Open XDR 資料格式
Open XDR 資料格式是基於 Elastic Common Schema (ECS),這是 ESET Open XDR 所使用的標準化格式。ECS 簡化了查詢寫入,能在不同資料來源間為資料建立關聯。Open XDR 平台的產品與整合中,遙測事件、指示器與事件會經標準化為此架構。
Open XDR 資料可從執行 ESET Management 代理程式版本 13.0+ 和 ESET Inspect 連接器 3.0+ 的電腦取得。 |
欄位集
ECS 定義了多個相關欄位的群組,其稱為欄位集。
代理程式欄位描述用於收集、偵測或觀察遙測事件或指示器的軟體元件。
|
基本欄位集包含位於事件根的所有欄位。這些欄位在各事件類型中都很常見。
|
旨在擷取雲端環境中資源的中繼資料。
|
此欄位描述磁碟上的檔案、啟動程序的執行檔,或動態載入函式庫的數位簽章。這些欄位會顯示檔案是否有簽章、簽署者,以及該簽章是否有效且受信任。程式碼簽章欄位預期會巢狀於: •process.* •file.* •dll.*
|
描述網路連線或資料傳輸目的地的欄位。其中通常包括接收資料端點的詳細資訊,如 IP 位址、連接埠、網域。
|
描述事件所涉及硬體裝置的欄位。其中通常包括裝置識別碼、型號、製造商、序號及其他能辨識產生或接收資料的實體裝置的屬性。
|
描述事件所涉及動態載入函式庫的欄位。雖然名稱以 Windows 為中心,但這個欄位集涵蓋多個平台: •在 Windows 上常用的動態連結函式庫 (.dll) •在 Unix 類作業系統上常用的共用的物件 (.so) •在 macOS 上常用的動態函式庫 (.dylib) 以下欄位集可巢狀於 DLL 欄位集之下: •dll.code_signature.* •dll.hash.* •dll.pe.*
|
ECS 專屬的中繼資訊。
|
描述系統或應用程式所擷取事件或活動的詳細資訊的欄位。這些欄位提供事件類別、類型、動作、結果及時間戳記等內容。
|
代表事件相關檔案的詳細資訊。以下欄位集可巢狀於檔案欄位集之下: •file.code_signature.* •file.hash.* •file.pe.*
|
其包含能唯一識別檔案的密碼雜湊值。雜湊欄位預期會巢狀於: •process.hash.* •file.hash.* •dll.hash.* •email.attachments.file.hash.* •eset.executable.hash.* •eset.process.loaded_libraries.hash.*
|
代表產生或觀察到事件的主機 (電腦、伺服器或裝置) 的詳細資訊。以下欄位集可巢狀於主機欄位集之下: •host.os.*
|
代表事件相關網路活動的詳細資訊。這些欄位描述網路流量的通訊協定、方向與識別碼。
|
代表在主機或裝置上執行的作業系統詳細資訊。作業系統欄位預期會巢狀於: •host.os.*
|
代表從 Windows 可攜式執行檔 (PE) 擷取的中繼資料,例如執行檔、DLL 和驅動程式。PE 欄位預期會巢狀於: •dll.pe.* •file.pe.* •process.pe.*
|
代表事件相關主機上所執行程序的詳細資訊。程序欄位預期會巢狀於: •process.parent.* 以下欄位集可巢狀於程序欄位集之下: •process.code_signature.* •process.hash.* •process.pe.* •process.user.*
|
包含事件相關識別碼清單。這些值有助於在不同事件之間轉換,這些事件在不同欄位中可能具有相同值,例如 process.hash 和 process.parent.hash。
|
代表指示器相關的詳細資訊。這些欄位有助於根據觸發指示器的偵測邏輯來識別、分類並為這些指示器建立關聯。
|
描述網路連線或資料傳輸來源的欄位。其中通常包括傳送資料端點的詳細資訊,如 IP 位址、連接埠、網域。
|
代表事件相關 URL 的詳細資訊。這些欄位說明 URL 的結構與組成。
|
代表事件相關使用者的詳細資訊。使用者欄位預期會巢狀於: •process.user.*
|
副檔名
自訂 ECS 副檔名是透過整合引入的額外欄位集,用以擷取標準 Elastic Common Schema 未涵蓋的資料。這些欄位能提供更豐富的內容與廠商專屬屬性,同時保持與 ECS 相容。副檔名必須遵循 ECS 命名慣例,並歸類於明確的命名空間,以避免與標準 ECS 欄位衝突。
ESET 副檔名
ESET 擴充功能會將病毒防護偵測與行為指示器對應至 ESET 命名空間下的自訂 ECS 欄位,以標準化 ESET 產品資料。
ESET 擴充功能欄位預期會巢狀於:
•eset.*
ESET 基本欄位集包含位於 eset.* namespace 根目錄的所有欄位。
|
代表上層程序相關的詳細資料。上層欄位預期會巢狀於: •eset.process.ancestors.* 下列 ECS 欄位預期會巢狀於 eset.executable 下方: •hash.*
|
代表上層程序相關的詳細資料。下層欄位預期會巢狀於: •eset.process.children.* 下列 ECS 欄位預期會巢狀於 eset.executable 下方: •hash.*
|
提供與事件連結的可執行檔資訊。當此欄位出現在 eset.process.* 下方時,它特別是指與該事件相關、且正在主機上執行處理程序的可執行檔。 ESET 可執行檔欄位預期會巢狀於: •eset.dll.* •eset.file.* •eset.process.executable.* •eset.process.loaded_libraries.* 下列 ECS 欄位預期會巢狀於 eset.executable 下方: •code_signature.* •hash.* 下列 ECS 擴充功能預期會巢狀於 eset.executable 下方: •livegrid_findings.*
|
提供與該可執行檔連結的 LiveGrid® 資料資訊。 ESET LiveGrid 尋找欄位預期會巢狀於: •eset.executable.*
|
提供建立此指示器時,該處理程序中已載入的程式庫資訊。 ESET LiveGrid 尋找欄位預期會巢狀於: •eset.process.loaded_libraries.* 下列欄位集預期會巢狀於 eset.loaded_libraries 欄位集下方: •eset.executable.*
|
代表事件相關主機上所執行程序的詳細資訊。 下列欄位集可能會巢狀於 eset.process 欄位集下方: •process.ancestors.* •process.children.* •eset.executable.* •eset.loaded_libraries.*
|
代表回應因觸發 EDR 規則而執行的工作,旨在緩解或消除潛在的安全性威脅。 ESET 修復動作欄位預期會巢狀於: •eset.*
|
代表觸發規則的事件相關資訊。 ESET 觸發事件欄位預期會巢狀於: •eset.triggering_event.*
|
ESET 中繼資料擴充功能對安全性事件的 ESET 特定中繼資料進行標準化。其會擷取客戶、服務和部署詳細資料,以協助 ESET 安全性營運中心 (SoC) 進行事件優先排序和路由。 ESET 中繼資料欄位預期會巢狀於: •eset_metadata.*
|