eset.aggregated_count
|
long
|
2
|
ESET
|
N/A
|
如果在短时间内触发了同一指标,它只会产生一份文档。该字段包含产生了特定文档的指标的数量。
|
eset.correlation_id
|
keyword
|
09f03498-8228-d345-f998-491d11a306d7
|
ESET
|
N/A
|
标识符在相关 ESET 指标间共享。
|
eset.epc_instance.id
|
keyword
|
7835678-c65c-41f6-ae2a-c784a2852a15
|
ESET
|
N/A
|
ESET PROTECT 实例的 GUID。
|
eset.executable.code_signature.*
|
N/A
|
N/A
|
ESET
|
N/A
|
关于数字签名的信息。
参见 ECS 代码签名字段。
|
eset.executable.file_format
|
keyword
|
pe
|
ESET
|
•elf
•pe
•macho |
可执行文件的格式。
|
eset.executable.hash.*
|
N/A
|
N/A
|
ESET
|
N/A
|
可执行文件的哈希参见 ECS 哈希字段集。
|
eset.executable.id
|
keyword
|
DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_
|
ESET
|
N/A
|
可执行文件的唯一标识符。
|
eset.executable.is_dynamically_linked_library
|
boolean
|
false
|
ESET
|
N/A
|
如果为 true,则该可执行文件表示动态链接库。
|
eset.executable.last_nearmiss_time
|
date
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
关联文件或可执行文件触发被归类为相近差错(例如,类似已知恶意软件但不足以被确信报告为恶意软件)的病毒防护检测时的时间戳。
|
eset.executable.livegrid_findings.age_days
|
long
|
5
|
ESET
|
N/A
|
自可执行文件首次在 LiveGrid® 中出现以来的天数。
天数舍入为常见时间存储桶的对等时间:天、几天、周、月、半年、年等。
|
eset.executable.livegrid_findings.popularity
|
double
|
0.64
|
ESET
|
Interval 0.0 - 1.0
|
有多少台计算机向 LiveGrid® 报告了可执行文件间隔映射为十的幂:
•0.00 => 0(尚未向 LiveGrid® 报告)
•0.09 => 10⁰ = 1
•0.18 => 10¹ = 10
•0.27 => 10² = 100
•等等 |
eset.executable.livegrid_findings.reputation
|
double
|
0.88
|
ESET
|
Interval 0.0 - 1.0
|
该数字表示可执行文件的安全程度(根据 LiveGrid®)。
数字越大,表示可执行文件的可信任度越高(根据 LiveGrid®)。
•= 0.00 - 恶意软件或已加入黑名单
•<= 0.38 - 可能不受欢迎或不安全
•>= 0.88 - 普遍的干净文件 |
eset.executable.name
|
keyword
|
usoclient.exe
|
ESET
|
N/A
|
可执行文件的名称,包括扩展名,但不含目录路径。
|
eset.executable.marked_safe
|
boolean
|
false
|
ESET
|
N/A
|
如果为 true,该可执行文件则被标记为安全。
|
eset.executable.packer_name
|
keyword
|
UPX v13_m8
|
ESET
|
N/A
|
用于创建可执行文件的加壳程序的名称(由 ESET 标识)。
|
eset.executable.pe_internal_name
|
keyword
|
chrome_exe
|
ESET
|
N/A
|
可执行文件元数据中的内部名称字段。
|
eset.executable.pe_is_native
|
boolean
|
false
|
ESET
|
N/A
|
如果为 true,则可执行文件是 Windows 驱动程序。
|
eset.executable.product_version
|
keyword
|
142.0.7444.176
|
ESET
|
N/A
|
可执行文件元数据中的产品版本字段。
|
eset.executable.sfx_name
|
keyword
|
PYINSTALLER
|
ESET
|
N/A
|
用于创建可执行文件的 SFX 工具的名称(由 ESET 标识)。
|
eset.executable.size
|
long
|
3,417,240
|
ESET
|
N/A
|
可执行文件的文件大小。
|
eset.executable.whitelist_type
|
keyword
|
livegrid
|
ESET
|
•threat-scanner
•livegrid
•certificate |
包含白名单类型。这些白名单由 ESET 管理,用户无法配置。
|
eset.handling_status
|
keyword
|
remediated
|
ESET
|
•mitigated
•remediated
•unhandled |
表示 ESET 安全产品执行的自动修复的结果。
•mitigated - 已执行部分即时自动化操作来减轻威胁的影响,但尚未完全消除。完全解决通常需要重新启动系统。
•remediated - 威胁已被源系统、自动化或自动化流程完全且永久性解决,表明在检测时已完全消除并恢复到安全状态。
•unhandled - 底层项目或可观察内容尚未被处理,且未采取任何即时或自动化操作来遏制、消除或减轻其影响。这仍是一个高优先级指标,需要及时的人工分析,因为威胁仍处于活动状态且未受阻碍。 |
eset.host.group_path
|
keyword array
|
All, Companies, ESET, Accounting
|
ESET
|
N/A
|
列出设备所属的 ESET PROTECT 管理员组。这些组从最顶层到主机的直接父组依序排列。
|
eset.host.id
|
keyword
|
59a611f9-a01e-47a6-a839-03b1e4ac3e67
|
ESET
|
N/A
|
主机的唯一标识符。与 host.id 相同。
|
eset.process.ancestors.id
|
keyword array
|
18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0
|
ESET
|
N/A
|
祖先进程的唯一标识符。
|
eset.process.ancestors.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
祖先进程的完整性级别。
|
eset.process.ancestors.name
|
keyword array
|
chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe
|
ESET
|
N/A
|
祖先进程的进程名称。
|
eset.process.ancestors.pid
|
long array
|
15,916, 2,268, 7,784, 1,192, 1,084
|
ESET
|
N/A
|
祖先进程的进程 PID。
|
eset.process.ancestors.subprocesses_count
|
long array
|
117, 9, 1, 6, 2
|
ESET
|
N/A
|
祖先进程生成的进程数量。
|
eset.process.ancestors.terminated
|
boolean array
|
true, false, true
|
ESET
|
N/A
|
祖先进程的终止状态。
|
eset.process.children.id
|
keyword array
|
18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0
|
ESET
|
N/A
|
子进程的唯一标识符。
|
eset.process.children.integrity_level
|
keyword array
|
medium, high
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
子进程的完整性级别。
|
eset.process.children.name
|
keyword array
|
conhost.exe, cmd.exe
|
ESET
|
N/A
|
子进程的进程名称。
|
eset.process.children.pid
|
long array
|
708, 7,964
|
ESET
|
N/A
|
子进程的进程标识符。
|
eset.process.children.subprocess_count
|
long array
|
1, 5
|
ESET
|
N/A
|
子进程生成的进程数量。
|
eset.process.children.terminated
|
boolean array
|
true, false
|
ESET
|
N/A
|
子进程的终止状态。
|
eset.process.dns_query_count
|
long
|
0
|
ESET
|
N/A
|
进程执行的 DNS 查询数量。
|
eset.process.dropped_executable_count
|
long
|
1
|
ESET
|
N/A
|
进程植入的可执行文件数量。
|
eset.process.http_request_count
|
long
|
9
|
ESET
|
N/A
|
进程发出的 HTTP 请求数量。
|
eset.process.id
|
keyword
|
8d053e9-8cf5-885d-a17b-0c14e4110000
|
ESET
|
N/A
|
进程的唯一标识符。
|
eset.process.integrity_level
|
keyword
|
medium
|
ESET
|
•untrusted
•low
•medium
•high
•system
•protected |
进程的完整性级别
|
eset.process.lnk_path
|
keyword
|
c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk
|
ESET
|
N/A
|
指定用于启动进程的 Windows 快捷方式 (.lnk) 文件的完整文件系统路径。
|
eset.process.modified_registry_count
|
long
|
42
|
ESET
|
N/A
|
进程修改的 Windows 注册表项数量。
|
eset.process.network_connection_count
|
long
|
6
|
ESET
|
N/A
|
进程建立的网络连接数量。
|
eset.process.spawned_child_process_count
|
long
|
2
|
ESET
|
N/A
|
进程生成的进程数量。
|
eset.process.threat_detection_performance_excluded
|
boolean
|
false
|
ESET
|
N/A
|
为 true 时,由于已配置的性能排除,该进程会被排除在 ESET Endpoint Security 威胁检测之外。
|
eset.process.username
|
keyword
|
contoso\administrator
|
ESET
|
N/A
|
以 user.domain 格式存储串联的 domain\username 和 user.name,表示执行该进程的帐户。
|
eset.severity
|
keyword
|
Warning
|
ESET
|
•Informational
•Warning
•Threat |
event.severity 字段的文本表示形式。基于 event.risk_score 字段。
•1–39 => 信息 (1)
•40–69 => 警告 (2)
•70-100 => 威胁 (3) |
eset.triggering_event.argument
|
wildcard
Multi-field:
eset.triggering_event.argument.text - match_only_text
|
%WINDIR%\explorer.exe (Remote thread)
|
ESET
|
N/A
|
与 eset.triggering_event.type 中定义的事件相关的特定于上下文的值。
该字段包含与事件相关的主对象或参数 - 例如文件路径、进程路径、注册表项、网络地址或发生事件的其他资源。
|
eset.triggering_event.id
|
keyword
|
8b4df3a4-2c87-4f50-94af-ab0e0d8589eb
|
ESET
|
N/A
|
触发事件的唯一 ID。
|
eset.triggering_event.data
|
flattened
|
{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }
|
ESET
|
N/A
|
任意非示意性的、事件类型的依赖性结构化数据。
|
eset.triggering_event.type
|
keyword
|
FileDeleted
|
ESET
|
•ApiCalled
•CodeInjected
•DeviceConnected
•DnsResolved
•DriverLoaded
•DriverUnloaded
•ExecutableDropped
•FileAddedToBitsJob
•FileAttributesSet
•FileDeleted
•FileRead
•FileRenamed
•FileTruncated
•FileWritten
•HttpResourceRequested
•LibraryLoaded
•MultipleFilesChanged
•NamedPipeCreated
•ProcessCreated
•ProcessInjected
•ProcessOpened
•ProcessStartedViaWmi
•ProcessTerminated
•RegistryKeyCreated
•RegistryKeyDeleted
•RegistryKeyRenamed
•RegistryKeyValueChanged
•RegistryKeyValueDeleted
•ScheduledTaskCreated
•ScheduledTaskStarted
•ScriptExecuted
•ServiceInstalled
•ServiceStarted
•SystemApiCalled
•TcpIpAccepted
•TcpIpConnected
•TcpIpDisconnected
•TcpIpProtocolIdentified
•UserActivated
•UserAddedToGroup
•UserCreated
•UserDisabled
•UserLoggedin
•UserLoggedout
•UserRemoved
•UserRemovedFromGroup
•VirtualDiskMounted
•VolumeShadowCopyDeleted
•WmiPersistenceSetup
•WmiQueryExecuted |
触发事件的类型(基于观察到的行为)。
|
eset.remediationactions.created
|
date array
|
2016-05-23T08:05:34.853Z
|
ESET
|
N/A
|
表示修复操作执行时间的时间戳。
|
eset.remediationactions.id
|
keyword array
|
8b4df3a4-2c87-4f50-94af-ab0e0c8589eb
|
ESET
|
N/A
|
修复操作的唯一 ID。
|
eset.remediationactions.name
|
keyword array
|
KillProcess
|
ESET
|
•BlockModule
•BlockProcessExecutable
•BlockProcessSuspiciousModules
•IsolateFromNetwork
•KillProcess
•LogOutUser
•Reboot
•Shutdown |
EDR 执行的修复操作的名称 (ESET Inspect)。
有关更多详细信息,请参阅规则指南操作部分。
|
eset.remediationactions.outcome
|
keyword array
|
true
|
ESET
|
N/A
|
表示修复操作的结果。
|
eset.scan.scanner_version
|
text
|
32438 (20251230)
|
ESET
|
N/A
|
检测或报告事件的 ESET 扫描引擎或模块的版本。
|