Vyhľadávajte v obsahu pomocníka

Dátový formát pre Open XDR

Navigačná cesta k stránke

ESET Online pomocník > ESET PROTECT > Používanie ESET PROTECT > Hlavné menu ESET PROTECT > Rozšírené vyhľadávanie > Dátový formát pre Open XDR

Skopírovať odkaz na aktuálny článok Odoslať e‑mailom

Tento článok (PDF) Celá dokumentácia (PDF)

Dátový formát pre Open XDR je založený na formáte Elastic Common Schema (ECS), čo je normalizovaný formát používaný pre ESET Open XDR. ECS zjednodušuje písanie požiadaviek a umožňuje spájať údaje z rôznych dátových zdrojov. Telemetrické udalosti, indikátory a incidenty sú normalizované do tejto schémy v rámci produktov a integrácií, ktoré sú súčasťou platformy Open XDR.

Údaje pre Open XDR sú dostupné z počítačov so spusteným ESET Management Agentom vo verzii 13.0+ a ESET Inspect Connectorom vo verzii 3.0+.

Získajte viac informácií o zjednotení ESET Inspect a ESET PROTECT (Open XDR).

Súbory polí

ECS definuje viacero skupín súvisiacich polí, známych ako súbory polí.

Súbor polí pre agenta

Polia pre agenta opisujú komponent softvéru, ktorý zhromažďuje, deteguje alebo monitoruje telemetrické udalosti alebo indikátory.

Názov poľa

Mapovanie polí

Príklad

Integrácie poskytujúce toto pole

Povolené hodnoty

Poznámka

agent.build.original

keyword

13.01115.0

ESET

N/A

Rozšírené informácie o builde.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Typ agenta alebo integrácie, ktorý udalosť zaznamenal alebo monitoroval.

•endpoint-security – pre údaje o ochrane koncového zariadenia (ESET PROTECT)

•endpoint-detection-response – pre údaje o EDR (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Verzia agenta.

Základné súbory polí

Základný súbor polí obsahuje všetky polia na úrovni koreňa udalostí. Tieto polia sú spoločné pre všetky typy udalostí.

Názov poľa

Mapovanie polí

Príklad

Integrácie poskytujúce toto pole

Povolené hodnoty

Poznámka

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Dátum/čas vzniku udalosti. Zvyčajne sa preberá zo zdroja udalosti. Ak nie je k dispozícii, nastaví sa na čas, keď kanál prvýkrát zaznamenal udalosť.

Všetky polia s časovou pečiatkou sú uložené v UTC. Pri zobrazení sa prepočítajú na časové pásmo určené v používateľských nastaveniach konzoly.

Súbor polí pre cloud

Určené na zachytávanie metadát o prostriedkoch bežiacich v prostredí cloudu.

Názov poľa

Mapovanie polí

Príklad

Integrácie poskytujúce toto pole

Povolené hodnoty

Poznámka

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Identifikuje poskytovateľa cloudových služieb, u ktorého je prostriedok spustený.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Jedinečný identifikátor inštancie (virtuálneho počítača alebo výpočtového prostriedku) poskytnutý poskytovateľom cloudu.

Súbor polí pre podpis kódu

Polia popisujúce digitálny podpis súboru na disku, spustiteľného súboru, ktorý spustil proces, alebo dynamicky načítanej knižnice. Uvádzajú, či je súbor podpísaný, kto ho podpísal a či je podpis platný a dôveryhodný. Polia pre podpis kódu by mali byť vnorené v:

•process.*

•file.*

•dll.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
code_signature.exists	boolean	true	ESET	N/A	Indikuje, či je prítomný digitálny podpis. Vyplní sa len vtedy, keď údaje pochádzajú z ESET Inspect.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Identifikátor spojený so subjektom, ktorý podpísal súbor. Vyplní sa len vtedy, keď údaje pochádzajú z ESET Inspect na zariadeniach so systémom macOS.
code_signature.status	keyword	trusted	ESET	Pre ochranu ESET sú povolené nasledujúce hodnoty: •trusted •valid •adhoc •none •invalid •unknown •present	Stav overenia digitálneho podpisu, ktorý udáva, či je dôveryhodný, neplatný alebo má iný stav. Vyplní sa len vtedy, keď údaje pochádzajú z ESET Inspect. •trusted – podpis považovaný spoločnosťou ESET za dôveryhodný. •valid – podpis považovaný operačným systémom za dôveryhodný. •adhoc – s vlastným podpisom (týka sa len systému macOS). •none – bez podpisu. •invalid – podpis považovaný operačným systémom za nedôveryhodný (poškodený alebo zrušený). •unknown – nie je možné určiť, či je podpis prítomný. •present – podpis je prítomný, ale dôveryhodnosť sa nepodarilo overiť.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Názov subjektu (jednotlivca, organizácie alebo vydavateľa), ktorý podpísal súbor, ako je uvedené v digitálnom podpise. Vyplní sa len vtedy, keď údaje pochádzajú z ESET Inspect.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Identifikátor pridelený vývojovému tímu, ktorý podpísal súbor. Vyplní sa len vtedy, keď údaje pochádzajú z ESET Inspect na zariadeniach so systémom macOS.

Súbor polí pre cieľové miesto

Polia, ktoré opisujú cieľ sieťového pripojenia alebo prenosu údajov. Zvyčajne obsahuje podrobnosti o koncovom zariadení, ktoré prijíma údaje, ako je IP adresa, port alebo doména.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
destination.address	keyword	192.168.1.1	ESET	N/A	Adresa cieľového miesta, ktorú poskytol zdroj. Môže to byť IP adresa, názov domény alebo iný sieťový identifikátor.
destination.ip	ip	192.168.1.1	ESET	N/A	IP adresa cieľového hostiteľa alebo koncového zariadenia, ktoré prijíma sieťovú komunikáciu.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC adresa cieľového sieťového rozhrania.
destination.port	long	22	ESET	N/A	Číslo sieťového portu cieľového miesta.

Súbor polí pre zariadenie

Polia opisujúce hardvérové zariadenie, ktorého sa udalosť týka. Zvyčajne ide o atribúty, ako sú identifikátory zariadenia, model, výrobca, sériové číslo a iné vlastnosti, ktoré pomáhajú identifikovať fyzické zariadenie generujúce alebo prijímajúce údaje.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Názov spoločnosti alebo dodávateľa, ktorý zariadenie vyrobil.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Jedinečný identifikátor modelu zariadenia, ktorý poskytuje výrobca na rozlíšenie rôznych modelov hardvéru.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Jedinečné sériové číslo pridelené zariadeniu výrobcom.

Súbor polí pre DLL

Polia popisujúce dynamicky načítanú knižnicu (DLL), ktorej sa udalosť týka. Hoci názov odkazuje na systém Windows, tento súbor polí pokrýva viacero platforiem:

•Dynamicky linkovaná knižnica (.dll) bežne používaná v systéme Windows

•Zdieľaný objekt (.so) bežne používaný v operačných systémoch Unix

•Dynamická knižnica (.dylib) bežne používaná v systéme macOS

Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre DLL:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
dll.name	keyword	scrobj.dll	ESET	N/A	Názov súboru dynamicky načítanej knižnice bez cesty.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Úplná cesta k súboru dynamicky načítanej knižnice.

Súbor polí pre ECS

Metainformácie špecifické pre ECS.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
ecs.version	keyword	8.16	all	N/A	Verzia ECS, ktorej táto udalosť zodpovedá.

Súbor polí pre udalosť

Polia, ktoré opisujú podrobnosti o udalosti alebo aktivite zachytenej systémom alebo aplikáciou. Tieto polia poskytujú kontext udalosti, napríklad kategóriu, typ, akciu, výsledok a časové pečiatky.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
event.action	keyword	file-cleaned	ESET	Pre ochranu ESET sú povolené nasledujúce hodnoty: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	Konkrétna akcia alebo operácia, ktorá spustila udalosť. Pole sa uvádza len vtedy, ak sa vzťahuje na konkrétnu udalosť.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Základná klasifikácia udalosti, ktorá sa používa na zoskupenie podobných typov aktivity. Toto pole pomáha usporiadať udalosti do širších funkčných kategórií na jednoduchšie filtrovanie a analýzu. Toto pole môže obsahovať viacero hodnôt.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Predstavuje časovú pečiatku, kedy agent prvýkrát prijal alebo zaznamenal udalosť. Hodnota by sa mala mierne líšiť od hodnoty @timestamp.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Názov súboru údajov, do ktorého udalosť patrí. Táto hodnota sa zvyčajne používa na zoskupenie súvisiacich udalostí z rovnakého zdroja alebo integrácie.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Jedinečné ID udalosti.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Predstavuje časovú pečiatku, kedy bola udalosť zaznamenaná v konzole ESET PROTECT.
event.kind	keyword	alert	all	Pre ochranu ESET sú povolené nasledujúce hodnoty: •alert •event	Základná kategorizácia typu informácie, ktorú udalosť zahŕňa. V kontexte terminológie ESET hodnota „alert“ zodpovedá indikátoru, zatiaľ čo hodnota „event“ sa vzťahuje na telemetrickú udalosť.
event.module	keyword	eset	all	Pre ochranu ESET sú povolené nasledujúce hodnoty: •eset	Identifikuje názov integrácie, ktorá vygenerovala udalosť. Toto pole sa používa na zoskupenie udalostí podľa ich zdroja.
event.outcome	keyword	success	all	•failure •success •unknown	Označuje výsledok udalosti alebo akcie.
event.provider	keyword	Real-time file system protection	ESET	N/A	Identifikuje zdroj alebo komponent v systéme, ktorý udalosť vygeneroval. Často je to názov aplikácie, služby alebo subsystému zodpovedného za vytváranie údajov. V kontexte terminológie ESET sa táto hodnota niekedy označuje ako skener, ktorý označuje skenovacie jadro alebo modul ESET, ktorý detegoval alebo reportoval udalosť.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Poskytuje opisné vysvetlenie, prečo k udalosti došlo. Toto pole obsahuje ľudsky čitateľný text, ktorý objasňuje príčinu, spúšťač alebo odôvodnenie udalosti.
event.risk_score	float	40	ESET	N/A	Číselná hodnota vyjadrujúca odhadované riziko udalosti podľa zdroja udalosti.
event.severity	long	2	ESET	N/A	Číselná hodnota vyjadrujúca závažnosť udalosti podľa zdroja udalosti.
event.type	keyword array	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Opisuje konkrétny typ alebo akciu, ktorú udalosť predstavuje v rámci svojej kategórie. Toto pole poskytuje podrobnejšiu klasifikáciu ako pole event.category.

Súbor polí pre súbor

Predstavuje podrobnosti o súbore, ktorého sa udalosť týka. Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre súbor:

•file.code_signature.*

•file.hash.*

•file.pe.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
file.directory	keyword	C:\Windows\System32	ESET	N/A	Cesta k adresáru, v ktorom sa súbor nachádza, okrem názvu súboru.
file.extension	keyword	dll	ESET	N/A	Prípona súboru bez úvodnej bodky.
file.name	keyword	rasadhlp.dll	ESET	N/A	Názov súboru vrátane prípony, ale bez cesty k adresáru.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Úplná cesta k súboru vrátane adresárov a názvu súboru.
file.type	keyword	file	ESET	•file •directory •symlink	Všeobecný typ súboru. Označuje povahu objektu v systéme súborov.

Súbor polí pre hash

Obsahuje kryptografické hodnoty hash, ktoré jedinečne identifikujú súbory. Polia pre hodnoty hash by mali byť vnorené v:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Hash MD5 súboru alebo údajov.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Hash SHA1 súboru alebo údajov.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Hash SHA256 súboru alebo údajov.

Súbor polí pre hostiteľa

Predstavuje podrobnosti o hostiteľovi (počítači, serveri alebo zariadení), kde udalosť vznikla alebo bola zaznamenaná. Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre hostiteľa:

•host.os.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
host.architecture	keyword	x86-64	ESET	N/A	Architektúra CPU hostiteľa.
host.domain	keyword	CONTOSO	ESET	N/A	Názov domény hostiteľa, ktorý zvyčajne predstavuje doménu služby Active Directory, do ktorej hostiteľ patrí.
host.hostname	keyword	SRV-02	ESET	N/A	Názov hostiteľa, ako ho hlási príkaz hostiteľa v operačnom systéme.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Jedinečný identifikátor hostiteľa.
host.ip	ip array	192.168.1.35	ESET	N/A	IP adresy priradené hostiteľovi.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	MAC adresy sieťových rozhraní hostiteľa.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Názov hostiteľa.
host.type	keyword	server	ESET	Pre ochranu ESET sú povolené nasledujúce hodnoty: •workstation •server •mobile	Typ hostiteľa.

Súbor polí pre sieť

Predstavuje podrobnosti o sieťovej aktivite súvisiacej s udalosťou. Tieto polia opisujú protokol, smer a identifikátory sieťovej komunikácie.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Hodnota hash, ktorá jednoznačne identifikuje sieťový tok na základe piatich kľúčových informácií (zdrojová IP adresa, cieľová IP adresa, zdrojový port, cieľový port a prenosový protokol). Poskytuje konzistentný spôsob korelácie sieťových relácií v rôznych systémoch a nástrojoch. Viac informácií nájdete na githube.
network.direction	keyword	ingress	ESET	•ingress •egress	Smer komunikácie vzhľadom na hostiteľa.
network.protocol	keyword	ssh	ESET	N/A	Názov použitého sieťového protokolu. V rámci modelu OSI ide o ekvivalent vrstvy aplikácie (Application).
network.transport	keyword	tcp	ESET	N/A	Základný prenosový protokol. V rámci modelu OSI ide o ekvivalent vrstvy prenosu (Transport).
network.type	keyword	ipv4	ESET	N/A	Typ sieťovej komunikácie. V rámci modelu OSI ide o ekvivalent vrstvy siete (Network).

Súbor polí pre operačný systém

Predstavuje podrobnosti o operačnom systéme spustenom na hostiteľovi alebo zariadení. Polia pre hodnoty operačného systému by mali byť vnorené v:

•host.os.*

Názov poľa

Mapovanie polí

Príklad

Integrácie poskytujúce toto pole

Povolené hodnoty

Poznámka

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

Ľudsky čitateľný názov operačného systému.

os.type

keyword

windows

ESET

Pre ochranu ESET sú povolené nasledujúce hodnoty:

•windows

•linux

•macos

•ios

•android

Všeobecný typ operačného systému.

os.version

keyword

10.0.19045.6456

ESET

N/A

Reťazec verzie operačného systému.

Súbor polí pre PE

Predstavuje metadáta extrahované z prenosného spustiteľného súboru PE systému Windows, napríklad spustiteľné súbory, knižnice DLL a ovládače. Polia pre súbory PE by mali byť vnorené v:

•dll.pe.*

•file.pe.*

•process.pe.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
pe.architecture	keyword	x64	ESET	N/A	Určuje architektúru CPU, pre ktorú bol prenosný spustiteľný súbor PE vytvorený.
pe.company	keyword	Google LLC	ESET	N/A	Názov spoločnosti, ktorá publikovala spustiteľný súbor.
pe.description	keyword	Google Chrome	ESET	N/A	Opis účelu súboru.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Názov, ktorý mal spustiteľný súbor pri kompilácii a podpise.
pe.product	keyword	Google Chrome	ESET	N/A	Názov produktu, ku ktorému súbor patrí.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Verzia súboru uvedená v jeho metadátach.

Súbor polí pre proces

Predstavuje podrobnosti o procese spustenom na hostiteľovi, ktorý súvisí s udalosťou. Polia pre proces by mali byť vnorené v:

•process.parent.*

Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre proces:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Zoznam argumentov odovzdaných procesu.
process.args_count	long	5	ESET	N/A	Počet argumentov odovzdaných procesu.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Úplný príkazový riadok použitý na spustenie procesu vrátane argumentov.
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Časová pečiatka ukončenia procesu. Ak pole nie je vyplnené, proces bol v čase generovania udalosti stále spustený.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Jedinečný identifikátor procesu. Implementácia závisí od zdroja údajov.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Úplná cesta k spustiteľnému súboru procesu.
process.name	keyword	whoami.exe	ESET	N/A	Názov spustiteľného súboru procesu.
process.pid	long	9988	ESET	N/A	ID procesu pridelené operačným systémom.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Časová pečiatka začiatku procesu.

Súbor polí pre súvisiace informácie

Obsahuje zoznamy identifikátorov, ktoré súvisia s udalosťou. Tieto hodnoty pomáhajú korelovať rôzne udalosti, ktoré môžu mať rovnakú hodnotu v rôznych poliach, napr. process.hash a process.parent.hash.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Zoznam hashov súvisiacich s udalosťou.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Zoznam hostiteľov súvisiacich s udalosťou.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Zoznam IP adries súvisiacich s udalosťou.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Zoznam identifikátorov používateľov súvisiacich s udalosťou.

Súbor polí pre pravidlo

Predstavuje podrobnosti o indikátore. Tieto polia pomáhajú identifikovať, kategorizovať a korelovať indikátory na základe logiky detekcie, ktorá ich spustila.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
rule.author	keyword	ESET	ESET	N/A	Autor pravidla detekcie.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Názov pravidla. Táto hodnota by mala byť vyplnená všetkými indikátormi.
rule.category	keyword	File System	ESET	N/A	Širšia kategória pravidla.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Jedinečný identifikátor pravidla v rámci rozsahu celého systému. Prideľuje ho autor pravidla. V prípade ESET Inspect je to hodnota použitá v značkách <guid> v zdrojovom kóde pravidla.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Jedinečný identifikátor verzie pravidla v rámci rozsahu hostiteľa. Často je priradený detekčným jadrom.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Poskytuje ľudsky čitateľné vysvetlenie toho, čo pravidlo deteguje alebo aký je jeho účel. Toto pole pomáha analytikom pochopiť logiku alebo kontext upozornenia bez toho, aby museli prechádzať celú definíciu pravidla. V prípade ESET Inspect je to obsah značiek <explanation> v zdrojovom kóde pravidla.

Súbor polí pre zdroj

Polia, ktoré opisujú zdroj sieťového pripojenia alebo prenosu údajov. Zvyčajne obsahuje podrobnosti o koncovom zariadení, ktoré odosiela údaje, ako je IP adresa, port alebo doména.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
source.address	keyword	192.168.1.1	ESET	N/A	Adresa zdroja, ktorú poskytol zdroj. Môže to byť IP adresa, názov domény alebo iný sieťový identifikátor.
source.ip	ip	192.168.1.1	ESET	N/A	IP adresa zdrojového hostiteľa alebo koncového zariadenia, ktoré odosiela sieťovú komunikáciu.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	MAC adresa zdrojového sieťového rozhrania.
source.port	long	80	ESET	N/A	Číslo sieťového portu zdroja.

Súbor polí pre URL adresu

Predstavuje podrobnosti o URL adrese, ktorá je súčasťou udalosti. Tieto polia opisujú štruktúru a komponenty URL adresy.

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	Názov domény získaný z URL adresy.
url.extension	keyword	xml	ESET	N/A	Prípona súboru z cesty k URL adrese.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Úplná URL adresa.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Úplná URL adresa poskytnutá pôvodným dátovým zdrojom.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	Časť s cestou k URL adrese.
url.scheme	keyword	http	ESET	N/A	Použitý protokol alebo schéma.

Súbor polí pre používateľa

Predstavuje podrobnosti o používateľovi, ktorý je spojený s udalosťou. Polia pre používateľa by mali byť vnorené v:

•process.user.*

Názov poľa	Mapovanie polí	Príklad	Integrácie poskytujúce toto pole	Povolené hodnoty	Poznámka
user.name	keyword	john	ESET	N/A	Používateľské meno alebo názov účtu.
user.domain	keyword	contoso	ESET	N/A	Doména alebo oblasť, do ktorej používateľ patrí.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Jedinečný identifikátor používateľa.

Prípony

Vlastné prípony ECS sú dodatočné súbory polí zavedené integráciami na zachytenie údajov, ktoré nie sú zahrnuté v štandardnom formáte Elastic Common Schema. Tieto polia umožňujú získať komplexnejší kontext a atribúty špecifické pre dodávateľa pri zachovaní kompatibility s ECS. Prípony musia dodržiavať konvencie názvoslovia pre ECS a sú zoskupené v jasne vymedzenom priestore názvov s cieľom predísť konfliktom so štandardnými poľami ECS.

Prípona ESET

Prípona ESET štandardizuje údaje z produktov ESET mapovaním antivírusových detekcií a indikátorov správania na vlastné polia ECS v rámci eset.* namespace.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Poznámka
eset.aggregated_count	long	2	ESET	N/A	Ak bol ten istý indikátor spustený v krátkom časovom rozpätí, vytvorí len jeden dokument. Toto pole obsahuje číslo, koľko indikátorov vytvorilo konkrétny dokument.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	Identifikátor zdieľaný medzi súvisiacimi indikátormi ESET.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	GUID inštancie ESET PROTECT.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Informácie o digitálnom podpise. Pozrite si polia pre podpis kódu pre ECS.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Formát spustiteľného súboru.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Hashe spustiteľného súboru. Pozrite si súbor polí pre ECS hash.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Jedinečný identifikátor spustiteľného súboru.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Ak je hodnota kladná (true), spustiteľný súbor predstavuje dynamicky linkovanú knižnicu.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	Časová pečiatka, kedy súvisiaci súbor alebo spustiteľný súbor spustil antivírusovú detekciu, ktorá bola klasifikovaná ako blízky incident (napríklad podobná známemu malvéru, ale nie dostatočne na to, aby bola s istotou reportovaná ako malvér).
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Počet dní od prvého zachytenia spustiteľného súboru v LiveGrid®. Číslo sa zaokrúhľuje na ekvivalent bežných časových intervalov: deň, niekoľko dní, týždeň, mesiac, polrok, rok atď.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	Koľko počítačov nahlásilo spustiteľný súbor do LiveGrid®. Interval sa mapuje na mocniny čísla desať: •0.00 => 0 (ešte nenahlásené do LiveGrid®) •0.09 => 10⁰ = 1 •0.18 => 10¹ = 10 •0.27 => 10² = 100 •atď.
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Číslo udávajúce, ako bezpečný je spustiteľný súbor podľa LiveGrid®. Čím vyššie je toto číslo, tým dôveryhodnejší je spustiteľný súbor podľa LiveGrid®. •= 0.00 – malvér alebo súbor na blackliste •<= 0.38 – potenciálne nežiaduci alebo nebezpečný súbor •>= 0.88 – prevládajú čisté súbory
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Názov spustiteľného súboru vrátane prípony, ale bez cesty k adresáru.
eset.executable.marked_safe	boolean	false	ESET	N/A	Ak je hodnota kladná (true), spustiteľný súbor je označený ako bezpečný.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	Názov packera použitého na vytvorenie spustiteľného súboru na základe identifikácie ESET.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Pole interného názvu z metadát spustiteľného súboru.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Ak je hodnota kladná (true), spustiteľný súbor je ovládač systému Windows.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Pole verzie produktu z metadát spustiteľného súboru.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	Názov nástroja SFX použitý na vytvorenie spustiteľného súboru na základe identifikácie ESET.
eset.executable.size	long	3,417,240	ESET	N/A	Veľkosť spustiteľného súboru.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Obsahuje typ whitelistu. Tieto whitelisty spravuje ESET a nie sú konfigurovateľné používateľom.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	Predstavuje výsledok automatizovanej nápravy vykonanej bezpečnostným produktom ESET. •mitigated – boli prijaté čiastočné okamžité automatizované akcie na zníženie vplyvu hrozby, ale hrozba nebola úplne odstránená. Úplné vyriešenie problému si zvyčajne vyžaduje reštart systému. •remediated – hrozba bola úplne a trvalo odstránená zdrojovým systémom alebo automatizáciou alebo automatizovaným procesom, čo predstavuje úplné odstránenie hrozby a obnovenie do bezpečného stavu v čase detekcie. •unhandled – základný objekt alebo pozorovateľný objekt nebol riešený a neboli vykonané žiadne okamžité alebo automatizované akcie na jeho obmedzenie, odstránenie alebo zníženie jeho vplyvu. Ide naďalej o indikátor s vysokou prioritou, ktorý si vyžaduje rýchlu analýzu človekom, keďže hrozba je stále aktívna a nie obmedzená.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Uvádza Skupiny v ESET PROTECT, do ktorých zariadenie patrí. Skupiny sú zoradené od najvyššej po priamu nadradenú skupinu hostiteľa.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Jedinečný identifikátor hostiteľa. Rovnaký ako host.id.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Jedinečné identifikátory nadradených procesov.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Úroveň integrity nadradených procesov.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Názvy procesov pre nadradené procesy.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	PID procesov pre nadradené procesy.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Počet procesov vytvorených z nadradeného procesu.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Stav ukončenia nadradeného procesu.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Jedinečné identifikátory podradených procesov.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Úroveň integrity podradených procesov.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Názvy procesov pre podradené procesy.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Identifikátory procesov pre podradené procesy.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Počet procesov vytvorených z podradeného procesu.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Stav ukončenia podradených procesov.
eset.process.dns_query_count	long	0	ESET	N/A	Počet DNS požiadaviek vykonaných procesom.
eset.process.dropped_executable_count	long	1	ESET	N/A	Počet spustiteľných súborov procesu.
eset.process.http_request_count	long	9	ESET	N/A	Počet HTTP požiadaviek vykonaných procesom.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Jedinečný identifikátor procesu.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Úroveň integrity procesu.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Určuje úplnú cestu k súboru skratky v systéme Windows (LNK), ktorý bol použitý na spustenie procesu.
eset.process.modified_registry_count	long	42	ESET	N/A	Počet kľúčov databázy Registry systému Windows upravených procesom.
eset.process.network_connection_count	long	6	ESET	N/A	Počet sieťových pripojení vytvorených procesom.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Počet procesov vytvorených z procesu.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	Ak je hodnota kladná (true), je proces vylúčený z detekcie hrozieb aplikáciou ESET Endpoint Security z dôvodu nakonfigurovaného výkonnostného vylúčenia.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Uloží zreťazené hodnoty user.domain a user.name vo formáte domain\username, ktorý predstavuje účet, pod ktorým sa proces spúšťa.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	Textová reprezentácia poľa event.severity. Podľa poľa event.risk_score. •1 – 39 => Informačné (1) •40 – 69 => Varovanie (2) •70 – 100 => Hrozba (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	Kontextovo špecifická hodnota spojená s udalosťou definovanou v rámci eset.triggering_event.type. Toto pole obsahuje primárny objekt alebo parameter relevantný pre udalosť – napríklad cestu k súboru, cestu k procesu, kľúč registra, sieťovú adresu alebo iný zdroj, na ktorom sa udalosť vyskytla.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Jedinečné ID spúšťacej udalosti.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Ľubovoľné neschematické štruktúrované údaje závislé od typu udalosti.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Typ spúšťacej udalosti na základe pozorovaného správania.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Časová pečiatka označujúca, kedy bola vykonaná nápravná akcia.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Jedinečný identifikátor nápravnej akcie.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	Názov nápravnej akcie vykonanej modulom EDR (ESET Inspect). Podrobnejšie informácie nájdete v kapitole Akcie.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Označuje výsledok nápravnej akcie.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Verzia skenovacieho jadra alebo modulu ESET, ktorý detegoval alebo reportoval udalosť.

˄˅