Pesquisar no conteúdo de ajuda

Formato de dados Open XDR

Trilhas

Ajuda on-line ESET > ESET PROTECT > Usando o ESET PROTECT > ESET PROTECT Menu principal > Pesquisa avançada > Formato de dados Open XDR

Copiar URL do artigo atual Compartilhar por e-mail

Este artigo (PDF) Documentação completa (PDF)

O formato de dados Open XDR é baseado no Elastic Common Schema (ECS), que é o formato normalizado usado para o ESET Open XDR. O ECS simplifica a escrita de consultas e permite correlacionar dados entre diferentes fontes de dados. Eventos, indicadores e incidentes de telemetria são normalizados nesse esquema em produtos e integrações que fazem parte da Plataforma Open XDR.

Os dados Open XDR estão disponíveis em computadores que rodam o Agente ESET Management versão 13.0+ e o ESET Inspect Connector 3.0+.

Saiba mais sobre unificar o ESET Inspect e o ESET PROTECT (Open XDR).

Conjuntos de campos

O ECS define vários grupos de campos relacionados, conhecidos como Conjuntos de campos.

Conjunto de campos do agente

Os campos do agente descrevem o componente de software que coleta, detecta ou observa eventos ou indicadores de telemetria.

Nome do campo

Mapeamento do campo

Exemplo

Integrações que fornecem esse campo

Valores permitidos

Observação

agent.build.original

keyword

13.01115.0

ESET

N/A

Informações estendidas de compilação.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Tipo de agente ou integração que coletou ou observou o evento.

•endpoint-security – para dados de proteção de endpoint (ESET PROTECT)

•endpoint-detection-response – para dados EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Versão do agente.

Conjuntos de campos de base

O conjunto de campos de base contém todos os campos que estão na raiz dos eventos. Esses campos são comuns em todos os tipos de eventos.

Nome do campo

Mapeamento do campo

Exemplo

Integrações que fornecem esse campo

Valores permitidos

Observação

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Data/hora em que o evento se originou. Geralmente retirado da fonte do evento. Se não estiver disponível, ele é definido para quando o pipeline recebeu o evento pela primeira vez.

Todos os campos de carimbo de data são armazenados em UTC. Quando exibidos, eles são convertidos para o fuso horário definido nas configurações do usuário do console.

Conjunto de campo de nuvem

Projetado para capturar metadados sobre recursos rodando em um ambiente de nuvem.

Nome do campo

Mapeamento do campo

Exemplo

Integrações que fornecem esse campo

Valores permitidos

Observação

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifica o provedor de serviço em nuvem onde o recurso está rodando.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Identificador único para a instância (máquina virtual ou recurso de computação) fornecido pelo provedor de nuvem.

Conjunto de campos de assinatura de código

Campos que descrevem a assinatura digital de um arquivo no disco, um executável que iniciou um processo ou uma biblioteca carregada dinamicamente. Eles indicam se o arquivo foi assinado, quem assinou e se a assinatura é válida e confiável. Espera-se que os campos de assinatura de código sejam aninhados em:

•process.*

•file.*

•dll.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
code_signature.exists	boolean	true	ESET	N/A	Indica se há assinatura digital presente. Preenchido apenas quando os dados se originam de ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identificador associado à entidade que assinou o arquivo. Só é preenchido quando os dados vêm de ESET Inspect em dispositivos macOS.
code_signature.status	keyword	trusted	ESET	Para a ESET, os seguintes valores são permitidos: •trusted •valid •adhoc •none •invalid •unknown •present	O status de validação da assinatura digital, indicando se ela é confiável, inválida ou possui outro estado. Preenchido apenas quando os dados se originam de ESET Inspect. •trusted – assinatura confiável pela ESET. •valid – assinatura confiável pelo sistema operacional. •adhoc – autoassinado (apenas macOS). •none – sem assinatura. •invalid – assinatura não confiável pelo sistema operacional, corrompida ou revogada. •unknown – incapaz de determinar se há uma assinatura presente. •present – assinatura presente, mas não foi possível verificar a confiança.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Nome da entidade (indivíduo, organização ou editora) que assinou o arquivo, conforme listado na assinatura digital. Preenchido apenas quando os dados se originam de ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identificador atribuído à equipe de desenvolvimento que assinou o arquivo. Só é preenchido quando os dados vêm de ESET Inspect em dispositivos macOS.

Definir pasta de destino

Campos que descrevem o destino de uma conexão de rede ou transferência de dados. Isso normalmente inclui detalhes sobre o endpoint que recebe os dados, como endereço IP, porta e domínio.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
destination.address	keyword	192.168.1.1	ESET	N/A	O endereço bruto do destino, conforme fornecido pela fonte. Isso pode ser um endereço IP, um nome de domínio ou outro identificador de rede.
destination.ip	ip	192.168.1.1	ESET	N/A	Endereço IP do host de destino ou endpoint que recebe o tráfego da rede.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Endereço MAC da interface de rede de destino.
destination.port	long	22	ESET	N/A	Número da porta de rede do destino.

Conjunto de campos do dispositivo

Campos que descrevem o dispositivo de hardware envolvido no evento. Isso normalmente inclui atributos como identificadores de dispositivo, modelo, fabricante, número de série e outras características que ajudam a identificar o dispositivo físico gerando ou recebendo dados.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	O nome da empresa ou fornecedor que fabricou o dispositivo.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Um identificador único para o modelo do dispositivo, fornecido pelo fabricante para distinguir entre diferentes modelos de hardware.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	O número de série único atribuído ao dispositivo pelo fabricante.

Conjunto de campos DLL

Campos que descrevem uma biblioteca carregada dinamicamente envolvida em um evento. Embora o nome seja centrado no Windows, este conjunto de campos cobre várias plataformas:

•Biblioteca de links dinâmicos (.dll) comumente usada no Windows

•Shared Object (.so) comumente usado em sistemas operacionais do tipo Unix

•Biblioteca dinâmica (.dylib) comumente usada no macOS

Os seguintes conjuntos de campos podem ser aninhados sob o conjunto de campos DLL:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
dll.name	keyword	scrobj.dll	ESET	N/A	O nome do arquivo da biblioteca carregado dinamicamente, sem o caminho.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	O caminho completo do sistema de arquivos para a biblioteca carregada dinamicamente.

Conjunto de campos ECS

Informações meta específicas para ECS.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
ecs.version	keyword	8.16	all	N/A	Versão ECS com a qual este evento é compatível.

Conjunto de campo de eventos

Campos que descrevem os detalhes de um evento ou atividade capturados por um sistema ou aplicativo. Esses campos fornecem contexto, como a categoria, tipo, ação, resultado e carimbos de data e hora do evento.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
event.action	keyword	file-cleaned	ESET	Para a ESET, os seguintes valores são permitidos: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	A ação ou operação específica que desencadeou o evento. O campo é fornecido apenas se aplicável ao evento específico.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Classificação de alto nível do evento, usada para agrupar tipos semelhantes de atividades. Esse campo ajuda a organizar eventos em categorias funcionais amplas para facilitar a filtragem e análise. Esse campo pode conter vários valores.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Representa o carimbo de data em que o agente recebeu ou observou o evento pela primeira vez. O valor deve ser ligeiramente diferente de @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Nome do conjunto de dados ao qual o evento pertence. Esse valor é tipicamente usado para agrupar eventos relacionados da mesma fonte ou integração.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	ID único do evento.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Representa o carimbo de data e hora em que o evento chegou ao console ESET PROTECT.
event.kind	keyword	alert	all	Para a ESET, os seguintes valores são permitidos: •alert •event	Categorização de alto nível do tipo de informação que o evento carrega. No contexto de ESET, alerta de valor corresponde a um indicador, enquanto evento se refere a um evento de telemetria.
event.module	keyword	eset	all	Para a ESET, os seguintes valores são permitidos: •eset	Identifica o nome da integração que gerou o evento. Este campo é usado para agrupar eventos por sua fonte.
event.outcome	keyword	success	Tudo	•failure •success •unknown	Indica o resultado do evento ou ação.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifica a fonte ou componente dentro do sistema que gerou o evento. Esse é frequentemente o nome do aplicativo, serviço ou subsistema responsável por produzir os dados. No contexto de ESET, esse valor às vezes é chamado de escaneador, indicando qual mecanismo ou módulo de escaneamento do ESET detectou ou reportou o evento.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Fornece uma explicação descritiva do motivo pelo qual o evento ocorreu. Este campo contém texto legível para humanos que esclarecem a causa, o gatilho ou a justificativa do evento.
event.risk_score	float	40	ESET	N/A	Valor numérico que representa o risco estimado do evento conforme fornecido pela fonte do evento.
event.severity	long	2	ESET	N/A	Valor numérico representando a gravidade do evento conforme fornecido pela fonte do evento.
event.type	keyword matriz	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Descreve o tipo ou ação específica representada pelo evento dentro de sua categoria. Este campo fornece uma classificação mais granular do que event.category.

Conjunto de campos de arquivo

Representa detalhes sobre um arquivo envolvido no evento. Os seguintes conjuntos de campos podem ser aninhados sob o conjunto de campos de arquivo:

•file.code_signature.*

•file.hash.*

•file.pe.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
file.directory	keyword	C:\Windows\System32	ESET	N/A	O caminho do diretório onde o arquivo está localizado, excluindo o nome do arquivo.
file.extension	keyword	dll	ESET	N/A	A extensão do arquivo, excluindo o ponto inicial.
file.name	keyword	rasadhlp.dll	ESET	N/A	O nome do arquivo, incluindo a extensão mas sem o caminho do diretório.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	O caminho completo para o arquivo, incluindo os diretórios e o nome do arquivo.
file.type	keyword	file	ESET	•file •directory •symlink	O tipo geral do arquivo. Indica a natureza do objeto no sistema de arquivos.

Conjunto de campos de hash

Contém valores hash criptográficos que identificam arquivos de forma única. Espera-se que os campos de hash sejam aninhados em:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	O hash MD5 do arquivo ou dos dados.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	O hash SHA1 do arquivo ou dos dados.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	O hash SHA256 do arquivo ou dos dados.

Conjunto de campos de host

Representa detalhes sobre o host (computador, servidor ou dispositivo) onde o evento se originou ou foi observado. Os seguintes conjuntos de campos podem ser aninhados sob o conjunto de campos de host:

•host.os.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
host.architecture	keyword	x86-64	ESET	N/A	Arquitetura de CPU do host.
host.domain	keyword	CONTOSO	ESET	N/A	O nome de domínio do host, normalmente representando o domínio do Active Directory ao qual o host pertence.
host.hostname	keyword	SRV-02	ESET	N/A	O nome do host conforme reportado pelo comando do nome do host do sistema operacional.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificador único para o host.
host.ip	ip array	192.168.1.35	ESET	N/A	Endereço(s) IP atribuído(s) ao host.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Endereço(s) MAC das interfaces de rede do host.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Nome do host.
host.type	keyword	server	ESET	Para a ESET, os seguintes valores são permitidos: •workstation •server •mobile	Tipo de host.

Conjunto de campos de rede

Representa detalhes sobre a atividade da rede relacionada ao evento. Esses campos descrevem o protocolo, direção e identificadores para tráfego da rede.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Um valor de hash que identifica de forma única um fluxo de rede com base em seu 5-tuple (IP de origem, IP de destino, porta de origem, porta de destino e protocolo de transporte). Ele oferece uma forma consistente de correlacionar sessões de rede entre diferentes sistemas e ferramentas. Mais informações no github.
network.direction	keyword	ingress	ESET	•ingress •egress	Direção do tráfego em relação ao host.
network.protocol	keyword	ssh	ESET	N/A	Nome do protocolo de rede utilizado. No modelo OSI, isso é equivalente à camada de aplicativo.
network.transport	keyword	tcp	ESET	N/A	Protocolo de transporte subjacente. No modelo OSI, isso é equivalente à camada de transporte.
network.type	keyword	ipv4	ESET	N/A	Tipo de tráfego da rede. No modelo OSI, isso é equivalente à camada de rede.

Definir campo do sistema operacional

Representa detalhes sobre o sistema operacional rodando em um host ou dispositivo. Espera-se que os campos do sistema operacional sejam aninhados em:

•host.os.*

Nome do campo

Mapeamento do campo

Exemplo

Integrações que fornecem esse campo

Valores permitidos

Observação

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Nome legível para humanos do sistema operacional.

os.type

keyword

windows

ESET

Para a ESET, os seguintes valores são permitidos:

•windows

•linux

•macos

•ios

•android

Tipo geral do sistema operacional.

os.version

keyword

10.0.19045.6456

ESET

N/A

String de versões do sistema operacional.

Conjunto de campo PE

Representa metadados extraídos de um arquivo Windows Portable Executable (PE), como executáveis, DLLs e drivers. Espera-se que os campos PE estejam aninhados em:

•dll.pe.*

•file.pe.*

•process.pe.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
pe.architecture	keyword	x64	ESET	N/A	Especifica a arquitetura da CPU para a qual o arquivo Portable Executable (PE) foi construído.
pe.company	keyword	Google LLC	ESET	N/A	Nome da empresa que publicou o executável.
pe.description	keyword	Google Chrome	ESET	N/A	Descrição do propósito do arquivo.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Nome que o executável que tinha quando foi compilado e assinado.
pe.product	keyword	Google Chrome	ESET	N/A	Nome do produto ao qual o arquivo pertence.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Versão do arquivo conforme especificado em seus metadados.

Conjunto de campos de processo

Representa detalhes sobre um processo rodando em um host que está relacionado ao evento. Espera-se que os campos de processo sejam aninhados em:

•process.parent.*

Os seguintes conjuntos de campos podem ser aninhados sob conjuntos de campos de processo:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Matriz de argumentos repassados ao processo.
process.args_count	long	5	ESET	N/A	Contagem dos argumentos repassados ao processo.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	A linha de comando completa usada para iniciar o processo, incluindo argumentos.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Carimbo de data e hora de quando o processo terminou. Se o campo não estiver preenchido, o processo ainda estava em execução quando o evento foi gerado.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Identificador único para o processo. A implementação depende da fonte de dados.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Caminho completo até o arquivo executável do processo.
process.name	keyword	whoami.exe	ESET	N/A	O nome do executável do processo.
process.pid	long	9988	ESET	N/A	ID de processo atribuído pelo sistema operacional.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Carimbo de data e hora do início do processo.

Conjunto de campos relacionados

Contém listas de identificadores relacionados ao evento. Esses valores ajudam a trocar entre diferentes eventos que podem ter o mesmo valor em diferentes áreas, por exemplo, process.hash e process.parent.hash.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Matriz de hashes relacionados ao evento.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Conjunto de hosts relacionados ao evento.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Matriz de endereços IP relacionados ao evento.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Matriz de identificadores de usuário relacionados ao evento.

Conjunto de campos de regras

Representa os detalhes sobre um indicador. Esses campos ajudam a identificar, categorizar e correlacionar indicadores com base na lógica de detecção que os acionou.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
rule.author	keyword	ESET	ESET	N/A	Autor da regra de detecção.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Nome da regra. Esse valor deve ser preenchido por todos os indicadores.
rule.category	keyword	File System	ESET	N/A	Categoria ampla da regra.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Identificador único para a regra, dentro do escopo de todo o sistema. Atribuído pelo autor da regra. No caso de ESET Inspect, esse é o valor usado nas tags do <guid> no código-fonte da regra.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Identificador único para a versão da regra, dentro do escopo do host. Frequentemente atribuído pelo mecanismo de detecção.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Fornece uma explicação legível para humanos sobre o que a regra detecta ou seu propósito pretendido. Esse campo ajuda os analistas a entender a lógica ou o contexto por trás do alerta sem precisar revisar toda a definição da regra. No caso de ESET Inspect, este é o conteúdo das tags <explanation> no código-fonte da regra.

Conjunto de campos fonte

Campos que descrevem a origem de uma conexão de rede ou transferência de dados. Isso normalmente inclui detalhes sobre o endpoint que envia os dados, como endereço IP, porta, domínio.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
source.address	keyword	192.168.1.1	ESET	N/A	O endereço bruto da fonte, conforme fornecido pela fonte. Isso pode ser um endereço IP, um nome de domínio ou outro identificador de rede.
source.ip	ip	192.168.1.1	ESET	N/A	Endereço IP do host de origem ou endpoint que envia o tráfego da rede.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Endereço MAC da interface de rede de origem.
source.port	long	80	ESET	N/A	Número da porta de rede da fonte.

Conjunto de campos de URL

Representa detalhes sobre um URL envolvido no evento. Esses campos descrevem a estrutura e os componentes do URL.

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	O nome de domínio extraído do URL.
url.extension	keyword	xml	ESET	N/A	A extensão do arquivo de caminho do URL.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	O URL completo.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	O URL completo conforme fornecida pela fonte original dos dados.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	A parte do caminho do URL.
url.scheme	keyword	http	ESET	N/A	O protocolo ou esquema utilizado.

Conjunto de campos do usuário

Representa detalhes sobre um usuário associado ao evento. Espera-se que os campos de usuário sejam aninhados em:

•process.user.*

Nome do campo	Mapeamento do campo	Exemplo	Integrações que fornecem esse campo	Valores permitidos	Observação
user.name	keyword	john	ESET	N/A	O nome de usuário ou da conta.
user.domain	keyword	contoso	ESET	N/A	Domínio ou reino ao qual o usuário pertence.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Identificador exclusivo do usuário.

Extensões

Extensões ECS personalizadas são conjuntos adicionais de campos introduzidos por integrações para capturar dados que não são cobertos pelo Elastic Common Schema padrão. Esses campos permitem um contexto mais rico e atributos específicos do fornecedor, mantendo a compatibilidade com o ECS. Extensões devem seguir as convenções de nomenclatura ECS e são agrupadas sob um namespace claro para evitar conflitos com campos padrão ECS.

Extensão ESET

A Extensão ESET padroniza dados de produtos ESET mapeando detecções antivírus e indicadores comportamentais para campos ECS personalizados sob o eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Observação
eset.aggregated_count	long	2	ESET	N/A	Se o mesmo indicador for acionado durante um curto período de tempo, ele gera apenas um documento. Este campo contém o número de indicadores que produziram o documento específico.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identificador compartilhado entre indicadores relacionados da ESET.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID da instância ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informações sobre assinatura digital. Veja os campos de assinatura de código ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Formato do arquivo executável.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hashes do executável. Veja o conjunto de campos de hash ECS.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Identificador exclusivo do executável.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Se for verdadeiro, o executável representa a biblioteca dinamicamente vinculada.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	O carimbo de data em que o arquivo ou executável associado acionou uma detecção antivírus classificada como quase acidente (por exemplo, semelhante a malware conhecido, mas não o suficiente para ser relatado com confiança como malware).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	O número de dias desde que o executável foi visto pela primeira vez no LiveGrid®. O número é arredondado para o equivalente a buckets de tempo comuns: dia, alguns dias, semana, mês, metade do ano, ano, etc.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Quantos computadores reportaram um executável para LiveGrid®. O intervalo é mapeado em potências de dez: •0,00 => 0 (ainda não reportado para LiveGrid®) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •E assim por diante
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Número indicando o quanto o executável é seguro de acordo com o LiveGrid®. Quanto maior o número, mais confiável é o executável de acordo com o LiveGrid®. •= 0,00 – malware ou lista de proibições •<= 0,38 – potencialmente indesejado ou inseguro •>= 0,88 – prevalência de arquivos limpos
eset.executable.name	keyword	usoclient.exe	ESET	N/A	O nome do executável, incluindo a extensão mas sem o caminho do diretório.
eset.executable.marked_safe	boolean	false	ESET	N/A	Se for verdadeiro, o executável é marcado como seguro.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Nome do compactador usado para criar o executável conforme identificado pela ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Campo interno de nome dos metadados executáveis.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Se for verdadeiro, o executável é um driver do Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Campo de versão do produto com base nos metadados executáveis.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Nome da ferramenta SFX usada para criar o executável, conforme identificado pela ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Tamanho do arquivo do executável.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Contém o tipo de lista de permissões. Essas listas de permissões são gerenciadas pela ESET e não são configuráveis pelo usuário.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Representa o resultado de correção automatizada executada pelo produto de segurança ESET. •mitigated – ações automatizadas imediatas parciais foram realizadas para reduzir o impacto da ameaça, mas ela não foi totalmente eliminada. A resolução total geralmente exige uma reinicialização do sistema. •remediated – a ameaça foi completamente e permanentemente resolvida pelo sistema de origem, automação ou um processo automatizado, indicando erradicação completa e recuperação para um estado seguro no momento da detecção. •unhandled – o artefato ou observável subjacente não foi abordado, e nenhuma ação imediata ou automatizada foi tomada para conter, erradicar ou reduzir seu impacto. Esse continua sendo um indicador de alta prioridade que exige análise humana rápida, já que a ameaça continua ativa e sem impedimentos.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Lista os Grupos de Administrador ESET PROTECT aos quais o dispositivo pertence. Os grupos são ordenados do mais alto ao grupo principal direto do host.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Identificador único para o host. Igual a host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Identificadores únicos dos processos ancestrais.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Nível de integridade dos processos ancestrais.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Nomes dos processos ancestrais.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	PIDs de processo dos processos ancestrais.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Número de processos gerados pelo processo ancestral.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Status de término do processo ancestral.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Identificadores únicos de processos secundários.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Nível de integridade dos processos secundários.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Nomes dos processos secundários.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identificadores dos processos secundários.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Número de processos gerados pelo processo secundário.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Status de término dos processos secundários.
eset.process.dns_query_count	long	0	ESET	N/A	Consultas DNS numéricas feitas pelo processo.
eset.process.dropped_executable_count	long	1	ESET	N/A	Número de executáveis descartados pelo processo.
eset.process.http_request_count	long	9	ESET	N/A	Número de requisições HTTP feitas pelo processo.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Identificador exclusivo do processo.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Nível de integridade do processo.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Especifica o caminho completo do sistema de arquivos para o arquivo de atalho (.lnk) do Windows que foi usado para iniciar o processo.
eset.process.modified_registry_count	long	42	ESET	N/A	Número de chaves do Registro do Windows modificadas pelo processo.
eset.process.network_connection_count	long	6	ESET	N/A	Número de conexões de rede estabelecidas pelo processo.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Número de processos gerados pelo processo.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Quando true, o processo é excluído da detecção de ameaças ESET Endpoint Security devido a uma exclusão de desempenho configurada.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Armazena o user.domain e user.name concatenado no formato domain\username, representando a conta sob a qual o processo é executado.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Representação textual do campo event.severity. Baseado no campo event.risk_score. •1–39 => Informativo (1) •40–69 => Alerta (2) •70-100 => Ameaça (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Um valor específico do contexto associado ao evento definido em eset.triggering_event.type. Esse campo contém o objeto ou parâmetro principal relevante para o evento – por exemplo, o caminho do arquivo, caminho do processo, chave do registro, endereço de rede ou outro recurso onde o evento ocorreu.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	ID único do evento acionador.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Dados estruturados arbitrários, não esquemáticos e dependentes do tipo de evento.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Tipo de evento acionador baseado no comportamento observado.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	O carimbo de data e hora indicando quando a ação de correção foi executada.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	ID único da ação de correção.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Nome da ação de correção realizada pelo EDR (ESET Inspect). Para mais detalhes, veja a seção Ações do guia de regras.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Indica o resultado da ação de correção.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Versão do mecanismo de escaneamento ou módulo ESET que detectou ou reportou o evento.

˄˅