Entity v2 プロトコルバッファリファレンス🔗
このドキュメントは、Secureworks® Taegis™ XDR の 構造化エンティティ 機能で使用されるすべてのエンティティタイプとそのプロパティの完全なリファレンスを提供します。各エンティティタイプは、識別子とプロパティの明確な説明とともに整理されています。
概要🔗
Entity v2 プロトコルバッファは、XDR で使用されるすべてのエンティティタイプの構造とプロパティを定義します。各エンティティは以下を含みます。
- 識別子: エンティティを一意に識別するためのコア情報
- プロパティ: 追加のメタデータやエンティティの特性
- 視点: エンティティがソース、ターゲット、またはその両方であるかどうか
利用上の注意🔗
- 識別子とプロパティの違い: 識別子はエンティティを一意に識別するためのコア情報であり、プロパティは追加のメタデータや特性を含みます。
- 非推奨フィールド: 一部のフィールドは非推奨とされており、新しい実装では使用しないでください。
- 視点: 各エンティティには、検出の文脈でソース、ターゲット、またはその両方であるかを示す視点があります。
エンティティタイプ🔗
ユーザーエンティティ🔗
ユーザーエンティティは、システム内のユーザーを詳細な認証および管理情報とともに表します。
識別子:
user_name: ユーザー名部分(例: "SYS\j.doe@scwx.com" の "j.doe")domain_name: ユーザーに関連付けられたドメイン(例: "SYS\j.doe@scwx.com" の "scwx.com")group: グループプレフィックス部分(例: "SYS\j.doe@scwx.com" の "SYS")computer_name: 関連付けられたコンピューター名host_id: 関連付けられたホスト識別子user_id: 一意のユーザー識別子(多くの場合 GUID)auth_domain: 非推奨フィールド、代わりにdomain_nameを使用
プロパティ:
original_user_name: 完全な元のユーザー文字列(例: "SYS\j.doe@scwx.com")user_is_admin: ユーザーが管理者権限を持つかどうかのブール値cloud_user_type: クラウドユーザーのタイプ(Regular、Application、ServicePrincipal、System、Admin など)
ファイルエンティティ🔗
ファイルエンティティは、パス、ハッシュ、メタデータを含む包括的なファイル情報を提供します。
識別子:
file_name: ファイル名file_path: ファイルのフルパスhost_id: 関連付けられたホスト識別子email_message_id: メール添付ファイルの場合の関連メールメッセージID
プロパティ:
file_type: 検出されたファイルタイプfile_type_detected: 解析によって検出されたファイルタイプfile_size: ファイルサイズ(バイト単位)file_owner: ファイルの所有者file_group_owner: ファイルのグループ所有者file_create_time: ファイル作成タイムスタンプfile_modified_time: ファイル変更タイムスタンプhash_md5: ファイルのMD5ハッシュhash_sha1: ファイルのSHA1ハッシュhash_sha256: ファイルのSHA256ハッシュhash_sha512: ファイルのSHA512ハッシュemail_attachment_sandbox_status: メール添付ファイルのサンドボックス解析ステータス
プロセスエンティティ🔗
プロセスエンティティは、実行中のプロセスとその特性に関する詳細情報を含みます。
識別子:
process_name: プロセス名process_id: プロセスID(PID)process_uuid: 一意のプロセス識別子process_correlation_id: プロセストラッキング用の相関ID
プロパティ:
process_image_path: プロセス実行ファイルのフルパスprocess_is_admin: プロセスが管理者権限で実行されているかどうかのブール値process_create_time: プロセス作成タイムスタンプhost_id: 関連付けられたホスト識別子hash_md5: プロセス実行ファイルのMD5ハッシュhash_sha1: プロセス実行ファイルのSHA1ハッシュhash_sha256: プロセス実行ファイルのSHA256ハッシュhash_sha512: プロセス実行ファイルのSHA512ハッシュ
IPアドレスエンティティ🔗
IPアドレスエンティティは、ジオロケーションデータ、ネットワーク分類、ASN情報を含みます。
識別子:
ip_address: IPアドレスhost_id: 関連付けられたホスト識別子
プロパティ:
ip_address_type: IPアドレスタイプ(IPv4/IPv6)ip_classification: 分類(LOCAL、PRIVATE、PUBLIC)is_nat_ip: IPがNAT配下かどうかのブール値asn: 自律システム番号hostname: 関連付けられたホスト名ip_geo_city_name: ジオロケーションによる都市名ip_geo_country_code: ジオロケーションによる国コードip_geo_continent_code: ジオロケーションによる大陸コードip_geo_latitude: 緯度座標ip_geo_longitude: 経度座標ip_geo_auto_system_org: ASNデータによる組織名ip_geo_country_geoname_id: GeoNames国ID
ファイルハッシュエンティティ🔗
ファイルハッシュエンティティは、ファイルの暗号学的ハッシュと関連メタデータを表します。
識別子:
hash_value: ハッシュ値hash_type: ハッシュの種類(MD5、SHA1、SHA256、SHA512)
プロパティ: なし
ホストエンティティ🔗
ホストエンティティは、環境内のコンピューターシステムやデバイスを表します。
識別子:
computer_name: コンピューター名host_id: 一意のホスト識別子hostname: ホスト名hostname_fqdn: 完全修飾ドメイン名
プロパティ:
mac_address: ホストのMACアドレスos: オペレーティングシステムos_arch: オペレーティングシステムのアーキテクチャsensor_id: ホストに関連付けられたセンサーIDsensor_type: センサータイプvendor_agent_device_id: ベンダー固有のデバイスIDvendor_agent_device_score: ベンダー固有のデバイススコア
Emailエンティティ🔗
Emailエンティティは、メールメッセージとそのメタデータを表します。
識別子:
email_message_id: メールメッセージのベンダー割り当てID
プロパティ:
email_message_size: メールメッセージのサイズemail_quarantine_reason: メール隔離理由reply_to_email_address: 返信先メールアドレスvendor_alert_url: ベンダー固有のアラートURLvendor_email_spam_score: ベンダー固有のスパムスコア
メールアドレスエンティティ🔗
メールアドレスエンティティは、メールアドレスを表します。
識別子:
email_address: メールアドレス
プロパティ: なし
ドメイン名エンティティ🔗
ドメイン名エンティティは、ドメイン名を表します。
識別子:
domain_name: ドメイン名
プロパティ: なし
URLエンティティ🔗
URLエンティティは、解析されたコンポーネントを持つWeb URLを表します。
識別子:
full_url: 完全なURL
プロパティ:
uri_scheme: URLスキーム(例: http、https)uri_host: URLのホスト部分uri_path: URLのパス部分uri_query: クエリ文字列部分uri_fragment: フラグメント部分uri_port: ポート番号uri_userinfo: ユーザー情報部分
証明書エンティティ🔗
証明書エンティティは、詳細な発行者およびサブジェクト情報を持つSSL/TLS証明書を表します。
識別子:
cert_issuer: 証明書発行者cert_serial_number: 証明書シリアル番号
プロパティ:
cert_issuer_c: 発行者の国cert_issuer_cn: 発行者のコモンネームcert_issuer_e: 発行者のメールアドレスcert_issuer_l: 発行者の所在地cert_issuer_o: 発行者の組織cert_issuer_order: 発行者組織ユニットの順序cert_issuer_ou: 発行者の組織ユニットcert_issuer_s: 発行者の州cert_ja3: JA3フィンガープリントcert_ja3s: JA3Sフィンガープリントcert_subject: 証明書サブジェクトcert_subject_c: サブジェクトの国cert_subject_cn: サブジェクトのコモンネームcert_subject_e: サブジェクトのメールアドレスcert_subject_l: サブジェクトの所在地cert_subject_o: サブジェクトの組織cert_subject_order: サブジェクト組織ユニットの順序cert_subject_ou: サブジェクトの組織ユニットcert_subject_s: サブジェクトの州cert_valid_from: 証明書の有効開始日cert_valid_through: 証明書の有効終了日
クラウドリソースエンティティ🔗
クラウドリソースエンティティは、クラウドインフラストラクチャリソースを表します。
識別子:
cloud_resource_account_id: クラウドアカウントIDcloud_resource_id: クラウドリソースIDcloud_resource_type: クラウドリソースのタイプ
プロパティ: なし
クラウドオブジェクトエンティティ🔗
クラウドオブジェクトエンティティは、クラウドストレージオブジェクトを表します。
識別子:
cloud_object_bucket: クラウドストレージバケット名cloud_object_key: クラウドストレージオブジェクトキーcloud_object_prefix: クラウドストレージオブジェクトプレフィックス
プロパティ: なし
クラウドユーザーエンティティ(非推奨)🔗
クラウドユーザーエンティティはクラウドユーザーを表します。このエンティティタイプは ユーザーエンティティ への移行により非推奨です。
識別子:
cloud_user_id: クラウドユーザーIDcloud_user_name: クラウドユーザー名cloud_user_type: クラウドユーザーのタイプ
プロパティ: なし
DNSサーバーエンティティ🔗
DNSサーバーエンティティは、DNSサーバーを表します。
識別子:
host_id: 関連付けられたホスト識別子ip_address: DNSサーバーのIPアドレス
プロパティ:
ip_address_type: IPアドレスタイプ(IPv4/IPv6)ip_classification: 分類(LOCAL、PRIVATE、PUBLIC)
認証ドメインエンティティ🔗
認証ドメインエンティティは、認証ドメインを表します。
識別子:
auth_domain: 認証ドメイン名
プロパティ: なし
関数エンティティ🔗
関数エンティティは、コード内の関数を表します。
識別子:
function_name: 関数名host_id: 関連付けられたホスト識別子
プロパティ: なし
レジストリキーエンティティ🔗
レジストリキーエンティティは、Windowsレジストリキーを表します。
識別子:
host_id: 関連付けられたホスト識別子registry_path: レジストリキーパス
プロパティ: なし
スケジュールタスクエンティティ🔗
スケジュールタスクエンティティは、スケジュールされたタスクを表します。
識別子:
host_id: 関連付けられたホスト識別子task_name: スケジュールタスク名
プロパティ: なし
タスクアクションエンティティ🔗
タスクアクションエンティティは、スケジュールタスク内のアクションを表します。
識別子:
host_id: 関連付けられたホスト識別子task_action_id: タスクアクションIDtask_action_path: タスクアクションパス
プロパティ:
task_action_args: タスクアクションの引数task_action_class_id: タスクアクションクラスIDtask_action_type: タスクアクションのタイプtask_action_working_directory: タスクアクションの作業ディレクトリ
サービスエンティティ🔗
サービスエンティティは、システムサービスを表します。
識別子:
host_id: 関連付けられたホスト識別子service_dll: サービスDLLservice_main: サービスメイン関数service_name: サービス名
プロパティ:
service_start_type: サービスの開始タイプservice_type: サービスのタイプ
スクリプトエンティティ🔗
スクリプトエンティティは、スクリプトとそのメタデータを表します。
識別子:
hash_value: スクリプトのハッシュhost_id: 関連付けられたホスト識別子script_name: スクリプト名
プロパティ:
interpreter: スクリプトインタープリターis_truncated: スクリプトが切り捨てられているかどうかのブール値