搜尋說明內容

Open XDR 資料格式

麵包屑

ESET 線上說明 > ESET PROTECT > 使用 ESET PROTECT > ESET PROTECT 主功能表 > 進階搜尋 > Open XDR 資料格式

Open XDR 資料格式是基於 Elastic Common Schema (ECS)，這是 ESET Open XDR 所使用的標準化格式。ECS 簡化了查詢寫入，能在不同資料來源間為資料建立關聯。Open XDR 平台的產品與整合中，遙測事件、指示器與事件會經標準化為此架構。

Open XDR 資料可從執行 ESET Management 代理程式版本 13.0+ 和 ESET Inspect 連接器 3.0+ 的電腦取得。

深入了解整合 ESET Inspect 和 ESET PROTECT (Open XDR)。

欄位集

ECS 定義了多個相關欄位的群組，其稱為欄位集。

代理程式欄位集

代理程式欄位描述用於收集、偵測或觀察遙測事件或指示器的軟體元件。

欄位名稱

欄位對應

範例

提供此欄位的整合

允許的值

注意

agent.build.original

keyword

13.01115.0

ESET

N/A

擴充版建置資訊。

agent.type

keyword

endpoint-security

all

•endpoint-security

•endpoint-detection-response

收集或觀察事件的代理程式或整合類型。

•endpoint-security—用於端點保護資料 (ESET PROTECT)

•endpoint-detection-response—用於 EDR 資料 (ESET Inspect)

agent.version

keyword

2.8.5555.0

ESET

N/A

代理程式版本。

基本欄位集

基本欄位集包含位於事件根的所有欄位。這些欄位在各事件類型中都很常見。

欄位名稱

欄位對應

範例

提供此欄位的整合

允許的值

注意

@timestamp

date

2016-05-23T08:05:34.853Z

all

N/A

事件發生日期/時間。通常是從事件來源取得。若不適用，則其設為管道首次接收事件的日期。

所有時間戳記欄位皆以 UTC 儲存。顯示時會轉換成主控台使用者設定的時區。

雲端欄位集

旨在擷取雲端環境中資源的中繼資料。

欄位名稱

欄位對應

範例

提供此欄位的整合

允許的值

注意

cloud.provider

keyword

azure

ESET

•azure

•aws

•gcp

識別正在執行資源的雲端服務提供者。

cloud.instance.id

keyword

/subscriptions/9d7b40e6-e45a-4253-95cf-00150351bc5e/resourceGroups/rg-eic-vms/providers/Microsoft.Compute/virtualMachines/rep-azure-eic

ESET

N/A

雲端提供者所提供執行個體 (虛擬機器或運算資源) 的唯一識別碼。

程式碼簽章欄位集

此欄位描述磁碟上的檔案、啟動程序的執行檔，或動態載入函式庫的數位簽章。這些欄位會顯示檔案是否有簽章、簽署者，以及該簽章是否有效且受信任。程式碼簽章欄位預期會巢狀於：

•process.*

•file.*

•dll.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
code_signature.exists	boolean	true	ESET	N/A	顯示是否有數位簽章。只有當資料來源為 ESET Inspect 時，才會填入此欄。
code_signature.signing_id	keyword	com.eset.remoteadministrator.agent	ESET	N/A	與簽署該檔案的實體相關的識別碼。只有當資料來源為 macOS 裝置上的 ESET Inspect 時，才會填入此欄。
code_signature.status	keyword	trusted	ESET	針對 ESET，系統允許以下值： •trusted •valid •adhoc •none •invalid •unknown •present	數位簽章的驗證狀態，顯示該簽章是否受信任、無效或有其他狀態。只有當資料來源為 ESET Inspect 時，才會填入此欄。 •trusted—ESET 信任的簽章。 •valid—作業系統信任的簽章。 •adhoc—自我簽署 (僅限 macOS)。 •none—沒有簽章。 •invalid—作業系統不信任的、損壞或撤銷的簽章。 •unknown—無法判斷是否有簽章。 •present—有簽章，但無法驗證信任。
code_signature.subject_name	keyword	"ESET, spol. s r.o."	ESET	N/A	簽署檔案的實體名稱 (個人、組織或發行者)，如數位簽章所示。只有當資料來源為 ESET Inspect 時，才會填入此欄。
code_signature.team_id	keyword	P8DQRXPVLP	ESET	N/A	指派給簽署檔案的開發團隊的識別碼。只有當資料來源為 macOS 裝置上的 ESET Inspect 時，才會填入此欄。

目的地欄位集

描述網路連線或資料傳輸目的地的欄位。其中通常包括接收資料端點的詳細資訊，如 IP 位址、連接埠、網域。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
destination.address	keyword	192.168.1.1	ESET	N/A	目的地原始位址，由來源提供。這可以是 IP 位址、網域名稱或其他網路識別碼。
destination.ip	ip	192.168.1.1	ESET	N/A	接收網路流量的目的地主機或端點的 IP 位址。
destination.mac	keyword	00-11-22-33-44-55	ESET	N/A	目的地網路介面的 MAC 位址。
destination.port	long	22	ESET	N/A	目的地的網路埠號。

裝置欄位集

描述事件所涉及硬體裝置的欄位。其中通常包括裝置識別碼、型號、製造商、序號及其他能辨識產生或接收資料的實體裝置的屬性。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
device.manufacturer	keyword	VMware, Inc.	ESET	N/A	製造該裝置的公司或供應商名稱。
device.model.identifier	keyword	VMware Virtual Platform	ESET	N/A	製造商提供的裝置型號唯一識別碼，用以區分不同硬體型號。
device.serial_number	keyword	VMware-11 22 33 44 55 66 77 88-99 aa bb bb dd ee ff 00	ESET	N/A	製造商給該裝置的唯一序號。

DLL 欄位集

描述事件所涉及動態載入函式庫的欄位。雖然名稱以 Windows 為中心，但這個欄位集涵蓋多個平台：

•在 Windows 上常用的動態連結函式庫 (.dll)

•在 Unix 類作業系統上常用的共用的物件 (.so)

•在 macOS 上常用的動態函式庫 (.dylib)

以下欄位集可巢狀於 DLL 欄位集之下：

•dll.code_signature.*

•dll.hash.*

•dll.pe.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
dll.name	keyword	scrobj.dll	ESET	N/A	動態載入函式庫檔案的名稱，但不含路徑。
dll.path	keyword	C:\Windows\syswow64\scrobj.dll	ESET	N/A	動態載入函式庫的完整檔案系統路徑。

ECS 欄位集

ECS 專屬的中繼資訊。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
ecs.version	keyword	8.16	all	N/A	此事件符合的 ECS 版本。

事件欄位集

描述系統或應用程式所擷取事件或活動的詳細資訊的欄位。這些欄位提供事件類別、類型、動作、結果及時間戳記等內容。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
event.action	keyword	file-cleaned	ESET	針對 ESET，系統允許以下值： •rule-triggered •connection-terminated •file-blocked •file-deleted •file-cleaned •file-marked-for-deletion •part-of-deleted-object •retained •exploit-blocked •ransomware-blocked	觸發事件的特定動作或操作。僅在適用於特定事件時提供此欄位。
event.category	keyword array	malware	all	•api •authentication •configuration •database •driver •email •file •host •iam •intrusion_detection •library •malware •network •package •process •registry •session •threat •vulnerability •web	事件的高階分類，用於分類類似活動。此欄位能協助您根據廣泛的功能類別來分類事件，以便於進行篩選與分析。此欄位可以包含多個值。
event.created	date	2016-05-23T08:05:34.857Z	ESET	N/A	代表代理程式第一次接收或觀察事件的時間。該值應與 @timestamp 略有不同。
event.dataset	keyword	eset.antivirus	all	•eset.antivirus •eset.firewall •eset.hips •eset.blockedfile •eset.blockedurl •eset.rule	事件所屬資料集的名稱。此值通常用於分類來自相同來源或整合的相關事件。
event.id	keyword	ac42bf19-3ec1-4e92-a9e6-e54ce27a3c9e	all	N/A	事件的唯一 ID。
event.ingested	date	2016-05-23T08:05:34.857Z	all	N/A	代表事件抵達 ESET PROTECT 主控台的時間。
event.kind	keyword	alert	all	針對 ESET，系統允許以下值： •alert •event	事件所攜帶資訊類型的高階分類。在 ESET 當中，該值警示會對應指示器，而事件則指遙測事件。
event.module	keyword	eset	all	針對 ESET，系統允許以下值： •eset	識別產生事件的整合名稱。此欄用來依據來源分組事件。
event.outcome	keyword	success	全部	•failure •success •unknown	表示事件或行動的結果。
event.provider	keyword	Real-time file system protection	ESET	N/A	識別系統中產生事件的來源或元件。通常是負責產生資料的應用程式、服務或子系統的名稱。在 ESET 當中，此值有時稱為掃描器，表示哪一個 ESET 掃描引擎或模組偵測或回報了該事件。
event.reason	keyword	Test file: Eicar - file:///C:/Users/Administrator/Desktop/eicar.txt	ESET	N/A	提供事件發生原因的描述性說明。此欄位包含可讀文字，說明事件的原因、觸發因素或正當性。
event.risk_score	float	40	ESET	N/A	數值代表事件來源所提供的估計風險。
event.severity	long	2	ESET	N/A	數值代表事件來源所提供的事件嚴重性。
event.type	keyword 陣列	deletion	all	•access •admin •allowed •change •connection •creation •deletion •denied •device •end •error •group •indicator •info •installation •protocol •start •user	描述事件在其類別中所代表的特定類型或動作。此欄位提供比 event.category 更詳細的分類。

檔案欄位集

代表事件相關檔案的詳細資訊。以下欄位集可巢狀於檔案欄位集之下：

•file.code_signature.*

•file.hash.*

•file.pe.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
file.directory	keyword	C:\Windows\System32	ESET	N/A	檔案所在的目錄路徑，但不包含檔名。
file.extension	keyword	dll	ESET	N/A	檔案的副檔名，但不包括開頭的點。
file.name	keyword	rasadhlp.dll	ESET	N/A	檔案名稱，包含副檔名，但不含目錄路徑。
file.path	keyword	C:\Windows\System32\rasadhlp.dll	ESET	N/A	檔案的完整路徑，包括目錄和檔名。
file.type	keyword	file	ESET	•file •directory •symlink	檔案的一般類型。表示該物件在檔案系統中的性質。

雜湊欄位集

其包含能唯一識別檔案的密碼雜湊值。雜湊欄位預期會巢狀於：

•process.hash.*

•file.hash.*

•dll.hash.*

•email.attachments.file.hash.*

•eset.executable.hash.*

•eset.process.loaded_libraries.hash.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
hash.md5	keyword	F0B123ABEAEB45AB8837F2372C655B60	ESET	N/A	檔案或資料的 MD5 雜湊值。
hash.sha1	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F	ESET	N/A	檔案或資料的 SHA1 雜湊值。
hash.sha256	keyword	3C2189DA86FB4F981CB15D4FA74BB5CC0A7096EBAE40274D1C113B2E3291DABC	ESET	N/A	檔案或資料的 SHA256 雜湊值。

主機欄位集

代表產生或觀察到事件的主機 (電腦、伺服器或裝置) 的詳細資訊。以下欄位集可巢狀於主機欄位集之下：

•host.os.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
host.architecture	keyword	x86-64	ESET	N/A	主機的 CPU 架構。
host.domain	keyword	CONTOSO	ESET	N/A	主機的網域名稱，通常代表主機所屬的 Active Directory 網域。
host.hostname	keyword	SRV-02	ESET	N/A	作業系統主機名稱命令所回報的主機名稱。
host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	主機的唯一識別碼。
host.ip	ip array	192.168.1.35	ESET	N/A	指派給主機的 IP 位址。
host.mac	keyword array	00-11-22-33-44-55	ESET	N/A	主機網路介面的 MAC 位址。
host.name	keyword	SRV-02.contoso.local	ESET	N/A	主機名稱。
host.type	keyword	server	ESET	針對 ESET，系統允許以下值： •workstation •server •mobile	主機類型。

網路欄位集

代表事件相關網路活動的詳細資訊。這些欄位描述網路流量的通訊協定、方向與識別碼。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
network.community_id	keyword	1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0	ESET	N/A	根據其五元組 (來源 IP、目的地 IP、來源埠、目的埠及傳輸協定) 唯一識別網路流的雜湊值。它提供一致方式，為不同系統與工具間的網路工作階段建立關聯。更多詳細資訊請參閱 github。
network.direction	keyword	ingress	ESET	•ingress •egress	相對於主機的流量方向。
network.protocol	keyword	ssh	ESET	N/A	所使用的網路通訊協定名稱。在 OSI 模型中，這相當於應用程式層。
network.transport	keyword	tcp	ESET	N/A	底層傳輸協定。在 OSI 模型中，這相當於傳輸層。
network.type	keyword	ipv4	ESET	N/A	網路流量類型。在 OSI 模型中，這相當於網路層。

作業系統欄位集

代表在主機或裝置上執行的作業系統詳細資訊。作業系統欄位預期會巢狀於：

•host.os.*

欄位名稱

欄位對應

範例

提供此欄位的整合

允許的值

注意

os.name

keyword

Multi-field:

os.name.text - match_only_text

Microsoft Windows 10 Pro

ESET

N/A

作業系統的可讀名稱。

os.type

keyword

windows

ESET

針對 ESET，系統允許以下值：

•windows

•linux

•macos

•ios

•android

作業系統的一般類型。

os.version

keyword

10.0.19045.6456

ESET

N/A

作業系統的版本字串。

PE 欄位集

代表從 Windows 可攜式執行檔 (PE) 擷取的中繼資料，例如執行檔、DLL 和驅動程式。PE 欄位預期會巢狀於：

•dll.pe.*

•file.pe.*

•process.pe.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
pe.architecture	keyword	x64	ESET	N/A	指定可攜式執行檔 (PE) 檔案所使用的 CPU 架構。
pe.company	keyword	Google LLC	ESET	N/A	發行該執行檔的公司名稱。
pe.description	keyword	Google Chrome	ESET	N/A	檔案用途說明。
pe.original_file_name	keyword	chrome.exe	ESET	N/A	該執行檔受編譯和簽署時的名稱。
pe.product	keyword	Google Chrome	ESET	N/A	檔案所屬的產品名稱。
pe.file_version	keyword	142.0.7444.176	ESET	N/A	檔案版本，如其中繼資料所指定。

流程欄位集

代表事件相關主機上所執行程序的詳細資訊。程序欄位預期會巢狀於：

•process.parent.*

以下欄位集可巢狀於程序欄位集之下：

•process.code_signature.*

•process.hash.*

•process.pe.*

•process.user.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
process.args	keyword array	C:\Windows\system32\whoami.exe, /groups, /FO, csv, /NH	ESET	N/A	傳遞給程序的參數陣列。
process.args_count	long	5	ESET	N/A	提交給程序的引數數量。
process.command_line	wildcard Multi-field: process.command_line.text - match_only_text	C:\Windows\system32\whoami.exe /groups /FO csv /NH	ESET	N/A	用於啟動程序的完整命令列，其中包括參數。
process.end	date	2016-05-23T08:05:34.853Z	ESET	N/A	程序結束的時間。如果未填入欄位，表示事件產生時程序仍在執行中。
process.entity_id	keyword	bff9c549-c059-4f7d-a804-f38b34026738	ESET	N/A	流程的唯一識別碼。實作方式取決於資料來源。
process.executable	keyword Multi-field: process.executable.text - match_only_text	C:\Windows\system32\whoami.exe	ESET	N/A	程序執行檔的完整路徑。
process.name	keyword	whoami.exe	ESET	N/A	程序執行檔的名稱。
process.pid	long	9988	ESET	N/A	作業系統指派的程序 ID。
process.start	date	2016-05-23T08:05:34.853Z	ESET	N/A	程序開始的時間。

相關欄位集

包含事件相關識別碼清單。這些值有助於在不同事件之間轉換，這些事件在不同欄位中可能具有相同值，例如 process.hash 和 process.parent.hash。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
related.hash	keyword array	444E5470860EC480B08DF9B5D9032946B03C7837, BF803E9A7A7F4499C5B4E8B59756905DE8A238C5AED3AD6C93665E047C473E01	ESET	N/A	事件相關雜湊值陣列。
related.hosts	keyword array	SRV-02.contoso.local	ESET	N/A	事件相關主機陣列。
related.ip	ip array	192.168.1.86, 10.1.40.125	ESET	N/A	事件相關 IP 位址陣列。
related.user	keyword array	S-1-5-18, system	ESET	N/A	事件相關使用者識別碼陣列。

規則欄位集

代表指示器相關的詳細資訊。這些欄位有助於根據觸發指示器的偵測邏輯來識別、分類並為這些指示器建立關聯。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
rule.author	keyword	ESET	ESET	N/A	偵測規則的作者。
rule.name	keyword	Reading Sensitive Files from Shadow Volume [D0331]	all	N/A	規則名稱。此值應由所有指示器填入。
rule.category	keyword	File System	ESET	N/A	規則的廣義類別。
rule.uuid	keyword	0c464b88-2781-4686-8c7e-163358b3dba4	ESET	N/A	規則的唯一識別碼，涵蓋整個系統範圍內。由規則作者指派。若是 ESET Inspect，此則為規則原始碼中，<guid> 標籤所用的值。
rule.id	keyword	de7af049-8ddd-4c2c-a054-734368a1082	ESET	N/A	規則版本的唯一識別碼，涵蓋整個主機範圍內。通常由偵測引擎指派。
rule.description	keyword	Adversary tries to access the filesystem backups present in shadow volumes and extract sensitive data. These include SAM registry hives or the NTDS.dit Active Directory database in order to extract credentials from them later. Administrator rights are usually necessary to access these files with exception of CVE-2021-36934 (Hivenightmare)	ESET	N/A	提供可讀解釋，以說明規則偵測到的內容或其預期用途。此欄可以協助分析師瞭解警示背後的邏輯或背景，而無需檢閱完整的規則定義。若是 ESET Inspect，此為規則原始碼中， <explanation> 標籤的內容。

來源欄位集

描述網路連線或資料傳輸來源的欄位。其中通常包括傳送資料端點的詳細資訊，如 IP 位址、連接埠、網域。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
source.address	keyword	192.168.1.1	ESET	N/A	來源原始位址，由來源提供。這可以是 IP 位址、網域名稱或其他網路識別碼。
source.ip	ip	192.168.1.1	ESET	N/A	傳送網路流量的來源主機或端點 IP 位址。
source.mac	keyword	00-11-22-33-44-55	ESET	N/A	來源網路介面的 MAC 位址。
source.port	long	80	ESET	N/A	來源的網路埠號。

URL 欄位集

代表事件相關 URL 的詳細資訊。這些欄位說明 URL 的結構與組成。

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
url.domain	keyword	autodiscover.contoso.com	ESET	N/A	從 URL 擷取的網域名稱。
url.extension	keyword	xml	ESET	N/A	來自 URL 路徑的檔案副檔名。
url.full	wildcard Multi-field: url.full.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	完整 URL。
url.original	wildcard Multi-field: url.original.text - match_only_text	http://autodiscover.contoso.com/autodiscover/autodiscover.xml	ESET	N/A	原始資料來源提供的完整 URL。
url.path	wildcard	/autodiscover/autodiscover.xml	ESET	N/A	URL 的路徑部分。
url.scheme	keyword	http	ESET	N/A	所使用的協議或架構。

使用者欄位集

代表事件相關使用者的詳細資訊。使用者欄位預期會巢狀於：

•process.user.*

欄位名稱	欄位對應	範例	提供此欄位的整合	允許的值	注意
user.name	keyword	john	ESET	N/A	使用者名稱或帳戶名稱。
user.domain	keyword	contoso	ESET	N/A	使用者所屬網域或領域。
user.id	keyword	S-1-5-21-202424912787-2692429404-2351956786-1000	ESET	N/A	使用者的唯一識別碼。

副檔名

自訂 ECS 副檔名是透過整合引入的額外欄位集，用以擷取標準 Elastic Common Schema 未涵蓋的資料。這些欄位能提供更豐富的內容與廠商專屬屬性，同時保持與 ECS 相容。副檔名必須遵循 ECS 命名慣例，並歸類於明確的命名空間，以避免與標準 ECS 欄位衝突。

ESET 副檔名

ESET 副檔名會將病毒防護偵測與行為指示器對應至自訂 ECS 欄位 eset.* namespace，以標準化 ESET 產品資料。

Field Name	Field Mapping	Example	Integrations providing this field	Allowed values	注意
eset.aggregated_count	long	2	ESET	N/A	若在短時間內觸發同一個指示器，系統只會產生一份文件。此欄位包含產生該特定文件的指示器數量。
eset.correlation_id	keyword	09f03498-8228-d345-f998-491d11a306d7	ESET	N/A	所有相關 ESET 指示器共用識別碼。
eset.epc_instance.id	keyword	7835678-c65c-41f6-ae2a-c784a2852a15	ESET	N/A	ESET PROTECT 執行個體的 GUID。
eset.executable.code_signature.*	N/A	N/A	ESET	N/A	數位簽章相關資訊。請參閱 ECS 代碼簽章欄位。
eset.executable.file_format	keyword	pe	ESET	•elf •pe •macho	執行檔的格式。
eset.executable.hash.*	N/A	N/A	ESET	N/A	執行檔的雜湊值。請參閱 ECS 雜湊欄位集。
eset.executable.id	keyword	DB75962AE7A258C5DFA4F558BD8B7D04F2FED03F_	ESET	N/A	執行檔的唯一識別碼。
eset.executable.is_dynamically_linked_library	boolean	false	ESET	N/A	若為 true，則該執行檔代表動態連結函式庫。
eset.executable.last_nearmiss_time	date	2016-05-23T08:05:34.853Z	ESET	N/A	相關檔案或執行檔觸發病毒防護偵測的時間，該偵測歸類為相似事件 (例如類似已知惡意軟體，但仍不足以確認為惡意軟體)。
eset.executable.livegrid_findings.age_days	long	5	ESET	N/A	自執行檔第一次出現在 LiveGrid® 後的天數。這個數字會四捨五入到常見的時間儲存貯體數值：日、幾日、週、月、半年、年等等。
eset.executable.livegrid_findings.popularity	double	0.64	ESET	Interval 0.0 - 1.0	有多少台電腦將執行檔回報給 LiveGrid®。區間對應為十的次方： •0.00 => 0 (尚未回報給 LiveGrid®) •0.09 => 10⁰ = 1 •0.18 => 10¹ = 10 •0.27 => 10² = 100 •等等
eset.executable.livegrid_findings.reputation	double	0.88	ESET	Interval 0.0 - 1.0	該數字根據 LiveGrid® 表示執行檔的安全程度。數字越大，代表執行檔 LiveGrid® 可靠性越高。 •= 0.00 - 惡意軟體或黑名單 •<= 0.38 - 可能不需要或不安全 •>= 0.88 - 常見乾淨檔案
eset.executable.name	keyword	usoclient.exe	ESET	N/A	執行檔名稱，包含副檔名，但不含目錄路徑。
eset.executable.marked_safe	boolean	false	ESET	N/A	若為 true，則該執行檔會標記為安全檔案。
eset.executable.packer_name	keyword	UPX v13_m8	ESET	N/A	用於建立執行檔的惡意加殼名稱，該名稱由 ESET 標示。
eset.executable.pe_internal_name	keyword	chrome_exe	ESET	N/A	執行檔中繼資料的內部名稱欄位。
eset.executable.pe_is_native	boolean	false	ESET	N/A	若為 true，則執行檔是 Windows 驅動程式。
eset.executable.product_version	keyword	142.0.7444.176	ESET	N/A	來自執行檔中繼資料的產品版本欄位。
eset.executable.sfx_name	keyword	PYINSTALLER	ESET	N/A	用於建立執行檔的 SFX 工具名稱，該名稱由 ESET 標示。
eset.executable.size	long	3,417,240	ESET	N/A	執行檔的檔案大小。
eset.executable.whitelist_type	keyword	livegrid	ESET	•threat-scanner •livegrid •certificate	包含白名單的類型。這些白名單由 ESET 管理，無法由使用者自訂。
eset.handling_status	keyword	remediated	ESET	•mitigated •remediated •unhandled	代表由 ESET 安全性產品執行的自動修復結果。 •mitigated—已採取部分即時自動化動作，以減緩威脅影響，但尚未完全修復。通常需重新啟動系統才能取得完整解析。 •remediated—來源系統、自動化或自動化程序已完全且永久解決威脅，表示在偵測時已完全消除威脅並恢復至安全狀態。 •unhandled—尚未處理底層成品或可觀察內容，且未採取立即或自動化動作來抑制、消除或減輕威脅影響。這仍是高優先等級的指示器，需迅速進行人力分析，因為威脅仍然活躍且未受阻擋。
eset.host.group_path	keyword array	All, Companies, ESET, Accounting	ESET	N/A	列出該裝置所屬 ESET PROTECT 的管理群組。群組依序為最高群組到主機的直接上層群組。
eset.host.id	keyword	59a611f9-a01e-47a6-a839-03b1e4ac3e67	ESET	N/A	主機的唯一識別碼。和 host.id 相同。
eset.process.ancestors.id	keyword array	18fcddaa-632d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-30a20c598cb0	ESET	N/A	舊程序的唯一識別碼。
eset.process.ancestors.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	舊程序的完整性層級。
eset.process.ancestors.name	keyword array	chrome.exe, explorer.exe, userinit.exe, winlogon.exe, smss.exe	ESET	N/A	舊程序的程序名稱。
eset.process.ancestors.pid	long array	15,916, 2,268, 7,784, 1,192, 1,084	ESET	N/A	舊程序的程序 PID。
eset.process.ancestors.subprocesses_count	long array	117, 9, 1, 6, 2	ESET	N/A	舊程序產生的程序數量。
eset.process.ancestors.terminated	boolean array	true, false, true	ESET	N/A	舊程序的終止狀態。
eset.process.children.id	keyword array	18fcddaa-642d-4991-8f5d-1b89c82d0eff, e1f8dc76-d7f8-49f2-9bac-31a20c598cb0	ESET	N/A	子程序的唯一識別碼。
eset.process.children.integrity_level	keyword array	medium, high	ESET	•untrusted •low •medium •high •system •protected	子程序的完整性層級。
eset.process.children.name	keyword array	conhost.exe, cmd.exe	ESET	N/A	子程序的程序名稱。
eset.process.children.pid	long array	708, 7,964	ESET	N/A	子程序的程序識別碼。
eset.process.children.subprocess_count	long array	1, 5	ESET	N/A	子程序產生的程序數量。
eset.process.children.terminated	boolean array	true, false	ESET	N/A	子程序的終止狀態。
eset.process.dns_query_count	long	0	ESET	N/A	程序所執行的 DNS 查詢數量。
eset.process.dropped_executable_count	long	1	ESET	N/A	每個程序丟棄的執行檔數量。
eset.process.http_request_count	long	9	ESET	N/A	程序發出的 HTTP 請求數量。
eset.process.id	keyword	8d053e9-8cf5-885d-a17b-0c14e4110000	ESET	N/A	程序的唯一識別碼。
eset.process.integrity_level	keyword	medium	ESET	•untrusted •low •medium •high •system •protected	程序的完整性層級。
eset.process.lnk_path	keyword	c:\users\administrator\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\firefox.lnk	ESET	N/A	指定用於啟動程序的 Windows 捷徑 (.lnk) 檔案的完整檔案系統路徑。
eset.process.modified_registry_count	long	42	ESET	N/A	程序修改的 Windows 登錄機碼數量。
eset.process.network_connection_count	long	6	ESET	N/A	程序所建立的網路連線數量。
eset.process.spawned_child_process_count	long	2	ESET	N/A	該程序產生的程序數量。
eset.process.threat_detection_performance_excluded	boolean	false	ESET	N/A	若為 true，由於已設定效能排除，該程序會被排除在 ESET Endpoint Security 威脅偵測之外。
eset.process.username	keyword	contoso\administrator	ESET	N/A	以 domain\username 格式儲存串接的 user.domain 和 user.name，代表執行程序的帳戶。
eset.severity	keyword	Warning	ESET	•Informational •Warning •Threat	event.severity 欄位的文字表現。根據 event.risk_score 欄位。 •1–39 => 資訊型 (1) •40–69 => 警告 (2) •70-100 => 威脅 (3)
eset.triggering_event.argument	wildcard Multi-field: eset.triggering_event.argument.text - match_only_text	%WINDIR%\explorer.exe (Remote thread)	ESET	N/A	與 eset.triggering_event.type 中定義事件相關的內容特定值。此欄位包含與事件相關的主要物件或參數，例如檔案路徑、程序路徑、登錄機碼、網路位址或其他發生事件的資源。
eset.triggering_event.id	keyword	8b4df3a4-2c87-4f50-94af-ab0e0d8589eb	ESET	N/A	觸發事件的唯一 ID。
eset.triggering_event.data	flattened	{ "event": "{\"event\":{\"action\":\"file-written\",\"category\":[\"file\"],\"created\":\"2026-01-12T11:24:18.162963962Z\",\"dataset\":\"eset.telemetry\",\"kind\":\"event\",\"module\":\"eset\",\"outcome\":\"success\",\"type\":[\"change\"]},\"file\":{\"directory\":\"/etc/profile.d/\",\"extension\":\"dpkg-new\",\"fork_name\":\"\",\"name\":\"apps-bin-path.sh.dpkg-new\",\"path\":\"/etc/profile.d/apps-bin-path.sh.dpkg-new\",\"type\":\"file\"},\"process\":{\"args_count\":\"0\",\"command_line\":\"/usr/bin/dpkg\",\"entity_id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"executable\":\"/usr/bin/dpkg\",\"name\":\"dpkg\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\",\"code_signature\":{},\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"parent\":{\"args_count\":\"0\",\"command_line\":\"dpkg\",\"entity_id\":\"76d864e9-9eb0-843a-9d1a-881954340000\",\"executable\":\"unknown13357\",\"name\":\"unknown13357\",\"pid\":\"13396\",\"start\":\"2026-01-12T11:18:14Z\"},\"user\":{\"id\":\"\",\"name\":\"root:root\"},\"end\":\"2026-01-12T11:18:54Z\"},\"eset\":{\"process\":{\"id\":\"76d864e9-de7b-8a8a-9c8f-4c5154340000\",\"username\":\"root:root\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"executable\":{\"id\":\"7EEA08F4B248DCE66B87C4F8286029183C766439_\",\"livegrid_findings\":{\"age_days\":92,\"popularity\":0.36,\"reputation\":0.88},\"file_format\":\"elf\",\"marked_safe\":false,\"hash\":{\"sha1\":\"7EEA08F4B248DCE66B87C4F8286029183C766439\",\"sha256\":\"052D7FFC6A813D0744E45B89ED2D9F4C6368B5EE9126AEF1C7290D6CAC38E287\"},\"is_dynamically_linked_library\":false,\"pe_is_native\":false,\"whitelist_type\":\"livegrid\",\"name\":\"dpkg\",\"size\":\"318176\"},\"threat_detection_performance_excluded\":false,\"modified_registry_count\":0,\"dropped_executable_count\":0,\"spawned_child_process_count\":146,\"http_request_count\":0,\"dns_query_count\":0,\"network_connection_count\":0},\"telemetry\":{\"event\":\"FileIoWrite\"}}}" }	ESET	N/A	任意非結構、根據事件類型而定的結構化資料。
eset.triggering_event.type	keyword	FileDeleted	ESET	•ApiCalled •CodeInjected •DeviceConnected •DnsResolved •DriverLoaded •DriverUnloaded •ExecutableDropped •FileAddedToBitsJob •FileAttributesSet •FileDeleted •FileRead •FileRenamed •FileTruncated •FileWritten •HttpResourceRequested •LibraryLoaded •MultipleFilesChanged •NamedPipeCreated •ProcessCreated •ProcessInjected •ProcessOpened •ProcessStartedViaWmi •ProcessTerminated •RegistryKeyCreated •RegistryKeyDeleted •RegistryKeyRenamed •RegistryKeyValueChanged •RegistryKeyValueDeleted •ScheduledTaskCreated •ScheduledTaskStarted •ScriptExecuted •ServiceInstalled •ServiceStarted •SystemApiCalled •TcpIpAccepted •TcpIpConnected •TcpIpDisconnected •TcpIpProtocolIdentified •UserActivated •UserAddedToGroup •UserCreated •UserDisabled •UserLoggedin •UserLoggedout •UserRemoved •UserRemovedFromGroup •VirtualDiskMounted •VolumeShadowCopyDeleted •WmiPersistenceSetup •WmiQueryExecuted	根據觀察到的行為，決定觸發事件的類型。
eset.remediationactions.created	date array	2016-05-23T08:05:34.853Z	ESET	N/A	該時間戳記顯示執行修復行動的時間。
eset.remediationactions.id	keyword array	8b4df3a4-2c87-4f50-94af-ab0e0c8589eb	ESET	N/A	修復行動的唯一識別碼。
eset.remediationactions.name	keyword array	KillProcess	ESET	•BlockModule •BlockProcessExecutable •BlockProcessSuspiciousModules •IsolateFromNetwork •KillProcess •LogOutUser •Reboot •Shutdown	EDR 所執行的修復動作名稱 (ESET Inspect)。更多詳細資訊請參閱規則指南行動區段。
eset.remediationactions.outcome	keyword array	true	ESET	N/A	顯示修復結果。
eset.scan.scanner_version	text	32438 (20251230)	ESET	N/A	偵測或回報事件的 ESET 掃描引擎或模組版本。

˄˅