Yardım içeriğinde arayın

Open XDR Veri Formatı

Breadcrumb'lar

ESET Online Yardım > ESET PROTECT > ESET PROTECT Ürününü Kullanma > ESET PROTECT Ana Menü > Gelişmiş Arama > Open XDR Veri Formatı

Geçerli makale URL'sini kopyala E-posta ile paylaş

Bu makale (PDF) Tüm belgeler (PDF)

Open XDR Veri Formatı, ESET Open XDR için kullanılan normalleştirilmiş format olan Elastic Common Schema (ECS) temellidir. ECS, sorgu yazmayı basitleştirir ve farklı veri kaynakları arasında veri ilişkilendirmesini sağlar. Telemetri etkinlikleri, göstergeler ve olaylar, Open XDR Platformu'nun bir parçası olan ürünler ve entegrasyonlar arasında bu şemaya göre normalleştirilir.

Open XDR Verileri, ESET Management Agent sürüm 13.0+ ve ESET Inspect Connector 3.0+ uygulamalarını çalıştıran bilgisayarlardan temin edilebilir.

ESET Inspect ve ESET PROTECT (Open XDR) birleştirme hakkında daha fazla bilgi edinin.

Alan Kümeleri

ECS Alan Kümeleri olarak bilinen birden fazla ilgili alan grubunu tanımlar.

Agent Alan Kümesi

Agent alanları, telemetri olaylarını veya göstergelerini toplayan, tespit eden veya gözlemleyen yazılım bileşenini tanımlar.

Alan Adı

Alan Haritalama

Örnek

Bu alanı sağlayan entegrasyonlar

İzin verilen değerler

Not

agent.build.original

keyword

13.01115.0

ESET

N/A

Genişletilmiş yapı bilgisi.

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

Olayı toplayan veya gözlemleyen agent veya entegrasyon türü.

•endpoint-security - Uç nokta koruma verileri için (ESET PROTECT)

•endpoint-detection-response - EDR verileri için (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

Agent'ın versiyonu.

Temel Alan Kümeleri

Temel alan kümesi, olayların kökünde yer alan tüm alanları içerir. Bu alanlar tüm olay türlerinde ortaktır.

Alan Adı

Alan Haritalama

Örnek

Bu alanı sağlayan entegrasyonlar

İzin verilen değerler

Not

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

Olayın başladığı tarih/saat. Genellikle olay kaynağından alınır. Mevcut değilse hattın olayı ilk aldığı zamana ayarlanır.

Tüm zaman damgası alanları UTC olarak saklanır. Görüntülendiğinde, konsol kullanıcı ayarlarında belirlenen zaman dilimine dönüştürülür.

Bulut Alan Kümesi

Bulut ortamında çalışan kaynaklarla ilgili meta verileri yakalamak için tasarlanmıştır.

Alan Adı

Alan Haritalama

Örnek

Bu alanı sağlayan entegrasyonlar

İzin verilen değerler

Not

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

Kaynağın çalıştığı bulut hizmet sağlayıcısını tanımlar.

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

Bulut sağlayıcısı tarafından sağlanan örnek (sanal makine veya hesaplama kaynağı) için benzersiz tanımlayıcı.

Kod İmzası Alan Kümesi

Diskteki bir dosyanın dijital imzasını, bir süreci başlatan bir yürütülebilir dosyayı veya dinamik olarak yüklenen bir kütüphaneyi tanımlayan alanlar. Dosyanın imzalanıp imzalanmadığını, kimin imzaladığını ve imzanın geçerli ve güvenilir olup olmadığını belirtir. Kod imza alanlarının şurada iç içe olması beklenmektedir:

•process.*

•file.*

•dll.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
code_signature.exists	boolean	true	ESET	N/A	Dijital imzanın var olup olmadığını gösterir. Yalnızca veriler ESET Inspect kaynağından geldiğinde doldurulur.
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	Dosyayı imzalayan varlıkla ilişkilendirilen tanımlayıcı. Sadece veriler macOS cihazlarındaki ESET Inspect kaynağından geldiğinde doldurulur.
code_signature.status	keyword	trusted	ESET	ESET için aşağıdaki değerlere izin verilir: •trusted •valid •adhoc •none •invalid •unknown •present	Dijital imzanın doğrulama durumu; güvenilir, geçersiz veya başka bir durumda olup olmadığını gösterir. Yalnızca veriler ESET Inspect kaynağından geldiğinde doldurulur. •trusted - ESET tarafından güvenilen imza. •valid - İşletim sistemi tarafından güvenilen imza. •adhoc - Kendi kendine imzalanmış (sadece macOS). •none - İmza yok. •invalid - İşletim sistemi tarafından güvenilmeyen, bozulmuş veya iptal edilmiş imza. •unknown - İmzanın var olup olmadığı belirlenemiyor. •present - İmza var, ancak güven doğrulanamadı.
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	Dosyayı imzalayan kuruluşun (kişi, organizasyon veya yayıncı) adı, dijital imzada belirtildiği şekilde. Yalnızca veriler ESET Inspect kaynağından geldiğinde doldurulur.
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	Dosyayı imzalayan geliştirme ekibine atanmış tanımlayıcı. Sadece veriler macOS cihazlarındaki ESET Inspect kaynağından geldiğinde doldurulur.

Hedef Alan Kümesi

Bir ağ bağlantısının veya veri aktarımının hedefini tanımlayan alanlar. Bu genellikle veriyi alan uç noktayla ilgili IP adresi, bağlantı noktası, etki alanı gibi detayları içerir.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
destination.address	keyword	192.168.1.1	ESET	N/A	Kaynak tarafından sağlandığı şekliyle hedefin ham adresi. Bu bir IP adresi, bir etki alanı adı veya başka bir ağ tanımlayıcısı olabilir.
destination.ip	ip	192.168.1.1	ESET	N/A	Ağ trafiğini alan hedef ana bilgisayarın veya uç noktanın IP adresi.
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	Hedef ağ arayüzünün MAC adresi.
destination.port	long	22	ESET	N/A	Hedefin ağ bağlantı noktası numarası.

Cihaz Alan Kümesi

Olaya dahil olan donanım cihazını tanımlayan alanlar. Bu genellikle cihaz tanımlayıcıları, model, üretici, seri numarası ve veri üreten veya alan fiziksel cihazı tanımlamaya yardımcı olan diğer özellikleri gibi öznitelikleri içerir.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	Cihazı üreten şirket veya satıcının adı.
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	Üretici tarafından farklı donanım modellerini ayırt etmek için sağlanan cihaz modeli için benzersiz bir tanımlayıcı.
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	Üretici tarafından cihaza atanan benzersiz seri numarası.

DLL Alan Kümesi

Bir olayda yer alan dinamik yüklü bir kütüphaneyi tanımlayan alanlar. Ad Windows merkezli olsa da bu alan kümesi birden fazla platformu kapsar:

•Windows'da yaygın olarak kullanılan dinamik bağlantı kütüphanesi (.dll)

•Unix benzeri işletim sistemlerinde yaygın olarak kullanılan Paylaşılan Nesne (.so)

•macOS'te yaygın olarak kullanılan dinamik kütüphane (.dylib)

Aşağıdaki alan kümeleri DLL alan kümesi altında iç içe yerleştirilebilir:

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
dll.name	keyword	scrobj.dll	ESET	N/A	Yol olmadan dinamik olarak yüklenen kütüphane dosyasının adı.
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	Dinamik olarak yüklenen kütüphaneye giden tam dosya sistemi yolu.

ECS Alan Kümesi

ECS'ye özgü meta bilgiler.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
ecs.version	keyword	8.16	all	N/A	Bu olayın uyduğu ECS versiyonu.

Olay Alan Kümesi

Bir sistem veya uygulama tarafından yakalanan bir olay veya etkinliğin detaylarını tanımlayan alanlar. Bu alanlar olay kategorisi, türü, eylemi, sonucu ve zaman damgaları gibi bağlamlar sunar.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
event.action	keyword	file-cleaned	ESET	ESET için aşağıdaki değerlere izin verilir: •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	Olayı tetikleyen özel eylem veya işlem. Alan yalnızca belirli olay için geçerliyse sağlanır.
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	Benzer etkinlik türlerini gruplandırmak için kullanılan üst düzey olay sınıflandırması. Bu alan, daha kolay filtreleme ve analiz için olayların geniş işlevsel kategoriler şeklinde düzenlenmesine yardımcı olur. Bu alan birden fazla değer içerebilir.
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	Agent'ın olayı ilk aldığı veya gözlemlediği zaman damgasını temsil eder. Değer @timestamp değerinden biraz farklı olmalıdır.
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	Olayın ait olduğu veri kümesinin adı. Bu değer genellikle aynı kaynaktan veya entegrasyondan olan ilgili olayları gruplandırmak için kullanılır.
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	Olayın benzersiz kimliği.
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	Olayın ESET PROTECT konsoluna geldiği zaman damgasını temsil eder.
event.kind	keyword	alert	all	ESET için aşağıdaki değerlere izin verilir: •alert •event	Olayın taşıdığı bilgi türünün üst düzey sınıflandırılması. ESET bağlamında, değer uyarısı bir göstergeye karşılık gelirken, olay bir telemetri olayına atıfta bulunur.
event.module	keyword	eset	all	ESET için aşağıdaki değerlere izin verilir: •eset	Olayı üreten entegrasyonun adını tanımlar. Bu alan, olayları kaynaklarına göre gruplandırmak için kullanılır.
event.outcome	keyword	success	Tümü	•failure •success •unknown	Olayın veya eylemin sonucunu gösterir.
event.provider	keyword	Real-time file system protection	ESET	N/A	Olayı üreten sistem içindeki kaynağı veya bileşeni tanımlar. Bu genellikle veriyi üreten uygulama, hizmet veya alt sistemin adıdır. ESET bağlamında, bu değer bazen tarayıcı olarak adlandırılır ve olayı hangi ESET tarama motoru veya modülünün tespit ettiğini veya raporladığını gösterir.
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	Olayın neden gerçekleştiğine dair açıklamalı bir tanım sunar. Bu alan olayın nedenini, tetikleyicisini veya gerekçesini netleştiren insan tarafından okunabilen bir metin içerir.
event.risk_score	float	40	ESET	N/A	Olay kaynağı tarafından sağlanan, olayın tahmini riskini temsil eden sayısal değer.
event.severity	long	2	ESET	N/A	Olay kaynağı tarafından sağlanan, olayın önem derecesini temsil eden sayısal değer.
event.type	keyword dizi	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	Olayın kendi kategorisindeki spesifik türünü veya eylemini tanımlar. Bu alan event.category yerine daha ayrıntılı sınıflandırma sağlar.

Dosya Alan Kümesi

Olaya dahil olan bir dosyanın detaylarını temsil eder. Aşağıdaki alan kümeleri dosya alan kümesi altında iç içe yerleştirilebilir:

•file.code_signature.*

•file.hash.*

•file.pe.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
file.directory	keyword	C:\Windows\System32	ESET	N/A	Dosyanın bulunduğu dizin yolu, dosya adı hariç.
file.extension	keyword	dll	ESET	N/A	Dosyanın uzantısı, önündeki nokta hariç.
file.name	keyword	rasadhlp.dll	ESET	N/A	Dosyanın adı, uzantı dahil ancak dizin yolu olmadan.
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	Dosyaya giden tam yol, dizinler ve dosya adı dahil.
file.type	keyword	file	ESET	•file •directory •symlink	Dosyanın genel türü. Dosya sistemindeki nesnenin doğasını gösterir.

Hash Alan Kümesi

Dosyaları benzersiz şekilde tanımlayan kriptografik hash değerlerini içerir. Hash alanlarının iç içe yerleştirilmesi beklenir:

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	Dosyanın veya verinin MD5 hash'i.
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	Dosyanın veya verinin SHA1 hash'i.
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	Dosyanın veya verinin SHA256 hash'i.

Ana Bilgisayar Alan Kümesi

Olayın kaynaklandığı veya gözlemlendiği ana bilgisayar (bilgisayar, sunucu veya cihaz) hakkındaki detayları temsil eder. Aşağıdaki alan kümeleri ana bilgisayar alan kümesi altında iç içe yerleştirilebilir:

•host.os.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
host.architecture	keyword	x86-64	ESET	N/A	Ana bilgisayarın CPU mimarisi.
host.domain	keyword	CONTOSO	ESET	N/A	Genellikle ana bilgisayarın ait olduğu Active Directory etki alanını temsil eden ana bilgisayar etki alanı adı.
host.hostname	keyword	SRV-02	ESET	N/A	İşletim sistemi ana bilgisayar komutu tarafından bildirilen ana bilgisayar adı.
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Ana bilgisayar için benzersiz tanımlayıcı.
host.ip	ip array	192.168.1.35	ESET	N/A	Ana bilgisayara atanan IP adresleri.
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	Ana bilgisayarın ağ arayüzlerinin MAC adresleri.
host.name	keyword	SRV-02.contoso.local	ESET	N/A	Ana bilgisayar adı.
host.type	keyword	server	ESET	ESET için aşağıdaki değerlere izin verilir: •workstation •server •mobile	Ana bilgisayar türü.

Ağ Alan Kümesi

Olayla ilgili ağ faaliyeti hakkındaki detayları temsil eder. Bu alanlar ağ trafiği için protokolü, yönü ve tanımlayıcıları açıklar.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	Bir ağ akışını 5 değer sistemi (kaynak IP, hedef IP, kaynak bağlantı noktası, hedef bağlantı noktası ve aktarım protokolü) temelinde benzersiz şekilde tanımlayan bir hash değeri. Farklı sistemler ve araçlar arasında ağ oturumlarını tutarlı şekilde ilişkilendirmek için bir yol sunar. Daha fazla bilgi için github'a gidin.
network.direction	keyword	ingress	ESET	•ingress •egress	Ana bilgisayara göre trafiğin yönü.
network.protocol	keyword	ssh	ESET	N/A	Kullanılan ağ protokolünün adı. OSI modelinde bu, Uygulama katmanına eşdeğerdir.
network.transport	keyword	tcp	ESET	N/A	Altta yatan taşıma protokolü. OSI modelinde bu, Aktarım katmanına eşdeğerdir.
network.type	keyword	ipv4	ESET	N/A	Ağ trafiği türü. OSI modelinde bu, Ağ katmanına eşdeğerdir.

İşletim Sistemi Alan Kümesi

Bir ana bilgisayarda veya cihazda çalışan işletim sistemiyle ilgili detayları temsil eder. İşletim sistemi alanlarının şurada iç içe olması beklenir:

•host.os.*

Alan Adı

Alan Haritalama

Örnek

Bu alanı sağlayan entegrasyonlar

İzin verilen değerler

Not

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

İşletim sisteminin insan tarafından okunabilir adı.

os.type

keyword

windows

ESET

ESET için aşağıdaki değerlere izin verilir:

•windows

•linux

•macos

•ios

•android

İşletim sisteminin genel türü.

os.version

keyword

10.0.19045.6456

ESET

N/A

İşletim sisteminin sürüm dizisi.

PE Alan Kümesi

Windows Taşınabilir Yürütülebilir (PE) dosyasından çıkarılan meta verileri (örneğin yürütülebilir dosyalar, DLL'ler ve sürücüleri) temsil eder. PE alanlarının şurada iç içe olması beklenir:

•dll.pe.*

•file.pe.*

•process.pe.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
pe.architecture	keyword	x64	ESET	N/A	Taşınabilir Yürütülebilir (PE) dosyasının oluşturulduğu CPU mimarisini belirtir.
pe.company	keyword	Google LLC	ESET	N/A	Yürütülebilir dosyayı yayımlayan şirketin adı.
pe.description	keyword	Google Chrome	ESET	N/A	Dosya amacının açıklaması.
pe.original_file_name	keyword	chrome.exe	ESET	N/A	Yürütülebilir dosyanın derlenip imzalandığında sahip olduğu ad.
pe.product	keyword	Google Chrome	ESET	N/A	Dosyanın ait olduğu ürünün adı.
pe.file_version	keyword	142.0.7444.176	ESET	N/A	Dosyanın meta verilerinde belirtilen versiyonu.

Süreç Alan Kümesi

Etkinlikle ilgili bir ana bilgisayarda çalışan bir sürecin detaylarını temsil eder. Süreç alanlarının şurada iç içe olması beklenmektedir:

•process.parent.*

Aşağıdaki alan kümeleri süreç alan kümesi altında iç içe geçirilebilir:

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	Sürece iletilen argümanlar dizisi.
process.args_count	long	5	ESET	N/A	Sürece iletilen argümanların sayısı.
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	Süreci başlatmak için kullanılan tam komut satırı (argümanlar dahil).
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	Sürecin ne zaman sona erdiğini gösteren zaman damgası. Alan doldurulmuyorsa olay oluşturulduğunda süreç hâlâ çalışıyordur.
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	Süreç için benzersiz tanımlayıcı. Uygulama veri kaynağına bağlıdır.
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	Süreç çalıştırılabilir dosyasının tam yolu.
process.name	keyword	whoami.exe	ESET	N/A	Yürütülebilir sürecin adı.
process.pid	long	9988	ESET	N/A	İşletim sistemi tarafından atanan süreç kimliği.
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	Sürecin başladığı zamanı gösteren zaman damgası.

İlgili Alan Kümesi

Olayla ilgili tanımlayıcı listelerini içerir. Bu değerler, farklı alanlarda aynı değere sahip olabilecek farklı olaylar arasında pivotlama yapmaya yardımcı olur, örneğin process.hash ve process.parent.hash.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	Olayla ilgili hash'lerin dizisi.
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	Olayla ilgili ana bilgisayarların dizisi.
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	Olayla ilgili IP adreslerinin dizisi.
related.user	keyword array	S-1-5-18, system	ESET	N/A	Olayla ilgili kullanıcı tanımlayıcılarının dizisi.

Kural Alan Kümesi

Bir göstergenin detaylarını temsil eder. Bu alanlar, onları tetikleyen tespit mantığına göre göstergeleri tanımlamaya, sınıflandırmaya ve ilişkilendirmeye yardımcı olur.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
rule.author	keyword	ESET	ESET	N/A	Tespit kuralının yazarı.
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	Kuralın adı. Bu değer tüm göstergeler tarafından doldurulmalıdır.
rule.category	keyword	File System	ESET	N/A	Kuralın geniş kategorisi.
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	Kural için benzersiz tanımlayıcı (tüm sistem kapsamı içinde). Kural yazarı tarafından atanmıştır. ESET Inspect için bu, kural kaynak kodundaki <guid> etiketlerinde kullanılan değerdir.
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	Kural versiyonu için benzersiz tanımlayıcı (ana bilgisayar kapsamı içinde). Genellikle tespit altyapısı tarafından atanır.
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	Kuralın tespiti veya amacıyla ilgili insan tarafından okunabilir bir açıklama sunar. Bu alan, analistlerin uyarının ardındaki mantığı veya bağlamı tam kural tanımını gözden geçirmeden anlamalarına yardımcı olur. ESET Inspect için bu, kural kaynak kodundaki <explanation> etiketlerinin içeriğidir.

Kaynak Alan Kümesi

Bir ağ bağlantısının veya veri aktarımının kaynağını tanımlayan alanlar. Bu genellikle veriyi gönderen uç nokta ile ilgili IP adresi, bağlantı noktası, alan adı gibi detayları içerir.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
source.address	keyword	192.168.1.1	ESET	N/A	Kaynağın ham adresi (kaynak tarafından sağlandığı şekliyle). Bu bir IP adresi, bir etki alanı adı veya başka bir ağ tanımlayıcısı olabilir.
source.ip	ip	192.168.1.1	ESET	N/A	Ağ trafiğini gönderen kaynak ana bilgisayar veya uç noktanın IP adresi.
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	Kaynak ağ arayüzünün MAC adresi.
source.port	long	80	ESET	N/A	Kaynağın ağ bağlantı noktası numarası.

URL Alan Kümesi

Olayda yer alan bir URL ile ilgili detayları temsil eder. Bu alanlar, URL'nin yapısını ve bileşenlerini tanımlar.

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	URL'den çıkarılan etki alanı adı.
url.extension	keyword	xml	ESET	N/A	URL yolundan dosya uzantısı.
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Tam URL.
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	Orijinal veri kaynağı tarafından sağlanan tam URL.
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	URL'nin yol kısmı.
url.scheme	keyword	http	ESET	N/A	Kullanılan protokol veya şema.

Kullanıcı Alan Kümesi

Olayla ilişkilendirilen bir kullanıcı hakkında detayları temsil eder. Kullanıcı alanlarının şurada iç içe olması beklenir:

•process.user.*

Alan Adı	Alan Haritalama	Örnek	Bu alanı sağlayan entegrasyonlar	İzin verilen değerler	Not
user.name	keyword	john	ESET	N/A	Kullanıcı adı veya hesap adı.
user.domain	keyword	contoso	ESET	N/A	Kullanıcının ait olduğu etki alanı ya da bölge.
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	Kullanıcının benzersiz tanımlayıcısı.

Uzantılar

Özel ECS uzantıları, standart Elastik Ortak Şema kapsamında olmayan verileri yakalamak için entegrasyonlar tarafından eklenen ek alan kümeleridir. Bu alanlar, ECS ile uyumluluğu korurken daha zengin bağlam ve satıcıya özgü özellikler sağlar. Uzantılar, ECS adlandırma kurallarına uymalı ve standart ECS alanlarıyla çakışmaları önlemek için net bir ad alanı altında gruplandırılmalıdır.

ESET Uzantısı

ESET Uzantısı, antivirus tespitlerini ve davranış göstergelerini eset.* namespace altındaki özel ECS alanlarıyla eşleyerek ESET ürünlerinden gelen verileri standart hale getirir.

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	Not
eset.aggregated_count	long	2	ESET	N/A	Aynı gösterge kısa bir zaman diliminden tetiklenirse sadece bir belge üretir. Bu alan, belirli belgeyi üreten göstergelerin sayısını içermektedir.
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	İlgili ESET göstergeleri arasında paylaşılan tanımlayıcı.
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	ESET PROTECT örneğinin GUID'i.
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	Dijital imza hakkında bilgi. ECS Kod İmzası alanlarına bakın.
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	Yürütülebilir dosyanın biçimi.
eset.executable.hash.*	N/A	N/A	ESET	N/A	Yürütülebilir dosyanın hash'leri. ECS hash alan kümesine bakın.
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	Yürütülebilir dosyanın benzersiz tanımlayıcısı.
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	Doğruysa, yürütülebilir dosya dinamik olarak bağlı kütüphaneyi temsil eder.
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	İlgili dosya veya yürütülebilir dosyanın, örneğin bilinen zararlı yazılımlara benzer ancak güvenilir biçimde zararlı olarak raporlanacak kadar güçlü bulunmadığı için near miss (sınırda tespit) olarak sınıflandırılan bir antivirus tespitini tetiklediği zaman damgası.
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	Yürütülebilir dosyanın LiveGrid® içinde ilk kez görülmesinden bu yana geçen gün sayısı. Sayı, yaygın zaman kovalarının eşdeğerine yuvarlanır: gün, birkaç gün, hafta, ay, yılın yarısı, yıl vb.
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	LiveGrid® aracına bir yürütülebilir dosyayı raporlayan bilgisayarların sayısı. Aralık onluk kuvvetlere eşlenir: •0,00 => 0 (henüz LiveGrid®'e bildirilmemiş) •0,09 => 10⁰ = 1 •0,18 => 10¹ = 10 •0,27 => 10² = 100 •ve benzeri
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	Yürütülebilir dosyanın LiveGrid®'e göre ne kadar güvenli olduğunu gösteren sayı. Sayı ne kadar yüksekse yürütülebilir dosya LiveGrid® tarafından o kadar güvenilir olur. •= 0,00 - zararlı yazılım veya kara listeye alınmış •<= 0,38 - potansiyel olarak istenmeyen veya güvenilir olmayan •>= 0,88 - yaygın temiz dosyalar
eset.executable.name	keyword	usoclient.exe	ESET	N/A	Yürütülebilir dosyanın adı (uzantı dahil ancak dizin yolu olmadan).
eset.executable.marked_safe	boolean	false	ESET	N/A	Doğruysa yürütülebilir dosya güvenli olarak işaretlenir.
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	ESET tarafından tanımlandığı şekliyle yürütülebilir dosyayı oluşturmak için kullanılan paketleyicinin adı.
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	Yürütülebilir meta verilerinden dahili ad alanı.
eset.executable.pe_is_native	boolean	false	ESET	N/A	Doğruysa yürütülebilir dosya bir Windows sürücüsüdür.
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	Yürütlebilir meta verilerden alınan ürün sürüm alanı.
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	ESET tarafından tanımlandığı şekliyle yürütülebilir dosyayı oluşturmak için kullanılan SFX aracının adı.
eset.executable.size	long	3,417,240	ESET	N/A	Yürütülebilir dosyanın boyutu.
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	Beyaz liste türünü içerir. Bu beyaz listeler ESET tarafından yönetilir ve kullanıcı tarafından yapılandırılamaz.
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	ESET güvenlik ürünü tarafından yürütüldüğü şekliyle otomatik düzeltmenin sonucunu temsil eder. •mitigated - Tehdidin etkisini azaltmak için kısmi anında otomatik önlemler alınmıştır ancak tehdit tamamen ortadan kaldırılmamıştır. Tam çözünürlük genellikle sistemin yeniden başlatılmasını gerektirir. •remediated - Tehdit; kaynak sistem, otomasyon veya otomatik bir süreç tarafından tamamen ve kalıcı olarak çözülmüştür; bu da tespit anında tamamen yok edilip güvenli bir duruma geri dönüş anlamına gelir. •unhandled - Altta yatan eser veya gözlemlenebilir nesne ele alınmamış ve etkisini sınırlamak, yok etmek ya da azaltmak için hemen veya otomatik işlem yapılmamıştır. Bu, tehdit hâlâ aktif ve engellenmemiş halde olduğu için hızlı insan analizi gerektiren yüksek öncelikli bir gösterge olarak kalır.
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	Cihazın ait olduğu ESET PROTECT Yönetici Gruplarını listeler. Gruplar, en üstten ana bilgisayarın doğrudan bağlı olduğu üst gruba kadar sıralanır.
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	Ana bilgisayar için benzersiz tanımlayıcı. host.id ile aynı şekilde.
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	Ata süreçlerin benzersiz tanımlayıcıları.
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Ata süreçlerin bütünlük seviyesi.
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	Ata süreçlerin süreç adları.
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	Ata süreçlerin süreç PID'leri.
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	Ata sürecinden doğan süreçlerin sayısı.
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	Ata sürecin sonlandırma durumu.
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	Alt süreçlerinin benzersiz tanımlayıcıları.
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	Alt süreçlerin bütünlük seviyesi.
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	Alt süreçlerin süreç adları.
eset.process.children.pid	long array	708, 7,964	ESET	N/A	Alt süreçlerinin süreç tanımlayıcıları.
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	Alt süreçten doğan süreç sayısı.
eset.process.children.terminated	boolean array	true, false	ESET	N/A	Alt süreçlerin sonlandırma durumu.
eset.process.dns_query_count	long	0	ESET	N/A	Süreç tarafından yapılan DNS sorgularının sayısı.
eset.process.dropped_executable_count	long	1	ESET	N/A	Süreç tarafından bırakılan yürütülebilirdosyaların sayısı.
eset.process.http_request_count	long	9	ESET	N/A	Süreç tarafından yapılan HTTP isteklerinin sayısı.
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	Sürecin benzersiz tanımlayıcısı.
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	Sürecin bütünlük seviyesi.
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	Süreci başlatmak için kullanılan Windows kısayol (.lnk) dosyasına giden tam dosya sistemi yolunu belirtir.
eset.process.modified_registry_count	long	42	ESET	N/A	Süreç tarafından değiştirilen Windows Kayıt Defteri anahtarlarının sayısı.
eset.process.network_connection_count	long	6	ESET	N/A	Süreç tarafından kurulan ağ bağlantılarının sayısı.
eset.process.spawned_child_process_count	long	2	ESET	N/A	Süreçten doğan süreçlerin sayısı.
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	true ise yapılandırılmış bir performans tarama dışı bırakma nedeniyle süreç ESET Endpoint Security tehdit tespitinden hariç tutulur.
eset.process.username	keyword	contoso\administrator	ESET	N/A	Bağlantılı user.domain ve user.name öğelerini, sürecin yürütüleceği hesabı temsil eden domain\username biçiminde depolar.
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	event.severity alanının metinsel temsili. event.risk_score alanına göre. •1-39 => Bilgilendirme amaçlı (1) •40-69 => Uyarı (2) •70-100 => Tehdit (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	eset.triggering_event.type türünde tanımlanan olayla ilişkilendirilen bağlama özgü bir değer. Bu alan, olayla ilgili birincil nesne veya parametreyi içerir; örneğin dosya yolu, süreç yolu, kayıt anahtarı, ağ adresi veya olayın gerçekleştiği diğer kaynak.
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	Tetikleyici olayın benzersiz kimliği.
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	Rastgele şematik olmayan, olay türüne bağlı yapılandırılmış veriler.
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	Gözlemlenen davranışa göre tetikleyici olayın türü.
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	Düzeltme işleminin ne zaman yapıldığını gösteren zaman damgası.
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	Düzeltme işleminin benzersiz kimliği.
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	EDR tarafından gerçekleştirilen düzeltme eyleminin adı (ESET Inspect). Daha fazla bilgi için Kurallar Rehberi Eylemler bölümüne bakın.
eset.remediationactions.outcome	keyword array	true	ESET	N/A	Düzeltme işleminin sonucunu gösterir.
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	Olayı tespit eden veya bildiren ESET tarama motoru ya da modül versiyonu.

˄˅