Формат данных Open XDR
Формат данных Open XDR основан на спецификации Elastic Common Schema (ECS), которая представляет собой нормализованный формат, используемый для ESET Open XDR. ECS упрощает написание запросов и позволяет сопоставлять данные из различных источников данных. События телеметрии, индикаторы и инциденты нормализуются в этой схеме для различных продуктов и интеграций, которые входят в состав платформы Open XDR.
Данные Open XDR доступны с компьютеров, на которых работает агент ESET Management версии 13.0+ и ESET Inspect Connector 3.0+. Узнайте больше об объединении ESET Inspect и ESET PROTECT (Open XDR). |
Наборы полей
ECS определяет несколько групп связанных полей, которые известны как наборы полей.
Поля, связанные с агентом, описывают программный компонент, который собирает и обнаруживает события телеметрии или индикаторы, а также наблюдает за ними.
|
Базовый набор полей содержит все поля, находящиеся в основе событий. Эти поля являются общими для всех типов событий.
|
Предназначен для сбора метаданных о ресурсах, работающих в облачной среде.
|
Поля, которые описывают цифровую подпись файла на диске, исполняемого файла, запускающего процесс, или динамически загружаемой библиотеки. Они указывают, подписан ли файл, кто его подписал и является ли подпись действительной и надежной. Ожидается, что поля, связанные с подписью кода, должны быть вложены в: •process.* •file.* •dll.*
|
Поля, которые описывают целевой объект сетевого соединения или передачи данных. Обычно это могут быть сведения о конечной точке, принимающей данные, такие как IP-адрес, порт, домен.
|
Поля, которые описывают аппаратное устройство, участвующее в событии. Обычно это могут быть такие атрибуты, как идентификаторы устройства, модель, производитель, серийный номер и другие характеристики, которые помогают идентифицировать физическое устройство, которое генерирует или принимает данные.
|
Поля, которые описывают динамически загружаемую библиотеку, участвующую в событии. Хотя название ориентировано на Windows, этот набор полей предназначен для разных платформ: •библиотека динамической компоновки (.dll), обычно используемая в Windows; •общий объект (.so), обычно используемый в Unix-подобных операционных системах; •динамическая библиотека (.dylib), обычно используемая в macOS. Следующие наборы полей могут быть вложены в набор полей, связанных с библиотекой DLL: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
Метаинформация, специфичная для ECS.
|
Поля, которые описывают детали события или активности, зафиксированные системой или приложением. Эти поля предоставляют контекст события, например категорию, тип, действие, результат и метки времени.
|
Представляет сведения о файле, участвующем в событии. Следующие наборы полей могут быть вложены в набор полей, связанных с файлом: •file.code_signature.* •file.hash.* •file.pe.*
|
Содержит криптографические значения хэша, которые уникально идентифицируют файлы. Ожидается, что поля, связанные с хэшем, должны быть вложены в: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
Представляет сведения о хосте (компьютере, сервере или устройстве), на котором произошло или наблюдалось событие. Следующие наборы полей могут быть вложены в набор полей, связанных с хостом: •host.os.*
|
Представляет сведения о сетевой активности, связанной с событием. Эти поля описывают протокол, направление и идентификаторы сетевого трафика.
|
Представляет сведения об операционной системе, работающей на хосте или устройстве. Ожидается, что поля, связанные с операционной системой, должны быть вложены в: •host.os.*
|
Представляет метаданные, извлеченные из переносимого исполняемого (PE) файла Windows, например из исполняемых файлов, DLL-файлов и драйверов. Ожидается, что поля, связанные с PE, должны быть вложены в: •dll.pe.* •file.pe.* •process.pe.*
|
Представляет сведения о процессе, который выполняется на хосте, связанном с событием. Ожидается, что поля, связанные с процессом, должны быть вложены в: •process.parent.* Следующие наборы полей могут быть вложены в набор полей, связанных с процессом: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
Содержит списки идентификаторов, связанных с событием. Эти значения помогают отслеживать разные события, которые могут иметь одинаковое значение в разных полях, например process.hash и process.parent.hash.
|
Представляет сведения об индикаторе. Эти поля помогают выявлять, классифицировать и сопоставлять индикаторы на основе логики обнаружения, которая их вызвала.
|
Поля, которые описывают источник сетевого соединения или передачи данных. Обычно это могут быть сведения о конечной точке, отправляющей данные, такие как IP-адрес, порт, домен.
|
Представляет сведения о URL-адресе, участвующем в событии. Эти поля описывают структуру и компоненты URL-адреса.
|
Представляет сведения о пользователе, связанном с событием. Ожидается, что поля, связанные с пользователем, должны быть вложены в: •process.user.*
|
Расширения
Пользовательские расширения ECS — это дополнительные наборы полей, добавляемые интеграциями для сбора данных, который не выполняет стандартная спецификация Elastic Common Schema. Эти поля обеспечивают дополнительный контекст и специфичные для поставщика атрибуты, сохраняя при этом совместимость с ECS. Расширения должны соблюдать стандарты именования ECS и группируются в рамках четкого пространства имен во избежание конфликтов со стандартными полями ECS.
Расширение ESET
Расширение ESET стандартизирует данные из продуктов ESET, сопоставляя обнаружения защиты от вирусов и поведенческие индикаторы с пользовательскими полями ECS в пространстве имен ESET.
Ожидается, что поля расширения ESET будут вложены в:
•eset.*
Базовый набор полей ESET содержит все поля, расположенные в корне eset.* namespace.
|
Представляет сведения о предшествующих процессах. Ожидается, что поля, связанные с предшествующими элементами, будут вложены в: •eset.process.ancestors.* Ожидается, что следующие поля ECS будут вложены в eset.executable: •hash.*
|
Представляет сведения о предшествующих процессах. Ожидается, что поля, связанные с дочерними элементами, будут вложены в: •eset.process.children.* Ожидается, что следующие поля ECS будут вложены в eset.executable: •hash.*
|
Предоставляет сведения об исполняемом файле, который связан с событием. Когда это поле отображается в разделе eset.process.*, оно конкретно относится к исполняемому файлу процесса, который запущен на хосте в связи с событием. Ожидается, что поля, связанные с исполняемыми файлами ESET, будут вложены в: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* Ожидается, что следующие поля ECS будут вложены в eset.executable: •code_signature.* •hash.* Ожидается, что следующие поля расширения ESET будут вложены в eset.executable: •livegrid_findings.*
|
Предоставляет сведения о данных ESET LiveGrid®, связанных с исполняемым файлом. Ожидается, что поля, связанные с результатами ESET LiveGrid, будут вложены в: •eset.executable.*
|
Предоставляет сведения о загруженных библиотеках, которые были загружены в процессе во время создания индикатора. Ожидается, что поля, связанные с результатами ESET LiveGrid, будут вложены в: •eset.process.loaded_libraries.* Ожидается, что следующие наборы полей будут вложены в набор полей eset.loaded_libraries: •eset.executable.*
|
Представляет сведения о процессе, который выполняется на хосте, связанном с событием. Следующие наборы полей могут быть вложены в набор полей eset.process: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
Представляет задачу, выполняемую в ответ на срабатывание правила EDR, целью которой является смягчение или нейтрализация потенциальной угрозы безопасности. Ожидается, что поля, связанные с действием по исправлению ESET, будут вложены в: •eset.*
|
Представляет сведения о событии, которое вызвало срабатывание правила. Ожидается, что поля, связанные с событием-триггером ESET, будут вложены в: •eset.triggering_event.*
|
Расширение метаданных ESET стандартизирует специфичные для ESET метаданные для событий безопасности. Оно собирает сведения о клиенте, службе и развертывании для содействия в назначении приоритетности и маршрутизации инцидентов в центрах управления безопасностью ESET (SoC). Ожидается, что поля, связанные с метаданными ESET, будут вложены в: •eset_metadata.*
|