ESET PROTECT – 目录

Open XDR 数据格式

Open XDR 数据格式基于 Elastic Common Schema (ECS),这是用于 ESET Open XDR 的规范化格式。ECS 简化了查询编写,并支持跨不同数据源进行数据关联。遥测事件、指标和事件会在 Open XDR 平台的产品和集成中规范化为该架构。


注意

运行 ESET Management Agent 版本 13.0+ 和 ESET Inspect Connector 3.0+ 的计算机中提供 Open XDR 数据。

详细了解统一 ESET Inspect 和 ESET PROTECT (Open XDR) 的相关信息。

字段集

ECS 定义了多个相关字段组,称为字段集

arrow_down_business服务器代理字段集
arrow_down_business基础字段集
arrow_down_business云字段集
arrow_down_business代码签名字段集
arrow_down_business目标字段集
arrow_down_business设备字段集
arrow_down_businessDLL 字段集
arrow_down_businessECS 字段集
arrow_down_business事件字段集
arrow_down_business文件字段集
arrow_down_business哈希字段集
arrow_down_business主机字段集
arrow_down_business网络字段集
arrow_down_business操作系统字段集
arrow_down_businessPE 字段集
arrow_down_business进程字段集
arrow_down_business相关字段集
arrow_down_business规则字段集
arrow_down_business源字段集
arrow_down_businessURL 字段集
arrow_down_business用户字段集

扩展名

自定义 ECS 扩展是通过集成引入的额外字段集,用于捕获标准 Elastic Common Schema 未涵盖的数据。这些字段允许更丰富的上下文和供应商特定属性,同时保持与 ECS 的兼容性。扩展必须遵循 ECS 命名规范,并分组到清晰的命名空间下,以避免与标准 ECS 字段冲突。

ESET 扩展

ESET 扩展通过将病毒防护检测和行为指标映射到 ESET 命名空间下的自定义 ECS 字段,对来自 ESET 产品的数据进行标准化处理。

ESET 扩展字段应嵌套于:

eset.*

arrow_down_businessESET 基础字段集
arrow_down_businessESET 祖先字段集
arrow_down_businessESET 子字段集
arrow_down_businessESET 可执行文件字段集
arrow_down_businessESET LiveGrid 查找字段集
arrow_down_businessESET 加载库字段集
arrow_down_businessESET 进程字段集
arrow_down_businessESET 修复操作字段集
arrow_down_businessESET 触发事件字段集
arrow_down_businessESET 元数据字段集