Open XDR 数据格式
Open XDR 数据格式基于 Elastic Common Schema (ECS),这是用于 ESET Open XDR 的规范化格式。ECS 简化了查询编写,并支持跨不同数据源进行数据关联。遥测事件、指标和事件会在 Open XDR 平台的产品和集成中规范化为该架构。
运行 ESET Management Agent 版本 13.0+ 和 ESET Inspect Connector 3.0+ 的计算机中提供 Open XDR 数据。 详细了解统一 ESET Inspect 和 ESET PROTECT (Open XDR) 的相关信息。 |
字段集
ECS 定义了多个相关字段组,称为字段集。
服务器代理字段用于描述收集、检测或观察遥测事件或指标的软件组件。
|
基础字段集包含位于事件根位置的所有字段。这些是所有事件类型中的通用字段。
|
旨在用于捕获云环境中所运行资源的相关元数据。
|
用于描述磁盘文件的数字签名、启动进程的可执行文件或动态加载库的字段。它们可表示文件是否已签名、由谁签名以及签名是否有效且可信。代码签名字段应嵌套于: •process.* •file.* •dll.*
|
描述网络连接目标或数据传输目标的字段。这通常包括接收数据的端点的详细信息,如 IP 地址、端口、域。
|
描述事件中涉及的硬件设备的字段。这通常包括设备标识符、型号、制造商、序列号等属性以及有助于标识生成或接收数据的物理设备的其他特征。
|
描述事件中涉及的动态加载库的字段。虽然字段名称以 Windows 为中心,但该字段集涵盖多个平台: •Windows 上常用的动态链接库 (.dll) •Unix 类似操作系统上常用的共享对象 (.so) •macOS 上常用的动态库 (.dylib) 以下字段集可嵌套在 DLL 字段集下: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
ECS 的特定元信息。
|
描述系统或应用程序捕获的事件或活动的详细信息的字段。这些字段提供事件的类别、类型、操作、结果和时间戳等上下文。
|
代表事件中所涉及文件的详细信息。以下字段集可嵌套在文件字段集下: •file.code_signature.* •file.hash.* •file.pe.*
|
包含可唯一标识文件的加密哈希值。哈希字段应嵌套于: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
表示发生事件或观察到事件的主机(计算机、服务器或设备)的详细信息。以下字段集可嵌套在主机字段集下: •host.os.*
|
表示与事件相关的网络活动的详细信息。这些字段描述网络通信的协议、方向和标识符。
|
表示在主机或设备上运行的操作系统的相关详细信息。操作系统字段应嵌套于: •host.os.*
|
表示从 Windows 可移植可执行文件 (PE) 提取的元数据,如可执行文件、DLL 和驱动程序。PE 字段应嵌套于: •dll.pe.* •file.pe.* •process.pe.*
|
表示与该事件相关的主机上运行的进程的详细信息。进程字段应嵌套于: •process.parent.* 以下字段集可嵌套在进程字段集下: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
包含与事件相关的标识符列表。这些值有助于对在不同字段中可能具有相同值的不同事件进行透视,例如 process.hash 和 process.parent.hash。
|
表示指标的详细信息。这些字段可帮助基于触发指标的检测逻辑来标识、分类以及关联指标。
|
描述网络连接源或数据传输源的字段。这通常包括发送数据的端点的详细信息,如 IP 地址、端口、域。
|
表示事件所涉及的 URL 的详细信息。这些字段描述 URL 的结构和组成部分。
|
表示与事件关联的用户的详细信息。用户字段应嵌套于: •process.user.*
|
扩展名
自定义 ECS 扩展是通过集成引入的额外字段集,用于捕获标准 Elastic Common Schema 未涵盖的数据。这些字段允许更丰富的上下文和供应商特定属性,同时保持与 ECS 的兼容性。扩展必须遵循 ECS 命名规范,并分组到清晰的命名空间下,以避免与标准 ECS 字段冲突。
ESET 扩展
ESET 扩展通过将病毒防护检测和行为指标映射到 ESET 命名空间下的自定义 ECS 字段,对来自 ESET 产品的数据进行标准化处理。
ESET 扩展字段应嵌套于:
•eset.*
ESET 基础字段集包含位于 eset.* namespace 根位置的所有字段。
|
表示有关祖先进程的详细信息。祖先字段应嵌套于: •eset.process.ancestors.* 以下 ECS 字段应嵌套在 eset.executable 下: •hash.*
|
表示有关祖先进程的详细信息。子字段应嵌套于: •eset.process.children.* 以下 ECS 字段应嵌套在 eset.executable 下: •hash.*
|
提供有关链接到事件的可执行文件的信息。当此字段出现在 eset.process.* 下时,它特指在主机上运行的与事件相关的进程的可执行文件。 ESET 可执行文件字段应嵌套于: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* 以下 ECS 字段应嵌套在 eset.executable 下: •code_signature.* •hash.* 以下 ESET 扩展字段应嵌套在 eset.executable 下: •livegrid_findings.*
|
提供有关链接到可执行文件的 ESET LiveGrid® 数据的信息。 ESET LiveGrid 查找字段应嵌套于: •eset.executable.*
|
提供有关创建指标时在进程中加载的加载库的信息。 ESET LiveGrid 查找字段应嵌套于: •eset.process.loaded_libraries.* 以下字段集应嵌套在 eset.loaded_libraries 字段集下: •eset.executable.*
|
表示与该事件相关的主机上运行的进程的详细信息。 以下字段集可嵌套在 eset.process 字段集下: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
表示为响应触发的 EDR 规则而执行的任务,旨在缓解或消除潜在的安全威胁。 ESET 修复操作字段应嵌套于: •eset.*
|
表示有关触发规则的事件的信息。 ESET 触发事件字段应嵌套于: •eset.triggering_event.*
|
ESET 元数据扩展标准化了安全事件的 ESET 特定元数据。它可以捕获客户、服务和部署详细信息,以帮助在 ESET 安全运营中心 (SoC) 内确定事件优先级和路由事件。 ESET 元数据字段应嵌套于: •eset_metadata.*
|