도움말 콘텐츠 검색

Open XDR Data 형식

이동 경로

ESET 온라인 도움말 > ESET PROTECT > ESET PROTECT 사용 > ESET PROTECT 기본 메뉴 > 고급 검색 > Open XDR Data 형식

Open XDR Data 형식은 ESET Open XDR에 사용되는 정규화된 형식인 Elastic Common Schema(ECS)를 기반으로 합니다. ECS는 쿼리 작성을 단순화하고 서로 다른 데이터 소스 간의 상관관계 분석을 가능하게 합니다. 원격측정 이벤트, 지표 및 인시던트는 Open XDR 플랫폼의 일부인 제품과 통합 전반에서 이 스키마로 정규화됩니다.

Open XDR Data는 ESET Management Agent 버전 13.0+ 및 ESET Inspect Connector 3.0+을 실행하는 컴퓨터에서 사용할 수 있습니다.

ESET Inspect 및 ESET PROTECT 통합(Open XDR)에 대해 자세히 알아보십시오.

필드 집합

ECS는 필드 집합이라 불리는 여러 관련 필드 그룹을 정의합니다.

에이전트 필드 세트

에이전트 필드는 원격측정 이벤트나 지표를 수집, 탐지 또는 관찰하는 소프트웨어 구성 요소를 설명합니다.

필드 이름

필드 매핑

예

이 필드를 제공하는 통합

허용되는 값

참고

agent.build.original

keyword

13.01115.0

ESET

N/A

확장된 빌드 정보입니다.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

이벤트를 수집하거나 관찰한 에이전트 또는 통합의 유형입니다.

•endpoint-security - 엔드포인트 보호 데이터(ESET PROTECT)의 경우

•endpoint-detection-response - EDR 데이터(ESET Inspect)의 경우

agent.version

keyword

2.8.5555.0

ESET

N/A

에이전트의 버전입니다.

기본 필드 세트

기본 필드 집합에는 이벤트의 루트에 위치한 모든 필드가 포함되어 있습니다. 이 필드는 모든 유형의 이벤트에서 공통적으로 사용됩니다.

필드 이름

필드 매핑

예

이 필드를 제공하는 통합

허용되는 값

참고

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

이벤트가 시작된 날짜/시간입니다. 보통 이벤트 소스에서 가져옵니다. 사용 불가능한 경우, 파이프라인이 처음 이벤트를 받은 시점으로 설정됩니다.

모든 타임스탬프 필드는 UTC로 저장됩니다. 표시될 때는 콘솔 사용자 설정에 지정된 표준 시간대로 변환됩니다.

클라우드 필드 집합

클라우드 환경에서 실행 중인 리소스에 대한 메타데이터를 캡처하도록 설계되었습니다.

필드 이름

필드 매핑

예

이 필드를 제공하는 통합

허용되는 값

참고

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

리소스가 실행 중인 클라우드 서비스 공급업체를 식별합니다.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

클라우드 공급업체가 제공한 인스턴스(가상 컴퓨터 또는 컴퓨팅 리소스)의 고유 식별자입니다.

코드 서명 필드 집합

디스크 내 파일, 프로세스를 실행한 실행 파일 또는 동적으로 로드된 라이브러리의 디지털 서명을 설명하는 필드입니다. 파일이 서명되었는지, 누가 서명했는지, 서명이 유효하고 신뢰할 수 있는지를 나타냅니다. 코드 서명 필드는 다음 위치에 중첩됩니다.

•process.*

•file.*

•dll.*

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
code_signature.exists	boolean	true	ESET	N/A	디지털 서명이 있는지 여부를 나타냅니다. 데이터 출처가 ESET Inspect인 경우에만 채워집니다.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	파일에 서명한 엔터티와 연관된 식별자입니다. 데이터의 출처가 macOS 장치의 ESET Inspect인 경우에만 채워집니다.
code_signature.status	keyword	trusted	ESET	ESET의 경우 다음과 같은 값이 허용됩니다. •trusted •valid •adhoc •none •invalid •unknown •present	디지털 서명의 유효성 검사 상태로 서명이 신뢰할 수 있는지, 무효인지, 다른 상태가 있는지를 나타냅니다. 데이터 출처가 ESET Inspect인 경우에만 채워집니다. •trusted - ESET에서 신뢰하는 서명입니다. •valid - OS가 신뢰하는 서명입니다. •adhoc - 자체 서명되었습니다(macOS에만 해당). •none - 서명이 없습니다. •invalid - OS가 신뢰하지 않거나, 손상되었거나, 취소된 서명입니다. •unknown - 서명이 있는지 판단할 수 없습니다. •present - 서명은 존재하지만 신뢰 여부를 검증할 수 없습니다.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	파일에 서명한 엔터티(개인, 조직 또는 게시자)의 이름으로, 디지털 서명에 명시되어 있습니다. 데이터 출처가 ESET Inspect인 경우에만 채워집니다.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	파일에 서명한 개발 팀에 할당된 식별자입니다. 데이터의 출처가 macOS 장치의 ESET Inspect인 경우에만 채워집니다.

대상 필드 세트

네트워크 연결 또는 데이터 전송의 대상을 설명하는 필드입니다. 여기에는 일반적으로 데이터를 받는 엔드포인트에 대한 상세 정보(예: IP 주소, 포트, 도메인)가 포함됩니다.

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
destination.address	keyword	192.168.1.1	ESET	N/A	소스에서 제공된 대상의 원시 주소입니다. 이는 IP 주소, 도메인 이름 또는 다른 네트워크 식별자일 수 있습니다.
destination.ip	ip	192.168.1.1	ESET	N/A	네트워크 트래픽을 수신하는 대상 호스트 또는 엔드포인트의 IP 주소입니다.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	대상 네트워크 인터페이스의 MAC 주소입니다.
destination.port	long	22	ESET	N/A	대상의 네트워크 포트 번호입니다.

장치 필드 집합

이벤트와 관련된 하드웨어 장치를 설명하는 필드입니다. 여기에는 일반적으로 데이터를 생성하거나 수신하는 물리적 장치를 식별하는 데 도움이 되는 장치 식별자, 모델, 제조업체, 일련번호 등의 속성이 포함됩니다.

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	장치를 제조한 회사나 공급업체의 이름입니다.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	제조업체가 제공하는 장치 모델의 고유 식별자로, 서로 다른 하드웨어 모델을 구분하는 데 사용됩니다.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	제조업체가 장치에 할당한 고유 일련번호입니다.

DLL 필드 세트

이벤트와 관련된 동적으로 로드된 라이브러리를 설명하는 필드입니다. 이름은 Windows 중심이지만, 이 필드 집합은 다음과 같은 여러 플랫폼을 포괄합니다.

•Windows에서 일반적으로 사용되는 동적 링크 라이브러리(.dll)

•Unix 계열 운영 체제에서 일반적으로 사용되는 공유 개체(.so)

•macOS에서 일반적으로 사용되는 동적 라이브러리(.dylib)

다음 필드 집합은 DLL 필드 집합 아래에 중첩될 수 있습니다.

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
dll.name	keyword	scrobj.dll	ESET	N/A	동적으로 로드된 라이브러리 파일 이름으로, 경로를 포함하지 않습니다.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	동적으로 로드된 라이브러리의 전체 파일 시스템 경로입니다.

ECS 필드 세트

ECS 전용 메타 정보입니다.

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
ecs.version	keyword	8.16	all	N/A	이 이벤트가 준수하는 ECS 버전입니다.

이벤트 필드 세트

시스템이나 애플리케이션이 캡처한 이벤트나 활동의 상세 정보를 설명하는 필드입니다. 이러한 필드는 이벤트의 범주, 유형, 동작, 결과, 타임스탬프와 같은 맥락을 제공합니다.

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
event.action	keyword	file-cleaned	ESET	ESET의 경우 다음과 같은 값이 허용됩니다. •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	이벤트를 트리거한 특정 동작이나 작업입니다. 특정 이벤트에 해당하는 경우에만 필드가 제공됩니다.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	유사한 유형의 활동을 그룹화하는 데 사용되는 이벤트의 개괄적인 분류입니다. 이 필드는 이벤트를 넓은 기능 범주로 정리하여 필터링과 분석을 용이하게 합니다. 이 필드는 여러 값을 포함할 수 있습니다.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	에이전트가 처음으로 이벤트를 수신하거나 관찰한 시점의 타임스탬프를 나타냅니다. 값은 @timestamp와 약간 다릅니다.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	이벤트가 속한 데이터 집합의 이름입니다. 이 값은 일반적으로 동일한 소스나 통합의 관련 이벤트를 그룹화하는 데 사용됩니다.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	이벤트의 고유 ID입니다.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	이벤트가 ESET PROTECT 콘솔에 도달한 시점의 타임스탬프를 나타냅니다.
event.kind	keyword	alert	all	ESET의 경우 다음과 같은 값이 허용됩니다. •alert •event	이벤트가 전달하는 정보 유형의 개괄적인 분류입니다. ESET의 맥락에서 값 경고는 지표에 해당하고, 이벤트는 원격측정 이벤트를 의미합니다.
event.module	keyword	eset	all	ESET의 경우 다음과 같은 값이 허용됩니다. •eset	이벤트를 생성한 통합의 이름을 식별합니다. 이 필드는 출처별로 이벤트를 그룹화하는 데 사용됩니다.
event.outcome	keyword	success	모두	•failure •success •unknown	이벤트나 동작의 결과를 나타냅니다.
event.provider	keyword	Real-time file system protection	ESET	N/A	이벤트를 생성한 시스템 내 소스 또는 구성 요소를 식별합니다. 이는 데이터를 생성한 애플리케이션, 서비스 또는 하위 시스템의 이름일 때가 많습니다. ESET의 맥락에서 이 값은 때때로 검사기라고 불리며, 어떤 ESET 탐지 엔진이나 모듈이 이벤트를 감지하거나 보고했는지를 나타냅니다.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	이벤트가 왜 발생했는지에 대한 설명을 제공합니다. 이 필드에는 이벤트의 원인, 트리거 또는 정당화 사유를 명확히 설명하는 사람이 읽을 수 있는 텍스트가 포함되어 있습니다.
event.risk_score	float	40	ESET	N/A	이벤트 소스에서 제공된 이벤트의 추정 위험을 나타내는 수치 값입니다.
event.severity	long	2	ESET	N/A	이벤트 소스에서 제공된 이벤트의 심각도를 나타내는 수치 값입니다.
event.type	keyword 배열	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	해당 범주 내에서 이벤트가 나타내는 특정 유형이나 동작을 설명합니다. 이 필드는 event.category보다 더 세밀한 분류를 제공합니다.

파일 필드 집합

이벤트와 관련된 파일에 대한 상세 정보를 나타냅니다. 다음 필드 집합은 파일 필드 집합 아래에 중첩될 수 있습니다.

•file.code_signature.*

•file.hash.*

•file.pe.*

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
file.directory	keyword	C:\Windows\System32	ESET	N/A	파일이 위치한 디렉터리 경로(파일 이름 제외)입니다.
file.extension	keyword	dll	ESET	N/A	앞부분 점을 제외한 파일의 확장자입니다.
file.name	keyword	rasadhlp.dll	ESET	N/A	파일의 이름으로, 확장자는 포함되지만 디렉터리 경로는 제외됩니다.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	디렉터리와 파일 이름을 포함한 파일의 전체 경로입니다.
file.type	keyword	file	ESET	•file •directory •symlink	파일의 일반적인 유형입니다. 파일 시스템 내 개체의 성격을 나타냅니다.

해시 필드 집합

파일을 고유하게 식별하는 암호화 해시 값을 포함합니다. 해시 필드는 다음 위치에 중첩됩니다.

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	파일이나 데이터의 MD5 해시입니다.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	파일이나 데이터의 SHA1 해시입니다.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	파일이나 데이터의 SHA256 해시입니다.

호스트 필드 세트

이벤트가 발생하거나 관찰된 호스트(컴퓨터, 서버 또는 장치)에 대한 상세 정보를 나타냅니다. 다음 필드 집합은 호스트 필드 집합 아래에 중첩될 수 있습니다.

•host.os.*

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
host.architecture	keyword	x86-64	ESET	N/A	호스트의 CPU 아키텍처입니다.
host.domain	keyword	CONTOSO	ESET	N/A	호스트의 도메인 이름으로, 일반적으로 호스트가 속한 Active Directory 도메인을 나타냅니다.
host.hostname	keyword	SRV-02	ESET	N/A	운영 체제 호스트 이름 명령어가 보고한 호스트 이름입니다.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	호스트의 고유 식별자입니다.
host.ip	ip array	192.168.1.35	ESET	N/A	호스트에 할당된 IP 주소입니다.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	호스트 네트워크 인터페이스의 MAC 주소입니다.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	호스트의 이름입니다.
host.type	keyword	server	ESET	ESET의 경우 다음과 같은 값이 허용됩니다. •workstation •server •mobile	호스트의 유형입니다.

네트워크 필드 세트

이벤트와 관련된 네트워크 활동에 대한 상세 정보를 나타냅니다. 이러한 필드는 네트워크 트래픽의 프로토콜, 방향, 식별자를 설명합니다.

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	네트워크 흐름을 5튜플(소스 IP, 대상 IP, 소스 포트, 대상 포트, 전송 프로토콜)을 기준으로 고유하게 식별하는 해시 값입니다. 이는 서로 다른 시스템과 도구 간에 네트워크 세션을 일관되게 상호 연관하는 방법을 제공합니다. 자세한 내용은 github에서 확인하십시오.
network.direction	keyword	ingress	ESET	•ingress •egress	호스트에 상대적인 트래픽의 방향입니다.
network.protocol	keyword	ssh	ESET	N/A	사용된 네트워크 프로토콜의 이름입니다. OSI 모델에서 이는 애플리케이션 계층에 상응합니다.
network.transport	keyword	tcp	ESET	N/A	기본 전송 프로토콜입니다. OSI 모델에서 이는 전송 계층에 상응합니다.
network.type	keyword	ipv4	ESET	N/A	네트워크 트래픽의 유형입니다. OSI 모델에서 이는 네트워크 계층에 상응합니다.

운영 체제 필드 세트

호스트나 장치에서 실행 중인 운영 체제에 대한 상세 정보를 나타냅니다. 운영 체제 필드는 다음 위치에 중첩됩니다.

•host.os.*

필드 이름

필드 매핑

예

이 필드를 제공하는 통합

허용되는 값

참고

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

사람이 읽을 수 있는 운영 체제 이름입니다.

os.type

keyword

windows

ESET

ESET의 경우 다음과 같은 값이 허용됩니다.

•windows

•linux

•macos

•ios

•android

운영 체제의 일반적인 유형입니다.

os.version

keyword

10.0.19045.6456

ESET

N/A

운영 체제의 버전 문자열입니다.

PE 필드 세트

실행 파일, DLL, 드라이버와 같은 Windows Portable Executable(PE) 파일에서 추출한 메타데이터를 나타냅니다. PE 필드는 다음 위치에 중첩됩니다.

•dll.pe.*

•file.pe.*

•process.pe.*

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
pe.architecture	keyword	x64	ESET	N/A	Portable Executable(PE) 파일이 어떤 CPU 아키텍처를 대상으로 구축되었는지 명시합니다.
pe.company	keyword	Google LLC	ESET	N/A	실행 파일을 게시한 회사 이름입니다.
pe.description	keyword	Google Chrome	ESET	N/A	파일의 목적에 대한 설명입니다.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	실행 파일이 컴파일되고 서명되었을 때의 이름입니다.
pe.product	keyword	Google Chrome	ESET	N/A	파일이 속한 제품 이름입니다.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	메타데이터에 명시된 파일의 버전입니다.

프로세스 필드 세트

호스트에서 실행 중인 이벤트 관련 프로세스에 대한 상세 정보를 나타냅니다. 프로세스 필드는 다음 위치에 중첩됩니다.

•process.parent.*

다음 필드 집합은 프로세스 필드 집합 아래에 중첩될 수 있습니다.

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

필드 이름	필드 매핑	예	이 필드를 제공하는 통합	허용되는 값	참고
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	프로세스에 전달된 인수의 배열입니다.
process.args_count	long	5	ESET	N/A	프로세스에 전달된 인수의 수입니다.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	프로세스를 시작하는 데 사용된 전체 명령줄(인수 포함)입니다.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	프로세스가 종료된 시점의 타임스탬프입니다. 필드가 채워지지 않은 경우, 이벤트가 생성되었을 때도 프로세스가 실행 중이었다는 의미입니다.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	프로세스의 고유 식별자입니다. 구현은 데이터 소스에 따라 다릅니다.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	프로세스 실행 파일의 전체 경로입니다.
process.name	keyword	whoami.exe	ESET	N/A	프로세스 실행 파일의 이름입니다.
process.pid	long	9988	ESET	N/A	운영 체제에서 할당한 프로세스 ID입니다.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	프로세스가 시작된 시점의 타임스탬프입니다.

확장명

사용자 지정 ECS 확장은 표준 Elastic Common Schema에서 다루지 않는 데이터를 캡처하기 위해 통합에서 도입된 추가 필드 집합입니다. 이러한 필드는 ECS와의 호환성을 유지하면서 더 풍부한 맥락과 공급업체별 속성을 제공합니다. 확장은 ECS 명명 규칙을 따라야 하며, 표준 ECS 필드와의 충돌을 피하기 위해 명확한 네임스페이스 아래에 그룹화됩니다.

ESET 확장

ESET 확장은 안티바이러스 탐지와 동작 지표를 eset.* namespace 아래의 사용자 지정 ECS 필드에 매핑하여 ESET 제품의 데이터를 표준화합니다.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	참고
eset.aggregated_count	long	2	ESET	N/A	짧은 시간 내에 동일한 지표가 트리거되면 하나의 문서만 생성됩니다. 이 필드는 특정 문서를 생성한 지표 수를 포함합니다.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	관련 ESET 지표 간에 공유되는 식별자입니다.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	ESET PROTECT 인스턴스의 GUID입니다.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	디지털 서명에 관한 정보입니다. ECS 코드 서명 필드를 참조하십시오.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	실행 파일의 형식입니다.
eset.executable.hash.*	N/A	N/A	ESET	N/A	실행 파일의 해시입니다. ECS 해시 필드 집합을 참조하십시오.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	실행 파일의 고유 식별자입니다.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	True인 경우 실행 파일은 동적으로 연결된 라이브러리를 나타냅니다.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	연관된 파일 또는 실행 파일이 악성 의심 사례로 분류된 안티바이러스 탐지를 트리거한 시점의 타임스탬프입니다(예: 알려진 악성코드와 유사하지만 악성코드로 확실히 보고하기에는 충분하지 않은 경우).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	실행 파일이 LiveGrid®에서 처음 확인된 이후 경과된 일수입니다. 이 수치는 일반적으로 사용되는 시간 구간(예: 하루, 며칠, 일주일, 한 달, 반년, 1년)에 맞춰 반올림됩니다.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	실행 파일을 LiveGrid®에 보고한 컴퓨터의 개수입니다. 간격은 다음과 같이 10의 거듭제곱에 매핑됩니다. •0.00 => 0(아직 LiveGrid®에 보고되지 않음) •0.09 => 10⁰ = 1 •0.18 => 10¹ = 10 •0.27 => 10² = 100 •기타
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	LiveGrid®에 따라 실행 파일이 얼마나 안전한지를 나타내는 숫자입니다. 숫자가 클수록 실행 파일이 LiveGrid®에 의해 더 신뢰받는다는 뜻입니다. •= 0.00 - 악성코드 또는 차단 목록에 포함된 항목 •<= 0.38 - 잠재적으로 원치 않거나 안전하지 않음 •>= 0.88 - 일반적인 정상 파일
eset.executable.name	keyword	usoclient.exe	ESET	N/A	실행 파일의 이름으로, 확장자는 포함되지만 디렉터리 경로는 제외됩니다.
eset.executable.marked_safe	boolean	false	ESET	N/A	True인 경우 실행 파일은 안전한 것으로 표시됩니다.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	ESET이 식별한 실행 파일을 생성하는 데 사용된 패커의 이름입니다.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	실행 파일 메타데이터의 내부 이름 필드입니다.
eset.executable.pe_is_native	boolean	false	ESET	N/A	True인 경우 실행 파일은 Windows 드라이버입니다.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	실행 파일 메타데이터의 제품 버전 필드입니다.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	ESET이 식별한 실행 파일을 생성하는 데 사용된 SFX 도구의 이름입니다.
eset.executable.size	long	3,417,240	ESET	N/A	실행 파일의 크기입니다.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	허용 목록의 유형을 포함합니다. 이 허용 목록은 ESET에서 관리하며 사용자가 구성할 수 없습니다.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	ESET 보안 제품이 실행하는 자동 수정의 결과를 나타냅니다. •mitigated - 위협의 영향을 줄이기 위해 일부 즉각적인 자동 조치가 취해졌으나, 아직 위협이 완전히 제거되지는 않았습니다. 완전한 해결에는 일반적으로 시스템 다시 시작이 필요합니다. •remediated - 위협이 소스 시스템, 자동화 또는 자동 프로세스에 의해 완전하고 영구적으로 해결되었습니다. 탐지 시점에 위협이 완전히 제거되어 안전한 상태로 복구되었음을 나타냅니다. •unhandled - 기반 아티팩트 또는 관측 가능한 대상이 해결되지 않았으며, 위협의 영향을 차단, 제거, 완화하기 위해 즉각적이거나 자동화된 조치가 취해지지 않았습니다. 위협이 여전히 활성 상태이며 아무런 제약도 받지 않고 있으므로 이는 신속한 인적 분석이 필요한 고우선순위 지표로 남아 있습니다.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	장치가 속한 ESET PROTECT 관리자 그룹을 나열합니다. 그룹의 순서는 최상위 그룹부터 호스트의 직계 상위 그룹 순으로 정해집니다.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	호스트의 고유 식별자입니다. host.id와 같습니다.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	상위 프로세스의 고유 식별자입니다.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	상위 프로세스의 무결성 수준입니다.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	상위 프로세스의 프로세스 이름입니다.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	상위 프로세스의 프로세스 PID입니다.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	상위 프로세스에서 생성된 프로세스의 수입니다.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	상위 프로세스의 종료 상태입니다.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	하위 프로세스의 고유 식별자입니다.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	하위 프로세스의 무결성 수준입니다.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	하위 프로세스의 프로세스 이름입니다.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	하위 프로세스의 프로세스 식별자입니다.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	하위 프로세스에서 생성된 프로세스의 수입니다.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	하위 프로세스의 종료 상태입니다.
eset.process.dns_query_count	long	0	ESET	N/A	프로세스가 수행한 DNS 쿼리의 수입니다.
eset.process.dropped_executable_count	long	1	ESET	N/A	프로세스별로 드롭된 실행 파일 수입니다.
eset.process.http_request_count	long	9	ESET	N/A	프로세스가 수행한 HTTP 요청의 수입니다.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	프로세스의 고유 식별자입니다.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	프로세스의 무결성 수준입니다.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	프로세스를 실행하는 데 사용된 Windows 바로 가기(.lnk) 파일의 전체 파일 시스템 경로를 지정합니다.
eset.process.modified_registry_count	long	42	ESET	N/A	프로세스에 의해 수정된 Windows 레지스트리 키의 수입니다.
eset.process.network_connection_count	long	6	ESET	N/A	프로세스에 의해 구축된 네트워크 연결의 수입니다.
eset.process.spawned_child_process_count	long	2	ESET	N/A	프로세스에서 생성된 프로세스의 수입니다.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	true인 경우, 구성된 성능 제외로 인해 프로세스가 ESET Endpoint Security 위협 탐지에서 제외됩니다.
eset.process.username	keyword	contoso\administrator	ESET	N/A	domain\username 형식으로 연결된 user.domain 및 user.name을 저장하여 프로세스가 실행된 계정을 나타냅니다.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	event.severity 필드의 텍스트 표현입니다. event.risk_score 필드를 기반으로 합니다. •1~39 => 정보 제공(1) •40~69 => 경고(2) •70~100 => 위협(3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	eset.triggering_event.type에서 정의된 이벤트와 연관된 맥락별 값입니다. 이 필드에는 이벤트와 관련된 주요 개체나 파라미터가 포함되어 있습니다. 예를 들어 파일 경로, 프로세스 경로, 레지스트리 키, 네트워크 주소 또는 이벤트가 발생한 기타 리소스가 있습니다.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	트리거 이벤트의 고유 ID입니다.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	특정 스키마에 속하지 않으며 이벤트 유형에 따라 달라지는 임의의 구조화된 데이터입니다.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	관찰된 행동에 따른 트리거 이벤트의 유형입니다.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	수정 동작이 실행된 시점의 타임스탬프입니다.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	수정 동작의 고유 ID입니다.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	EDR(ESET Inspect)이 수행한 수정 동작의 이름입니다. 자세한 내용은 규칙 가이드 동작 섹션을 참조하십시오.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	수정 동작의 결과를 나타냅니다.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	이벤트를 탐지하거나 보고한 ESET 탐지 엔진 또는 모듈의 버전입니다.

˄˅