eset.aggregated_count
|
long
|
2
|
ESET
|
N/A
|
Якщо той самий індикатор спрацював кілька разів протягом короткого проміжку часу, створюється лише один документ. Поле містить кількість індикаторів, що сформували цей документ.
|
eset.correlation_id
|
keyword
|
09f03498-8228-d345-f998-491d11a306d7
|
ESET
|
N/A
|
Ідентифікатор, спільний для пов’язаних з ESET індикаторів.
|
eset.epc_instance.id
|
keyword
|
7835678-c65c-41f6-ae2a-c784a2852a15
|
ESET
|
N/A
|
GUID екземпляра ESET PROTECT.
|
eset.executable.code_signature.*
|
N/A
|
N/A
|
ESET
|
N/A
|
Інформація про цифровий підпис.
Див. поля підпису коду ECS.
|
eset.executable.file_format
|
keyword
|
pe
|
ESET
|
•elf
•pe
•macho |
Формат виконуваного файлу.
|
eset.executable.hash.*
|
N/A
|
N/A
|
ESET
|
N/A
|
Хеші виконуваного файлу. Див. набір полів хешу ECS.
|
eset.executable.id
|
keyword
|
DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_
|
ESET
|
N/A
|
Унікальний ідентифікатор виконуваного файлу.
|
eset.executable.is_dynamically_linked_library
|
boolean
|
false
|
ESET
|
N/A
|
Якщо значення true, виконуваний файл є бібліотекою динамічного компонування.
|
eset.executable.last_nearmiss_time
|
date
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
Час, коли антивірус виявив підозрілий об’єкт для пов’язаного або виконуваного файлу (наприклад, схожий на відоме шкідливе програмне забезпечення, але без достатніх ознак шкідливості).
|
eset.executable.livegrid_findings.age_days
|
long
|
5
|
ESET
|
N/A
|
Кількість днів, що минули з моменту фіксації відомостей про виконуваний файл у базі даних LiveGrid®.
Значення округлюється до найближчого стандартного часового інтервалу: день, кілька днів, тиждень, місяць, пів року, рік тощо.
|
eset.executable.livegrid_findings.popularity
|
double
|
0.64
|
ESET
|
Interval 0.0 - 1.0
|
Скільки комп’ютерів повідомили про виконуваний файл LiveGrid® Інтервал відображається в степенях десяти:
•0,00 => 0 (про об’єкт ще не повідомлено в LiveGrid®)
•0,09 => 10⁰ = 1
•0,18 => 10¹ = 10
•0,27 => 10² = 100
•тощо |
eset.executable.livegrid_findings.reputation
|
double
|
0.88
|
ESET
|
Interval 0.0 - 1.0
|
Числовий показник рівня безпеки виконуваного файлу за оцінкою LiveGrid®.
Що більше значення, то вищий рівень довіри до виконуваного файлу з боку LiveGrid®.
•= 0,00 — шкідливе програмне забезпечення або файл у чорному списку
•<= 0,38 — потенційно небажаний або небезпечний файл
•>= 0,88 — поширений чистий файл |
eset.executable.name
|
keyword
|
usoclient.exe
|
ESET
|
N/A
|
Назва виконуваного файлу, включно з розширенням, але без шляху до каталогу.
|
eset.executable.marked_safe
|
boolean
|
false
|
ESET
|
N/A
|
Якщо значення true, виконуваний файл позначено як безпечний.
|
eset.executable.packer_name
|
keyword
|
UPX v13_m8
|
ESET
|
N/A
|
Назва упакованої шкідливої програми, використаної для створення виконуваного файлу відповідно до даних ESET.
|
eset.executable.pe_internal_name
|
keyword
|
chrome_exe
|
ESET
|
N/A
|
Внутрішня назва з метаданих виконуваного файлу.
|
eset.executable.pe_is_native
|
boolean
|
false
|
ESET
|
N/A
|
Якщо значення true, виконуваний файл є драйвером Windows.
|
eset.executable.product_version
|
keyword
|
142.0.7444.176
|
ESET
|
N/A
|
Версія продукту з метаданих виконуваного файлу.
|
eset.executable.sfx_name
|
keyword
|
PYINSTALLER
|
ESET
|
N/A
|
Назва інструмента SFX, використаного для створення виконуваного файлу відповідно до даних ESET.
|
eset.executable.size
|
long
|
3,417,240
|
ESET
|
N/A
|
Розмір виконуваного файлу.
|
eset.executable.whitelist_type
|
keyword
|
livegrid
|
ESET
|
•threat-scanner
•livegrid
•certificate |
Тип білого списку. Такими списками керує ESET (користувач не може їх налаштувати).
|
eset.handling_status
|
keyword
|
remediated
|
ESET
|
•mitigated
•remediated
•unhandled |
Результат автоматизованого виправлення, виконаного продуктом ESET із безпеки:
•mitigated — часткові дії виконані, але загрозу не усунуто повністю (зазвичай потрібен перезапуск);
•remediated — загрозу повністю усунули автоматично або системою-джерелом, і на момент виявлення система вже перебувала в безпечному стані;
•unhandled — із загрозою нічого не зробили: її не усунули й не обмежили, жодних автоматичних дій не виконано, тому вона залишається активною. Індикатор має високий пріоритет і потребує негайного аналізу фахівцем, адже загроза залишається активною. |
eset.host.group_path
|
keyword array
|
All, Companies, ESET, Accounting
|
ESET
|
N/A
|
Містить список адміністративних груп ESET PROTECT, до яких належить пристрій. Групи впорядковані від найвищої до безпосередньої батьківської групи хоста.
|
eset.host.id
|
keyword
|
59a611f9-a01e-47a6-a839-03b1e4ac3e67
|
ESET
|
N/A
|
Унікальний ідентифікатор хоста. Те саме, що й host.id.
|
eset.process.ancestors.id
|
keyword array
|
18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0
|
ESET
|
N/A
|
Унікальні ідентифікатори процесів-попередників.
|
eset.process.ancestors.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Рівень цілісності процесів-попередників.
|
eset.process.ancestors.name
|
keyword array
|
chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe
|
ESET
|
N/A
|
Назви процесів-попередників.
|
eset.process.ancestors.pid
|
long array
|
15,916, 2,268, 7,784, 1,192, 1,084
|
ESET
|
N/A
|
Ідентифікатори процесів-попередників.
|
eset.process.ancestors.subprocesses_count
|
long array
|
117, 9, 1, 6, 2
|
ESET
|
N/A
|
Кількість процесів, створених процесом-попередником.
|
eset.process.ancestors.terminated
|
boolean array
|
true, false, true
|
ESET
|
N/A
|
Статус завершення процесу-попередника.
|
eset.process.children.id
|
keyword array
|
18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0
|
ESET
|
N/A
|
Унікальні ідентифікатори дочірніх процесів.
|
eset.process.children.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Рівень цілісності дочірніх процесів.
|
eset.process.children.name
|
keyword array
|
conhost.exe, cmd.exe
|
ESET
|
N/A
|
Назви дочірніх процесів.
|
eset.process.children.pid
|
long array
|
708, 7,964
|
ESET
|
N/A
|
Ідентифікатори дочірніх процесів.
|
eset.process.children.subprocess_count
|
long array
|
1, 5
|
ESET
|
N/A
|
Кількість процесів, створених дочірнім процесом.
|
eset.process.children.terminated
|
boolean array
|
true, false
|
ESET
|
N/A
|
Статус завершення дочірніх процесів.
|
eset.process.dns_query_count
|
long
|
0
|
ESET
|
N/A
|
Кількість DNS-запитів, виконаних процесом.
|
eset.process.dropped_executable_count
|
long
|
1
|
ESET
|
N/A
|
Кількість виконуваних файлів, створених процесом.
|
eset.process.http_request_count
|
long
|
9
|
ESET
|
N/A
|
Кількість HTTP-запитів, виконаних процесом.
|
eset.process.id
|
keyword
|
8d053e9-8cf5-885d-a17b-0c14e4110000
|
ESET
|
N/A
|
Унікальний ідентифікатор процесу.
|
eset.process.integrity_level
|
keyword
|
medium
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
Рівень цілісності процесу
|
eset.process.lnk_path
|
keyword
|
c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk
|
ESET
|
N/A
|
Повний шлях до файлу ярлика Windows (.lnk), який використали для запуску процесу.
|
eset.process.modified_registry_count
|
long
|
42
|
ESET
|
N/A
|
Кількість ключів реєстру Windows, змінених процесом.
|
eset.process.network_connection_count
|
long
|
6
|
ESET
|
N/A
|
Кількість підключень до мережі, установлених процесом.
|
eset.process.spawned_child_process_count
|
long
|
2
|
ESET
|
N/A
|
Кількість процесів, створених цим процесом.
|
eset.process.threat_detection_performance_excluded
|
boolean
|
false
|
ESET
|
N/A
|
Якщо значення true, на процес не поширюється виявлення загроз ESET Endpoint Security через налаштоване виключення продуктивності.
|
eset.process.username
|
keyword
|
contoso\administrator
|
ESET
|
N/A
|
Зберігає об’єднане значення user.domain і user.name у форматі domain\username, що відображає обліковий запис, у якому виконується процес.
|
eset.severity
|
keyword
|
Warning
|
ESET
|
•Informational
•Warning
•Threat |
Текстове представлення поля event.severity (на основі поля event.risk_score):
•1–39 => інформаційний рівень (1);
•40–69 => попередження (2);
•70–100 => загроза (3). |
eset.triggering_event.argument
|
wildcard
Multi-field:
eset.triggering_event.argument.text - match_only_text
|
%WINDIR%\explorer.exe (Remote thread)
|
ESET
|
N/A
|
Контекстне значення, пов’язане з подією, визначене в eset.triggering_event.type.
Містить основний об’єкт або параметр події (наприклад, шлях до файлу, шлях процесу, ключ реєстру, мережеву адресу або інший ресурс, у якому відбулася подія).
|
eset.triggering_event.id
|
keyword
|
8b4df3a4-2c87-4f50-94af-ab0e0d8589eb
|
ESET
|
N/A
|
Унікальний ідентифікатор події-тригера.
|
eset.triggering_event.data
|
flattened
|
{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }
|
ESET
|
N/A
|
Довільні структуровані дані, залежні від типу події (без фіксованої схеми).
|
eset.triggering_event.type
|
keyword
|
FileDeleted
|
ESET
|
•ApiCalled
•CodeInjected
•DeviceConnected
•DnsResolved
•DriverLoaded
•DriverUnloaded
•ExecutableDropped
•FileAddedToBitsJob
•FileAttributesSet
•FileDeleted
•FileRead
•FileRenamed
•FileTruncated
•FileWritten
•HttpResourceRequested
•LibraryLoaded
•MultipleFilesChanged
•NamedPipeCreated
•ProcessCreated
•ProcessInjected
•ProcessOpened
•ProcessStartedViaWmi
•ProcessTerminated
•RegistryKeyCreated
•RegistryKeyDeleted
•RegistryKeyRenamed
•RegistryKeyValueChanged
•RegistryKeyValueDeleted
•ScheduledTaskCreated
•ScheduledTaskStarted
•ScriptExecuted
•ServiceInstalled
•ServiceStarted
•SystemApiCalled
•TcpIpAccepted
•TcpIpConnected
•TcpIpDisconnected
•TcpIpProtocolIdentified
•UserActivated
•UserAddedToGroup
•UserCreated
•UserDisabled
•UserLoggedin
•UserLoggedout
•UserRemoved
•UserRemovedFromGroup
•VirtualDiskMounted
•VolumeShadowCopyDeleted
•WmiPersistenceSetup
•WmiQueryExecuted |
Тип події-тригера, визначений на основі спостережуваної поведінки.
|
eset.remediationactions.created
|
date array
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
Часова позначка, що вказує на час виконання дії виправлення.
|
eset.remediationactions.id
|
keyword array
|
8b4df3a4-2c87-4f50-94af-ab0e0c8589eb
|
ESET
|
N/A
|
Унікальний ідентифікатор дії виправлення.
|
eset.remediationactions.name
|
keyword array
|
KillProcess
|
ESET
|
•BlockModule
•BlockProcessExecutable
•BlockProcessSuspiciousModules
•IsolateFromNetwork
•KillProcess
•LogOutUser
•Reboot
•Shutdown |
Назва дії виправлення, виконаної EDR (ESET Inspect).
Докладнішу інформацію див. в розділі Посібник із дій правил.
|
eset.remediationactions.outcome
|
keyword array
|
true
|
ESET
|
N/A
|
Результат дії виправлення.
|
eset.scan.scanner_version
|
text
|
32438 (20251230)
|
ESET
|
N/A
|
Версія ядра сканування або модуля ESET, який виявив подію або повідомив про неї.
|
