Dátový formát pre Open XDR
Dátový formát pre Open XDR je založený na formáte Elastic Common Schema (ECS), čo je normalizovaný formát používaný pre ESET Open XDR. ECS zjednodušuje písanie požiadaviek a umožňuje spájať údaje z rôznych dátových zdrojov. Telemetrické udalosti, indikátory a incidenty sú normalizované do tejto schémy v rámci produktov a integrácií, ktoré sú súčasťou platformy Open XDR.
Údaje pre Open XDR sú dostupné z počítačov so spusteným ESET Management Agentom vo verzii 13.0+ a ESET Inspect Connectorom vo verzii 3.0+. Získajte viac informácií o zjednotení ESET Inspect a ESET PROTECT (Open XDR). |
Súbory polí
ECS definuje viacero skupín súvisiacich polí, známych ako súbory polí.
Polia pre agenta opisujú komponent softvéru, ktorý zhromažďuje, deteguje alebo monitoruje telemetrické udalosti alebo indikátory.
|
Základný súbor polí obsahuje všetky polia na úrovni koreňa udalostí. Tieto polia sú spoločné pre všetky typy udalostí.
|
Určené na zachytávanie metadát o prostriedkoch bežiacich v prostredí cloudu.
|
Polia popisujúce digitálny podpis súboru na disku, spustiteľného súboru, ktorý spustil proces, alebo dynamicky načítanej knižnice. Uvádzajú, či je súbor podpísaný, kto ho podpísal a či je podpis platný a dôveryhodný. Polia pre podpis kódu by mali byť vnorené v: •process.* •file.* •dll.*
|
Polia, ktoré opisujú cieľ sieťového pripojenia alebo prenosu údajov. Zvyčajne obsahuje podrobnosti o koncovom zariadení, ktoré prijíma údaje, ako je IP adresa, port alebo doména.
|
Polia opisujúce hardvérové zariadenie, ktorého sa udalosť týka. Zvyčajne ide o atribúty, ako sú identifikátory zariadenia, model, výrobca, sériové číslo a iné vlastnosti, ktoré pomáhajú identifikovať fyzické zariadenie generujúce alebo prijímajúce údaje.
|
Polia popisujúce dynamicky načítanú knižnicu (DLL), ktorej sa udalosť týka. Hoci názov odkazuje na systém Windows, tento súbor polí pokrýva viacero platforiem: •Dynamicky linkovaná knižnica (.dll) bežne používaná v systéme Windows •Zdieľaný objekt (.so) bežne používaný v operačných systémoch Unix •Dynamická knižnica (.dylib) bežne používaná v systéme macOS Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre DLL: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
Metainformácie špecifické pre ECS.
|
Polia, ktoré opisujú podrobnosti o udalosti alebo aktivite zachytenej systémom alebo aplikáciou. Tieto polia poskytujú kontext udalosti, napríklad kategóriu, typ, akciu, výsledok a časové pečiatky.
|
Predstavuje podrobnosti o súbore, ktorého sa udalosť týka. Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre súbor: •file.code_signature.* •file.hash.* •file.pe.*
|
Obsahuje kryptografické hodnoty hash, ktoré jedinečne identifikujú súbory. Polia pre hodnoty hash by mali byť vnorené v: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
Predstavuje podrobnosti o hostiteľovi (počítači, serveri alebo zariadení), kde udalosť vznikla alebo bola zaznamenaná. Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre hostiteľa: •host.os.*
|
Predstavuje podrobnosti o sieťovej aktivite súvisiacej s udalosťou. Tieto polia opisujú protokol, smer a identifikátory sieťovej komunikácie.
|
Predstavuje podrobnosti o operačnom systéme spustenom na hostiteľovi alebo zariadení. Polia pre hodnoty operačného systému by mali byť vnorené v: •host.os.*
|
Predstavuje metadáta extrahované z prenosného spustiteľného súboru PE systému Windows, napríklad spustiteľné súbory, knižnice DLL a ovládače. Polia pre súbory PE by mali byť vnorené v: •dll.pe.* •file.pe.* •process.pe.*
|
Predstavuje podrobnosti o procese spustenom na hostiteľovi, ktorý súvisí s udalosťou. Polia pre proces by mali byť vnorené v: •process.parent.* Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí pre proces: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
Obsahuje zoznamy identifikátorov, ktoré súvisia s udalosťou. Tieto hodnoty pomáhajú korelovať rôzne udalosti, ktoré môžu mať rovnakú hodnotu v rôznych poliach, napr. process.hash a process.parent.hash.
|
Predstavuje podrobnosti o indikátore. Tieto polia pomáhajú identifikovať, kategorizovať a korelovať indikátory na základe logiky detekcie, ktorá ich spustila.
|
Polia, ktoré opisujú zdroj sieťového pripojenia alebo prenosu údajov. Zvyčajne obsahuje podrobnosti o koncovom zariadení, ktoré odosiela údaje, ako je IP adresa, port alebo doména.
|
Predstavuje podrobnosti o URL adrese, ktorá je súčasťou udalosti. Tieto polia opisujú štruktúru a komponenty URL adresy.
|
Predstavuje podrobnosti o používateľovi, ktorý je spojený s udalosťou. Polia pre používateľa by mali byť vnorené v: •process.user.*
|
Prípony
Vlastné prípony ECS sú dodatočné súbory polí zavedené integráciami na zachytenie údajov, ktoré nie sú zahrnuté v štandardnom formáte Elastic Common Schema. Tieto polia umožňujú získať komplexnejší kontext a atribúty špecifické pre dodávateľa pri zachovaní kompatibility s ECS. Prípony musia dodržiavať konvencie názvoslovia pre ECS a sú zoskupené v jasne vymedzenom priestore názvov s cieľom predísť konfliktom so štandardnými poľami ECS.
Predpona ESET
Predpona ESET štandardizuje údaje z produktov ESET mapovaním antivírusových detekcií a indikátorov správania na vlastné polia ECS v rámci priestoru názvov ESET.
Polia pre predpony ESET by mali byť vnorené v:
•eset.*
Základný súbor polí ESET obsahuje všetky polia na úrovni koreňa eset.* namespace.
|
Predstavuje podrobnosti o nadradených procesoch. Polia pre nadradené procesy by mali byť vnorené v: •eset.process.ancestors.* Nasledujúce polia ECS by mali byť vnorené pod eset.executable: •hash.*
|
Predstavuje podrobnosti o podradených procesoch. Polia pre podradené procesy by mali byť vnorené v: •eset.process.children.* Nasledujúce polia ECS by mali byť vnorené pod eset.executable: •hash.*
|
Poskytuje informácie o spustiteľnom súbore spojenom s udalosťou. Ak sa toto pole zobrazí pod eset.process.*, odkazuje konkrétne na spustiteľný súbor procesu spusteného na hostiteľovi v súvislosti s danou udalosťou. Polia pre spustiteľné súbory by mali byť vnorené v: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* Nasledujúce polia ECS by mali byť vnorené pod eset.executable: •code_signature.* •hash.* Nasledujúce polia pre predpony ESET by mali byť vnorené pod eset.executable: •livegrid_findings.*
|
Poskytuje informácie zo systému ESET LiveGrid®, ktoré sa týkajú spustiteľného súboru. Polia pre nálezy ESET LiveGrid by mali byť vnorené v: •eset.executable.*
|
Poskytuje informácie o knižniciach, ktoré boli v procese načítané v čase vytvorenia indikátora. Polia pre nálezy ESET LiveGrid by mali byť vnorené v: •eset.process.loaded_libraries.* Nasledujúce súbory polí by mali byť vnorené v rámci súboru polí eset.loaded_libraries: •eset.executable.*
|
Predstavuje podrobnosti o procese spustenom na hostiteľovi, ktorý súvisí s udalosťou. Nasledujúce súbory polí môžu byť vnorené v rámci súboru polí eset.process: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
Predstavuje úlohu vykonanú v reakcii na vyvolanie pravidla EDR, ktorej cieľom je zmierniť alebo zneškodniť potenciálnu bezpečnostnú hrozbu. Polia pre nápravné akcie ESET by mali byť vnorené v: •eset.*
|
Predstavuje informáciu o spúšťacej udalosti, ktorá vyvolala pravidlo. Polia ESET pre spúšťacie udalosti by mali byť vnorené v: •eset.triggering_event.*
|
Predpona ESET pre metadáta štandardizuje metadáta ESET pre bezpečnostné udalosti. Zachytáva podrobnosti o zákazníkoch, službách a nasadení, čo pomáha pri určovaní priorít incidentov a ich smerovaní v rámci bezpečnostných centier ESET (SOC). Polia pre metadáta ESET by mali byť vnorené v: •eset_metadata.*
|