Przeszukaj treść pomocy

Format danych Open XDR

Nawigacja okruszkowa

Pomoc online ESET > ESET PROTECT > Korzystanie z usługi ESET PROTECT > ESET PROTECT Menu główne > Wyszukiwanie zaawansowane > Format danych Open XDR

Skopiuj adres URL bieżącego artykułu Udostępnij przez e-mail

Ten artykuł (PDF) Cała dokumentacja (PDF)

Format danych Open XDR opiera się na schemacie Elastic Common Schema (ECS),, czyli znormalizowanym formacie używanym w ESET Open XDR. ECS upraszcza pisanie zapytań i umożliwia korelację danych między różnymi źródłami danych. Zdarzenia telemetryczne, wskaźniki i incydenty są znormalizowane w tym schemacie w produktach i integracjach, które są częścią platformy Open XDR.

Dane Open XDR są dostępne z poziomu komputerów z agentem w wersji ESET Management 13.0+ i złączem ESET Inspect 3.0+.

Dowiedz się więcej o unifikowaniu ESET Inspect i ESET PROTECT (Open XDR).

Zbiory pól

ECS definiuje wiele grup powiązanych pól, zwanych zbiorami pól.

Zbiór pól agenta

Pola agenta opisują komponent oprogramowania, który zbiera, wykrywa lub obserwuje zdarzenia lub wskaźniki telemetryczne.

Nazwa pola

Mapowanie pola

Przykład

Integracje zapewniające to pole

Dozwolone wartości

Uwaga

agent.build.original

keyword

13.01115.0

ESET

N/A

Rozszerzone informacje o kompilacji.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Rodzaj agenta lub integracji, które zebrały lub obserwowały zdarzenie.

•endpoint-security — w przypadku danych ochrony punktów końcowych (ESET PROTECT)

•endpoint-detection-response — w przypadku danych EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Wersja agenta.

Podstawowe zbiory pól

Podstawowy zbiór pól zawiera wszystkie pola występujące u podstawy zdarzeń. Te pola są wspólne dla wszystkich typów zdarzeń.

Nazwa pola

Mapowanie pola

Przykład

Integracje zapewniające to pole

Dozwolone wartości

Uwaga

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Data/godzina powstania zdarzenia. Zazwyczaj pobierane ze źródła zdarzenia. Jeśli nie są dostępne, ustawia się je na moment, gdy potok po raz pierwszy otrzymał zdarzenie.

Wszystkie pola znaczników czasu są przechowywane w czasie UTC. Po wyświetleniu są przeliczane na strefę czasową ustawioną w ustawieniach konsoli.

Zbiór pól chmurowych

Zaprojektowany do przechwytywania metadanych dotyczących zasobów działających w środowisku chmurowym.

Nazwa pola

Mapowanie pola

Przykład

Integracje zapewniające to pole

Dozwolone wartości

Uwaga

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identyfikuje dostawcę usługi chmurowej, w której działa zasób.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Unikalny identyfikator instancji (maszyny wirtualnej lub zasobu obliczeniowego) udostępniony przez dostawcę chmury.

Zbiór pól sygnatury kodowej

Pola opisujące cyfrową sygnaturę pliku na dysku, pliku wykonywalnego uruchamiającego proces lub dynamicznie ładowanej biblioteki. Wskazują, czy plik został podpisany, kto go podpisał oraz czy sygnatura jest ważna i zaufana. Pola sygnatury kodowej powinny być zagnieżdżone w:

•process.*

•file.*

•dll.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
code_signature.exists	boolean	true	ESET	N/A	Wskazuje, czy obecna jest sygnatura cyfrowa. Wypełniane tylko wtedy, gdy dane pochodzą z ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identyfikator powiązany z podmiotem, który podpisał plik. Wypełniane tylko wtedy, gdy dane pochodzą z ESET Inspect na urządzeniach macOS.
code_signature.status	keyword	trusted	ESET	W przypadku ESET dozwolone są następujące wartości: •trusted •valid •adhoc •none •invalid •unknown •present	Status weryfikacji sygnatury cyfrowej wskazujący, czy jest ona zaufana, nieważna lub czy ma inny stan. Wypełniane tylko wtedy, gdy dane pochodzą z ESET Inspect. •trusted — sygnatura zaufana przez ESET. •valid — sygnatura zaufana przez system operacyjny. •adhoc — podpisany samodzielnie (tylko macOS). •none — brak sygnatury. •invalid — sygnatura niezaufana przez system operacyjny, uszkodzona lub cofnięta. •unknown — nie można ustalić, czy sygnatura jest obecna. •present — sygnatura jest obecna, ale zaufanie nie zostało zweryfikowane.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Nazwa podmiotu (osoby fizycznej, organizacji lub wydawcy), który podpisał plik, zgodnie z sygnaturą cyfrową. Wypełniane tylko wtedy, gdy dane pochodzą z ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identyfikator przypisany zespołowi programistycznemu, który podpisał plik. Wypełniane tylko wtedy, gdy dane pochodzą z ESET Inspect na urządzeniach macOS.

Zbiór pól docelowych

Pola opisujące cel połączenia sieciowego lub transferu danych. Zazwyczaj zawiera szczegóły dotyczące punktu końcowego otrzymującego dane, takie jak adres IP, port, domena.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
destination.address	keyword	192.168.1.1	ESET	N/A	Surowy adres miejsca docelowego, podany przez źródło. Może to być adres IP, nazwa domeny lub inny identyfikator sieciowy.
destination.ip	ip	192.168.1.1	ESET	N/A	Adres IP hosta docelowego lub punktu końcowego odbierającego ruch sieciowy.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Adres MAC docelowego interfejsu sieciowego.
destination.port	long	22	ESET	N/A	Numer portu sieciowego miejsca docelowego.

Zbiór pól urządzenia

Pola opisujące urządzenie biorące udział w zdarzeniu. Zazwyczaj obejmuje atrybuty, takie jak identyfikatory urządzenia, model, producent, numer seryjny oraz inne cechy pomagające zidentyfikować fizyczne urządzenie generujące lub odbierające dane.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Nazwa firmy lub dostawcy, który wyprodukował urządzenie.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Unikatowy identyfikator modelu urządzenia, udostępniany przez producenta w celu rozróżnienia różnych modeli sprzętowych.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Unikatowy numer seryjny przypisany urządzeniu przez producenta.

Zbiór pól DLL

Pola opisujące dynamicznie załadowaną bibliotekę biorącą udział w zdarzeniu. Chociaż nazwa jest oparta na systemie Windows, ten zbiór pól obejmuje wiele platform:

•Biblioteka dynamicznych łączy (.dll) powszechnie używana w systemie Windows

•Obiekt współdzielony (.so) powszechnie używany w systemach operacyjnych podobnych do Unix

•Dynamiczna biblioteka (.dylib) powszechnie używana w macOS

Następujące zbiory pól można zagnieździć w ramach zbioru pól DLL:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
dll.name	keyword	scrobj.dll	ESET	N/A	Nazwa pliku dynamicznie ładowanej biblioteki, bez ścieżki.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Pełna ścieżka systemu plików do dynamicznie ładowanej biblioteki.

Zbiór pól ECS

Metainformacje specyficzne dla ECS.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
ecs.version	keyword	8.16	all	N/A	Wersja ECS, z którą zgodne jest zdarzenie.

Zbiór pól zdarzenia

Pola opisujące szczegóły zdarzenia lub aktywności zarejestrowanej przez system lub aplikację. Pola te dostarczają kontekstu, takiego jak kategoria, typ, akcja, wynik oraz znaczniki czasu zdarzenia.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
event.action	keyword	file-cleaned	ESET	W przypadku ESET dozwolone są następujące wartości: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	Konkretna akcja lub operacja, która wywołała zdarzenie. Pole jest dostępne tylko wtedy, gdy dotyczy konkretnego zdarzenia.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Klasyfikacja zdarzenia wysokiego poziomu, używana do grupowania podobnych typów aktywności. Pole to pomaga porządkować zdarzenia w szerokie kategorie funkcjonalne, co ułatwia filtrowanie i analizę. Pole to może zawierać wiele wartości.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Oznacza znacznik czasu, kiedy agent po raz pierwszy otrzymał lub zaobserwował zdarzenie. Wartość powinna nieco różnić się od @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Nazwa zbioru danych, do którego należy zdarzenie. Wartość ta jest zazwyczaj używana do grupowania powiązanych zdarzeń z tego samego źródła lub integracji.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Unikatowy identyfikator zdarzenia.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Oznacza znacznik czasu momentu dotarcia zdarzenia na konsolę ESET PROTECT.
event.kind	keyword	alert	all	W przypadku ESET dozwolone są następujące wartości: •alert •event	Kategoryzacja wysokiego poziomu dotycząca typu informacji, jakie niesie zdarzenie. W kontekście ESET alert dotyczący wartości odpowiada wskaźnikowi, natomiast zdarzenie odnosi się do zdarzenia telemetrycznego.
event.module	keyword	eset	all	W przypadku ESET dozwolone są następujące wartości: •eset	Identyfikuje nazwę integracji, która wygenerowała zdarzenie. Pole to służy do grupowania zdarzeń według ich źródła.
event.outcome	keyword	success	Wszystko	•failure •success •unknown	Wskazuje wynik zdarzenia lub działania.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identyfikuje źródło lub komponent w systemie, które wygenerowały zdarzenie. Często jest to nazwa aplikacji, usługi lub podsystemu odpowiedzialnych za generowanie danych. W kontekście ESET wartość ta bywa czasem nazywana skanerem wskazującym, który silnik lub moduł skanujący ESET wykrył lub zgłosił zdarzenie.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Zapewnia opisowe wyjaśnienie, dlaczego doszło do zdarzenia. Pole to zawiera tekst nadający się do odczytu przez człowieka, wyjaśniający przyczynę, wyzwalacz lub uzasadnienie zdarzenia.
event.risk_score	float	40	ESET	N/A	Wartość liczbowa reprezentująca szacowane ryzyko zdarzenia podane przez źródło zdarzenia.
event.severity	long	2	ESET	N/A	Wartość liczbowa reprezentująca ważność zdarzenia podanego przez źródło zdarzenia.
event.type	keyword tablica	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Opisuje konkretny typ lub działanie reprezentowane przez zdarzenie w jego kategorii. Pole to zapewnia bardziej szczegółową klasyfikację niż event.category.

Zbiór pól pliku

Reprezentuje szczegóły dotyczące pliku biorącego udział w zdarzeniu. Następujące zbiory pól można zagnieździć w ramach zbioru pól pliku:

•file.code_signature.*

•file.hash.*

•file.pe.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
file.directory	keyword	C:\Windows\System32	ESET	N/A	Ścieżka katalogu, w którym znajduje się plik, z wyłączeniem nazwy pliku.
file.extension	keyword	dll	ESET	N/A	Rozszerzenie pliku, z wyłączeniem kropki początkowej.
file.name	keyword	rasadhlp.dll	ESET	N/A	Nazwa pliku, wraz z rozszerzeniem, ale bez ścieżki katalogu.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Pełna ścieżka do pliku, w tym katalogi i nazwa pliku.
file.type	keyword	file	ESET	•file •directory •symlink	Ogólny typ pliku. Wskazuje charakter obiektu w systemie plików.

Zbiór pól skrótów

Zawiera kryptograficzne wartości skrótów, które jednoznacznie identyfikują pliki. Oczekuje się, że pola skrótów będą zagnieżdżone w:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Skrót MD5 pliku lub danych.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Skrót SHA1 pliku lub danych.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Skrót SHA256 pliku lub danych.

Zbiór pól hosta

Reprezentuje szczegóły dotyczące hosta (komputera, serwera lub urządzenia), z którego zdarzenie się rozpoczęło lub zostało zaobserwowane. Następujące zbiory pól można zagnieździć w ramach zbioru pól hosta:

•host.os.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
host.architecture	keyword	x86-64	ESET	N/A	Architektura CPU hosta.
host.domain	keyword	CONTOSO	ESET	N/A	Domena hosta, zazwyczaj reprezentująca domenę Active Directory, do której należy host.
host.hostname	keyword	SRV-02	ESET	N/A	Nazwa hosta podana w ramach polecenia systemu operacyjnego.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Unikatowy identyfikator hosta.
host.ip	ip array	192.168.1.35	ESET	N/A	Adresy IP przypisane hostowi.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Adres(y) MAC interfejsów sieciowych hosta.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Nazwa hosta.
host.type	keyword	server	ESET	W przypadku ESET dozwolone są następujące wartości: •workstation •server •mobile	Typ hosta.

Zbiór pól sieciowych

Reprezentuje szczegóły dotyczące aktywności sieciowej związanej ze zdarzeniem. Pola te opisują protokół, kierunek i identyfikatory ruchu sieciowego.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Wartość skrótu, który jednoznacznie identyfikuje przepływ sieciowy na podstawie jego 5-krotności (IP źródła, IP docelowy, port źródłowy, port docelowy oraz protokół transportowy). Zapewnia spójny sposób korelacji sesji sieciowych między różnymi systemami i narzędziami. Więcej informacji znajdziesz w github.
network.direction	keyword	ingress	ESET	•ingress •egress	Kierunek ruchu względem hosta.
network.protocol	keyword	ssh	ESET	N/A	Nazwa używanego protokołu sieciowego. W modelu OSI jest to odpowiednik warstwy aplikacji.
network.transport	keyword	tcp	ESET	N/A	Podstawowy protokół transportowy. W modelu OSI jest to odpowiednik warstwy transportowej.
network.type	keyword	ipv4	ESET	N/A	Rodzaj ruchu sieciowego. W modelu OSI jest to odpowiednik warstwy sieciowej.

Zbiór pól systemu operacyjnego

Reprezentuje szczegóły dotyczące systemu operacyjnego działającego na hoście lub urządzeniu. Oczekuje się, że pola systemu operacyjnego będą zagnieżdżone w:

•host.os.*

Nazwa pola

Mapowanie pola

Przykład

Integracje zapewniające to pole

Dozwolone wartości

Uwaga

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Nadająca się do odczytu przez człowieka nazwa systemu operacyjnego.

os.type

keyword

windows

ESET

W przypadku ESET dozwolone są następujące wartości:

•windows

•linux

•macos

•ios

•android

Ogólny typ systemu operacyjnego.

os.version

keyword

10.0.19045.6456

ESET

N/A

Ciąg wersji systemu operacyjnego.

Zbiór pól PE

Reprezentuje metadane wyodrębnione z pliku Windows Portable Executable (PE), takie jak pliki wykonywalne, pliki DLL i sterowniki. Oczekuje się, że pola PE będą zagnieżdżone w:

•dll.pe.*

•file.pe.*

•process.pe.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
pe.architecture	keyword	x64	ESET	N/A	Określa architekturę procesora, dla której został stworzony plik Portable Executable (PE).
pe.company	keyword	Google LLC	ESET	N/A	Nazwa firmy, która opublikowała plik wykonywalny.
pe.description	keyword	Google Chrome	ESET	N/A	Opis celu pliku.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Nazwa pliku wykonywalnego, gdy został skompilowany i podpisany.
pe.product	keyword	Google Chrome	ESET	N/A	Nazwa produktu, do którego należy plik.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Wersja pliku zgodnie z jego metadanymi.

Zbiór pól procesowych

Reprezentuje szczegóły dotyczące procesu uruchamianego na hoście powiązanym ze zdarzeniem. Oczekuje się, że pola procesowe będą zagnieżdżone w:

•process.parent.*

Następujące zbiory pól można zagnieździć w ramach zbioru pól procesowych:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Tablica argumentów przekazanych procesowi.
process.args_count	long	5	ESET	N/A	Liczba argumentów przekazanych procesowi.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Pełny wiersz poleceń używany do uruchamiania procesu, włącznie z argumentami.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Znacznik czasu zakończenia procesu. Jeśli pole nie jest wypełnione, proces nadal działał w momencie wygenerowania zdarzenia.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Unikatowy identyfikator procesu. Implementacja zależy od źródła danych.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Pełna ścieżka do pliku wykonywalnego procesu.
process.name	keyword	whoami.exe	ESET	N/A	Nazwa pliku wykonywalnego procesu.
process.pid	long	9988	ESET	N/A	Identyfikator procesu przypisany przez system operacyjny.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Znacznik czasu rozpoczęcia procesu.

Zbiór pól powiązanych

Zawiera listy identyfikatorów powiązanych ze zdarzeniem. Wartości te pomagają w poruszaniu się między różnymi zdarzeniami, które mogą mieć tę samą wartość w różnych polach, np. process.hash i process.parent.hash.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Tablica skrótów związanych ze zdarzeniem.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Tablica hostów związanych ze zdarzeniem.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Tablica adresów IP związanych ze zdarzeniem.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Tablica identyfikatorów użytkowników związanych ze zdarzeniem.

Zbiór pól reguł

Reprezentuje szczegóły dotyczące wskaźnika. Pola te pomagają identyfikować, kategoryzować i korelować wskaźniki na podstawie logiki detekcji, która je wywołała.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
rule.author	keyword	ESET	ESET	N/A	Autor reguły wykrywania.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Nazwa reguły. Wartość ta powinna być wypełniana przez wszystkie wskaźniki.
rule.category	keyword	File System	ESET	N/A	Szeroka kategoria reguły.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Unikatowy identyfikator reguły, w zakresie całego systemu. Przypisywany przez autora reguły. W przypadku ESET Inspect jest to wartość używana w tagach <guid> w kodzie źródłowym reguły.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Unikatowy identyfikator wersji reguły w zakresie hosta. Często przypisywany przez silnik detekcji.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Zapewnia nadające się do odczytu przez człowieka wyjaśnienie tego, co reguła wykrywa lub jaki ma cel. Pole to pomaga analitykom zrozumieć logikę lub kontekst stojące za alertem bez konieczności przeglądania pełnej definicji reguły. W przypadku ESET Inspect jest to zawartość tagów <explanation> w kodzie źródłowym reguły.

Zbiór pól źródłowych

Pola opisujące źródło połączenia sieciowego lub transferu danych. Zazwyczaj obejmuje szczegóły dotyczące punktu końcowego wysyłającego dane, takie jak adres IP, port, domena.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
source.address	keyword	192.168.1.1	ESET	N/A	Surowy adres źródła, podany przez źródło. Może to być adres IP, nazwa domeny lub inny identyfikator sieciowy.
source.ip	ip	192.168.1.1	ESET	N/A	Adres IP hosta źródłowego lub punktu końcowego wysyłającego ruch sieciowy.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Adres MAC źródłowego interfejsu sieciowego.
source.port	long	80	ESET	N/A	Numer portu sieciowego źródła.

Zbiór pól URL

Reprezentuje szczegóły dotyczące adresu URL biorącego udział w zdarzeniu. Pola te opisują strukturę i komponenty adresu URL.

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Nazwa domeny wyodrębniona z adresu URL.
url.extension	keyword	xml	ESET	N/A	Rozszerzenie pliku ze ścieżki URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Pełny adres URL.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Pełny adres URL podany przez oryginalne źródło danych.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	Część URL dotycząca ścieżki.
url.scheme	keyword	http	ESET	N/A	Używany protokół lub schemat.

Zbiór pól użytkownika

Reprezentuje szczegóły dotyczące użytkownika powiązanego ze zdarzeniem. Oczekuje się, że pola użytkownika będą zagnieżdżone w:

•process.user.*

Nazwa pola	Mapowanie pola	Przykład	Integracje zapewniające to pole	Dozwolone wartości	Uwaga
user.name	keyword	john	ESET	N/A	Nazwa użytkownika lub konta.
user.domain	keyword	contoso	ESET	N/A	Domena lub sfera, do której należy użytkownik.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Unikatowy identyfikator użytkownika.

Rozszerzenia

Niestandardowe rozszerzenia ECS to dodatkowe zbiory pól wprowadzone przez integracje w celu przechwytywania danych, które nie są objęte standardowym schematem Elastic Common Schema. Pola te zapewniają bogatszy kontekst i atrybuty specyficzne dla dostawcy, jednocześnie zachowując kompatybilność z ECS. Rozszerzenia muszą być zgodne z konwencjami nazewnictwa ECS i być grupowane w ramach wyraźnej przestrzeni nazw, aby uniknąć konfliktów ze standardowymi polami ECS.

Rozszerzenie ESET

Rozszerzenie ESET standaryzuje dane z produktów ESET poprzez mapowanie wykryć przez program antywirusowy i wskaźników zachowań do niestandardowych pól ECS w ramach eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Uwaga
eset.aggregated_count	long	2	ESET	N/A	Jeśli ten sam wskaźnik został wywołany w krótkim czasie, powstaje tylko jeden dokument. Pole to zawiera liczbę wskaźników, które wyprodukowały konkretny dokument.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identyfikator współdzielony między powiązanymi wskaźnikami ESET.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID instancji ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informacje o sygnaturze cyfrowej. Patrz pola sygnatury kodowej ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Format pliku wykonywalnego.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Skróty pliku wykonywalnego. Patrz zbiór pól skrótów ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Unikatowy identyfikator pliku wykonywalnego.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	W przypadku wartości prawda plik wykonywalny reprezentuje dynamicznie powiązaną bibliotekę.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	Znacznik czasu, w którym powiązany plik lub plik wykonywalny wywołał wykrycie przez program antywirusowy, które zostało sklasyfikowane jako bliskie zagrożenie (na przykład podobne do znanego złośliwego oprogramowania, ale niewystarczające, by być pewnie zgłoszone jako złośliwe oprogramowanie).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Liczba dni od momentu pojawienia się pliku wykonywalnego po raz pierwszy w LiveGrid®. Liczba ta jest zaokrąglana do równowartości typowych przedziałów czasu: dzień, kilka dni, tydzień, miesiąc, pół roku, rok itd.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Ile komputerów zgłosiło plik wykonywalny do LiveGrid®. Przedział ten jest odwzorowany w potęgach dziesiątek: •0,00 => 0 (jeszcze nie zgłoszono do LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •I tak dalej
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Liczba wskazująca, na ile bezpieczny jest plik wykonywalny zgodnie z LiveGrid®. Im wyższa liczba, tym bardziej zaufany jest plik wykonywalny przez LiveGrid®. •= 0,00 — złośliwe oprogramowanie lub wpisanie na czarną listę •<= 0,38 — potencjalnie niepożądane lub niebezpieczne •>= 0,88 — przeważnie czyste pliki
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Nazwa pliku wykonywalnego, wraz z rozszerzeniem, ale bez ścieżki katalogowej.
eset.executable.marked_safe	boolean	false	ESET	N/A	W przypadku wartości prawda plik wykonywalny jest oznaczony jako bezpieczny.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Nazwa narzędzia pakującego, użytego do stworzenia pliku wykonywalnego, zidentyfikowana przez ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Wewnętrzne pole nazwy z metadanych pliku wykonywalnego.
eset.executable.pe_is_native	boolean	false	ESET	N/A	W przypadku wartości prawda plik wykonywalny jest sterownikiem systemu Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Pole wersji produktu z metadanych pliku wykonywalnego.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Nazwa narzędzia SFX użytego do stworzenia pliku wykonywalnego, zidentyfikowana przez ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Rozmiar pliku wykonywalnego.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Zawiera rodzaj białej listy. Te białe listy są zarządzane przez ESET, a użytkownik nie może ich konfigurować.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Reprezentuje wynik automatycznej naprawy realizowanej przez produkt zabezpieczający ESET. •mitigated — podjęto częściowe, natychmiastowe działania automatyczne, aby zmniejszyć skutki zagrożenia, ale nie zostały one całkowicie wyeliminowane. Pełne rozwiązanie zwykle wymaga restartu systemu. •remediated — zagrożenie zostało całkowicie i trwale rozwiązane przez system źródłowy, automatyzację lub zautomatyzowany proces, co wskazuje na całkowite usunięcie i przywrócenie do bezpiecznego stanu w momencie wykrycia. •unhandled — podstawowy artefakt lub obserwacja nie zostały rozwiązane, a żadne natychmiastowe ani automatyczne działania mające na celu powstrzymanie, wyeliminowanie lub ograniczenie jego wpływu nie zostały podjęte. Pozostają one wskaźnikiem o wysokim priorytecie wymagającym szybkiej analizy przez człowieka, ponieważ zagrożenie jest nadal aktywne i niepowstrzymane.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Lista grup administratorów ESET PROTECT***, do których należy urządzenie. Grupy są uporządkowane od najwyższej do bezpośredniej grupy nadrzędnej hosta.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Unikalny identyfikator hosta. Taki sam jak host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Unikatowe identyfikatory procesów przodków.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Poziom integralności procesów przodków.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Nazwy procesów przodków.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	PID procesów przodków.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Liczba procesów namnożonych z procesu przodka.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Status zakończenia procesu przodka.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Unikatowe identyfikatory procesów podrzędnych.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Poziom integralności procesów podrzędnych.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Nazwy procesów podrzędnych.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identyfikatory procesów podrzędnych.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Liczba procesów namnożonych z procesu podrzędnego.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Status zakończenia procesu podrzędnego.
eset.process.dns_query_count	long	0	ESET	N/A	Liczba zapytań DNS wykonywanych przez proces.
eset.process.dropped_executable_count	long	1	ESET	N/A	Liczba plików wykonywalnych zrzuconych przez proces.
eset.process.http_request_count	long	9	ESET	N/A	Liczba żądań HTTP zgłoszonych przez proces.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Unikatowy identyfikator procesu.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Poziom integralności procesu.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Określa pełną ścieżkę systemu plików do pliku skrótu Windows (.lnk), który został użyty do uruchomienia procesu.
eset.process.modified_registry_count	long	42	ESET	N/A	Liczba kluczy rejestru Windows zmodyfikowanych przez proces.
eset.process.network_connection_count	long	6	ESET	N/A	Liczba połączeń sieciowych ustanowionych przez proces.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Liczba procesów namnożonych z procesu.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Gdy true, proces jest wyłączony z wykrywania zagrożeń w ESET Endpoint Security z powodu skonfigurowanego wykluczenia wydajności ***.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Przechowuje powiązane user.domain i user.name w formacie domain\username, reprezentując konto, na którym proces jest wykonywany.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Tekstowa reprezentacja pola event.severity. Na podstawie pola event.risk_score. •1–39 => Informacyjne (1) •40–69 => Ostrzeżenie (2) •70–100 => Zagrożenie (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Wartość specyficzna dla kontekstu, związana ze zdarzeniem zdefiniowanym w eset.triggering_event.type. Pole to zawiera główny obiekt lub parametr istotny dla zdarzenia — na przykład ścieżkę pliku, ścieżkę procesu, klucz rejestru, adres sieciowy lub inny zasób, na którym zdarzenie miało miejsce.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Unikatowy identyfikator zdarzenia wyzwalającego.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Dowolne, nieschematyczne, zależne od typu zdarzenia dane strukturalne.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Rodzaj zdarzenia wyzwalającego na podstawie obserwowanego zachowania.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Znacznik czasu wskazujący moment wykonania działania naprawczego.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Unikatowy identyfikator działania naprawczego.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Nazwa działania naprawczego przeprowadzonego przez EDR (ESET Inspect). Więcej szczegółów można znaleźć w sekcji Działania prowadzące reguły.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Wskazuje wynik działania naprawczego.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Wersja silnika skanującego lub modułu ESET, który wykrył lub zgłosił zdarzenie.

˄˅