ヘルプコンテンツの検索

Open XDRデータ形式

ブレッドクラム

ESETオンラインヘルプ > ESET PROTECT > ESET PROTECTの使用 > ESET PROTECT メインメニュー > 詳細検索 > Open XDRデータ形式

Open XDRデータ形式は、ESET Open XDRで使用される正規化された形式であるElastic Common Schema (ECS)に基づいています。ECSはクエリの記述を簡素化し、異なるデータソース間でのデータの関連付けを可能にします。テレメトリイベント、インジケーター、インシデントは、Open XDRプラットフォームの一部である製品や統合に対して、このスキーマに正規化されます。

Open XDRデータは、ESET Managementエージェントバージョン13.0+およびESET Inspectコネクタ3.0+を実行しているコンピューターから入手できます。

詳細は、ESET InspectおよびESET PROTECT (Open XDR)の統合を参照してください。

フィールドセット

ECSは、フィールドセットとして知られる複数の関連フィールドグループを定義しています。

エージェントフィールドセット

エージェントフィールドは、テレメトリイベントやインジケーターを収集、検出、または観察するソフトウェアコンポーネントを指します。

フィールド名

フィールドマッピング

例

このフィールドを提供する統合

許可された値

注意

agent.build.original

keyword

13.01115.0

ESET

N/A

拡張されたビルド情報。

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

イベントを収集または観察したエージェントの種類や統合。

•endpoint-security - エンドポイント保護データ用(ESET PROTECT)

•endpoint-detection-response - EDRデータ(ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

エージェントのバージョン。

ベースフィールドセット

ベースフィールドセットには、イベントの土台にあるすべてのフィールドが含まれます。これらのフィールドはあらゆる種類のイベントで共通しています。

フィールド名

フィールドマッピング

例

このフィールドを提供する統合

許可された値

注意

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

イベントが発生した日時。通常はイベントソースから取得します。利用できない場合は、パイプラインがイベントを最初に受信した時点に設定されます。

すべてのタイムスタンプフィールドはUTCで格納されます。表示されると、コンソールのユーザー設定で設定されたタイムゾーンに変換されます。

クラウドフィールドセット

クラウド環境で実行されるリソースのメタデータをキャプチャするために設計されています。

フィールド名

フィールドマッピング

例

このフィールドを提供する統合

許可された値

注意

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

リソースが実行されているクラウドサービスプロバイダーを識別します。

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

クラウドプロバイダーが提供するインスタンス(仮想マシンまたはコンピューティングリソース)の一意の識別子。

コード署名フィールドセット

ディスク上のファイル、プロセスを起動した実行ファイル、または動的に読み込まれたライブラリのデジタル署名を表すフィールドです。これらは、ファイルに署名されているかどうか、誰が署名したか、署名が有効かつ信頼できるかどうかを示します。コード署名フィールドは以下にネスト化されることが想定されます。

•process.*

•file.*

•dll.*

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
code_signature.exists	boolean	true	ESET	N/A	デジタル署名の有無を示します。データがESET Inspectに由来する場合のみ入力されます。
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	ファイルに署名したエンティティに関連付けられた識別子。データがmacOSデバイスのESET Inspectに由来する場合のみ入力されます。
code_signature.status	keyword	trusted	ESET	ESETの場合、以下の値が許可されています。 •trusted •valid •adhoc •none •invalid •unknown •present	デジタル署名の検証ステータス。信頼されているか、無効か、または別の状態であることを示します。データがESET Inspectに由来する場合のみ入力されます。 •trusted - ESETが信頼する署名。 •valid - OSが信頼する署名。 •adhoc - 自己署名(macOSのみ)。 •none - 署名なし。 •invalid - OSに信頼されていない、破損している、または取り消された署名。 •unknown - 署名が存在するかどうかを判断できない。 •present - 署名はあるが、信頼性を検証できなかった。
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	デジタル署名に記載された、ファイルに署名したエンティティ(個人、組織、または発行社)の名前。データがESET Inspectに由来する場合のみ入力されます。
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	ファイルに署名した開発チームに割り当てられた識別子。データがmacOSデバイスのESET Inspectに由来する場合のみ入力されます。

宛先フィールドセット

ネットワーク接続やデータ転送の宛先を説明するフィールドです。これには通常、IPアドレス、ポート、ドメインなどのデータを受信するエンドポイントの詳細が含まれます。

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
destination.address	keyword	192.168.1.1	ESET	N/A	送信元が提供する宛先のrawアドレス。これはIPアドレス、ドメイン名、または他のネットワーク識別子である場合があります。
destination.ip	ip	192.168.1.1	ESET	N/A	ネットワークトラフィックを受信する宛先ホストまたはエンドポイントのIPアドレス。
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	宛先ネットワークインターフェースのMACアドレス。
destination.port	long	22	ESET	N/A	宛先のネットワークポート番号。

デバイスフィールドセット

イベントに関わるハードウェアデバイスを示すフィールドです。これには通常、デバイス識別子、モデル、メーカー、シリアル番号、データを生成または受信する物理機器の識別に役立つその他の情報など、属性が含まれます。

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	そのデバイスを製造した会社名やベンダー名。
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	様々なハードウェアモデルを区別するためにメーカーが提供するデバイスモデルの一意の識別子。
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	メーカーがデバイスに割り当てた固有のシリアル番号。

DLLフィールドセット

イベントに関与する動的に読み込まれたライブラリを示すフィールド。名前はWindows中心ですが、このフィールドセットは複数のプラットフォームをカバーしています。

•Windowsで一般的に使われる動的リンクライブラリ(.dll)

•Unix系オペレーティングシステムで一般的に使われる共有オブジェクト(.so)

•macOSで一般的に使われる動的ライブラリ(.dylib)

以下のフィールドセットはDLLフィールドセットの下にネスト化されることがあります。

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
dll.name	keyword	scrobj.dll	ESET	N/A	パスを含まない、動的に読み込まれたライブラリファイルの名前。
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	動的に読み込まれたライブラリへの完全なファイルシステムパス。

ECSフィールドセット

ECS固有のメタ情報。

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
ecs.version	keyword	8.16	all	N/A	このイベントが準拠するECSバージョン。

イベントフィールドセット

システムやアプリケーションによってキャプチャされたイベントや活動の詳細を示すフィールドです。これらのフィールドは、イベントのカテゴリ、タイプ、アクション、結果、タイムスタンプなどのコンテキストを提供します。

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
event.action	keyword	file-cleaned	ESET	ESETの場合、以下の値が許可されています。 •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	そのイベントをトリガーした具体的なアクションまたは操作。フィールドは特定のイベントに該当する場合のみ提供されます。
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	イベントの大まかな分類。類似した種類の活動をグループ化するために使用されます。このフィールドは、イベントを広範な機能カテゴリに整理し、フィルタリングや分析を容易にするのに役立ちます。このフィールドには複数の値が含まれることがあります。
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	エージェントが初めてイベントを受信または観察した時のタイムスタンプを表します。値は@timestampと少し異なるはずです。
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	イベントが属するデータセットの名前。この値は通常、同じソースまたは統合の関連イベントをグループ化するために使われます。
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	イベントの一意のID。
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	イベントがESET PROTECTコンソールに到達した時のタイムスタンプを表します。
event.kind	keyword	alert	all	ESETの場合、以下の値が許可されています。 •alert •event	イベントが持つ情報タイプの大まかな分類。ESETでは、値アラートはインジケーターに対応し、イベントはテレメトリイベントを指します。
event.module	keyword	eset	all	ESETの場合、以下の値が許可されています。 •eset	イベントを生成した統合名を識別します。このフィールドは、イベントをソース別にグループ化するために使われます。
event.outcome	keyword	success	すべて(A)	•failure •success •unknown	イベントまたはアクションの結果を示します。
event.provider	keyword	Real-time file system protection	ESET	N/A	イベントを生成したシステム内のソースまたはコンポーネントを識別します。これは多くの場合、データを生成するアプリケーション、サービス、またはサブシステムの名前です。 ESETでは、この値はスキャナーと呼ばれ、どのESET検出エンジンまたはモジュールがイベントを検出または報告したかを示します。
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	イベントが起こった理由を提供します。このフィールドには、イベントの原因、トリガー、または正当である理由を明確にする判読可能なテキストが含まれています。
event.risk_score	float	40	ESET	N/A	イベントソースから提供された、イベントの推定リスクを表す数値。
event.severity	long	2	ESET	N/A	イベントソースから提供された、イベントの重大度を表す数値。
event.type	keyword 配列	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	イベントのカテゴリ内でイベントが表す特定のタイプまたはアクションを示します。このフィールドはevent.categoryよりも細かい分類を提供します。

ファイルフィールドセット

イベントに関わるファイルの詳細を表します。以下のフィールドセットはファイルフィールドセットの下にネスト化されることがあります。

•file.code_signature.*

•file.hash.*

•file.pe.*

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
file.directory	keyword	C:\Windows\System32	ESET	N/A	ファイル名を除いた、ファイルが存在するディレクトリパス。
file.extension	keyword	dll	ESET	N/A	先頭の点を除いた、ファイルの拡張子。
file.name	keyword	rasadhlp.dll	ESET	N/A	ファイル名(拡張子を含むがディレクトリパスは含まない)。
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	ディレクトリやファイル名を含むファイルへの完全パス。
file.type	keyword	file	ESET	•file •directory •symlink	ファイルの一般的なタイプ。ファイルシステム内のオブジェクトの性質を示します。

ハッシュフィールドセット

ファイルを一意に識別する暗号ハッシュ値を含みます。ハッシュフィールドは以下でネスト化されることが想定されます。

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	ファイルやデータのMD5ハッシュ。
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	ファイルやデータのSHA1ハッシュ。
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	ファイルやデータのSHA256ハッシュ。

ホストフィールドセット

イベントが発生した、またはイベントが観察されたホスト(コンピューター、サーバー、またはデバイス)の詳細を表します。以下のフィールドセットはホストフィールドセットの下にネスト化されることがあります。

•host.os.*

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
host.architecture	keyword	x86-64	ESET	N/A	ホストのCPUアーキテクチャ。
host.domain	keyword	CONTOSO	ESET	N/A	ホストのドメイン名で、通常はホストが属するActive Directoryドメインを表します。
host.hostname	keyword	SRV-02	ESET	N/A	オペレーティングシステムのホスト名コマンドによって報告されるホスト名。
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	ホストの一意の識別子。
host.ip	ip array	192.168.1.35	ESET	N/A	ホストに割り当てられたIPアドレス。
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	ホストのネットワークインターフェースのMACアドレス。
host.name	keyword	SRV-02.contoso.local	ESET	N/A	ホストの名前。
host.type	keyword	server	ESET	ESETの場合、以下の値が許可されています。 •workstation •server •mobile	ホストの種類。

ネットワークフィールドセット

イベントに関連するネットワークアクティビティの詳細を表します。これらのフィールドは、ネットワークトラフィックのプロトコル、方向、識別子を表します。

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	ネットワークフローを5タプル(送信元IP、宛先IP、送信ポート、宛先ポート、転送プロトコル)に基づいて一意に識別するハッシュ値。異なるシステムやツール間でネットワークセッションを一貫して関連付ける方法を提供します。詳細はgithubをご覧ください。
network.direction	keyword	ingress	ESET	•ingress •egress	ホストに相対的なトラフィックの方向。
network.protocol	keyword	ssh	ESET	N/A	使用されたネットワークプロトコルの名前。OSIモデルでは、これはアプリケーション層に相当します。
network.transport	keyword	tcp	ESET	N/A	基盤となる転送プロトコル。OSIモデルでは、これはトランスポート層に相当します。
network.type	keyword	ipv4	ESET	N/A	ネットワークトラフィックの種類。OSIモデルでは、これはネットワーク層に相当します。

オペレーティングシステムフィールドセット

ホストやデバイス上で実行されるオペレーティングシステムの詳細を表します。オペレーティングシステムフィールドは以下にネストされることが想定されます。

•host.os.*

フィールド名

フィールドマッピング

例

このフィールドを提供する統合

許可された値

注意

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

オペレーティングシステムの判読可能な名前。

os.type

keyword

windows

ESET

ESETの場合、以下の値が許可されています。

•windows

•linux

•macos

•ios

•android

オペレーティングシステムの一般的なタイプ。

os.version

keyword

10.0.19045.6456

ESET

N/A

オペレーティングシステムのバージョン文字列。

PEフィールドセット

実行ファイル、DLL、ドライバーなど、Windows Portable Executable (PE)から抽出されたメタデータを表します。PEフィールドは以下でネスト化されることが想定されます。

•dll.pe.*

•file.pe.*

•process.pe.*

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
pe.architecture	keyword	x64	ESET	N/A	Portable Executable (PE)ファイルが構築されたCPUアーキテクチャを指定します。
pe.company	keyword	Google LLC	ESET	N/A	実行ファイルを発行した会社の名前。
pe.description	keyword	Google Chrome	ESET	N/A	ファイルの目的の説明。
pe.original_file_name	keyword	chrome.exe	ESET	N/A	実行ファイルがコンパイルされ署名された時点で、そのファイルに名前を付けます。
pe.product	keyword	Google Chrome	ESET	N/A	ファイルが属する製品の名前。
pe.file_version	keyword	142.0.7444.176	ESET	N/A	メタデータで指定されたファイルのバージョン。

プロセスフィールドセット

イベントに関連するホスト上で実行されるプロセスの詳細を表します。プロセスフィールドは以下でネスト化されることが想定されます。

•process.parent.*

以下のフィールドセットはプロセスフィールドセットの下にネスト化されることがあります。

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

フィールド名	フィールドマッピング	例	このフィールドを提供する統合	許可された値	注意
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	プロセスに渡された引数の配列。
process.args_count	long	5	ESET	N/A	プロセスに渡された引数の数。
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	引数を含む、プロセス開始に使われた完全なコマンドライン。
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	プロセス終了時のタイムスタンプ。フィールドが入力されていなければ、イベント生成時点にプロセスが実行中だったことになります。
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	プロセスの一意の識別子。実装はデータソースによって異なります。
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	プロセス実行ファイルへの完全パス。
process.name	keyword	whoami.exe	ESET	N/A	プロセスの実行ファイルの名前。
process.pid	long	9988	ESET	N/A	オペレーティングシステムによって割り当てられたプロセスID。
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	プロセス開始時のタイムスタンプ。

拡張子

カスタムECS拡張は、標準的なElastic Common Schemaでカバーされないデータを取得するために統合によって導入される追加フィールドセットです。これらのフィールドは、より豊かなコンテキストやベンダー固有の属性を可能にしながら、ECSとの互換性を維持します。拡張はECSの命名規則に従う必要があり、標準的なECSフィールドとの競合を避けるために明確な名前空間の下にグループ化されます。

ESET拡張

ESET拡張は、ウイルス対策検出や動作インジケーターをeset.* namespaceのカスタムECSフィールドにマッピングすることで、ESET製品のデータを標準化します。

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	注意
eset.aggregated_count	long	2	ESET	N/A	同じインジケーターが短時間でトリガーされた場合、1つの文書のみが生成されます。このフィールドには、特定の文書を作成したインジケーターの数が含まれます。
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	関連するESETインジケーター間で共有される識別子。
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	ESET PROTECTインスタンスのGUID。
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	デジタル署名に関する情報。 ECSコード署名フィールドを参照してください。
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	実行ファイルの形式。
eset.executable.hash.*	N/A	N/A	ESET	N/A	実行可能ファイルのハッシュ。ECSハッシュフィールドセットを参照してください。
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	実行可能ファイルの一意の識別子。
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	trueの場合、実行ファイルは動的にリンクされたライブラリを表します。
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	関連するファイルまたは実行ファイルがニアミス(たとえば、既知のマルウェアに似ているがはっきりとマルウェアとして報告するには不十分)として分類されるウイルス対策検出をトリガーした時のタイムスタンプ。
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	実行可能ファイルがLiveGrid®で最初に確認されてからの日数。数値は、一般的なタイムバケット(日、週、月、半年、年など)に相当する数に丸められます。
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	実行可能ファイルをLiveGrid®に報告したコンピューターの数。間隔は10のべき乗にマッピングされます。 •0.00 => 0 (まだLiveGrid®に報告されていない) •0.09 => 10⁰ = 1 •0.18 => 10¹ = 10 •0.27 => 10² = 100 •など
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	LiveGrid®に基づいて実行ファイルがどれだけ安全かを示す数字。数値が高いほど、LiveGrid®による実行ファイルの信頼性が高いことになります。 •= 0.00 - マルウェアまたはブラックリスト •<= 0.38 - 不要または安全でない可能性がある •>= 0.88 - 一般的なクリーンファイル
eset.executable.name	keyword	usoclient.exe	ESET	N/A	実行ファイルの名前(拡張子を含むがディレクトリパスは含まない)。
eset.executable.marked_safe	boolean	false	ESET	N/A	trueの場合、実行ファイルは安全とマークされます。
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	ESETによって識別される実行ファイルを作成するために使用されたパッカーの名前。
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	実行ファイルメタデータの内部名フィールド。
eset.executable.pe_is_native	boolean	false	ESET	N/A	trueの場合、実行ファイルはWindowsドライバーです。
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	実行ファイルメタデータの製品バージョンフィールド。
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	ESETによって識別される実行ファイルを作成するために使用されたSFXツールの名前。
eset.executable.size	long	3,417,240	ESET	N/A	実行ファイルのファイルサイズ。
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	ホワイトリストの種類を含みます。これらのホワイトリストはESETによって管理されており、ユーザーが設定することはできません。
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	ESETセキュリティ製品による自動修復の結果を表します。 •mitigated - 脅威の影響を緩和するために直ちに部分的な自動アクションが行われましたが、脅威は完全には除去されていません。完全な解決には通常、システムの再起動が必要です。 •remediated - 脅威はソースシステムまたは自動化、または自動化プロセスによって完全かつ永久に解決されており、検出時点で完全に根絶され、安全な状態に回復されたことを示しています。 •unhandled - 基盤となるアーティファクトや観察可能なものに対処しておらず、その影響の封じ込め、根絶、緩和のための即時または自動的な措置がとられていません。脅威はまだアクティブで妨げられていないため、これは人間の迅速な分析を必要とする優先度の高いインジケーターのままです。
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	デバイスが属するESET PROTECT管理者グループを一覧表示します。グループは、一番上のグループからホストの直接の親グループへ順に並べられます。
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	ホストの一意の識別子。host.idと同じです。
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	祖先プロセスの一意の識別子。
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	祖先プロセスの整合性レベル。
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	祖先プロセスのプロセス名。
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	祖先プロセスのプロセスPID。
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	祖先プロセスから生成されたプロセスの数。
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	祖先プロセスの終了ステータス。
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	子プロセスの一意の識別子。
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	子プロセスの整合性レベル。
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	子プロセスのプロセス名。
eset.process.children.pid	long array	708, 7,964	ESET	N/A	子プロセスのプロセス識別子。
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	子プロセスから生成されたプロセスの数。
eset.process.children.terminated	boolean array	true, false	ESET	N/A	子プロセスの終了ステータス。
eset.process.dns_query_count	long	0	ESET	N/A	プロセスによって行われたDNSクエリの数。
eset.process.dropped_executable_count	long	1	ESET	N/A	プロセスごとにドロップされた実行ファイルの数。
eset.process.http_request_count	long	9	ESET	N/A	プロセスによって行われたHTTPリクエストの数。
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	プロセスの一意の識別子。
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	プロセスの整合性レベル
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	プロセスの起動に使用されたWindowsショートカット(.lnk)ファイルへの完全ファイルシステムパスを指定します。
eset.process.modified_registry_count	long	42	ESET	N/A	プロセスによって変更されたWindowsレジストリキーの数。
eset.process.network_connection_count	long	6	ESET	N/A	プロセスによって確立されたネットワーク接続の数。
eset.process.spawned_child_process_count	long	2	ESET	N/A	プロセスから生成されたプロセスの数。
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	trueの場合、パフォーマンス除外が設定されているため、プロセスはESET Endpoint Security脅威の検出から除外されます。
eset.process.username	keyword	contoso\administrator	ESET	N/A	連結されたuser.domainとuser.nameをdomain\username形式で保存します。これはプロセスが実行されるアカウントを表します。
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	event.severityフィールドのテキスト表現。event.risk_scoreフィールドに基づきます。 •1–39 => 情報(1) •40–69 => 警告(2) •70-100 => 脅威(3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	eset.triggering_event.typeで定義されたイベントに関連するコンテキスト固有の値です。このフィールドには、イベントに関連する主要なオブジェクトやパラメーター(たとえばファイルパス、プロセスパス、レジストリキー、ネットワークアドレス、またはイベントが発生した他のリソースなど)が含まれます。
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	トリガーイベントの一意のID。
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	恣意的な非スキーマ的イベント型依存の構造化データ。
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	観察された動作に基づくトリガーイベントの種類。
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	修復アクションが実行されたタイミングを示すタイムスタンプ。
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	修復アクションの一意のID。
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	EDRによって実行された修復アクションの名前(ESET Inspect)。詳細については、ルールガイドアクションセクションをご覧ください。
eset.remediationactions.outcome	keyword array	true	ESET	N/A	修復アクションの結果を示します。
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	イベントを検出または報告したESET検出エンジンまたはモジュールのバージョン。

˄˅