搜索帮助内容

Open XDR 数据格式

面包屑

ESET 联机帮助 > ESET PROTECT > 使用 ESET PROTECT > ESET PROTECT 主菜单 > 高级搜索 > Open XDR 数据格式

Open XDR 数据格式基于 Elastic Common Schema (ECS)，这是用于 ESET Open XDR 的规范化格式。ECS 简化了查询编写，并支持跨不同数据源进行数据关联。遥测事件、指标和事件会在 Open XDR 平台的产品和集成中规范化为该架构。

运行 ESET Management Agent 版本 13.0+ 和 ESET Inspect Connector 3.0+ 的计算机中提供 Open XDR 数据。

详细了解统一 ESET Inspect 和 ESET PROTECT (Open XDR) 的相关信息。

字段集

ECS 定义了多个相关字段组，称为字段集。

服务器代理字段集

服务器代理字段用于描述收集、检测或观察遥测事件或指标的软件组件。

字段名称

字段映射

示例

提供此字段的集成

允许的值

注意

agent.build.original

keyword

13.01115.0

ESET

N/A

扩展的内部版本信息。

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

已收集或观察到此事件的服务器代理或集成的类型。

•endpoint-security - 用于端点保护数据 (ESET PROTECT)

•endpoint-detection-response - 用于 EDR 数据 (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

服务器代理的版本。

基础字段集

基础字段集包含位于事件根位置的所有字段。这些是所有事件类型中的通用字段。

字段名称

字段映射

示例

提供此字段的集成

允许的值

注意

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

事件发生的日期/时间。通常获取自事件来源。如果不可用，则设置为管道首次收到该事件的时间。

所有时间戳字段均以 UTC 时间存储。显示时，它们会转换为控制台用户设置中所设置的时区。

云字段集

旨在用于捕获云环境中所运行资源的相关元数据。

字段名称

字段映射

示例

提供此字段的集成

允许的值

注意

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

标识运行资源的云服务提供商。

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

云服务提供商提供的实例（虚拟机或计算资源）的唯一标识符。

代码签名字段集

用于描述磁盘文件的数字签名、启动进程的可执行文件或动态加载库的字段。它们可表示文件是否已签名、由谁签名以及签名是否有效且可信。代码签名字段应嵌套于：

•process.*

•file.*

•dll.*

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
code_signature.exists	boolean	true	ESET	N/A	表示是否存在数字签名。仅在数据来自 ESET Inspect 时填充。
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	与为文件签名的实体关联的标识符。仅在数据来自 macOS 设备上的 ESET Inspect 时填充。
code_signature.status	keyword	trusted	ESET	对于 ESET，允许以下值： •trusted •valid •adhoc •none •invalid •unknown •present	数字签名的验证状态，表示其是否可信、无效或具有其他状态。仅在数据来自 ESET Inspect 时填充。 •trusted - ESET 信任的签名。 •valid - 操作系统信任的签名。 •adhoc - 自签名（仅限 macOS）。 •none - 没有签名。 •invalid - 操作系统不信任的签名，已损坏或已撤销。 •unknown - 无法确定是否存在签名。 •present - 签名存在，但无法验证是否可信。
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	为文件签名的实体（个人、组织或发布者）的名称（数字签名中列出的名称）。仅在数据来自 ESET Inspect 时填充。
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	分配给为文件签名的开发团队的标识符。仅在数据来自 macOS 设备上的 ESET Inspect 时填充。

目标字段集

描述网络连接目标或数据传输目标的字段。这通常包括接收数据的端点的详细信息，如 IP 地址、端口、域。

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
destination.address	keyword	192.168.1.1	ESET	N/A	目标的原始地址（来源提供的地址）。这可以是 IP 地址、域名或其他网络标识符。
destination.ip	ip	192.168.1.1	ESET	N/A	接收网络通信的目标主机或端点的 IP 地址。
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	目标网络接口的 MAC 地址。
destination.port	long	22	ESET	N/A	目标的网络端口号。

设备字段集

描述事件中涉及的硬件设备的字段。这通常包括设备标识符、型号、制造商、序列号等属性以及有助于标识生成或接收数据的物理设备的其他特征。

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	生产该设备的公司或供应商的名称。
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	制造商提供的唯一设备型号标识符，用于区分不同硬件型号。
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	制造商为设备分配的唯一序列号。

DLL 字段集

描述事件中涉及的动态加载库的字段。虽然字段名称以 Windows 为中心，但该字段集涵盖多个平台：

•Windows 上常用的动态链接库 (.dll)

•Unix 类似操作系统上常用的共享对象 (.so)

•macOS 上常用的动态库 (.dylib)

以下字段集可嵌套在 DLL 字段集下：

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
dll.name	keyword	scrobj.dll	ESET	N/A	动态加载库文件的名称，不含路径。
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	动态加载库的完整文件系统路径。

ECS 字段集

ECS 的特定元信息。

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
ecs.version	keyword	8.16	all	N/A	该事件符合的 ECS 版本。

事件字段集

描述系统或应用程序捕获的事件或活动的详细信息的字段。这些字段提供事件的类别、类型、操作、结果和时间戳等上下文。

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
event.action	keyword	file-cleaned	ESET	对于 ESET，允许以下值： •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	触发事件的特定操作。字段仅在适用于特定事件时提供。
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	事件的高级分类，用于对类似类型的活动进行分组。该字段有助于将事件整理成广泛的功能类别，便于过滤和分析。该字段可以包含多个值。
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	表示服务器代理首次收到或观察到事件时的时间戳。该值应与 @timestamp 略有不同。
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	事件所属数据集的名称。该值通常用于对相同源或集成中的相关事件进行分组。
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	事件的唯一 ID。
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	表示事件到达 ESET PROTECT 控制台时的时间戳。
event.kind	keyword	alert	all	对于 ESET，允许以下值： •alert •event	事件所携带的信息类型的高级分类。在 ESET 上下文中，值警报对应于指标，而事件指遥测事件。
event.module	keyword	eset	all	对于 ESET，允许以下值： •eset	标识生成事件的集成的名称。该字段用于按来源对事件进行分组。
event.outcome	keyword	success	全部	•failure •success •unknown	表示事件或操作的结果。
event.provider	keyword	Real-time file system protection	ESET	N/A	标识系统中生成事件的来源或组件。这通常是负责产生数据的应用程序、服务或子系统的名称。在 ESET 上下文中，此值有时被称为扫描程序，表示是哪个 ESET 扫描引擎或模块检测或报告了该事件。
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	提供事件发生原因的描述性说明。该字段包含人类可读的文本，用于阐明事件的原因、触发因素或正当性。
event.risk_score	float	40	ESET	N/A	数值表示事件的估计风险（由事件来源提供）。
event.severity	long	2	ESET	N/A	数值表示事件的严重级别（由事件来源提供）。
event.type	keyword 数组	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	描述事件在其类别中所代表的特定类型或操作。该字段提供比 event.category 更细化的分类。

文件字段集

代表事件中所涉及文件的详细信息。以下字段集可嵌套在文件字段集下：

•file.code_signature.*

•file.hash.*

•file.pe.*

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
file.directory	keyword	C:\Windows\System32	ESET	N/A	文件所在的目录路径，不含文件名。
file.extension	keyword	dll	ESET	N/A	文件的扩展名，不含前面的点。
file.name	keyword	rasadhlp.dll	ESET	N/A	文件名，包含扩展名，但不含目录路径。
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	文件的完整路径，包含目录和文件名。
file.type	keyword	file	ESET	•file •directory •symlink	文件的一般类型。表示文件系统中对象的性质。

哈希字段集

包含可唯一标识文件的加密哈希值。哈希字段应嵌套于：

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	文件或数据的 MD5 哈希。
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	文件或数据的 SHA1 哈希。
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	文件或数据的 SHA256 哈希。

主机字段集

表示发生事件或观察到事件的主机（计算机、服务器或设备）的详细信息。以下字段集可嵌套在主机字段集下：

•host.os.*

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
host.architecture	keyword	x86-64	ESET	N/A	主机的 CPU 架构。
host.domain	keyword	CONTOSO	ESET	N/A	主机的域名，通常表示主机所属的 Active Directory 域。
host.hostname	keyword	SRV-02	ESET	N/A	操作系统主机名命令所报告的主机名。
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	主机的唯一标识符。
host.ip	ip array	192.168.1.35	ESET	N/A	分配给主机的 IP 地址。
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	主机网络接口的 MAC 地址。
host.name	keyword	SRV-02.contoso.local	ESET	N/A	主机的名称。
host.type	keyword	server	ESET	对于 ESET，允许以下值： •workstation •server •mobile	主机的类型。

网络字段集

表示与事件相关的网络活动的详细信息。这些字段描述网络通信的协议、方向和标识符。

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	一种哈希值，可基于 5 元组（源 IP、目标 IP、源端口、目标端口和传输协议）来唯一标识网络流。它提供了一种一致的方式来将不同系统和工具中的网络会话相关联。有关详细信息，请访问 github。
network.direction	keyword	ingress	ESET	•ingress •egress	流量相对于主机的方向。
network.protocol	keyword	ssh	ESET	N/A	使用的网络协议的名称。在 OSI 模型中，这相当于“应用程序”层。
network.transport	keyword	tcp	ESET	N/A	底层传输协议。在 OSI 模型中，这相当于“传输”层。
network.type	keyword	ipv4	ESET	N/A	网络通信类型。在 OSI 模型中，这相当于“网络”层。

操作系统字段集

表示在主机或设备上运行的操作系统的相关详细信息。操作系统字段应嵌套于：

•host.os.*

字段名称

字段映射

示例

提供此字段的集成

允许的值

注意

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

操作系统的人类可读名称。

os.type

keyword

windows

ESET

对于 ESET，允许以下值：

•windows

•linux

•macos

•ios

•android

操作系统的一般类型。

os.version

keyword

10.0.19045.6456

ESET

N/A

操作系统的版本字符串。

PE 字段集

表示从 Windows 可移植可执行文件 (PE) 提取的元数据，如可执行文件、DLL 和驱动程序。PE 字段应嵌套于：

•dll.pe.*

•file.pe.*

•process.pe.*

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
pe.architecture	keyword	x64	ESET	N/A	指定可移植可执行文件 (PE) 文件要用于的 CPU 架构。
pe.company	keyword	Google LLC	ESET	N/A	发布可执行文件的公司的名称。
pe.description	keyword	Google Chrome	ESET	N/A	文件用途描述。
pe.original_file_name	keyword	chrome.exe	ESET	N/A	在对可执行文件进行编译和签名时其具有的名称。
pe.product	keyword	Google Chrome	ESET	N/A	文件所属产品的名称。
pe.file_version	keyword	142.0.7444.176	ESET	N/A	文件元数据中指定的文件版本。

进程字段集

表示与该事件相关的主机上运行的进程的详细信息。进程字段应嵌套于：

•process.parent.*

以下字段集可嵌套在进程字段集下：

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

字段名称	字段映射	示例	提供此字段的集成	允许的值	注意
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	传递给进程的参数数组。
process.args_count	long	5	ESET	N/A	传递给进程的参数计数。
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	用于启动进程的完整命令行，包括参数。
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	进程结束时的时间戳。如果字段未填充，则表示事件生成时进程仍在运行。
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	进程的唯一标识符。实现取决于数据来源。
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	进程可执行文件的完整路径。
process.name	keyword	whoami.exe	ESET	N/A	进程可执行文件的名称。
process.pid	long	9988	ESET	N/A	操作系统分配的进程 ID。
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	进程开始时的时间戳。

扩展名

自定义 ECS 扩展是通过集成引入的额外字段集，用于捕获标准 Elastic Common Schema 未涵盖的数据。这些字段允许更丰富的上下文和供应商特定属性，同时保持与 ECS 的兼容性。扩展必须遵循 ECS 命名规范，并分组到清晰的命名空间下，以避免与标准 ECS 字段冲突。

ESET 扩展

ESET 扩展通过将病毒防护检测和行为指标映射到 eset.* namespace 下的自定义 ECS 字段，以标准化来自 ESET 产品的数据。

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	注意
eset.aggregated_count	long	2	ESET	N/A	如果在短时间内触发了同一指标，它只会产生一份文档。该字段包含产生了特定文档的指标的数量。
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	标识符在相关 ESET 指标间共享。
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	ESET PROTECT 实例的 GUID。
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	关于数字签名的信息。参见 ECS 代码签名字段。
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	可执行文件的格式。
eset.executable.hash.*	N/A	N/A	ESET	N/A	可执行文件的哈希参见 ECS 哈希字段集。
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	可执行文件的唯一标识符。
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	如果为 true，则该可执行文件表示动态链接库。
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	关联文件或可执行文件触发被归类为相近差错（例如，类似已知恶意软件但不足以被确信报告为恶意软件）的病毒防护检测时的时间戳。
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	自可执行文件首次在 LiveGrid® 中出现以来的天数。天数舍入为常见时间存储桶的对等时间：天、几天、周、月、半年、年等。
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	有多少台计算机向 LiveGrid® 报告了可执行文件间隔映射为十的幂： •0.00 => 0（尚未向 LiveGrid® 报告） •0.09 => 10⁰ = 1 •0.18 => 10¹ = 10 •0.27 => 10² = 100 •等等
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	该数字表示可执行文件的安全程度（根据 LiveGrid®）。数字越大，表示可执行文件的可信任度越高（根据 LiveGrid®）。 •= 0.00 - 恶意软件或已加入黑名单 •<= 0.38 - 可能不受欢迎或不安全 •>= 0.88 - 普遍的干净文件
eset.executable.name	keyword	usoclient.exe	ESET	N/A	可执行文件的名称，包括扩展名，但不含目录路径。
eset.executable.marked_safe	boolean	false	ESET	N/A	如果为 true，该可执行文件则被标记为安全。
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	用于创建可执行文件的加壳程序的名称（由 ESET 标识）。
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	可执行文件元数据中的内部名称字段。
eset.executable.pe_is_native	boolean	false	ESET	N/A	如果为 true，则可执行文件是 Windows 驱动程序。
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	可执行文件元数据中的产品版本字段。
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	用于创建可执行文件的 SFX 工具的名称（由 ESET 标识）。
eset.executable.size	long	3,417,240	ESET	N/A	可执行文件的文件大小。
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	包含白名单类型。这些白名单由 ESET 管理，用户无法配置。
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	表示 ESET 安全产品执行的自动修复的结果。 •mitigated - 已执行部分即时自动化操作来减轻威胁的影响，但尚未完全消除。完全解决通常需要重新启动系统。 •remediated - 威胁已被源系统、自动化或自动化流程完全且永久性解决，表明在检测时已完全消除并恢复到安全状态。 •unhandled - 底层项目或可观察内容尚未被处理，且未采取任何即时或自动化操作来遏制、消除或减轻其影响。这仍是一个高优先级指标，需要及时的人工分析，因为威胁仍处于活动状态且未受阻碍。
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	列出设备所属的 ESET PROTECT 管理员组。这些组从最顶层到主机的直接父组依序排列。
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	主机的唯一标识符。与 host.id 相同。
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	祖先进程的唯一标识符。
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	祖先进程的完整性级别。
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	祖先进程的进程名称。
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	祖先进程的进程 PID。
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	祖先进程生成的进程数量。
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	祖先进程的终止状态。
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	子进程的唯一标识符。
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	子进程的完整性级别。
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	子进程的进程名称。
eset.process.children.pid	long array	708, 7,964	ESET	N/A	子进程的进程标识符。
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	子进程生成的进程数量。
eset.process.children.terminated	boolean array	true, false	ESET	N/A	子进程的终止状态。
eset.process.dns_query_count	long	0	ESET	N/A	进程执行的 DNS 查询数量。
eset.process.dropped_executable_count	long	1	ESET	N/A	进程植入的可执行文件数量。
eset.process.http_request_count	long	9	ESET	N/A	进程发出的 HTTP 请求数量。
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	进程的唯一标识符。
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	进程的完整性级别
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	指定用于启动进程的 Windows 快捷方式 (.lnk) 文件的完整文件系统路径。
eset.process.modified_registry_count	long	42	ESET	N/A	进程修改的 Windows 注册表项数量。
eset.process.network_connection_count	long	6	ESET	N/A	进程建立的网络连接数量。
eset.process.spawned_child_process_count	long	2	ESET	N/A	进程生成的进程数量。
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	为 true 时，由于已配置的性能排除，该进程会被排除在 ESET Endpoint Security 威胁检测之外。
eset.process.username	keyword	contoso\administrator	ESET	N/A	以 user.domain 格式存储串联的 domain\username 和 user.name，表示执行该进程的帐户。
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	event.severity 字段的文本表示形式。基于 event.risk_score 字段。 •1–39 => 信息 (1) •40–69 => 警告 (2) •70-100 => 威胁 (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	与 eset.triggering_event.type 中定义的事件相关的特定于上下文的值。该字段包含与事件相关的主对象或参数 - 例如文件路径、进程路径、注册表项、网络地址或发生事件的其他资源。
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	触发事件的唯一 ID。
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	任意非示意性的、事件类型的依赖性结构化数据。
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	触发事件的类型（基于观察到的行为）。
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	表示修复操作执行时间的时间戳。
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	修复操作的唯一 ID。
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	EDR 执行的修复操作的名称 (ESET Inspect)。有关更多详细信息，请参阅规则指南操作部分。
eset.remediationactions.outcome	keyword array	true	ESET	N/A	表示修复操作的结果。
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	检测或报告事件的 ESET 扫描引擎或模块的版本。

˄˅