Формат данных Open XDR

agent.build.original

keyword

13.01115.0

ESET

N/A

Расширенная информация о сборке.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Тип агента или интеграции, которые собрали данные о событии или наблюдали за ним.

•endpoint-security — для данных защиты конечной точки (ESET PROTECT)

•endpoint-detection-response — для данных EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Версия агента.

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Дата/время возникновения события. Обычно эти данные происходят из источника события. Если они недоступны, устанавливается значение первого появления события в канале.

Все поля метки времени хранятся в формате UTC. При отображении они конвертируются в часовой пояс, заданный в пользовательских настройках консоли.

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Определяет поставщика облачных служб, в инфраструктуре которого работает ресурс.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Уникальный идентификатор экземпляра (виртуальной машины или вычислительного ресурса), предоставляемый поставщиком облачных услуг.

code_signature.exists

boolean

true

ESET

N/A

Указывает наличие цифровой подписи. Заполняется только тогда, когда данные исходят из ESET Inspect.

code_signature.signing_id

keyword

com.eset.remoteadministrator.agent

ESET

N/A

Идентификатор, связанный с объектом, подписавшим файл. Заполняется только тогда, когда данные исходят из ESET Inspect на устройствах macOS.

code_signature.status

keyword

trusted

ESET

Для ESET разрешены следующие значения:

•trusted

•valid

•adhoc

•none

•invalid

•unknown

•present

Состояние проверки цифровой подписи, указывающее, является ли она доверенной, недействительной или имеет другое состояние. Заполняется только тогда, когда данные исходят из ESET Inspect.

•trusted — подпись, которой доверяет ESET.

•valid — подпись, которой доверяет ОС.

•adhoc — самозаверяющий сертификат (только для macOS).

•none — нет подписи.

•invalid — подпись не имеет доверия ОС, повреждена или отозвана.

•unknown — невозможно определить, присутствует ли подпись.

•present — подпись присутствует, но не удается подтвердить доверие.

code_signature.subject_name

keyword

"ESET, spol. s r.o."

ESET

N/A

Название подписавшего файл субъекта (физического лица, организации или издателя), которое указано в цифровой подписи. Заполняется только тогда, когда данные исходят из ESET Inspect.

code_signature.team_id

keyword

P8DQRXPVLP

ESET

N/A

Идентификатор, назначенный команде разработки, которая подписала файл. Заполняется только тогда, когда данные исходят из ESET Inspect на устройствах macOS.

destination.address

keyword

192.168.1.1

ESET

N/A

Необработанный адрес назначения, предоставленный источником. Это может быть IP-адрес, доменное имя или другой сетевой идентификатор.

destination.ip

ip

192.168.1.1

ESET

N/A

IP-адрес целевого хоста или конечной точки, которые принимают сетевой трафик.

destination.mac

keyword

00-11-22-33-44-55

ESET

N/A

MAC-адрес целевого сетевого интерфейса.

destination.port

long

22

ESET

N/A

Номер сетевого порта в месте назначения.

device.manufacturer

keyword

VMware, Inc.

ESET

N/A

Название компании или поставщика, который произвел устройство.

device.model.identifier

keyword

VMware Virtual Platform

ESET

N/A

Уникальный идентификатор модели устройства, предоставляемый производителем для различения разных моделей оборудования.

device.serial_number

keyword

VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00

ESET

N/A

Уникальный серийный номер, присвоенный устройству производителем.

dll.name

keyword

scrobj.dll

ESET

N/A

Имя файла динамически загружаемой библиотеки без пути.

dll.path

keyword

C:\Windows\syswow64\scrobj.dll

ESET

N/A

Полный путь файловой системы к динамически загружаемой библиотеке.

ecs.version

keyword

8.16

all

N/A

Версия ECS, которой соответствует это событие.

event.action

keyword

file-cleaned

ESET

Для ESET разрешены следующие значения:

•rule-triggered

•connection-terminated

•file-blocked

•file-deleted

•file-cleaned

•file-marked-for-deletion

•part-of-deleted-object

•retained

•exploit-blocked

•ransomware-blocked

Конкретные действие или операция, которые вызвали событие. Поле предоставляется только в том случае, если оно применимо к конкретному событию.

event.category

keyword

array

malware

all

•api

•authentication

•configuration

•database

•driver

•email

•file

•host

•iam

•intrusion_detection

•library

•malware

•network

•package

•process

•registry

•session

•threat

•vulnerability

•web

Высокоуровневая классификация события, используемая для группировки схожих типов действий. Это поле помогает организовать события в широких функциональных категориях, чтобы упростить фильтрацию и анализ. Это поле может содержать несколько значений.

event.created

date

2016-05-23T08:05:34.857Z

ESET

N/A

Представляет собой метку времени, когда агент впервые получил или наблюдал событие. Это значение должно немного отличаться от значения @timestamp.

event.dataset

keyword

eset.antivirus

all

•eset.antivirus

•eset.firewall

•eset.hips

•eset.blockedfile

•eset.blockedurl

•eset.rule

Имя набора данных, которому принадлежит событие. Это значение обычно используется для группировки связанных событий из одного источника или интеграции.

event.id

keyword

ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e

all

N/A

Уникальный идентификатор события.

event.ingested

date

2016-05-23T08:05:34.857Z

all

N/A

Представляет собой метку времени, когда событие появилось в консоли ESET PROTECT.

event.kind

keyword

alert

all

Для ESET разрешены следующие значения:

•alert

•event

Высокоуровневая классификация типа информации, которая есть в событии. В контексте ESET значение alert соответствует индикатору, а значение event — событию телеметрии.

event.module

keyword

eset

all

Для ESET разрешены следующие значения:

•eset

Определяет имя интеграции, которая сгенерировала событие. Это поле используется для группировки событий по их источнику.

event.outcome

keyword

success

Все

•failure

•success

•unknown

Указывает результат события или действия.

event.provider

keyword

Real-time file system protection

ESET

N/A

Определяет источник или компонент внутри системы, который сгенерировал событие. Часто это имя приложения, службы или подсистемы, которые отвечают за создание данных.

В контексте ESET это значение иногда называется сканером и указывает на то, какие антивирусное ядро или модуль ESET обнаружили или сообщили о событии.

event.reason

keyword

Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt

ESET

N/A

Предоставляет описательное объяснение причин произошедшего события. Это поле содержит предназначенный для человека текст, который проясняет причину, триггер или обоснование события.

event.risk_score

float

40

ESET

N/A

Числовое значение, показывающее оценочный риск события, предоставленный источником события.

event.severity

long

2

ESET

N/A

Числовое значение, отражающее серьезность события, предоставленную источником события.

event.type

keyword

array

deletion

all

•access

•admin

•allowed

•change

•connection

•creation

•deletion

•denied

•device

•end

•error

•group

•indicator

•info

•installation

•protocol

•start

•user

Описывает конкретный тип или действие, представленное событием в его категории. Это поле обеспечивает более детальную классификацию, чем event.category.

file.directory

keyword

C:\Windows\System32

ESET

N/A

Путь к каталогу, где находится файл, без имени файла.

file.extension

keyword

dll

ESET

N/A

Расширение файла без начальной точки.

file.name

keyword

rasadhlp.dll

ESET

N/A

Имя файла, включая расширение, но без пути к каталогу.

file.path

keyword

C:\Windows\System32\rasadhlp.dll

ESET

N/A

Полный путь к файлу, включая каталоги и имя файла.

file.type

keyword

file

ESET

•file

•directory

•symlink

Общий тип файла. Указывает на природу объекта в файловой системе.

hash.md5

keyword

F0B123ABEAEB45AB8837F2372C655B60

ESET

N/A

Хэш MD5 файла или данных.

hash.sha1

keyword

DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F

ESET

N/A

Хэш SHA1 файла или данных.

hash.sha256

keyword

3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC

ESET

N/A

Хэш SHA256 файла или данных.

host.architecture

keyword

x86-64

ESET

N/A

Архитектура процессора хоста.

host.domain

keyword

CONTOSO

ESET

N/A

Доменное имя хоста, обычно представляющее домен Active Directory, которому принадлежит этот хост.

host.hostname

keyword

SRV-02

ESET

N/A

Имя хоста, возвращаемое командой hostname операционной системы.

host.id

keyword

59a611f9-a01e-47a6-a839-03b1e4ac3e67

ESET

N/A

Уникальный идентификатор хоста.

host.ip

ip array

192.168.1.35

ESET

N/A

IP-адреса, назначенные хосту.

host.mac

keyword

array

00-11-22-33-44-55

ESET

N/A

MAC-адреса сетевых интерфейсов хоста.

host.name

keyword

SRV-02.contoso.local

ESET

N/A

Имя хоста.

host.type

keyword

server

ESET

Для ESET разрешены следующие значения:

•workstation

•server

•mobile

Тип хоста.

network.community_id

keyword

1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0

ESET

N/A

Значение хэша, которое уникально идентифицирует сетевой поток на основе набора из 5 атрибутов (IP-адрес источника, IP-адрес назначения, порт источника, порт назначения и транспортный протокол). Оно обеспечивает согласованный способ корреляции сетевых сеансов для различных систем и инструментов.

Дополнительные сведения можно найти на github.

network.direction

keyword

ingress

ESET

•ingress

•egress

Направление трафика относительно хоста.

network.protocol

keyword

ssh

ESET

N/A

Имя используемого сетевого протокола. В модели OSI это эквивалент прикладного уровня.

network.transport

keyword

tcp

ESET

N/A

Базовый транспортный протокол. В модели OSI это эквивалент транспортного уровня.

network.type

keyword

ipv4

ESET

N/A

Тип сетевого трафика. В модели OSI это эквивалент сетевого уровня.

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Имя операционной системы, предназначенное для чтения человеком.

os.type

keyword

windows

ESET

Для ESET разрешены следующие значения:

•windows

•linux

•macos

•ios

•android

Общий тип операционной системы.

os.version

keyword

10.0.19045.6456

ESET

N/A

Строка версии операционной системы.

pe.architecture

keyword

x64

ESET

N/A

Указывает архитектуру процессора, для которой был создан переносимый исполняемый (PE) файл.

pe.company

keyword

Google LLC

ESET

N/A

Имя компании, опубликовавшей исполняемый файл.

pe.description

keyword

Google Chrome

ESET

N/A

Описание предназначения файла.

pe.original_file_name

keyword

chrome.exe

ESET

N/A

Имя исполняемого файла на момент его компиляции и подписания.

pe.product

keyword

Google Chrome

ESET

N/A

Имя продукта, которому принадлежит файл.

pe.file_version

keyword

142.0.7444.176

ESET

N/A

Версия файла, указанная в его метаданных.

process.args

keyword array

C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH

ESET

N/A

Массив аргументов, переданных процессу.

process.args_count

long

5

ESET

N/A

Количество аргументов, переданных процессу.

process.command_line

wildcard

Multi-field:

process.command_line.text - match_only_text

C:\Windows\system32\whoami.exe /groups /FO csv /NH

ESET

N/A

Полная командная строка, используемая для запуска процесса, включая аргументы.

process.end

date

2016-05-23T08:05:34.853Z

ESET

N/A

Метка времени завершения процесса. Если это поле не заполнено, во время генерации события процесс еще выполнялся.

process.entity_id

keyword

bff9c549-c059-4f7d-a804-f38b34026738

ESET

N/A

Уникальный идентификатор процесса. Реализация зависит от источника данных.

process.executable

keyword

Multi-field:

process.executable.text - match_only_text

C:\Windows\system32\whoami.exe

ESET

N/A

Полный путь к исполняемому файлу процесса.

process.name

keyword

whoami.exe

ESET

N/A

Имя исполняемого файла процесса.

process.pid

long

9988

ESET

N/A

Идентификатор процесса, присвоенный операционной системой.

process.start

date

2016-05-23T08:05:34.853Z

ESET

N/A

Метка времени начала процесса.

related.hash

keyword array

444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01

ESET

N/A

Массив хэшей, связанных с событием.

related.hosts

keyword array

SRV-02.contoso.local

ESET

N/A

Массив хостов, связанных с событием.

related.ip

ip array

192.168.1.86, 10.1.40.125

ESET

N/A

Массив IP-адресов, связанных с событием.

related.user

keyword array

S-1-5-18, system

ESET

N/A

Массив идентификаторов пользователей, связанных с событием.

rule.author

keyword

ESET

ESET

N/A

Автор правила обнаружения.

rule.name

keyword

Reading Sensitive Files from Shadow Volume [D0331]

all

N/A

Имя правила. Это значение должно быть заполнено всеми индикаторами.

rule.category

keyword

File System

ESET

N/A

Широкая категория правила.

rule.uuid

keyword

0c464b88-2781-4686-8c7e-163358b3dba4

ESET

N/A

Уникальный идентификатор правила в рамках всей системы. Назначается автором правила.

В случае ESET Inspect это значение, используемое в тегах <guid> в исходном коде правила.

rule.id

keyword

de7af049-8ddd-4c2c-a054-734368a1082

ESET

N/A

Уникальный идентификатор версии правила в рамках сферы действия хоста. Часто назначается ядром обнаружения.

rule.description

keyword

Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)

ESET

N/A

Предоставляет предназначенное для чтения человеком объяснение того, что обнаруживает правило или для чего оно предназначено. Это поле помогает аналитикам понять логику или контекст оповещения об опасности без повторения полного определения правила.

В случае ESET Inspect это содержимое тегов <explanation> в исходном коде правила.

source.address

keyword

192.168.1.1

ESET

N/A

Необработанный адрес источника, предоставленный источником. Это может быть IP-адрес, доменное имя или другой сетевой идентификатор.

source.ip

ip

192.168.1.1

ESET

N/A

IP-адрес хоста источника или конечной точки, отправляющей сетевой трафик.

source.mac

keyword

00-11-22-33-44-55

ESET

N/A

MAC-адрес сетевого интерфейса источника.

source.port

long

80

ESET

N/A

Номер сетевого порта источника.

url.domain

keyword

autodiscover.contoso.com

ESET

N/A

Доменное имя, извлеченное из URL-адреса.

url.extension

keyword

xml

ESET

N/A

Расширение файла из URL-пути.

url.full

wildcard

Multi-field:

url.full.text - match_only_text

http://autodiscover.contoso.com/autodiscover/autodiscover.xml

ESET

N/A

Полный URL-адрес.

url.original

wildcard

Multi-field:

url.original.text - match_only_text

http://autodiscover.contoso.com/autodiscover/autodiscover.xml

ESET

N/A

Полный URL-адрес, предоставленный исходным источником данных.

url.path

wildcard

/autodiscover/autodiscover.xml

ESET

N/A

Часть URL-адреса, связанная с путем.

url.scheme

keyword

http

ESET

N/A

Используемый протокол или схема.

user.name

keyword

john

ESET

N/A

Имя пользователя или имя учетной записи.

user.domain

keyword

contoso

ESET

N/A

Домен или область, которой принадлежит пользователь.

user.id

keyword

S-1-5-21-202424912787-2692429404-2351956786-1000

ESET

N/A

Уникальный идентификатор пользователя.