Authスキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。Data Lake Searchのスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resoureId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発生元アプリケーションによって提供される顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発生元アプリケーションによって提供されるID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元ホストを一意に識別。例: IPv(4/6)アドレス、デバイスMACアドレス |
| process_id | string | processId$ | 実行中プロセスに対してOSが提供する識別子 |
| process_create_time_usec | uint64 | processCreateTimeUsec$ | 認可を要求したプロセスの作成時刻 |
| process_correlation_id | string | processCorrelationId$ | ローリングID対策のためのプロセス相関ID redcloak -- host_id:id.pid:id.time_window |
| process_filename | string | processFilename$ | 認可を要求したプロセスのファイル名 |
| process_file_hash | FileHash | fileHash$ | 認可を要求したプロセスのファイルのハッシュ値 |
| commandline | string | commandline$ | 認可要求を行ったプロセスの完全なコマンドライン |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| action | Auth.Action | action$ | 認証イベントのタイプ(例: LOGON, LOGOFF) |
| auth_category | Auth.AuthCategory | authCategory$ | 認証イベントのタイプ(例: ACCOUNT_LOGON, ACCOUNT_LOCK) |
| action_result | Auth.ActionResult | actionResult$ | auth_categoryで実行されたアクションの結果(例: SUCCESS, FAILED) |
| failure_category | Auth.FailureCategory | failureCategory$ | action_resultがFAILEDの場合の理由 |
| trust_features | Auth.TrustFeatures | trustFeatures$ | ユーザーログオンが正当である理由(例: MFAが使用された等)を示す |
| auth_system | string | authSystem$ | イベントを識別するシステム(例: Windows, PAM, SSHD, sudo) |
| target_user_name | string | targetUserName$ | ユーザーがログインするアカウント |
| target_domain_name | string | targetDomainName$ | ユーザーがログインするドメイン |
| target_address | string | targetAddress$ | ユーザーがログインするIPアドレス |
| target_port | string | targetPort$ | ユーザーがログインするポート |
| target_port_number | uint32 | targetPortNumber$ | ユーザーがログインするポート番号 |
| target_host_name | string | targetHostName$ | ターゲットのホスト名 例: Windowsワークステーション名 |
| source_user_name | string | sourceUserName$ | ユーザーがログイン元のアカウント |
| source_domain_name | string | sourceDomainName$ | ユーザーがログイン元のドメイン |
| source_address | string | sourceAddress$ | ユーザーがログイン元のIPアドレス |
| source_port | string | sourcePort$ | ユーザーがログイン元のポート |
| source_port_number | uint32 | sourcePortNumber$ | ユーザーがログイン元のポート番号 |
| os | OperatingSystem | os\(.os\) | ユーザーのマシンのオペレーティングシステム、アーキテクチャ |
| logon_application_family | string | logonApplicationFamily$ | ユーザーがログオンに使用したアプリケーション(バージョン情報なし、例: chrome, firefox) |
| user_agent | string | userAgent$ | リクエストで使用されたユーザーエージェント文字列 |
| user_display_name | string | userDisplayName$ | ユーザーアカウントの表示名 |
| member_name | string | memberName$ | セキュリティ有効なローカルグループに追加または削除されたアカウントの識別名 |
| session_id | string | sessionId$ | ログオン/ログオフを一致させるためのセッション識別子 |
| logon_type | Auth.LogonType | logonType$ | ログオンタイプの値(例: '...Logon Type: 3...') |
| mfa_used | bool | mfaUsed$ | ユーザー認証時にMFAが使用されたかどうか |
| encryption_type | Auth.EncryptionType | encryptionType$ | チケットの暗号化タイプ 例: 0x12または0x17 |
| win_event_level | string | winEventLevel$ | Windowsによって割り当てられたイベントの緊急度レベル |
| win_summary | string | winSummary$ | Windowsが提供するイベントの要約 |
| win_keywords | string | winKeywords$ | Windowsがイベントに適用するキーワード |
| win_task_category | string | winTaskCategory$ | Windowsがイベントを分類したカテゴリ |
| win_event_id | string | winEventId$ | Windowsログによって生成されたイベントの識別子 |
| device_trust_type | string | deviceTrustType$ | Microsoft Graph Signin EventsのdeviceDetailsのtrustTypeフィールドから取得: https://docs.microsoft.com/en-us/graph/api/resources/devicedetail?view=graph-rest-1.0{: target="_blank"}; サインインデバイスの信頼性指標として使用可能 |
| src_ipblacklist_hits | string | repeated | ソースが一致したブラックリスト名を提供 |
| dest_ipblacklist_hits | string | repeated | 宛先が一致したブラックリスト名を提供 |
| src_ipgeo_summary | GeoSummary | ソースIPの地理的位置 | |
| dest_ipgeo_summary | GeoSummary | 宛先IPの地理的位置 | |
| status | string | status$ | |
| sub_status | string | subStatus$ | |
| extra_authenticationpackagename | string | extraAuthenticationpackagename$ | 認証を実行するシステム 例: NTLM, Kerberos |
| extra_elevatedtoken | string | extraElevatedtoken$ | このイベントが表すセッションに管理者権限があるかどうかを示す |
| extra_failurereason | string | extraFailurereason$ | ログイン、リソースアクセス等の失敗理由 |
| extra_homedirectory | string | extraHomedirector$ | ログイベントに関連するユーザープロセスのホームディレクトリ |
| extra_impersonationlevel | string | extraImpersonationlevel$ | MS WMIの偽装レベル |
| extra_keylength | int32 | extraKeylength$ | 「セキュアチャネル」を保護する鍵の長さ |
| extra_lmpackagename | string | extraLmpackagename$ | このログオンがNTLMプロトコル(例: Kerberos以外)で認証された場合、使用されたNTLMのバージョンを示す |
| extra_logonprocessname | string | extraLogonprocessname$ | MS信頼済みログオンプロセス名 例: Winlogon, IKE等 |
| extra_restrictedadminmode | string | extraRestrictedadminmode$ | クライアントがコマンドラインで/restrictedAdminを指定したリモートデスクトップ接続の場合は「Yes」 |
| extra_samaccountname | string | extraSamaccountname$ | クライアントやサーバーが以前のWindowsバージョン(Pre-Windows 2000)をサポートするために使用するユーザーログオン名 |
| extra_targetoutbounddomainname | string | extraTargetoutbounddomainname$ | ターゲットログオンのMSドメイン名 |
| extra_targetoutboundusername | string | extraTargetoutboundusername$ | ターゲットログオンのMSユーザー名 |
| extra_targetservername | string | extraTargetservername$ | ターゲットログオンのホスト名 |
| extra_userprincipalname | string | extraUserpricipalname$ | インターネット標準RFC 822に基づくユーザーのインターネット形式のログイン名 |
| extra_virtualaccount | string | extraVirtualAccount$ | MSサービスが「仮想アカウント」でログオンするよう構成されている場合に示す |
| extra_workstationname | string | extraWorkstationname$ | |
| extra_subject_domain_user_id | string | extraSubjectDomainUserId$ | ログオンを要求したアカウントを識別(ログオンされるユーザーではない) |
| extra_target_domain_user_id | string | extraTargetDomainUserId$ | ログオンされるアカウントを識別 |
| application_name | string | applicationName$ | ログイン先のアプリケーションを識別。特にクラウドインテグレーション向け |
| service_name | string | serviceName$ | ユーザーがログインしようとしているサービス名 |
| service_sid | string | serviceSid$ | ユーザーがログインしようとしているサービスを識別 |
| ticket_options | string | ticketOptions$ | ログオンチケットのオプション |
| event_metadata | KeyValuePairsIndexed | event_metadataはアプライアンスから追加情報として提供可能 |
Auth.Action🔗
認証イベントのタイプ
| 名前 | 番号 | 説明 |
|---|---|---|
| UNCLASSIFIED | 0 | |
| LOGON | 1 | ユーザーのログイン/認証操作、またはユーザーセッションの開始 |
| ACCOUNT | 2 | |
| PRIVILEGE | 3 | |
| POLICY | 4 | アカウント/ドメインポリシーの変更 Windowsの場合、このコンピューターのセキュリティ設定\アカウントポリシーまたはアカウントロックアウトポリシーが変更された(ローカルセキュリティポリシーまたはActive Directoryのグループポリシー経由)。WebベースのAuthプラットフォーム(例: Okta)では、1. ライフサイクルポリシーの変更 2. ユーザーセッションの有効期間 3. MFA要件 4. パスワード複雑性要件 |
| SYSTEM | 5 | システム監査ポリシーの変更 WebベースのAuthプロバイダーの場合、1. APIトークンの作成/取り消し 2. MFA検証リクエスト |
| LOG | 6 | |
| LOGOFF | 7 | ユーザーのログアウト操作、またはユーザーセッションの終了 |
| FAILURE | 8 | ユーザー認証試行の失敗 |
| USER_MANAGEMENT | 9 | 以下を含むアクション 1. 新規ユーザーの追加 2. 既存ユーザーの変更 3. ユーザーの削除 4. ライフサイクルイベント 5. パスワード/MFA設定の更新 |
Auth.AuthCategory🔗
認証イベントのタイプ。
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_AUTH_CATEGORY | 0 | |
| ACCOUNT_LOGON | 10 | |
| ACCOUNT_LOGOFF | 20 | |
| ACCOUNT_LOCK | 30 | |
| ACCOUNT_UNLOCK | 40 | |
| PASSWORD_CHANGE_ATTEMPT | 50 | ユーザーが自身のパスワード変更を試みた |
| PASSWORD_RESET_ATTEMPT | 60 | ソースユーザーがターゲットユーザーのパスワード変更を試みた(例: 管理者によるリセット) |
| PRE_AUTHENTICATION | 70 | 認証の事前必須ステップ(例: Kerberos認証チケットの要求) |
Auth.ActionResult🔗
auth_categoryで実行されたアクションの結果。
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_ACTION_RESULT | 0 | |
| SUCCESS | 10 | auth_categoryステップの結果が成功した |
| FAILED | 20 | auth_categoryステップの結果が失敗した |
Auth.FailureCategory🔗
action_resultがFAILEDの場合の理由。
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_FAILURE_CATEGORY | 0 | |
| INCORRECT_USER_OR_PASSWORD | 10 | |
| EXPIRED_PASSWORD | 20 | |
| INVALID_ACCOUNT | 30 | |
| INCORRECT_MFA | 40 | |
| OUTSIDE_PERMISSIBLE_HOURS | 50 | |
| OVERDUE_PASSWORD_CHANGE | 60 | |
| ACCOUNT_LOCKED_OUT | 70 | |
| ACCOUNT_DISABLED | 80 | |
| OTHER_ERROR | 90 | 他のカテゴリに該当しないエラーが報告された場合 |
Auth.TrustFeatures🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_TRUSTED_FEATURES | 0 | |
| MFA_USED | 10 | |
| TRUSTED_IP_ADDRESS | 20 | |
| OTHER_TRUSTED_ACCOUNT | 30 | 他の方法で信頼されているアカウント(例: Entra ID登録済みまたは参加済みデバイス) |
Auth.EncryptionType🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| ENCRYPTION_UNKNOWN | 0 | |
| DES_CBC_CRC | 1 | |
| DES_CBC_MD4 | 2 | |
| DES_CBC_MD5 | 3 | |
| DES3_CBC_MD5 | 4 | |
| DES3_CBC_SHA1 | 5 | |
| DSA_WITH_SHA1_CMSOID | 6 | |
| MD5_WITH_RSA_ENCRYPTION_CMSOID | 7 | |
| SHA1_WITH_RSA_ENCRYPTION_CMSOID | 8 | |
| RC2CBC_ENVOID | 9 | |
| RSA_ENCRYPTION_ENVOID | 10 | |
| RSA_ES_OAEP_ENV_OID | 11 | |
| DES_EDE3_CBC_ENV_OID | 12 | |
| DES3_CBC_SHA1_KD | 13 | |
| AES128_CTS_HMAC_SHA1_96 | 14 | |
| AES256_CTS_HMAC_SHA1_96 | 15 | |
| RC4_HMAC | 16 | |
| RC4_HMAC_EXP | 17 | |
| SUBKEY_KEYMATERIAL | 18 |
Auth.LogonType🔗
WIN32値にマッピングされるログオンタイプの値
| 名前 | 番号 | 説明 |
|---|---|---|
| SYSTEMONLY | 0 | 未使用だがproto3のため必須 |
| UNKNOWN | 1 | |
| INTERACTIVE | 2 | |
| NETWORK | 3 | |
| BATCH | 4 | |
| SERVICE | 5 | |
| PROXY | 6 | |
| UNLOCK | 7 | |
| NETWORKCLEARTEXT | 8 | |
| NEWCREDENTIALS | 9 | |
| REMOTEINTERACTIVE | 10 | |
| CACHEDINTERACTIVE | 11 | |
| CACHEDREMOTEINTERACTIVE | 12 | |
| CACHEDUNLOCKED | 13 |