDR si basa sullo schema Elastic Common Schema (ECS), che è il formato normalizzato utilizzato per ESET Open XDR. ECS semplifica la scrittura delle query e consente di trovare una correlazione tra i dati provenienti da diverse fonti. Gli eventi, gli indicatori e gli incidenti di telemetria sono normalizzati in questo schema tra prodotti e integrazioni che fanno parte della Piattaforma Open XDR.

I dati di Open XDR sono disponibili da computer su cui sono in esecuzione la versione ESET Management Agent 13.0+ e ESET Inspect Connector 3.0+.

Scopri di più su come unificare ESET Inspect e ESET PROTECT (Open XDR).

Set di campi

ECS definisce più gruppi di campi correlati, noti come Set di campi.

Set di campi dell’agente

I campi dell’agente descrivono il componente software che raccoglie, rileva o osserva eventi o indicatori di telemetria.

Nome del campo

Mappatura del campo

Esempio

Integrazioni che forniscono questo campo

Valori consentiti

Nota

agent.build.original

keyword

13.01115.0

ESET

N/A

Informazioni estese sulla build.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Tipo di agente o integrazione che ha raccolto o osservato l’evento.

•endpoint-security: per i dati sulla protezione dell’endpoint (ESET PROTECT)

•endpoint-detection-response: per i dati EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Versione dell’agente.

Set di campi di base

Il set di campi di base contiene tutti i campi che sono alla radice degli eventi. Questi campi sono comuni a tutti i tipi di eventi.

Nome del campo

Mappatura del campo

Esempio

Integrazioni che forniscono questo campo

Valori consentiti

Nota

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Data/ora in cui l’evento ha avuto inizio. Queste informazioni sono di solito ricavate dalla fonte dell’evento. Se non disponibile, viene impostato nel momento in cui la pipeline riceve l’evento per la prima volta.

Tutti i campi del timestamp sono memorizzati in UTC. Quando vengono visualizzati, vengono convertiti nel fuso orario definito nelle impostazioni dell’utente della console.

Set di campi del cloud

Progettato per acquisire metadati sulle risorse in esecuzione in un ambiente cloud.

Nome del campo

Mappatura del campo

Esempio

Integrazioni che forniscono questo campo

Valori consentiti

Nota

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifica il fornitore di servizi cloud su cui la risorsa è in esecuzione.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Identificatore univoco dell’istanza (macchina virtuale o risorsa di calcolo) fornito dal fornitore cloud.

Set di campi della firma del codice

Campi che descrivono la firma digitale di un file su disco, un eseguibile che ha avviato un processo o una libreria caricata dinamicamente. Indicano se il file è firmato, chi lo ha firmato e se la firma è valida e attendibile. È previsto che i campi della firma del codice siano nidificati in:

•process.*

•file.*

•dll.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
code_signature.exists	boolean	true	ESET	N/A	Indica se è presente una firma digitale. Questi campi vengono popolati solo se i dati provengono da ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identificatore associato all’entità che ha firmato il file. Questi campi vengono popolati solo se i dati provengono da ESET Inspect su dispositivi macOS.
code_signature.status	keyword	trusted	ESET	Per ESET, sono consentiti i seguenti valori: •trusted •valid •adhoc •none •invalid •unknown •present	Stato di convalida della firma digitale, che indica se è attendibile, non valida o ha un altro stato. Questi campi vengono popolati solo se i dati provengono da ESET Inspect. •trusted: firma considerata attendibile da ESET. •valid: firma considerata attendibile dal sistema operativo. •adhoc: autofirmato (solo macOS). •none: nessuna firma. •invalid: firma considerata non attendibile dal sistema operativo, danneggiata o revocata. •unknown: impossibile stabilire se è presente una firma. •present: la firma è presente, ma non è stato possibile verificarne l’attendibilità.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Nome dell’entità (individuo, organizzazione o editore) che ha firmato il file, come indicato nella firma digitale. Questi campi vengono popolati solo se i dati provengono da ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identificatore assegnato al team di sviluppo che ha firmato il file. Questi campi vengono popolati solo se i dati provengono da ESET Inspect su dispositivi macOS.

Set di campi di destinazione

Campi che descrivono la destinazione di una connessione di rete o di un trasferimento dati. Sono tipicamente inclusi dettagli sull’endpoint che riceve i dati, come indirizzo IP, porta, dominio.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
destination.address	keyword	192.168.1.1	ESET	N/A	Indirizzo grezzo della destinazione, fornito dalla fonte. Può trattarsi di un indirizzo IP, un nome di dominio o un altro identificatore di rete.
destination.ip	ip	192.168.1.1	ESET	N/A	Indirizzo IP dell’host o dell’endpoint della destinazione che riceve il traffico di rete.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Indirizzo MAC dell’interfaccia di rete della destinazione.
destination.port	long	22	ESET	N/A	Numero della porta di rete della destinazione.

Set di campi del dispositivo

Campi che descrivono il dispositivo hardware coinvolto nell’evento. Sono tipicamente inclusi attributi come identificatori, modello, produttore, numero di serie e altre caratteristiche del dispositivo che aiutano a identificare il dispositivo fisico che genera o riceve dati.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Nome dell’azienda o del fornitore che ha prodotto il dispositivo.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Identificatore univoco del modello del dispositivo, fornito dal produttore per distinguere tra i diversi modelli hardware.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Numero di serie univoco assegnato al dispositivo dal produttore.

Set di campi della DLL

Campi che descrivono una libreria caricata dinamicamente coinvolta in un evento. Sebbene il nome sia incentrato su Windows, questo set di campi copre più piattaforme:

•Libreria a collegamento dinamico (.dll) comunemente utilizzata su Windows

•Oggetto condiviso (.so) comunemente utilizzato su sistemi operativi tipo Unix

•Libreria dinamica (.dylib) comunemente utilizzata su macOS

I seguenti set di campi possono essere nidificati nel set di campi della DLL:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
dll.name	keyword	scrobj.dll	ESET	N/A	Nome del file della libreria caricata dinamicamente, senza il percorso.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Percorso completo del file system alla libreria caricata dinamicamente.

Set di campi di ECS

Meta-informazioni specifiche di ECS.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
ecs.version	keyword	8.16	all	N/A	Versione di ECS a cui questo evento si conforma.

Set di campi di eventi

Campi che descrivono i dettagli di un evento o un’attività acquisita da un sistema o un’applicazione. Questi campi forniscono un contesto come categoria, tipo, azione, esito e timestamp dell’evento.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
event.action	keyword	file-cleaned	ESET	Per ESET, sono consentiti i seguenti valori: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	Azione o operazione specifica che ha attivato l’evento. Il campo è fornito solo se applicabile all’evento specifico.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Classificazione di alto livello dell’evento, utilizzata per raggruppare tipi simili di attività. Questo campo aiuta a organizzare gli eventi in ampie categorie funzionali per facilitare il filtraggio e l’analisi. Questo campo può contenere più valori.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Rappresenta il timestamp in cui l’agente ha ricevuto o osservato per la prima volta l’evento. Il valore dovrebbe essere leggermente diverso da @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Nome del set di dati a cui appartiene l’evento. Questo valore viene tipicamente utilizzato per raggruppare eventi correlati provenienti dalla stessa fonte o integrazione.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	ID univoco dell’evento.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Rappresenta il timestamp in cui l’evento è arrivato sulla console ESET PROTECT.
event.kind	keyword	alert	all	Per ESET, sono consentiti i seguenti valori: •alert •event	Categorizzazione di alto livello del tipo di informazioni contenute nell’evento. Nel contesto di ESET, l’avviso relativo al valore corrisponde a un indicatore, mentre l’evento si riferisce a un evento di telemetria.
event.module	keyword	eset	all	Per ESET, sono consentiti i seguenti valori: •eset	Identifica il nome dell’integrazione che ha generato l’evento. Questo campo viene utilizzato per raggruppare gli eventi in base alla loro fonte.
event.outcome	keyword	success	Tutto	•failure •success •unknown	Indica il risultato dell’evento o dell’azione.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifica la fonte o il componente all’interno del sistema che ha generato l’evento. Questo è spesso il nome dell’applicazione, del servizio o del sottosistema responsabile della produzione dei dati. Nel contesto di ESET, questo valore è talvolta chiamato scanner e indica il motore o il modulo di controllo ESET che ha rilevato o segnalato l’evento.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Fornisce una spiegazione descrittiva del motivo per il quale si è verificato l’evento. Questo campo contiene testi leggibili dall’uomo che chiariscono la causa, l’attivazione o la giustificazione dell’evento.
event.risk_score	float	40	ESET	N/A	Valore numerico che rappresenta il rischio stimato dell’evento fornito dalla rispettiva fonte.
event.severity	long	2	ESET	N/A	Valore numerico che rappresenta la gravità dell’evento fornita dalla rispettiva fonte.
event.type	keyword serie	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Descrive il tipo o l’azione specifici rappresentati dall’evento all’interno della rispettiva categoria. Questo campo fornisce una classificazione più granulare rispetto a event.category.

Set di campi dei file

Fornisce i dettagli di un file coinvolto nell’evento. I seguenti set di campi possono essere nidificati nel set di campi dei file:

•file.code_signature.*

•file.hash.*

•file.pe.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
file.directory	keyword	C:\Windows\System32	ESET	N/A	Percorso della directory in cui si trova il file, escluso il nome del file.
file.extension	keyword	dll	ESET	N/A	Estensione del file, escluso il punto iniziale.
file.name	keyword	rasadhlp.dll	ESET	N/A	Nome del file, inclusa l’estensione ma senza il percorso della directory.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Percorso completo al file, inclusi le directory e il nome del file.
file.type	keyword	file	ESET	•file •directory •symlink	Tipo generale del file. Indica la natura dell’oggetto nel file system.

Set di campi dell’hash

Contiene valori hash crittografici che identificano in modo univoco i file. È previsto che i campi dell’hash siano nidificati in:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	L’hash MD5 del file o dei dati.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	L’hash SHA1 del file o dei dati.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	L’hash SHA256 del file o dei dati.

Set di campi dell’host

Fornisce dettagli sull’host (computer, server o dispositivo) da cui l’evento è stato originario o osservato. I seguenti set di campi possono essere nidificati nel set di campi dell’host:

•host.os.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
host.architecture	keyword	x86-64	ESET	N/A	Architettura della CPU dell’host.
host.domain	keyword	CONTOSO	ESET	N/A	Nome di dominio dell’host, che tipicamente rappresenta il dominio Active Directory a cui appartiene l’host.
host.hostname	keyword	SRV-02	ESET	N/A	Nome dell’host riportato dal comando hostname del sistema operativo.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificatore univoco dell’host.
host.ip	ip array	192.168.1.35	ESET	N/A	Indirizzo o indirizzi IP assegnato/i all’host.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Indirizzo o indirizzi MAC delle interfacce di rete dell’host.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Nome dell’host.
host.type	keyword	server	ESET	Per ESET, sono consentiti i seguenti valori: •workstation •server •mobile	Tipo di host.

Set di campi della rete

Fornisce dettagli sull’attività di rete correlata all’evento. Questi campi descrivono il protocollo, la direzione e gli identificatori per il traffico di rete.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Valore hash che identifica in modo univoco un flusso di rete basato sul suo 5-tuple (IP sorgente, IP di destinazione, porta sorgente, porta di destinazione e protocollo di trasporto). Fornisce un modo coerente per correlare le sessioni di rete tra diversi sistemi e strumenti. Ulteriori informazioni su github.
network.direction	keyword	ingress	ESET	•ingress •egress	Direzione del traffico rispetto all’host.
network.protocol	keyword	ssh	ESET	N/A	Nome del protocollo di rete utilizzato. Nel modello OSI ciò equivale al livello applicativo.
network.transport	keyword	tcp	ESET	N/A	Protocollo di trasporto sottostante. Nel modello OSI ciò equivale al livello di trasporto.
network.type	keyword	ipv4	ESET	N/A	Tipo di traffico di rete. Nel modello OSI ciò equivale al livello di rete.

Set di campi del sistema operativo

Fornisce dettagli sul sistema operativo in esecuzione su un host o dispositivo. È previsto che i campi del sistema operativo siano nidificati in:

•host.os.*

Nome del campo

Mappatura del campo

Esempio

Integrazioni che forniscono questo campo

Valori consentiti

Nota

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Nome leggibile dall’uomo del sistema operativo.

os.type

keyword

windows

ESET

Per ESET, sono consentiti i seguenti valori:

•windows

•linux

•macos

•ios

•android

Tipo generale di sistema operativo.

os.version

keyword

10.0.19045.6456

ESET

N/A

Stringa della versione del sistema operativo.

Set di campi del file PE

Fornisce i metadati estratti da un file Portable Executable (PE) di Windows, come eseguibili, DLL e driver. È previsto che i campi del file PE siano nidificati in:

•dll.pe.*

•file.pe.*

•process.pe.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
pe.architecture	keyword	x64	ESET	N/A	Specifica l’architettura della CPU per cui è stato creato il file Portable Executable (PE).
pe.company	keyword	Google LLC	ESET	N/A	Nome della società che ha pubblicato l’eseguibile.
pe.description	keyword	Google Chrome	ESET	N/A	Descrizione dello scopo del file.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Nome dell’eseguibile al momento della compilazione e della firma.
pe.product	keyword	Google Chrome	ESET	N/A	Nome del prodotto a cui appartiene il file.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Versione del file specificato nei relativi metadati.

Set di campi del processo

Fornisce dettagli su un processo in esecuzione su un host che è correlato all’evento. È previsto che i campi del processo siano nidificati in:

•process.parent.*

I seguenti set di campi possono essere nidificati nel set di campi del processo:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Serie di argomentazioni trasmesse al processo.
process.args_count	long	5	ESET	N/A	Conteggio degli argomenti trasmessi al processo.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Linea di comando completa usata per avviare il processo, inclusi gli argomenti.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Timestamp in cui è terminato il processo. Se il campo non viene popolato, ciò significa che il processo era ancora in esecuzione quando l’evento è stato generato.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Identificatore univoco del processo. L’implementazione dipende dalla fonte dei dati.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Percorso completo verso il file eseguibile del processo.
process.name	keyword	whoami.exe	ESET	N/A	Nome dell’eseguibile del processo.
process.pid	long	9988	ESET	N/A	ID del processo assegnato dal sistema operativo.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Timestamp in cui ha avuto inizio il processo.

Set di campi correlati

Contiene elenchi di identificatori correlati all’evento. Questi valori aiutano a basarsi su diversi eventi che potrebbero avere lo stesso valore in campi differenti, ad es. process.hash e process.parent.hash.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Serie di hash correlati all’evento.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Serie di host correlati all’evento.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Serie di indirizzi IP correlati all’evento.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Serie di identificatori dell’utente correlati all’evento.

Set di campi delle regole

Fornisce i dettagli su un indicatore. Questi campi aiutano a identificare, categorizzare e correlare gli indicatori in base alla logica di rilevamento che li ha attivati.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
rule.author	keyword	ESET	ESET	N/A	Autore della regola di rilevamento.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Nome della regola. Questo valore dovrebbe essere popolato da tutti gli indicatori.
rule.category	keyword	File System	ESET	N/A	Ampia categoria della regola.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Identificatore univoco della regola, nell’ambito dell’intero sistema. Assegnato dall’autore della regola. Nel caso di ESET Inspect, questo è il valore usato nei tag <guid> del codice sorgente della regola.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Identificatore univoco della versione della regola, nell’ambito dell’host. Spesso assegnato dal motore di rilevamento.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Fornisce una spiegazione leggibile dall’uomo di ciò che viene rilevato dalla regola o del suo scopo previsto. Questo campo aiuta gli analisti a comprendere la logica o il contesto dietro l’avviso senza dover rivedere l’intera definizione della regola. Nel caso di ESET Inspect, questi sono i contenuti dei tag <explanation> nel codice sorgente della regola.

Set di campi dell’origine

Campi che descrivono l’origine di una connessione di rete o di un trasferimento dati. Includono tipicamente dettagli sull’endpoint che invia i dati, come indirizzo IP, porta, dominio.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
source.address	keyword	192.168.1.1	ESET	N/A	Indirizzo grezzo della fonte, fornito dalla fonte. Può trattarsi di un indirizzo IP, un nome di dominio o un altro identificatore di rete.
source.ip	ip	192.168.1.1	ESET	N/A	Indirizzo IP dell’host sorgente o dell’endpoint che invia il traffico di rete.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Indirizzo MAC dell’interfaccia di rete sorgente.
source.port	long	80	ESET	N/A	Numero della porta di rete della sorgente.

Set di campi dell’URL

Fornisce dettagli su un URL coinvolto nell’evento. Questi campi descrivono la struttura e i componenti dell’URL.

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Nome di dominio estratto dall’URL.
url.extension	keyword	xml	ESET	N/A	Estensione del file dal percorso URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	URL completo.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	URL completo fornito dalla fonte di dati originale.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	Parte del percorso dell’URL.
url.scheme	keyword	http	ESET	N/A	Protocollo o schema utilizzato.

Set di campi dell’utente

Fornisce dettagli su un utente associato all’evento. È previsto che i campi dell’utente siano nidificati in:

•process.user.*

Nome del campo	Mappatura del campo	Esempio	Integrazioni che forniscono questo campo	Valori consentiti	Nota
user.name	keyword	john	ESET	N/A	Nome utente o account.
user.domain	keyword	contoso	ESET	N/A	Dominio o area di autenticazione a cui appartiene l’utente.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Identificatore univoco dell’utente.

Estensioni

Le estensioni ECS personalizzate sono set di campi aggiuntivi introdotti dalle integrazioni per acquisire dati non coperti dallo schema standard Elastic Common. Questi campi consentono un contesto più ricco e attributi specifici del fornitore mantenendo la compatibilità con ECS. Le estensioni devono seguire le convenzioni di denominazione ECS e sono raggruppate in uno spazio di nomi chiaro per evitare conflitti con i campi ECS standard.

ESET Extension

ESET Extension standardizza i dati provenienti dai prodotti ESET attraverso la mappatura dei rilevamenti antivirus e gli indicatori comportamentali in campi ECS personalizzati in eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Nota
eset.aggregated_count	long	2	ESET	N/A	Se lo stesso indicatore è stato attivato in un breve intervallo di tempo, produce un solo documento. Questo campo contiene il numero di indicatori che hanno prodotto il documento specifico.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identificatore condiviso tra indicatori ESET correlati.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID dell’istanza di ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informazioni sulla firma digitale. Vedere i campi della firma del codice ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Formato del file eseguibile.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hash dell’eseguibile. Vedere il set di campi dell’hash ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Identificatore univoco dell’eseguibile.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Se questa condizione è vera, l’eseguibile rappresenta una libreria dinamicamente collegata.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	Timestamp in cui il file o l’eseguibile associato ha attivato un rilevamento antivirus classificato come quasi incidente (ad esempio, simile a un malware noto ma non abbastanza da essere segnalato con sicurezza come malware).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Numero di giorni trascorsi da quando l’eseguibile è stato visto per la prima volta in LiveGrid®. Il numero è arrotondato all’equivalente degli intervalli temporali comuni: giorno, alcuni giorni, settimana, mese, semestre, anno, eccetera.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Numero di computer che hanno segnalato un eseguibile a LiveGrid®. L’intervallo è mappato in base a potenze di dieci: •0,00 => 0 (non ancora segnalato a LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •e così via
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Numero che indica il livello di sicurezza dell’eseguibile secondo LiveGrid®. Più alto è il numero, più viene considerato attendibile da LiveGrid®. •= 0,00: malware o elemento spostato nella blacklist •<= 0,38: potenzialmente indesiderato o non sicuro •>= 0,88: file prevalenti puliti
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Nome dell’eseguibile, inclusa l’estensione ma senza il percorso della directory.
eset.executable.marked_safe	boolean	false	ESET	N/A	Se questa condizione è vera, l’eseguibile è contrassegnato come sicuro.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Nome del packer utilizzato per creare l’eseguibile identificato da ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Campo del nome interno ricavato dai metadati eseguibili.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Se questa condizione è vera, l’eseguibile è un driver di Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Campo della versione del prodotto ricavato dai metadati eseguibili.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Nome dello strumento SFX utilizzato per creare l’eseguibile identificato da ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Dimensione del file eseguibile.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Contiene il tipo di whitelist. Queste whitelist sono gestite da ESET e non sono configurabili dall’utente.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Rappresenta il risultato di una correzione automatizzata eseguita dal prodotto di protezione ESET. •mitigated: sono state adottate azioni automatiche parziali e immediate per ridurre l’impatto della minaccia, che tuttavia non è stata completamente rimossa. La risoluzione completa richiede di solito un riavvio del sistema. •remediated: la minaccia è stata risolta in modo completo e permanente dal sistema sorgente, dall’automazione o da un processo automatizzato, indicando l’eliminazione completa e il recupero di uno stato di protezione al momento del rilevamento. •unhandled: l’artefatto o l’osservabile sottostante non è stato gestito e non è stata intrapresa alcuna azione immediata o automatica per contenere, sradicare o ridurne l’impatto. Questo rimane un indicatore ad alta priorità che richiede un’analisi umana tempestiva, poiché la minaccia è ancora attiva e priva di impedimenti.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Fornisce un elenco dei gruppi di amministrazione di ESET PROTECT a cui appartiene il dispositivo. I gruppi sono ordinati dal più alto al gruppo principale diretto dell’host.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificatore univoco dell’host. Lo stesso vale per host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Identificatori univoci dei processi predecessori.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Livello di integrità dei processi predecessori.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Nomi dei processi predecessori.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Elabora i PID dei processi predecessori.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Numero di processi generati dal processo predecessore.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Stato di cessazione del processo predecessore.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Identificatori univoci dei processi secondari.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Livello di integrità dei processi secondari.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Nomi dei processi secondari.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identificatori dei processi secondari.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Numero di processi generati dal processo secondario.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Stato di cessazione dei processi secondari.
eset.process.dns_query_count	long	0	ESET	N/A	Query DNS numeriche effettuate dal processo.
eset.process.dropped_executable_count	long	1	ESET	N/A	Numero di eseguibili eliminati dal processo.
eset.process.http_request_count	long	9	ESET	N/A	Numero di richieste HTTP effettuate dal processo.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Identificatore univoco del processo.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Livello di integrità del processo.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Specifica il percorso completo del file system al file del collegamento (.lnk) di Windows che è stato utilizzato per avviare il processo.
eset.process.modified_registry_count	long	42	ESET	N/A	Numero di chiavi del registro di Windows modificate dal processo.
eset.process.network_connection_count	long	6	ESET	N/A	Numero di connessioni di rete stabilite dal processo.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Numero di processi generati dal processo.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Se la condizione è true, il processo viene escluso dal rilevamento delle minacce di ESET Endpoint Security a causa di un’esclusione delle prestazioni configurata.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Memorizza le istanze di user.domain e user.name concatenate nel formato domain\username, che rappresenta l’account nel quale viene eseguito il processo.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Rappresentazione testuale del campo event.severity. In base al campo event.risk_score. •1-39 => Informativo (1) •40-69 => Avvertenza (2) •70-100 => Minaccia (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Valore contestuale associato all’evento definito in eset.triggering_event.type. Questo campo contiene l’oggetto o il parametro principale rilevante per l’evento, ad esempio, il percorso del file, il percorso del processo, la chiave del registro, l’indirizzo di rete o un’altra risorsa su cui si è verificato l’evento.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	ID univoco dell’evento scatenante.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Dati strutturati arbitrari, non schematici e dipendenti dal tipo di evento.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Tipo di evento scatenante basato sul comportamento osservato.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Timestamp che indica quando è stata eseguita l’azione di correzione.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	ID univoco dell’azione di correzione.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Nome dell’azione di correzione eseguita da EDR (ESET Inspect). Per maggiori dettagli, consultare la sezione Azioni alla base delle regole.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Indica il risultato dell’azione di correzione.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Versione del motore o del modulo di controllo di ESET che ha rilevato o segnalato l’evento.

˄˅