Open XDRデータ形式
Open XDRデータ形式は、ESET Open XDRで使用される正規化された形式であるElastic Common Schema (ECS)に基づいています。ECSはクエリの記述を簡素化し、異なるデータソース間でのデータの関連付けを可能にします。テレメトリイベント、インジケーター、インシデントは、Open XDRプラットフォームの一部である製品や統合に対して、このスキーマに正規化されます。
Open XDRデータは、ESET Managementエージェントバージョン13.0+およびESET Inspectコネクタ3.0+を実行しているコンピューターから入手できます。 詳細は、ESET InspectおよびESET PROTECT (Open XDR)の統合を参照してください。 |
フィールドセット
ECSは、フィールドセットとして知られる複数の関連フィールドグループを定義しています。
エージェントフィールドは、テレメトリイベントやインジケーターを収集、検出、または観察するソフトウェアコンポーネントを指します。
|
ベースフィールドセットには、イベントの土台にあるすべてのフィールドが含まれます。これらのフィールドはあらゆる種類のイベントで共通しています。
|
クラウド環境で実行されるリソースのメタデータをキャプチャするために設計されています。
|
ディスク上のファイル、プロセスを起動した実行ファイル、または動的に読み込まれたライブラリのデジタル署名を表すフィールドです。これらは、ファイルに署名されているかどうか、誰が署名したか、署名が有効かつ信頼できるかどうかを示します。コード署名フィールドは以下にネスト化されることが想定されます。 •process.* •file.* •dll.*
|
ネットワーク接続やデータ転送の宛先を説明するフィールドです。これには通常、IPアドレス、ポート、ドメインなどのデータを受信するエンドポイントの詳細が含まれます。
|
イベントに関わるハードウェアデバイスを示すフィールドです。これには通常、デバイス識別子、モデル、メーカー、シリアル番号、データを生成または受信する物理機器の識別に役立つその他の情報など、属性が含まれます。
|
イベントに関与する動的に読み込まれたライブラリを示すフィールド。名前はWindows中心ですが、このフィールドセットは複数のプラットフォームをカバーしています。 •Windowsで一般的に使われる動的リンクライブラリ(.dll) •Unix系オペレーティングシステムで一般的に使われる共有オブジェクト(.so) •macOSで一般的に使われる動的ライブラリ(.dylib) 以下のフィールドセットはDLLフィールドセットの下にネスト化されることがあります。 •dll.code_signature.* •dll.hash.* •dll.pe.*
|
ECS固有のメタ情報。
|
システムやアプリケーションによってキャプチャされたイベントや活動の詳細を示すフィールドです。これらのフィールドは、イベントのカテゴリ、タイプ、アクション、結果、タイムスタンプなどのコンテキストを提供します。
|
イベントに関わるファイルの詳細を表します。以下のフィールドセットはファイルフィールドセットの下にネスト化されることがあります。 •file.code_signature.* •file.hash.* •file.pe.*
|
ファイルを一意に識別する暗号ハッシュ値を含みます。ハッシュフィールドは以下でネスト化されることが想定されます。 •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
イベントが発生した、またはイベントが観察されたホスト(コンピューター、サーバー、またはデバイス)の詳細を表します。以下のフィールドセットはホストフィールドセットの下にネスト化されることがあります。 •host.os.*
|
イベントに関連するネットワークアクティビティの詳細を表します。これらのフィールドは、ネットワークトラフィックのプロトコル、方向、識別子を表します。
|
ホストやデバイス上で実行されるオペレーティングシステムの詳細を表します。オペレーティングシステムフィールドは以下にネストされることが想定されます。 •host.os.*
|
実行ファイル、DLL、ドライバーなど、Windows Portable Executable (PE)から抽出されたメタデータを表します。PEフィールドは以下でネスト化されることが想定されます。 •dll.pe.* •file.pe.* •process.pe.*
|
イベントに関連するホスト上で実行されるプロセスの詳細を表します。プロセスフィールドは以下でネスト化されることが想定されます。 •process.parent.* 以下のフィールドセットはプロセスフィールドセットの下にネスト化されることがあります。 •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
イベントに関連する識別子のリストを含みます。これらの値は、異なるフィールド(例: process.hashやprocess.parent.hash )に同じ値を持つ異なるイベント間でのピボットを助けます。
|
インジケーターの詳細を表します。これらのフィールドは、インジケーターをトリガーした検出ロジックに基づいてインジケーターを識別し、分類し、関連付けるのに役立ちます。
|
ネットワーク接続やデータ転送の送信元を示すフィールドです。これには通常、IPアドレス、ポート、ドメインなどのデータを送るエンドポイントの詳細が含まれます。
|
イベントに関わるURLの詳細を表します。これらのフィールドはURLの構造と構成要素を表します。
|
イベントに関連するユーザーの詳細を表します。ユーザーフィールドは以下でネスト化されることが想定されます。 •process.user.*
|
拡張子
カスタムECS拡張は、標準的なElastic Common Schemaでカバーされないデータを取得するために統合によって導入される追加フィールドセットです。これらのフィールドは、より豊かなコンテキストやベンダー固有の属性を可能にしながら、ECSとの互換性を維持します。拡張はECSの命名規則に従う必要があり、標準的なECSフィールドとの競合を避けるために明確な名前空間の下にグループ化されます。
ESET拡張
ESET拡張は、ウイルス対策検出や動作インジケーターをESET名前空間のカスタムECSフィールドにマッピングすることで、ESET製品のデータを標準化します。
ESET拡張フィールドは以下でネスト化されることが想定されます。
•eset.*
ESET基本フィールドセットには、eset.* namespaceのルートにあるすべてのフィールドが含まれます。
|
祖先プロセスに関する詳細を表します。祖先フィールドは以下でネスト化されることが想定されます。 •eset.process.ancestors.* 次のECSフィールドは、 eset.executableの下でネスト化されることが想定されます。 •hash.*
|
祖先プロセスに関する詳細を表します。子フィールドは以下でネスト化されることが想定されます。 •eset.process.children.* 次のECSフィールドは、eset.executableの下でネスト化されることが想定されます。 •hash.*
|
イベントにリンクされた実行ファイルに関する情報が表示されます。このフィールドがeset.process.*の下に表示される場合は、イベントに関連してホストで実行されているプロセスの実行ファイルを具体的に示しています。 ESET実行ファイルフィールドは以下でネスト化されることが想定されます。 •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* 次のECSフィールドは、eset.executableの下でネスト化されることが想定されます。 •code_signature.* •hash.* 次のESET拡張フィールドは、eset.executableの下でネスト化されることが想定されます。 •livegrid_findings.*
|
実行ファイルにリンクされたLiveGrid®データに関する情報を提供します。 ESET LiveGrid検出結果フィールドは以下でネスト化されることが想定されます。 •eset.executable.*
|
インジケーターの作成時にプロセスにロードされたライブラリに関する情報を提供します。 ESET LiveGrid検出結果フィールドは以下でネスト化されることが想定されます。 •eset.process.loaded_libraries.* 次のフィールドセットは、eset.loaded_librariesフィールドセットの下でネスト化されることが想定されます。 •eset.executable.*
|
イベントに関連するホスト上で実行されるプロセスの詳細を表します。 次のフィールドセットはeset.processフィールドセットの下でネスト化されることがあります。 •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
潜在的なセキュリティの脅威を軽減または無効化することを目的として、トリガーされたEDRルールに対応して実行されるタスクを表します。 ESET修復アクションフィールドは以下でネスト化されることが想定されます。 •eset.*
|
ルールをトリガーしたイベントに関する情報を表します。 ESETトリガーイベントフィールドは以下でネスト化されることが想定されます。 •eset.triggering_event.*
|
ESETメタデータ拡張は、セキュリティイベントのESET固有のメタデータを標準化します。顧客、サービス、および展開の詳細をとらえて、ESETセキュリティオペレーションセンター(SoC)内でのインシデントの優先順位付けとルーティングを支援します。 ESETメタデータフィールドは以下でネスト化されることが想定されます。 •eset_metadata.*
|