Antivirusスキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | テナントのID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供された顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs)。 |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された時刻の元の精度を指定します |
| host_id | string | hostId$ | ホストID -- イベント発生元のホストを一意に識別します。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| threat_type | Antivirus.ThreatType | threatType$ | |
| action_taken | Antivirus.ActionTaken | actionTaken$ | |
| threat_name | string | threatName$ | アンチウイルス製品によって報告された脅威名。 |
| agent_priority | string | agentPriority$ | エージェント/ベンダーによって脅威に割り当てられた優先度。 |
| agent_confidence_score | float | agentConfidenceScore$ | エージェント/ベンダーによって提供されたアラートの信頼度スコア。推奨値は0-1で、パーセンテージに相当します。 |
| threat_category | Antivirus.ThreatCategory | threatCategory$ | |
| policy_name | string | policyName$ | 報告エージェントに適用されたポリシー名。 |
| process_name | string | procesName$ | 問題のあるプロセス、ファイル、またはネットワークソース/宛先を識別する情報。メモリ上で実行中の不正なプロセス名。 |
| file_path | string | filePath$ | 感染ファイルのファイル名およびパス。 |
| file_hash | FileHash | fileHash$ | 感染ファイルのハッシュ値 - ポリシーが古い場合にベンダーのHASHと照合するのに有用です。 |
| url_string | string | urlString$ | 不正な通信のURL。 |
| user_name | string | userName$ | 実行中のプロセス/ログインユーザー/ファイル所有者のユーザー名。 |
| agent_device_id | string | agentDeviceId$ | デバイス識別子(例: GUID)- このIDはエージェントによって割り当てられ、Secureworksによるものではありません。 |
| agent_device_score | int32 | agentDeviceScore$ | AV製品で、ミッションクリティカルなホストと低リスクホストを区別するためにスコアを追加できる場合のデバイススコア。 |
| os | OperatingSystem | os\(.os\) | プロセスが実行されたオペレーティングシステム、アーキテクチャ。 |
| agent_alert_url | string | agentAlertUrl$ | 脅威のドキュメント用URL(脅威自体のURLではありません)。 |
| file_create_time_usec | uint64 | fileCreateTimeUsec$ | ウイルスを含むファイルが作成された時刻。 |
| file_modified_time_usec | uint64 | fileModifiedTimeUsec$ | ウイルスを含むファイルが変更された時刻。 |
| vendor_alert_type | string | vendorAlertType$ | ベンダーが提供するアラートタイプの説明(例: Abnormal, Suspicious, Communications Alertなど)。 |
| agent_version | string | agentVersion$ | イベントを報告したエージェントのバージョン。 |
| computer_name | string | computerName$ | 影響を受けたエンドポイントのホスト名 |
| vendor_signature_id | uint32 | vendorSignatureId$ | イベント作成に使用されたベンダー提供のルールID |
| is_custom_alert | NullableBoolean | isCustomAlert$ | 検知が顧客またはテナントのロジック(完全なカスタムルールやインジケーター、またはテナントがインスタンス化または大幅に構成したベンダー提供のテンプレート、コンテンツパック、ビルディングブロック(例: ポリシー、名前付きルールインスタンス、しきい値、スコープ))を反映している場合はTrue。 ベンダーのデフォルトで一律に展開された検知のみで意味のあるテナントごとのロジックがない場合はFalse。 ソースから出所が特定できない場合はUnknown。 |
| event_metadata | KeyValuePairsIndexed | event_metadataは、データソースによってコンテキスト追加のために提供されることがあります |
注意
is_custom_alert が true の場合:
- 検知の重大度は変更されません。
- これらのイベントによって生成された検知はMDRサービスキューをバイパスし、カスタム検知としてテナントに直接配信されます。これは、Taegis MDRサービス範囲外であるためです。
Antivirus.ActionTaken🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_ACTIONTAKEN | 0 | 未使用だがproto3のために必須 |
| QUARANTINED | 1 | ファイルが隔離されました。 |
| ALERT | 2 | アラートのみで他のアクションなし。 |
| DELETED | 3 | ファイルが削除されました。 |
| BLOCKED | 4 | ファイルまたは通信が開始前にブロックされました。 |
| TERMINATED | 5 | 実行中のプロセスが終了されました。 |
| NONE | 6 | アクションは実施されませんでした。 |
| RESTORED | 7 | ファイルが隔離からリストアされました。 |
Antivirus.ThreatCategory🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_THREATCATEGORY | 0 | 内部用: 未使用だがproto3のために必須 |
| APPLICATION | 1 | 不要なアプリケーション |
| TROJAN | 2 | トロイの木馬型ペイロードを含むファイル。 |
| VIRUS | 3 | ウイルスに感染したファイル。 |
| MALWARE | 4 | 一般的なマルウェア。 |
| MINER | 5 | 暗号通貨マイナー。 |
| TORRENT | 6 | トレント。 |
| RANSOMWARE | 7 | ランサムウェア。 |
| GENERIC | 8 | 汎用/未定義。 |
| BACKDOOR | 9 | バックドア |
| AI_DETECTION | 10 | 機械学習によって検知された未分類のもの |
| EXPLOIT | 11 | エクスプロイト |
Antivirus.ThreatType🔗
脅威を特定するために使用された検知方法。
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_THREATTYPE | 0 | 内部用: 未使用だがproto3のために必須 |
| PROCESS | 1 | プロセス実行から検知された脅威。 |
| FILE | 2 | ファイルシステム上で検知された脅威。 |
| MEMORY | 3 | メモリ上で実行中に検知された脅威。 |
| SCAN | 4 | スキャンによって検知された脅威。 |