Формат даних Open XDR
Формат даних Open XDR базується на Elastic Common Schema (ECS) — нормалізованому форматі, що використовується в ESET Open XDR. ECS спрощує написання запитів і дає змогу корелювати дані між різними джерелами. Події телеметрії, індикатори й інциденти нормалізуються відповідно до цієї схеми у всіх продуктах і інтеграціях, що входять до платформи Open XDR.
|
Дані Open XDR взято з комп’ютерів, на яких запущено ESET Management Agent версії 13.0+ і ESET Inspect Connector версії 3.0+. Дізнайтеся більше про об’єднання ESET Inspect і ESET PROTECT (Open XDR). |
Набори полів
ECS визначає кілька груп пов’язаних полів, відомих як набори.
Поля агента описують компонент програмного забезпечення, який збирає, виявляє або відстежує події телеметрії чи індикатори.
|
Базовий набір полів містить усі поля на верхньому рівні події. Ці поля є спільними для всіх типів подій.
|
Призначений для збору метаданих ресурсів, які запущено в хмарному середовищі.
|
Поля, що описують цифровий підпис файлу на диску, виконуваного файлу, що запустив процес, або динамічно завантажуваної бібліотеки. Вони вказують, чи підписаний файл, хто його підписав, а також чи є підпис дійсним і довіреним. Поля цифрового підпису коду мають бути вкладені в одному з таких об’єктів: •process.* •file.* •dll.*
|
Поля, що описують ціль підключення до мережі або передавання даних. Зазвичай містять відомості про робочу станцію, яка отримує дані, зокрема IP-адресу, порт і домен.
|
Поля, що описують апаратний пристрій, залучений до події. Зазвичай містять такі атрибути, як ідентифікатори пристрою, модель, виробник, серійний номер і інші характеристики, які допомагають ідентифікувати фізичний пристрій, що генерує або отримує дані.
|
Поля, що описують динамічно завантажувану бібліотеку, залучену до події. Хоча назва набору полів походить з екосистеми Windows, цей набір охоплює кілька платформ: •Бібліотека динамічного компонування (.dll) — зазвичай використовується у Windows •Спільний об’єкт (.so) — зазвичай використовується в Unix-подібних операційних системах •Динамічна бібліотека (.dylib) — зазвичай використовується в macOS У набір полів бібліотеки DLL можуть бути вкладені такі набори: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
Метадані, характерні для ECS.
|
Поля, що описують докладні відомості про подію або активність, зафіксовану системою чи програмою. Ці поля надають контекст, зокрема категорію, тип, дію, результат і часові мітки події.
|
Описує відомості про файл, залучений до події. У набір полів файлу можуть бути вкладені такі набори: •file.code_signature.* •file.hash.* •file.pe.*
|
Містить криптографічні хеш-значення, які однозначно ідентифікують файли. Поля хешу мають бути вкладені в одному з таких об’єктів: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
Описує відомості про хост (комп’ютер, сервер або пристрій), де подія виникла або була зафіксована. У набір полів хоста можуть бути вкладені такі набори: •host.os.*
|
Описує відомості про мережеву активність, пов’язану з подією. Ці поля містять дані про протокол, напрямок і ідентифікатори мережевого трафіку.
|
Описує відомості про операційну систему, запущену на хості або пристрої. Поля операційної системи мають бути вкладені в одному з таких об’єктів: •host.os.*
|
Описує метадані, отримані з файлу Windows Portable Executable (PE), зокрема виконуваних файлів, DLL і драйверів. Поля PE мають бути вкладені в одному з таких об’єктів: •dll.pe.* •file.pe.* •process.pe.*
|
Описує відомості про процес, що виконується на хості й пов’язаний із подією. Поля процесу мають бути вкладені в одному з таких об’єктів: •process.parent.* У набір полів процесу можуть бути вкладені такі набори: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
Містить списки ідентифікаторів, пов’язаних із подією. Ці значення допомагають виконувати перехід між подіями, які можуть мати однакові значення в різних полях, наприклад process.hash і process.parent.hash.
|
Описує відомості про індикатор. Ці поля допомагають ідентифікувати, класифікувати й корелювати індикатори на основі логіки виявлення, яка їх спричинила.
|
Поля, що описують джерело підключення до мережі або передавання даних. Зазвичай містять відомості про робочу станцію, яка надсилає дані, зокрема IP-адресу, порт і домен.
|
Описує відомості про URL-адресу, залучену до події. Ці поля описують структуру й компоненти URL-адреси.
|
Описує відомості про користувача, пов’язаного з подією. Поля користувача мають бути вкладені в одному з таких об’єктів: •process.user.*
|
Розширення
Спеціальні розширення ECS — це додаткові набори полів, які інтеграції використовують, щоб фіксувати дані, не охоплені стандартною схемою Elastic Common Schema. Ці поля дають змогу додавати розширений контекст і характерні для постачальника атрибути, зберігаючи сумісність з ECS. Розширення мають відповідати правилам іменування ECS і групуються в окремому просторі імен, щоб уникнути конфліктів зі стандартними полями.
Розширення ESET
Розширення ESET стандартизує дані з продуктів ESET шляхом зіставлення виявлених антивірусом об’єктів і індикаторів поведінки зі спеціальними полями ECS у просторі імен ESET.
Поля розширення ESET мають бути вкладені в одному з таких об’єктів:
•eset.*
Базовий набір полів ESET містить усі поля на верхньому рівні події eset.* namespace.
|
Містить докладні відомості про процеси-попередники. Поля попередників мають бути вкладені в одному з таких об’єктів: •eset.process.ancestors.* У файл eset.executable мають бути вкладені такі поля ECS: •hash.*
|
Містить докладні відомості про процеси-попередники. Дочірні поля мають бути вкладені в одному з таких об’єктів: •eset.process.children.* У файл eset.executable мають бути вкладені такі поля ECS: •hash.*
|
Надає інформацію про виконуваний файл, пов’язаний із подією. Якщо це поле міститься в eset.process.*, воно стосується виконуваного файлу процесу, який виконується на хості у зв’язку із цією подією. Поля виконуваних файлів ESET мають бути вкладені в одному з таких об’єктів: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* У файл eset.executable мають бути вкладені такі поля ECS: •code_signature.* •hash.* У файл eset.executable мають бути вкладені такі поля розширення ESET: •livegrid_findings.*
|
Надає інформацію про дані ESET LiveGrid®, пов’язані з виконуваним файлом. Поля результатів ESET LiveGrid мають бути вкладені в одному з таких об’єктів: •eset.executable.*
|
Надає інформацію про бібліотеки, які були завантажені в процесі під час створення індикатора. Поля результатів ESET LiveGrid мають бути вкладені в одному з таких об’єктів: •eset.process.loaded_libraries.* У набір полів eset.loaded_libraries мають бути вкладені такі набори: •eset.executable.*
|
Описує відомості про процес, що виконується на хості й пов’язаний із подією. У набір полів eset.process можуть бути вкладені такі набори: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
Завдання, виконане у відповідь на спрацювання правила EDR, щоб пом’якшити або нейтралізувати потенційну загрозу безпеці. Поля дій із виправлення ESET мають бути вкладені в одному з таких об’єктів: •eset.*
|
Інформація про подію, яка спричинила активацію правила. Поля подій-тригерів ESET мають бути вкладені в одному з таких об’єктів: •eset.triggering_event.*
|
Розширення метаданих ESET стандартизує специфічні метадані ESET для подій безпеки. Воно збирає дані про клієнтів, обслуговування й розгортання, щоб визначати пріоритети інцидентів і спрямовувати їх до відповідних команд операційних центрів безпеки ESET (Security Operations Centers, SoC). Поля метаданих ESET мають бути вкладені в одному з таких об’єктів: •eset_metadata.*
|