Alerts GraphQL API
注意
Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
Map
Float32
Node
フィールド
ID
説明: IDスカラ型は一意の識別子を表し、オブジェクトの再取得やキャッシュのキーとしてよく使用されます。ID型はJSONレスポンスでは文字列として表示されますが、人間が読めることを意図していません。入力型として期待される場合、任意の文字列(例: "4")や整数(例: 4)の入力値がIDとして受け入れられます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| geoname_id |
Int |
|
|
| iso_code |
String |
|
|
| code |
String |
|
|
| confidence |
Int |
|
|
Int
説明: Intスカラ型は小数点を含まない符号付き整数値を表します。Intは-(2^31)から2^31 - 1までの値を表現できます。
String
説明: Stringスカラ型はテキストデータを表し、UTF-8文字列として表現されます。String型はGraphQLで自由形式の人間が読めるテキストを表現するためによく使用されます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| key |
String |
|
|
| values |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| group_by |
AggregateAlertsBySeverityInput_GroupBy |
|
|
| limit |
Int |
|
|
| earliest |
TimestampInput |
|
|
| latest |
TimestampInput |
|
|
| excluded_severities |
AlertsSeverity |
|
|
| filter_custom_alerts |
Boolean |
|
|
| tenant_service_filters |
String |
アラートをフィルタリングし、現在のテナントまたは特定のサービスが関連付けられている子テナントのみに限定します |
|
Boolean
説明: Booleanスカラ型はtrueまたはfalseを表します。
フィールド
| フィールド |
型 |
説明 |
引数 |
| value |
Float |
|
|
| prioritizer |
String |
|
|
| version |
String |
|
|
| model_name |
String |
|
|
| model_version |
String |
|
|
| evidence |
String |
|
|
| applied_time |
TimestampInput |
|
|
Float
説明: Floatスカラ型はIEEE 754で規定された符号付き倍精度浮動小数点値を表します。
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| version |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| query |
String |
Taegis XDRクエリ言語のクエリ |
|
| investigation_id |
String |
|
|
| genesis_alerts |
String |
非推奨: 特定のアラートをインベスティゲーションの起点としてフラグ付けするために使用されていました。 |
|
| alerts |
String |
アラートIDのリスト |
|
| tenant |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| query |
String |
Taegis XDRクエリ言語のクエリ |
|
| resolution_status |
ResolutionStatus |
|
|
| reason |
String |
|
|
| caller |
CallerInformation |
|
|
| requested_at |
TimestampInput |
|
|
| user_id |
String |
|
|
| tenant |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| entity |
String |
|
|
| label |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| search_id |
String |
|
|
フィールド
フィールド
| フィールド |
型 |
説明 |
引数 |
| search_id |
String |
|
|
| part_id |
Int |
非推奨: part idは各新しい呼び出しで自動的に進みます。不要です。 |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| user_id |
String |
レガシーユーザーID |
|
| timestamp |
TimestampInput |
|
|
| status |
ResolutionStatus |
|
|
| reason |
String |
|
|
| num_alerts_affected |
Int |
|
|
| uuid_user_id |
String |
プロバイダー非依存のユーザーID |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| ql_query |
String |
Taegisクエリ言語(QL)クエリ |
|
| tenant_service_filters |
String |
指定されたサービスを持つテナントのアラートをフィルタリングします。
テナントのスコープは、X-Tenant-Contextヘッダーで指定されたものとその子テナントを含みます。 |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| cql_query |
String |
Taegis XDRクエリ言語のクエリ |
|
| offset |
Int |
このオフセット+リクエストされたlimitから返される結果セット。クエリのtotal_resultsが500で最後の100件が欲しい場合は、offset:400 limit:100を使用します |
|
| limit |
Int |
結果セットの上限。注意: 10000を超えるlimitは複数のパートに分割されます。追加のパートはsearch_idで取得できます。 |
|
| search_id |
String |
最後の検索レスポンスで返された次ページ参照。これが指定された場合、offsetとlimitは無視されます。大規模な結果セットのページネーションにはこの方法が推奨されます。より高速かつ一貫性があります。 |
|
| metadata |
Map |
呼び出し元が受信したクエリとともにメタデータを保存できます。 |
|
| tenant_service_filters |
String |
指定されたサービスを持つテナントのアラートをフィルタリングします。
テナントのスコープは、X-Tenant-Contextヘッダーで指定されたものとその子テナントを含みます。 |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| severity |
Float32 |
|
|
| changed_at |
TimestampInput |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| seconds |
Int |
エポック秒単位の時刻 |
|
| nanos |
Int |
ナノ秒単位のエポック時刻 |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| investigation_id |
String |
|
|
| genesis_alerts |
String |
非推奨: 特定のアラートをインベスティゲーションの起点としてフラグ付けするために使用されていました。 |
|
| alerts |
String |
|
|
| tenant |
String |
|
|
| operation |
InvestigationOperation |
|
|
| caller |
CallerInformation |
|
|
| requested_at |
TimestampInput |
|
|
| user_id |
String |
レガシーユーザーID |
|
| uuid_user_id |
String |
プロバイダー非依存のユーザーID |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| alert_ids |
String |
|
|
| resolution_status |
ResolutionStatus |
|
|
| reason |
String |
|
|
| caller |
CallerInformation |
|
|
| requested_at |
TimestampInput |
|
|
| user_id |
String |
レガシーユーザーID |
|
| uuid_user_id |
String |
プロバイダー非依存のユーザーID |
|
| tenant |
String |
|
|
UpdateThreatScoreEntry
フィールド
| フィールド |
型 |
説明 |
引数 |
| alert_id |
String |
|
|
| threat_score |
Float32 |
オプション。この1つのアラートのみに適用する脅威スコアを上書きします。 |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| alert_ids |
UpdateThreatScoreEntry |
|
|
| threat_score |
Float32 |
指定したアラートに適用するデフォルトの脅威スコア |
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| user_name |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| total_attempts |
Int |
|
|
| successful_logon_attempts |
AuthScanLogonAttemptInput |
|
|
| failed_logon_attempts |
AuthScanLogonAttemptInput |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| target_user_name |
String |
|
|
| has_logon_success |
Boolean |
|
|
| num_attempts |
Int |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| win_event_id |
String |
|
|
| action |
String |
|
|
| domain |
String |
|
|
| target_username |
String |
|
|
| event_timestamp |
Int |
|
|
| resource_record_identifier |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| num_auth_failures |
Int |
|
|
| num_auth_successes |
Int |
|
|
| last_successful_auth |
BruteForceAuthInput |
|
|
| most_recent_auths_failures |
BruteForceAuthInput |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| user |
String |
|
|
| source_address |
String |
|
|
| feature_name |
ImprobableLogonDetail_FeatureName |
|
|
| logon_anomaly |
LogonAnomalyInput |
|
|
| user_logon_baselines |
UserLogonBaselineInput |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| user |
String |
|
|
| user_baseline |
Int |
|
|
| user_avg_requests |
Float |
|
|
| user_max_requests |
Int |
|
|
| total_spns |
Int |
|
|
| suspicious_num_requests |
Int |
|
|
| percentage_accessed |
Float |
|
|
| spns_accessed |
String |
|
|
| source_address |
String |
|
|
| hostname |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| feature_value |
String |
|
|
| feature_frequency_in_org |
Float |
|
|
| feature_frequency_in_user |
Float |
|
|
| approximate_count_in_user |
Int |
|
|
| min_allowed_user_percentage |
Float |
|
|
| min_allowed_org_percentage |
Float |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| list_name |
String |
|
|
| reason |
String |
|
|
| attacks |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| target_user_name |
String |
|
|
| target_domain_name |
String |
|
|
| user_had_auth_success |
Boolean |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| source_address |
String |
|
|
| num_auth_failures |
Int |
|
|
| num_auth_successes |
Int |
|
|
| all_affected_users |
PasswordSprayAffectedUserInput |
|
|
説明: Tactic Graphs検知器からの詳細情報。観測された戦術と、それが観測された関連イベントを含みます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| graph_id |
String |
|
|
| events |
KeyAndValuesInput |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| feature_value |
String |
|
|
| feature_frequency_in_org |
Float |
|
|
| feature_frequency_in_user |
Float |
|
|
| approximate_count_in_user |
Int |
|
|
| days_in_baseline |
Int |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| entity |
String |
|
|
| details |
MatchDetailsInput |
|
|
GeoSummary
フィールド
| フィールド |
型 |
説明 |
引数 |
| location |
GeoSummary_Location |
|
|
| city |
GeoSummary_City |
|
|
| continent |
GeoSummary_Continent |
|
|
| country |
GeoSummary_Country |
|
|
| asn |
GeoSummary_ASN |
|
|
GeoSummary_ASN
フィールド
| フィールド |
型 |
説明 |
引数 |
| autonomous_system_no |
Int |
|
|
| autonomous_system_org |
String |
|
|
GeoSummary_City
フィールド
| フィールド |
型 |
説明 |
引数 |
| geoname_id |
Int |
|
|
| locale_names |
KeyValuePairsIndexed |
|
|
| name |
String |
|
|
| confidence |
Int |
|
|
GeoSummary_Continent
フィールド
| フィールド |
型 |
説明 |
引数 |
| geoname_id |
Int |
|
|
| code |
String |
|
|
GeoSummary_Country
フィールド
| フィールド |
型 |
説明 |
引数 |
| geoname_id |
Int |
|
|
| iso_code |
String |
|
|
| code |
String |
|
|
| confidence |
Int |
|
|
GeoSummary_Location
フィールド
| フィールド |
型 |
説明 |
引数 |
| radius |
Int |
|
|
| latitude |
Float |
|
|
| longitude |
Float |
|
|
| us_metro_code |
Int |
|
|
| timezone |
String |
|
|
| gmt_offset |
Int |
|
|
| metro_code |
Int |
|
|
KeyAndValues
フィールド
| フィールド |
型 |
説明 |
引数 |
| key |
String |
|
|
| values |
String |
|
|
KeyValuePairsIndexed
フィールド
| フィールド |
型 |
説明 |
引数 |
| record |
KeyValueRecordIndexed |
|
|
KeyValueRecordIndexed
フィールド
| フィールド |
型 |
説明 |
引数 |
| key |
String |
|
|
| value |
String |
|
|
AggregationKeys
フィールド
| フィールド |
型 |
説明 |
引数 |
| key |
String |
|
|
| value |
String |
|
|
AggregationResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| key |
String |
非推奨。代わりにkeysを使用してください |
|
| value |
Float |
|
|
| keys |
AggregationKeys |
|
|
TenantV4
フィールド
Alert2
説明: アラートの基本スキーマ。
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
ID |
|
|
| group_key |
String |
アラートグループキー |
|
| metadata |
AlertsMetadata |
アラートメタデータ |
|
| visibility |
Visibility |
|
|
| attack_technique_ids |
String |
攻撃手法IDのリスト |
|
| tenant_id |
String |
アラートに関連付けられたテナントID |
|
| tenant |
TenantV4 |
アラートに関連付けられたテナント |
|
| parent_tenant_id |
String |
このアラートに関連付けられたテナントの親テナントID |
|
| suppressed |
Boolean |
このルールが抑止されたかどうか。trueまたはfalse |
|
| suppression_rules |
AlertRuleReference |
アラートに関連付けられた抑止ルール |
|
| alerting_rules |
AlertRuleReference |
アラートに関連付けられたルール |
|
| status |
ResolutionStatus |
アラートの解決ステータス |
|
| resolution_reason |
String |
アラートの解決理由 |
|
| resolution_history |
ResolutionMetadata |
|
|
| severity_history |
SeverityUpdate |
|
|
| tuning_history |
TuningUpdate |
チューニング履歴には、チューニングルールのID、チューニングされたフィールド、およびその値が含まれます。
チューニングルールには抑止ルールが含まれ、重大度、発生元、またはアラートの抑止を調整できます。 |
|
| tags |
String |
アラートに関連付けられたタグのリスト |
|
| sensor_types |
String |
アラートに関連付けられたセンサータイプ |
|
| entities |
EntityRelationships |
アラートに関連付けられたすべてのエンティティ |
|
| key_entities |
EntityMetadata |
|
|
| source_entities |
StructuredEntity |
アラートに関連付けられたすべてのソースエンティティ |
|
| target_entities |
StructuredEntity |
アラートに関連付けられたすべてのターゲットエンティティ |
|
| event_ids |
AuxiliaryEvent |
アラートに関連付けられたすべてのイベントID |
|
| observation_ids |
Observation |
アラートに関連付けられたすべての観測ID |
|
| investigation_ids |
Investigation |
アラートに関連付けられたすべてのインベスティゲーションID |
|
| collection_ids |
Collection |
|
|
| enrichment_details |
EnrichmentDetail |
特定の検知器が、なぜアラートが発生したかの追加コンテキストやアナリストがアラートを確認するための情報を提供する場合があります。 |
|
| third_party_details |
ThirdPartyDetail |
アラートのサードパーティ詳細 |
|
| reference_details |
ReferenceDetail |
検知器またはWatchlistルールによって提供される詳細なアラートリファレンスのリスト |
|
| priority |
AlertPriority |
|
|
| threat_score |
Float32 |
|
|
| events_metadata |
AlertEventMetadata |
|
|
AlertPriority
フィールド
| フィールド |
型 |
説明 |
引数 |
| value |
Float |
|
|
| prioritizer |
String |
|
|
| version |
String |
|
|
| model_name |
String |
|
|
| model_version |
String |
|
|
| evidence |
String |
|
|
| applied_time |
Timestamp |
|
|
説明: AlertEventMetadataは、アラートに寄与したイベントに関するメタデータを含みます
フィールド
| フィールド |
型 |
説明 |
引数 |
| updated_at |
Timestamp |
このアラートイベントメタデータの更新時刻 |
|
| began_at |
Timestamp |
アラートに寄与した最初のイベントのタイムスタンプ。metadata.began_atの代替 |
|
| ended_at |
Timestamp |
アラートに寄与した最新イベントのタイムスタンプ。metadata.ended_atの代替 |
|
| first_event_id |
String |
アラートに寄与した最初のevent_id |
|
| last_event_id |
String |
アラートに寄与した最新のevent_id |
|
| total_events |
Int |
アラートに寄与したイベントの総数 |
|
AlertRuleReference
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| version |
String |
|
|
AlertsAggregateResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| aggregation |
AlertsAggregateResponse_AlertsAggregation |
|
|
AlertsAggregateResponse_AlertsAggregation
フィールド
| フィールド |
型 |
説明 |
引数 |
| key |
String |
|
|
| count |
Int |
|
|
| severities |
AlertsAggregateResponse_AlertsAggregation_Severity |
|
|
AlertsAggregateResponse_AlertsAggregation_Severity
フィールド
| フィールド |
型 |
説明 |
引数 |
| info |
Int |
|
|
| low |
Int |
|
|
| medium |
Int |
|
|
| high |
Int |
|
|
| critical |
Int |
|
|
AlertsInvestigationInfo
フィールド
| フィールド |
型 |
説明 |
引数 |
| alert_resource_id |
String |
|
|
| initial_access_vector_info |
InitialAccessVectorInfo |
|
|
AlertsList
説明: アラートのリストと関連するリクエストメタデータ。
フィールド
| フィールド |
型 |
説明 |
引数 |
| list |
Alert2 |
アラート型のリスト |
|
| total_results |
Int |
リクエストで利用可能な総結果数 |
|
| next_offset |
Int |
|
|
| previous_offset |
Int |
|
|
| last_offset |
Int |
|
|
| first_offset |
Int |
|
|
| total_parts |
Int |
結果セットの総パート数 |
|
| part |
Int |
返された結果セットのパート番号 |
|
| group_by |
AggregationResponse |
集計レスポンス。初期リクエストに集計が含まれていた場合 |
|
説明: アラートのメタデータ情報
フィールド
| フィールド |
型 |
説明 |
引数 |
| creator |
Creator |
アラート作成者 |
|
| engine |
Engine |
アラートエンジン |
|
| severity |
Float32 |
アラートの重大度(0~1) |
|
| severity_updated_at |
Timestamp |
|
|
| confidence |
Float32 |
アラートの信頼度(0~1) |
|
| title |
String |
アラートタイトル(最大1024文字、自動的に切り捨てられる場合あり) |
|
| full_title |
String |
アラートタイトルが切り捨てられている場合は完全なタイトル。それ以外は空。 |
|
| description |
String |
アラートの説明 |
|
| began_at |
Timestamp |
アラートに関連する挙動が開始した時刻 |
|
| ended_at |
Timestamp |
アラートに関連する挙動が終了した時刻 |
|
| created_at |
Timestamp |
アラートが作成された時刻 |
|
| inserted_at |
Timestamp |
アラートがデータベースに挿入された時刻。created_atとほぼ同時のはずです。 |
|
| updated_at |
Timestamp |
アラートが最後に更新された時刻(フィードバック、インベスティゲーションなど) |
|
| first_seen_at |
Timestamp |
アラートをトリガーしたイベントが最初に観測された時刻。特定の取り込みでデータソースから提供されたデータに基づき設定されます。 |
|
| first_investigated_at |
Timestamp |
アラートに初めてインベスティゲーションが関連付けられた時刻 |
|
| first_resolved_at |
Timestamp |
アラートが初めて解決された時刻 |
|
| origin |
Origin |
このアラートを生成したイベントの作成者 |
|
| read_only |
Boolean |
アラートが読み取り専用かどうか |
|
AlertsResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| status |
RPCResponseStatus |
|
|
| reason |
String |
|
|
| alerts |
AlertsList |
|
|
| search_id |
String |
10,000件を超える検索結果の追加パートをリクエストするために使用できる検索ID |
|
| queryId |
String |
このレスポンスを生成したクエリの検索システム内での一意識別子 |
|
AlertsCountByTenantResponseItem
フィールド
| フィールド |
型 |
説明 |
引数 |
| count |
Int |
このテナントのアラート数 |
|
| tenant |
TenantV4 |
|
|
AlertsCountByTenantResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| items |
AlertsCountByTenantResponseItem |
各アイテムはテナントとそのアラート数を表します |
|
BulkInvestigationsResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| reason |
String |
|
|
| status |
ResponseStatus |
|
|
| events |
String |
|
|
| assets |
String |
|
|
| access_vector_info |
AlertsInvestigationInfo |
|
|
BulkResolutionResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| reason |
String |
|
|
| resolution_status |
ResponseStatus |
|
|
| total_hits |
Int |
|
|
| total_done |
Int |
|
|
| total_failed |
Int |
|
|
| is_complete |
Boolean |
|
|
CreateAlertsResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| status |
RPCResponseStatus |
|
|
| iDs |
String |
|
|
| reason |
String |
|
|
DeleteAlertsResponse
説明: 内部型
フィールド
| フィールド |
型 |
説明 |
引数 |
| status |
RPCResponseStatus |
|
|
| reason |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| entity |
String |
|
|
| label |
String |
|
|
Properties
StructuredEntity
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| perspective |
EntityPerspective |
|
|
| identifiers |
String |
|
|
| properties |
Properties |
|
|
EntityAuthDomain
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| auth_domain |
String |
|
|
EntityCertificate
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| cert_issuer |
String |
|
|
| cert_serial_number |
String |
|
|
| cert_issuer_c |
String |
|
|
| cert_issuer_cn |
String |
|
|
| cert_issuer_e |
String |
|
|
| cert_issuer_l |
String |
|
|
| cert_issuer_o |
String |
|
|
| cert_issuer_order |
String |
|
|
| cert_issuer_ou |
String |
|
|
| cert_issuer_s |
String |
|
|
| cert_ja3 |
String |
|
|
| cert_ja3s |
String |
|
|
| cert_subject |
String |
|
|
| cert_subject_c |
String |
|
|
| cert_subject_cn |
String |
|
|
| cert_subject_e |
String |
|
|
| cert_subject_l |
String |
|
|
| cert_subject_o |
String |
|
|
| cert_subject_order |
String |
|
|
| cert_subject_ou |
String |
|
|
| cert_subject_s |
String |
|
|
| cert_valid_from |
String |
|
|
| cert_valid_through |
String |
|
|
EntityCloudObject
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| cloud_object_bucket |
String |
|
|
| cloud_object_key |
String |
|
|
| cloud_object_prefix |
String |
|
|
EntityCloudResource
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| cloud_resource_account_id |
String |
|
|
| cloud_resource_id |
String |
|
|
| cloud_resource_type |
String |
|
|
EntityCloudUser
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| cloud_user_id |
String |
|
|
| cloud_user_name |
String |
|
|
| cloud_user_type |
String |
|
|
EntityDnsServer
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| host_id |
String |
|
|
| ip_address |
String |
|
|
| ip_address_type |
String |
|
|
| ip_classification |
String |
|
|
EntityDomainName
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| domain_name |
String |
|
|
EntityEmail
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| email_message_id |
String |
|
|
| email_message_size |
Int |
|
|
| email_quarantine_reason |
String |
|
|
| reply_to_email_address |
String |
|
|
| vendor_alert_url |
String |
|
|
| vendor_email_spam_score |
Int |
|
|
EntityEmailAddress
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| email_address |
String |
|
|
EntityFile
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| file_name |
String |
|
|
| file_path |
String |
|
|
| host_id |
String |
|
|
| email_attachment_sandbox_status |
String |
|
|
| file_create_time |
Int |
|
|
| file_group_owner |
String |
|
|
| file_modified_time |
Int |
|
|
| file_owner |
String |
|
|
| file_size |
Int |
|
|
| file_type |
String |
|
|
| file_type_detected |
String |
|
|
EntityFileHash
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| hash_type |
String |
|
|
| hash_value |
String |
|
|
EntityFunction
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| function_name |
String |
|
|
| host_id |
String |
|
|
EntityHost
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| computer_name |
String |
|
|
| host_id |
String |
|
|
| hostname |
String |
|
|
| hostname_fqdn |
String |
|
|
| mac_address |
String |
|
|
| os |
String |
|
|
| os_arch |
String |
|
|
| vendor_agent_device_id |
String |
|
|
| vendor_agent_device_score |
Int |
|
|
EntityIpAddress
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| host_id |
String |
|
|
| ip_address |
String |
|
|
| asn |
Int |
|
|
| hostname |
String |
|
|
| ip_address_type |
String |
|
|
| ip_classification |
String |
|
|
| is_nat_ip |
Boolean |
|
|
| ip_geo_auto_system_org |
String |
|
|
| ip_geo_city_name |
String |
|
|
| ip_geo_continent_code |
String |
|
|
| ip_geo_country_code |
String |
|
|
| ip_geo_country_geoname_id |
Int |
|
|
| ip_geo_latitude |
Float |
|
|
| ip_geo_longitude |
Float |
|
|
EntityProcess
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| process_correlation_id |
String |
|
|
| process_id |
String |
|
|
| process_name |
String |
|
|
| process_uuid |
String |
|
|
| host_id |
String |
|
|
| process_create_time |
Int |
|
|
| process_image_path |
String |
|
|
| process_is_admin |
Boolean |
|
|
EntityRegistryKey
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| host_id |
String |
|
|
| registry_path |
String |
|
|
EntityScheduledTask
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| host_id |
String |
|
|
| task_name |
String |
|
|
EntityScript
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| hash_value |
String |
|
|
| host_id |
String |
|
|
| script_name |
String |
|
|
| interpreter |
String |
|
|
| is_truncated |
Boolean |
|
|
EntityService
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| host_id |
String |
|
|
| service_dll |
String |
|
|
| service_main |
String |
|
|
| service_name |
String |
|
|
| service_start_type |
Int |
|
|
| service_type |
Int |
|
|
EntityTaskAction
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| host_id |
String |
|
|
| task_action_id |
String |
|
|
| task_action_path |
String |
|
|
| task_action_args |
String |
|
|
| task_action_class_id |
String |
|
|
| task_action_type |
String |
|
|
| task_action_working_directory |
String |
|
|
EntityUser
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| auth_domain |
String |
|
|
| computer_name |
String |
|
|
| domain_name |
String |
|
|
| group |
String |
|
|
| host_id |
String |
|
|
| user_id |
String |
|
|
| user_name |
String |
|
|
| cloud_user_type |
String |
|
|
| original_user_name |
String |
|
|
| user_is_admin |
Boolean |
|
|
EntityUrl
フィールド
| フィールド |
型 |
説明 |
引数 |
| property_type |
String |
|
|
| full_url |
String |
|
|
| uri_scheme |
String |
|
|
| uri_host |
String |
|
|
| uri_path |
String |
|
|
| uri_query |
String |
|
|
| uri_fragment |
String |
|
|
| uri_port |
String |
|
|
| uri_userinfo |
String |
|
|
EvictResponse
説明: alertsServiceEvictミューテーションからのレスポンス。
フィールド
| フィールド |
型 |
説明 |
引数 |
| status |
ResponseStatus |
|
|
InitialAccessVectorInfo
フィールド
| フィールド |
型 |
説明 |
引数 |
| created_at |
Timestamp |
|
|
| updated_at |
Timestamp |
|
|
| investigation_ids |
String |
|
|
| tenant_id |
String |
|
|
| name |
String |
|
|
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| user_id |
String |
レガシーユーザーID |
|
| timestamp |
Timestamp |
|
|
| status |
ResolutionStatus |
|
|
| reason |
String |
|
|
| num_alerts_affected |
Int |
|
|
| uuid_user_id |
String |
プロバイダー非依存のユーザーID |
|
SeverityUpdate
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| severity |
Float32 |
|
|
| changed_at |
Timestamp |
|
|
TuningUpdate
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| field_name |
String |
|
|
| severity_value |
Float32 |
|
|
| origin_value |
Origin |
|
|
| suppressed_value |
Boolean |
|
|
| changed_at |
Timestamp |
|
|
Timestamp
フィールド
| フィールド |
型 |
説明 |
引数 |
| seconds |
Int |
|
|
| nanos |
Int |
|
|
UpdateInvestigationResponse
説明: 内部型
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
String |
|
|
| reason |
String |
|
|
| status |
ResponseStatus |
|
|
| events |
String |
|
|
| assets |
String |
|
|
| access_vector_info |
AlertsInvestigationInfo |
|
|
UpdateResolutionResponse
説明: alertsServiceUpdateResolutionInfoミューテーションのレスポンス。
フィールド
| フィールド |
型 |
説明 |
引数 |
| reason |
String |
|
|
| resolution_status |
ResponseStatus |
|
|
UpdateThreatScoreResponse
フィールド
| フィールド |
型 |
説明 |
引数 |
| status |
ResponseStatus |
|
|
AccountCompromiseDetectorDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| user_name |
String |
|
|
FileAnalysisDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| matched_yara_rule |
MatchedYaraRule |
|
|
MatchedYaraRule
フィールド
| フィールド |
型 |
説明 |
引数 |
| rule_name |
String |
|
|
| rule_description |
String |
|
|
| classification |
String |
|
|
| confidence |
Float32 |
|
|
| severity |
Float32 |
|
|
| rule_created_date |
Timestamp |
|
|
| attack_technique_ids |
String |
|
|
| vid |
String |
|
|
AuthScanDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| total_attempts |
Int |
成功または失敗したログインの合計 |
|
| successful_logon_attempts |
AuthScanLogonAttempt |
|
|
| failed_logon_attempts |
AuthScanLogonAttempt |
|
|
AuthScanLogonAttempt
フィールド
| フィールド |
型 |
説明 |
引数 |
| target_user_name |
String |
ログインを試みたユーザー |
|
| has_logon_success |
Boolean |
非推奨。successful_logon_attemptsのリストを参照してください |
|
| num_attempts |
Int |
ログイン試行回数 |
|
BruteForceAuth
フィールド
| フィールド |
型 |
説明 |
引数 |
| win_event_id |
String |
|
|
| action |
String |
|
|
| domain |
String |
|
|
| target_username |
String |
|
|
| event_timestamp |
Int |
|
|
| resource_record_identifier |
String |
|
|
BruteForceDetails
フィールド
| フィールド |
型 |
説明 |
引数 |
| num_auth_failures |
Int |
|
|
| num_auth_successes |
Int |
|
|
| last_successful_auth |
BruteForceAuth |
|
|
| most_recent_auths_failures |
BruteForceAuth |
|
|
BusinessEmailCompromiseDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| source_address |
String |
|
|
| source_address_geo_summary |
GeoSummary |
|
|
| user_name |
String |
|
|
CreationRule
フィールド
| フィールド |
型 |
説明 |
引数 |
| rule_id |
String |
|
|
| version |
String |
|
|
Creator
説明: アラートを作成した検知器。
フィールド
| フィールド |
型 |
説明 |
引数 |
| detector |
Detector |
|
|
| rule |
CreationRule |
|
|
DDosIpAddressOccurrenceCount
フィールド
| フィールド |
型 |
説明 |
引数 |
| ip_address |
String |
|
|
| count |
Int |
|
|
DDosIpCount
フィールド
| フィールド |
型 |
説明 |
引数 |
| date |
Timestamp |
|
|
| count |
Int |
|
|
DDosSourceIpCountDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| hour_partition |
String |
検知器はこの時間内に発生した履歴ネットフローデータを比較します。 |
|
| sensor_id |
String |
ネットフローデータを提供するセンサーのID。 |
|
| host_id |
String |
エンドポイントホストID |
|
| event_observable_count |
Int |
現在の1時間内にデバイスのネットワーク接続で観測された一意の送信元IP数。 |
|
| event_observable_count_std_dev |
Float |
現在の一意送信元IP数とベース平均値の比較。 |
|
| baseline_observable_count_std_dev |
Float |
このレポートデバイスの一意送信元IP数のばらつき(標準偏差)。標準偏差が低い場合は一貫性が高く(高いベルカーブ)、高い場合は大きく変動します(低いベルカーブ)。 |
|
| baseline_observable_count_mean |
Float |
このレポートデバイスの履歴データで1時間ごとに観測された一意送信元IP数の平均。 |
|
| baseline_observable_count_median |
Int |
このレポートデバイスの履歴データでカウントされた一意送信元IP数の中央値。 |
|
| baseline_num_days |
Int |
このアラートで考慮された履歴日数。デバイスが接続を報告しなかった日は含まれません。 |
|
| analytic_observable_std_dev_threshold |
Float |
標準偏差が平均値を上回る最小値。アラートをトリガーするには標準偏差しきい値以上である必要があります。 |
|
| analytic_observable_min_count |
Int |
アラートをトリガーするために現在の1時間内で観測される必要がある一意送信元IP数の最小値。送信元IPアドレスは常にこの数以上です。 |
|
| analytic_time_threshold |
Int |
検知器がネットフローアクティビティを観測するためのしきい値時間。 |
|
| historical_ip_counts |
DDosIpCount |
1時間ごとのウィンドウでの一意送信元IP数の履歴カウント。 |
|
| top_destination_ips |
DDosIpAddressOccurrenceCount |
発生回数順の上位送信先IP。 |
|
Detector
説明: アラートに関連付けられた検知器の情報。
フィールド
| フィールド |
型 |
説明 |
引数 |
| detector_id |
String |
|
|
| detector_name |
String |
|
|
| version |
String |
|
|
DnsExfilEnrichment
フィールド
| フィールド |
型 |
説明 |
引数 |
| num_queries |
Int |
ホストによって行われたDNSリクエスト数の推定値。 |
|
Engine
説明: アラートエンジン
フィールド
| フィールド |
型 |
説明 |
引数 |
| name |
String |
|
|
| version |
String |
|
|
EnrichmentDetail
説明: 特定の検知器は、なぜアラートを生成したかの追加コンテキストやアナリストがアラートを確認するための情報を提供できます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| geo_ip |
GeographicIp |
IPアドレスのジオロケーション。 |
|
| whois |
WhoisSimple |
ドメインのWHOIS情報。 |
|
| dns_exfil |
DnsExfilEnrichment |
不審なDNSアクティビティ検知器 |
|
| ddos_source_ip |
DDosSourceIpCountDetail |
DDoS送信元IPカウント検知器 |
|
| login_failure |
LoginFailureDetail |
ログイン失敗検知器 |
|
| rare_program_rare_ip |
RareProgramRareIpDetail |
レアプログラムからレアIPへの検知器 |
|
| travel_features |
StolenCredsTravelFeatures |
資格情報窃取検知器 - トラベル機能(移動速度、移動距離) |
|
| trust_features |
StolenCredsTrustFeatures |
資格情報窃取検知器 - 信頼機能(未知のASN、IPアドレス、国など) |
|
| tactic_graph_detail |
TacticGraphDetail |
Tactic Graphs検知器 |
|
| mitre_attack_info |
MitreAttackDetails |
MITRE ATT&CKテクニック詳細 |
|
| watchlist_matches |
WatchlistMatches |
IOC Watchlist検知器 - IP/ドメイン/ファイルハッシュ |
|
| kerberoasting |
Kerberoasting |
Kerberoasting検知器 |
|
| brute_force_detail |
BruteForceDetails |
ブルートフォース詳細検知器 |
|
| password_spray_detail |
PasswordSprayDetail |
パスワードスプレー検知器 |
|
| improbable_logon_detail |
ImprobableLogonDetail |
アカウント侵害検知器 - ベースラインに基づく不可能なログオン |
|
| auth_scan_detail |
AuthScanDetail |
Auth Scan検知器 |
|
| hands_on_keyboard_details |
HandsOnKeyboardDetails |
Hands On Keyboard検知器 |
|
| business_email_compromise |
BusinessEmailCompromiseDetail |
Business Email Compromise検知器 |
|
| account_compromise_detector_detail |
AccountCompromiseDetectorDetail |
|
|
| generic |
GenericDetail |
汎用詳細オブジェクト。任意の検知器で提供可能ですが、外部ソースのアラートデータでよく使用されます。 |
|
EntityRelationships
説明: アラートに関連付けられたイベントから抽出されたエンティティリレーションシップのリスト。
フィールド
| フィールド |
型 |
説明 |
引数 |
| entities |
String |
エンティティのリスト。エンティティは<type>:<value>の形式です。 |
|
| relationships |
Relationship |
イベントに基づくエンティティ間の関係。 |
|
GenericDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| name |
String |
このデータを提供する外部ソース。 |
|
| generic |
KeyValuePairsIndexed |
インデックス化されたキーと値のペア。 |
|
GeographicIp
説明: IPアドレスのジオロケーションデータ。アラート生成時に設定されます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| ip_address |
String |
|
|
| latitude |
Float |
IPアドレスの相対的な緯度。 |
|
| longitude |
Float |
IPアドレスの相対的な経度。 |
|
| radius |
Float |
この緯度・経度からの半径内でジオロケーションが正確です。 |
|
| geohash |
String |
https://en.wikipedia.org/wiki/Geohash. |
|
| country_code_iso |
String |
ジオロケーションの国ISOコード。 |
|
| asn |
Int |
IPアドレスの自律システム番号。 |
|
HandsOnKeyboardDetails
フィールド
| フィールド |
型 |
説明 |
引数 |
| matched_process |
HandsOnKeyboardDetails_MatchedProcess |
|
|
| total_num_events |
Int |
|
|
| matched_num_events |
Int |
|
|
| num_admin_events |
Int |
|
|
| common_parent_image_path |
String |
|
|
| host_id |
String |
|
|
| username |
String |
|
|
HandsOnKeyboardDetails_Commandline
フィールド
| フィールド |
型 |
説明 |
引数 |
| commandline |
String |
|
|
| matched_features |
String |
|
|
HandsOnKeyboardDetails_Image
フィールド
| フィールド |
型 |
説明 |
引数 |
| image_path |
String |
|
|
| matched_features |
String |
|
|
HandsOnKeyboardDetails_MatchedProcess
フィールド
| フィールド |
型 |
説明 |
引数 |
| process_resource_id |
String |
|
|
| image |
HandsOnKeyboardDetails_Image |
|
|
| commandline |
HandsOnKeyboardDetails_Commandline |
|
|
| num_matched_features |
Int |
|
|
| event_time_sec |
Int |
|
|
| score |
Float |
|
|
| severity |
String |
|
|
ImprobableLogonDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| user |
String |
|
|
| source_address |
String |
|
|
| feature_name |
ImprobableLogonDetail_FeatureName |
|
|
| logon_anomaly |
LogonAnomaly |
|
|
| user_logon_baselines |
UserLogonBaseline |
|
|
Kerberoasting
フィールド
| フィールド |
型 |
説明 |
引数 |
| user |
String |
Kerberoasting攻撃を行ったユーザー。このリクエストを実行したユーザー名です。 |
|
| user_baseline |
Int |
ユーザーが弱い暗号化(RC4など)のTGSリクエストを行った日数。 |
|
| user_avg_requests |
Float |
ベースラインプロファイルでこのユーザーが1日あたり生成した弱い暗号化TGSリクエストの平均数。 |
|
| user_max_requests |
Int |
ベースラインプロファイルでこのユーザーが1日あたり生成した弱い暗号化TGSリクエストの最大数。 |
|
| total_spns |
Int |
テナントの履歴データで見つかったService Principal Nameの総数。 |
|
| suspicious_num_requests |
Int |
ユーザーによって行われた弱い暗号化TGSリクエストの数。 |
|
| percentage_accessed |
Float |
疑わしいセッション中にアクセスされたテナント全体のService Principal Nameの割合。 |
|
| spns_accessed |
String |
疑わしいセッション中にアクセスされたService Principal Nameの正確なリスト。 |
|
| source_address |
String |
このIPアドレスによって要求されたTGSサービスチケット。 |
|
| hostname |
String |
ユーザーの認証要求を検証するKerberos Key Distribution Center(KDC)(4769コール)。 |
|
LoginFailureDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| host |
String |
認証失敗を引き起こしているホスト。 |
|
| user |
String |
認証失敗が発生しているユーザー。 |
|
| source_address |
String |
認証試行が発信されている送信元IPアドレス。 |
|
| target_address |
String |
認証試行が送信されている宛先IPアドレス。 |
|
| successful_auth_event |
String |
成功した認証のサンプルの参照ID。 |
|
| failed_auth_event |
String |
失敗した認証のサンプルの参照ID。 |
|
LogonAnomaly
フィールド
| フィールド |
型 |
説明 |
引数 |
| feature_value |
String |
|
|
| feature_frequency_in_org |
Float |
|
|
| feature_frequency_in_user |
Float |
|
|
| approximate_count_in_user |
Int |
|
|
| min_allowed_user_percentage |
Float |
|
|
| min_allowed_org_percentage |
Float |
|
|
MatchDetails
フィールド
| フィールド |
型 |
説明 |
引数 |
| list_name |
String |
IOCリスト名 |
|
| reason |
String |
IOCリストの詳細。 |
|
| attacks |
String |
リストに関連付けられたMITRE ATT&CKテクニック。 |
|
MitreAttackDetails
説明: アラートに関連付けられたMITRE ATT&CKテクニックの詳細。
フィールド
| フィールド |
型 |
説明 |
引数 |
| technique_id |
String |
|
|
| technique |
String |
|
|
| tactics |
String |
|
|
| type |
String |
|
|
| description |
String |
|
|
| platform |
String |
|
|
| system_requirements |
String |
|
|
| url |
String |
|
|
| data_sources |
String |
|
|
| defence_bypassed |
String |
|
|
| contributors |
String |
|
|
| version |
String |
|
|
NetworkConnection
フィールド
| フィールド |
型 |
説明 |
引数 |
| source_ip |
String |
|
|
| destination_ip |
String |
|
|
PasswordSprayAffectedUser
フィールド
| フィールド |
型 |
説明 |
引数 |
| target_user_name |
String |
|
|
| target_domain_name |
String |
|
|
| user_had_auth_success |
Boolean |
|
|
PasswordSprayDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| source_address |
String |
認証試行を行っているIPアドレス。 |
|
| num_auth_failures |
Int |
観測された認証失敗の回数。 |
|
| num_auth_successes |
Int |
観測された認証成功の回数。 |
|
| all_affected_users |
PasswordSprayAffectedUser |
失敗または成功したログインを持つユーザー名のリスト。 |
|
RareProgramRareIpDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| host |
String |
観測されたプログラムや接続を実行しているホスト。 |
|
| programs |
String |
レアプログラムのリスト。 |
|
| connections |
NetworkConnection |
レアなネットワーク接続のリスト。ネットワーク接続は実行されたレアプログラムと明示的に関連付けられていません。 |
|
Reference
フィールド
| フィールド |
型 |
説明 |
引数 |
| type |
String |
|
|
| url |
String |
|
|
| description |
String |
|
|
ReferenceDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| reference |
Reference |
|
|
Relationship
説明: アラートに含まれるエンティティ間の関係。
フィールド
| フィールド |
型 |
説明 |
引数 |
| from_entity |
String |
|
|
| to_entity |
String |
|
|
| relationship |
String |
|
|
| type |
String |
|
|
StolenCredsTravelFeatures
説明: 資格情報窃取検知器のトラベル機能。
フィールド
| フィールド |
型 |
説明 |
引数 |
| accurate_geo |
Boolean |
ジオロケーションデータが正確と見なされる場合。 |
|
| foreign_travel |
Boolean |
この移動が国境を越えたかどうか。 |
|
| long_distance_travel |
Boolean |
長距離移動が発生したかどうか。 |
|
| travel_hours |
Float |
2つのログイン場所間で発生した移動時間(時間単位)。 |
|
| travel_km_min |
Float |
2点間の最小移動距離。ジオロケーションデータ(GeographicIp.radius)の半径を用いて計算。 |
|
| travel_km_h_min |
Float |
移動速度(km/h)。ここでのMinは最小距離に基づく速度。ジオロケーションデータ(GeographicIp.radius)の半径を用いて計算。 |
|
| travel_speed_impossible |
Boolean |
移動速度が不可能かどうか。 |
|
| username |
String |
両方の場所からログインしたユーザー。 |
|
| current_location |
GeographicIp |
ユーザーがログインした2番目の場所。ユーザーはこの場所に移動しました。 |
|
| prior_location |
GeographicIp |
ユーザーが最初にログインした場所。ユーザーはこの場所から移動しました。 |
|
StolenCredsTrustFeatures
説明: 資格情報窃取検知器の信頼機能。アラートの優先度設定に使用されます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| network_unknown_asn |
Boolean |
trueの場合、このASNは全テナントで初めて観測されました。 |
|
| network_unknown_ip |
Boolean |
trueの場合、このIPは全テナントで初めて観測されました。 |
|
| user_unknown_ip |
Boolean |
trueの場合、このユーザー名でこのIPは初めて観測されました。 |
|
| user_unknown_asn |
Boolean |
trueの場合、このユーザー名でこのASNは初めて観測されました。 |
|
| prior_event_time_sec |
Int |
最初のログインの時刻(秒単位)。 |
|
| current_event_time_sec |
Int |
2回目のログインの時刻(秒単位)。 |
|
| prior_event_id |
String |
最初のログインの参照ID。 |
|
| current_event_id |
String |
2回目のログインの参照ID。 |
|
| username |
String |
両方の場所からログインしたユーザー。 |
|
| location |
GeographicIp |
2回目のログインの地理的位置。 |
|
TacticGraphDetail
フィールド
| フィールド |
型 |
説明 |
引数 |
| graph_id |
String |
|
|
| events |
KeyAndValues |
|
|
ThirdPartyDetail
説明: アラートの利用可能なサードパーティ詳細。
フィールド
| フィールド |
型 |
説明 |
引数 |
| generic |
GenericDetail |
|
|
UserLogonBaseline
フィールド
| フィールド |
型 |
説明 |
引数 |
| feature_value |
String |
|
|
| feature_frequency_in_org |
Float |
|
|
| feature_frequency_in_user |
Float |
|
|
| approximate_count_in_user |
Int |
|
|
| days_in_baseline |
Int |
ベースラインが確立された日数 |
|
WatchlistMatches
説明: アラートを生成したWatchlistの詳細。
フィールド
| フィールド |
型 |
説明 |
引数 |
| entity |
String |
Indicator of Compromiseに一致したエンティティ。 |
|
| details |
MatchDetails |
IOC Watchlistの詳細。 |
|
WhoisSimple
説明: ドメインWHOIS情報
フィールド
| フィールド |
型 |
説明 |
引数 |
| domainName |
String |
このドメインのWHOIS情報が取得されました。 |
|
| registrarName |
String |
|
|
| contactEmail |
String |
|
|
| whoisServer |
String |
|
|
| nameServers |
String |
|
|
| createdDate |
String |
|
|
| updatedDate |
String |
|
|
| expiresDate |
String |
|
|
| standardRegCreatedDate |
String |
|
|
| standardRegUpdatedDate |
String |
|
|
| standardRegExpiresDate |
String |
|
|
| status |
String |
|
|
| Audit_auditUpdatedDate |
String |
|
|
| registrant_email |
String |
|
|
| registrant_name |
String |
|
|
| registrant_organization |
String |
|
|
| registrant_street1 |
String |
|
|
| registrant_street2 |
String |
|
|
| registrant_street3 |
String |
|
|
| registrant_street4 |
String |
|
|
| registrant_city |
String |
|
|
| registrant_state |
String |
|
|
| registrant_postalCode |
String |
|
|
| registrant_country |
String |
|
|
| registrant_fax |
String |
|
|
| registrant_faxExt |
String |
|
|
| registrant_telephone |
String |
|
|
| registrant_telephoneExt |
String |
|
|
| administrativeContact_email |
String |
|
|
| administrativeContact_name |
String |
|
|
| administrativeContact_organization |
String |
|
|
| administrativeContact_street1 |
String |
|
|
| administrativeContact_street2 |
String |
|
|
| administrativeContact_street3 |
String |
|
|
| administrativeContact_street4 |
String |
|
|
| administrativeContact_city |
String |
|
|
| administrativeContact_state |
String |
|
|
| administrativeContact_postalCode |
String |
|
|
| administrativeContact_country |
String |
|
|
| administrativeContact_fax |
String |
|
|
| administrativeContact_faxExt |
String |
|
|
| administrativeContact_telephone |
String |
|
|
| administrativeContact_telephoneExt |
String |
|
|
| reg_created_date_usec |
Int |
|
|
| reg_updated_date_usec |
Int |
|
|
| reg_expires_date_usec |
Int |
|
|
説明: AggregateAlertsBySeverityクエリでグループ化できるフィールド。
AlertsSeverity
説明: アラート重大度レベルの列挙型。
説明: 内部型
InvestigationOperation
説明: インベスティゲーション操作の種類。updateまたはdelete。
ResolutionStatus
説明: アラート解決ステータスの列挙型。
ResponseStatus
説明: アラート操作のステータス。
ImprobableLogonDetail_FeatureName
Origin
説明: アラートの発生元
EntityPerspective
説明: エンティティの視点
RPCResponseStatus
説明: 内部型
Visibility
Mutation
フィールド
| フィールド |
型 |
説明 |
引数 |
| alertsServiceUpdateInvestigationInfo |
UpdateInvestigationResponse |
|
in: UpdateInvestigationRequestInput |
| alertsServiceUpdateResolutionInfo |
UpdateResolutionResponse |
指定したアラートIDリストに対して解決を追加または既存の解決を修正します。 |
in: UpdateResolutionRequestInput |
| alertsServiceBulkInvestigationsProcessor |
BulkInvestigationsResponse |
クエリまたはアラートIDリストを指定して、複数のアラートを既存のインベスティゲーションに一括追加します。クエリが指定された場合、そのクエリに一致するすべてのアラートがインベスティゲーションに追加されます。 |
in: BulkInvestigationsRequestInput |
| alertsServiceEvict |
EvictResponse |
非推奨: OKを返す以外の動作はありません。代替は不要です。 |
in: EvictRequestInput |
| alertsServiceUpdateThreatScore |
UpdateThreatScoreResponse |
指定したアラートIDリストの脅威スコアを更新します。 |
in: UpdateThreatScoreRequestInput |
Query
説明: Taegis Alerts APIはGraphQLベースであり、読み取り(Query)または書き込み(Mutation)操作が可能です。GraphQLクエリは値の読み取りや取得に使用されます。ミューテーションは値の書き込みや投稿に使用されます。レスポンスはJSON形式で提供されます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| alertsServiceRetrieveAlertsById |
AlertsResponse |
アラートIDリストを指定して各アラートの詳細を取得します。 |
in: GetByIDRequestInput |
| alertsServiceRetrieveAlertsByHost |
AlertsResponse |
ホストIDリストを指定して、それらのホストを含む各アラートの詳細を取得します。 |
in: GetByIDRequestInput |
| alertsServiceRetrieveAlertsByEntity |
AlertsResponse |
エンティティリストを指定して、それらのエンティティを含む各アラートの詳細を取得します。 |
in: GetByIDRequestInput |
| alertsServiceRetrieveAlertsByGroupKey |
AlertsResponse |
エンティティリストを指定して、group_keyを含む各アラートの詳細を取得します。サービスがアラートの重複排除を支援するために使用します。XDRのテナントが一般的に使用するものではありません。 |
in: GetByIDRequestInput |
| alertsCountByTenant |
AlertsCountByTenantResponse |
テナントごとのアラート数を返します。CQLクエリが可能ですが、集計やパイプは無視されます。 |
in: AlertsCountByTenantInput |
| alertsServiceSearch |
AlertsResponse |
クエリ言語を使用してアラートを検索します。これはTaegis XDRの詳細検索ページで提供されているクエリ言語と同じです。 |
in: SearchRequestInput |
| alertsServicePoll |
AlertsResponse |
特定のsearch_idの結果をポーリングします。 |
in: PollRequestInput |
| alertsServiceAggregateAlertsBySeverity |
AlertsAggregateResponse |
group_byパラメータ(ドメイン、Watchlist、ホスト名、検知器、ユーザー)に基づいてアラート重大度の集計を取得します。 |
in: AggregateAlertsBySeverityInputInput |
| node |
Node |
|
id: ID |
Subscription
フィールド
| フィールド |
型 |
説明 |
引数 |
| alertsServiceBulkResolutionProcessor |
BulkResolutionResponse |
CQLクエリで選択された複数のアラートに対して解決を追加または既存の解決を修正します。 |
in: BulkResolutionRequestInput |
AuxiliaryEvent
説明: NautilusによってRed Cloak TDR資産モデルを解決するために使用されます。
フィールド
Investigation
説明: NautilusによってRed Cloak TDR資産モデルを解決するために使用されます。
フィールド
| フィールド |
型 |
説明 |
引数 |
| id |
ID |
|
|
| GenesisAlertsFlag |
String |
|
|
Collection
説明: NautilusによってRed Cloak TDR資産モデルを解決するために使用されます。
フィールド
Observation
説明: NautilusによってRed Cloak TDR資産モデルを解決するために使用されます。
フィールド