Antivirusスキーマ🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | テナントのID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供された顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs)。 |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定します |
| host_id | string | hostId$ | ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| threat_type | Antivirus.ThreatType | threatType$ | |
| action_taken | Antivirus.ActionTaken | actionTaken$ | |
| threat_name | string | threatName$ | アンチウイルス製品によって報告された脅威名。 |
| agent_priority | string | agentPriority$ | エージェント/ベンダーによって脅威に割り当てられた優先度。 |
| agent_confidence_score | float | agentConfidenceScore$ | エージェント/ベンダーによって提供されたアラートの信頼度スコア。推奨値は0-1の範囲で、パーセンテージに相当します。 |
| threat_category | Antivirus.ThreatCategory | threatCategory$ | |
| policy_name | string | policyName$ | 報告エージェントに適用されたポリシー名。 |
| process_name | string | procesName$ | 問題のあるプロセス、ファイル、またはネットワークソース/宛先を識別する情報。メモリ上で実行中の不正なプロセス名。 |
| file_path | string | filePath$ | 感染ファイルのファイル名およびパス。 |
| file_hash | FileHash | fileHash$ | 感染ファイルのファイルハッシュ - ポリシーが古い場合にベンダーのHASHと照合するのに有用。 |
| url_string | string | urlString$ | 不正なトラフィックのURL。 |
| user_name | string | userName$ | 実行中のプロセス/ログインユーザー/ファイル所有者のユーザー名。 |
| agent_device_id | string | agentDeviceId$ | デバイス識別子(例: GUID)- このIDはエージェントによって割り当てられ、Secureworksによるものではありません。 |
| agent_device_score | int32 | agentDeviceScore$ | AV製品で、ミッションクリティカルなホストと低リスクホストを区別するためのスコア。 |
| os | OperatingSystem | os\(.os\) | プロセスが実行されたオペレーティングシステム、アーキテクチャ。 |
| agent_alert_url | string | agentAlertUrl$ | 脅威のドキュメント用URL(脅威自体のURLではありません)。 |
| file_create_time_usec | uint64 | fileCreateTimeUsec$ | ウイルスを含むファイルが作成された時刻。 |
| file_modified_time_usec | uint64 | fileModifiedTimeUsec$ | ウイルスを含むファイルが変更された時刻。 |
| vendor_alert_type | string | vendorAlertType$ | ベンダーが提供するアラートタイプの説明(例: Abnormal, Suspicious, Communications Alertなど)。 |
| agent_version | string | agentVersion$ | イベントを報告したエージェントのバージョン。 |
| computer_name | string | computerName$ | 影響を受けたエンドポイントのホスト名 |
| vendor_signature_id | uint32 | vendorSignatureId$ | イベント作成に使用されたベンダー提供のルールID |
| event_metadata | KeyValuePairsIndexed | event_metadataは、データソースがコンテキスト追加のために提供可能 |
Antivirus.ActionTaken🔗
| Name | Number | 説明 |
|---|---|---|
| UNKNOWN_ACTIONTAKEN | 0 | 未使用だがproto3のために必須 |
| QUARANTINED | 1 | ファイルが隔離されました。 |
| ALERT | 2 | アラートのみで他のアクションなし。 |
| DELETED | 3 | ファイルが削除されました。 |
| BLOCKED | 4 | ファイルまたはトラフィックの起動がブロックされました。 |
| TERMINATED | 5 | 実行中のプロセスが終了されました。 |
| NONE | 6 | アクションは実施されませんでした。 |
| RESTORED | 7 | ファイルが隔離からリストアされました。 |
Antivirus.ThreatCategory🔗
| Name | Number | 説明 |
|---|---|---|
| UNKNOWN_THREATCATEGORY | 0 | 内部用: 未使用だがproto3のために必須 |
| APPLICATION | 1 | 不要なアプリケーション |
| TROJAN | 2 | トロイの木馬型ペイロードを含むファイル。 |
| VIRUS | 3 | ウイルスに感染したファイル。 |
| MALWARE | 4 | 一般的なマルウェア。 |
| MINER | 5 | 暗号通貨マイナー。 |
| TORRENT | 6 | トレント。 |
| RANSOMWARE | 7 | ランサムウェア。 |
| GENERIC | 8 | 汎用/未定義。 |
| BACKDOOR | 9 | バックドア |
| AI_DETECTION | 10 | 機械学習によって検出された未分類のもの |
| EXPLOIT | 11 | エクスプロイト |
Antivirus.ThreatType🔗
脅威を特定するために使用された検出方法。
| Name | Number | 説明 |
|---|---|---|
| UNKNOWN_THREATTYPE | 0 | 内部用: 未使用だがproto3のために必須 |
| PROCESS | 1 | プロセス実行から検知された脅威。 |
| FILE | 2 | ファイルシステム上で検知された脅威。 |
| MEMORY | 3 | メモリ上で実行中に検知された脅威。 |
| SCAN | 4 | スキャンによって検知された脅威。 |