コンテンツにスキップ

Authスキーマ🔗

正規化されたフィールド パーサーのフィールド 説明
resource_id string resoureId$ レコードを識別する完全なリソース文字列
tenant_id string tenantId$ このCTPX IDに固有のテナントID
sensor_type string sensorType$ このイベントを生成したデバイスのタイプ。例: redcloak
sensor_event_id string sensorEventId$ センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant string sensorTenant$ データの発信元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id
sensor_id string sensorId$ データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id
sensor_cpe string sensorCpe$ アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:*
original_data string originalData$ 変換前の元のデータ
event_time_usec uint64 eventTimeUsec$ イベント発生時刻(マイクロ秒単位、µs)
ingest_time_usec uint64 ingestTimeUsec$ 取り込み時刻(マイクロ秒単位、µs)
event_time_fidelity TimeFidelity eventTimeFidelity$ event_time_usecに使用された元の時刻精度を指定
host_id string hostId$ ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス
process_id string processId$ 実行中プロセスに対してOSが提供する識別子
process_create_time_usec uint64 processCreateTimeUsec$ 認可を要求したプロセスの作成時刻
process_correlation_id string processCorrelationId$ ローリングID対策のためのプロセス相関ID redcloak -- host_id:id.pid:id.time_window
process_filename string processFilename$ 認可を要求したプロセスのファイル名
process_file_hash FileHash fileHash$ 認可を要求したプロセスのファイルのハッシュ値
commandline string commandline$ 認可要求を行ったプロセスの完全なコマンドライン
sensor_version string sensorVersion$ エージェントのバージョン(文字列)
action Auth.Action action$ 認証イベントのタイプ(例: LOGON, LOGOFF)
auth_category Auth.AuthCategory authCategory$ 認証イベントのタイプ(例: ACCOUNT_LOGON, ACCOUNT_LOCK)
action_result Auth.ActionResult actionResult$ auth_categoryで実行されたアクションの結果(例: SUCCESS, FAILED)
failure_category Auth.FailureCategory failureCategory$ action_resultがFAILEDの場合の理由
trust_features Auth.TrustFeatures trustFeatures$ ユーザーログオンが正当である理由を示す(例: MFAが使用された場合など)
auth_system string authSystem$ イベントを識別するシステム(例: Windows, PAM, SSHD, sudo)
target_user_name string targetUserName$ ユーザーがログインするアカウント
target_domain_name string targetDomainName$ ユーザーがログインするドメイン
target_address string targetAddress$ ユーザーがログインするIPアドレス
target_port string targetPort$ ユーザーがログインするポート
target_port_number uint32 targetPortNumber$ ユーザーがログインするポート番号
target_host_name string targetHostName$ ターゲットのホスト名 例: Windowsワークステーション名
source_user_name string sourceUserName$ ユーザーがログイン元のアカウント
source_domain_name string sourceDomainName$ ユーザーがログイン元のドメイン
source_address string sourceAddress$ ユーザーがログイン元のIPアドレス
source_port string sourcePort$ ユーザーがログイン元のポート
source_port_number uint32 sourcePortNumber$ ユーザーがログイン元のポート番号
os OperatingSystem os\(.os\) ユーザーのマシンのオペレーティングシステム、アーキテクチャ
logon_application_family string logonApplicationFamily$ ユーザーがログオンに使用したアプリケーション(バージョン情報なし、例: chrome, firefox)
user_agent string userAgent$ リクエストで使用されたユーザーエージェント文字列
user_display_name string userDisplayName$ ユーザーアカウントの表示名
member_name string memberName$ セキュリティ有効なローカルグループに追加または削除されたアカウントの識別名
session_id string sessionId$ ログオン/ログオフを一致させるためのセッション識別子
logon_type Auth.LogonType logonType$ ログオンタイプの値(例: '...Logon Type: 3...')
mfa_used bool mfaUsed$ ユーザー認証時にMFAが使用されたかどうか
encryption_type Auth.EncryptionType encryptionType$ チケットの暗号化タイプ 例: 0x12または0x17
win_event_level string winEventLevel$ Windowsによって割り当てられたイベントの緊急度レベル
win_summary string winSummary$ Windowsが提供するイベントの要約
win_keywords string winKeywords$ Windowsがイベントに適用するキーワード
win_task_category string winTaskCategory$ Windowsがイベントを分類したカテゴリ
win_event_id string winEventId$ Windowsログによって生成されたイベントの識別子
device_trust_type string deviceTrustType$ Microsoft Graph Signin EventsのdeviceDetailsのtrustTypeフィールドから取得: https://docs.microsoft.com/en-us/graph/api/resources/devicedetail?view=graph-rest-1.0{: target="_blank"}; サインインデバイスの信頼性指標として使用可能
src_ipblacklist_hits string repeated ソースが一致したブラックリスト名を提供
dest_ipblacklist_hits string repeated 宛先が一致したブラックリスト名を提供
src_ipgeo_summary GeoSummary ソースIPの地理的位置
dest_ipgeo_summary GeoSummary 宛先IPの地理的位置
status string status$
sub_status string subStatus$
extra_authenticationpackagename string extraAuthenticationpackagename$ 認証を実行するシステム 例: NTLM, Kerberos
extra_elevatedtoken string extraElevatedtoken$ このイベントで表されるセッションが管理者権限を持つかどうかを示す
extra_failurereason string extraFailurereason$ ログイン、リソースアクセス等の失敗理由
extra_homedirectory string extraHomedirector$ ログイベントに関連するユーザープロセスのホームディレクトリ
extra_impersonationlevel string extraImpersonationlevel$ MS WMIの偽装レベル
extra_keylength int32 extraKeylength$ 「セキュアチャネル」を保護する鍵の長さ
extra_lmpackagename string extraLmpackagename$ このログオンがNTLMプロトコル(例: Kerberos以外)で認証された場合、使用されたNTLMのバージョンを示す
extra_logonprocessname string extraLogonprocessname$ MS信頼済みログオンプロセス名 例: Winlogon, IKE等
extra_restrictedadminmode string extraRestrictedadminmode$ クライアントがコマンドラインで/restrictedAdminを指定したリモートデスクトップ接続の場合は「Yes」
extra_samaccountname string extraSamaccountname$ クライアントやサーバーが以前のWindowsバージョン(Pre-Windows 2000)をサポートするために使用するユーザーログオン名
extra_targetoutbounddomainname string extraTargetoutbounddomainname$ ターゲットログオンのMSドメイン名
extra_targetoutboundusername string extraTargetoutboundusername$ ターゲットログオンのMSユーザー名
extra_targetservername string extraTargetservername$ ターゲットログオンのホスト名
extra_userprincipalname string extraUserpricipalname$ インターネット標準RFC 822に基づくユーザーのインターネット形式のログイン名
extra_virtualaccount string extraVirtualAccount$ MSサービスが「仮想アカウント」でログオンするよう構成されている場合に示す
extra_workstationname string extraWorkstationname$ ユーザーが物理的に存在するコンピュータ名(多くの場合)。ただし、サーバーアプリケーションがユーザーの代わりにこのログオンを開始した場合を除く
extra_subject_domain_user_id string extraSubjectDomainUserId$ ログオンを要求したアカウントを識別(ログオンされるユーザーではない)
extra_target_domain_user_id string extraTargetDomainUserId$ ログオンされるアカウントを識別
application_name string applicationName$ ログイン先のアプリケーションを識別。特にクラウドインテグレーション向け
service_name string serviceName$ ユーザーがログインしようとしているサービス名
service_sid string serviceSid$ ユーザーがログインしようとしているサービスを識別
ticket_options string ticketOptions$ ログオンチケットのオプション
event_metadata KeyValuePairsIndexed event_metadataはアプライアンスから追加情報として提供可能

Auth.Action🔗

認証イベントのタイプ

名前 番号 説明
UNCLASSIFIED 0
LOGON 1 ユーザーのログイン/認証操作、またはユーザーセッションの開始
ACCOUNT 2
PRIVILEGE 3
POLICY 4 アカウント/ドメインポリシーの変更。Windowsの場合、「このコンピューターのセキュリティ設定\アカウントポリシー」や「アカウントロックアウトポリシー」がローカルセキュリティポリシーまたはActive Directoryのグループポリシー経由で変更された場合。WebベースのAuthプラットフォーム(例: Okta)の場合、1. ライフサイクルポリシーの変更 2. ユーザーセッションの有効期間 3. MFA要件 4. パスワード複雑性要件
SYSTEM 5 システム監査ポリシーの変更。WebベースのAuthプロバイダーの場合、1. APIトークンの作成/取り消し 2. MFA検証リクエスト
LOG 6
LOGOFF 7 ユーザーのログアウト操作、またはユーザーセッションの終了
FAILURE 8 ユーザー認証試行の失敗
USER_MANAGEMENT 9 1. 新規ユーザーのアカウント追加 2. 既存ユーザーの変更 3. アカウントからのユーザー削除 4. ライフサイクルイベント 5. パスワード/MFA設定の更新 などのアクション

Auth.AuthCategory🔗

認証イベントのタイプ。

名前 番号 説明
UNKNOWN_AUTH_CATEGORY 0
ACCOUNT_LOGON 10
ACCOUNT_LOGOFF 20
ACCOUNT_LOCK 30
ACCOUNT_UNLOCK 40
PASSWORD_CHANGE_ATTEMPT 50 ユーザーが自身のパスワード変更を試みた
PASSWORD_RESET_ATTEMPT 60 ソースユーザーがターゲットユーザーのパスワード変更を試みた(例: 管理者によるリセット)
PRE_AUTHENTICATION 70 認証の事前ステップ(例: Kerberos認証チケットの要求など)

Auth.ActionResult🔗

auth_categoryで実行されたアクションの結果。

名前 番号 説明
UNKNOWN_ACTION_RESULT 0
SUCCESS 10 auth_categoryステップの結果が成功した
FAILED 20 auth_categoryステップの結果が失敗した

Auth.FailureCategory🔗

action_resultがFAILEDの場合の理由。

名前 番号 説明
UNKNOWN_FAILURE_CATEGORY 0
INCORRECT_USER_OR_PASSWORD 10
EXPIRED_PASSWORD 20
INVALID_ACCOUNT 30
INCORRECT_MFA 40
OUTSIDE_PERMISSIBLE_HOURS 50
OVERDUE_PASSWORD_CHANGE 60
ACCOUNT_LOCKED_OUT 70
ACCOUNT_DISABLED 80
OTHER_ERROR 90 他のカテゴリに該当しないエラーが報告された場合

Auth.TrustFeatures🔗

名前 番号 説明
UNKNOWN_TRUSTED_FEATURES 0
MFA_USED 10
TRUSTED_IP_ADDRESS 20
OTHER_TRUSTED_ACCOUNT 30 他の方法で信頼されているアカウント(例: Entra ID登録済みまたは参加済みデバイス)

Auth.EncryptionType🔗

名前 番号 説明
ENCRYPTION_UNKNOWN 0
DES_CBC_CRC 1
DES_CBC_MD4 2
DES_CBC_MD5 3
DES3_CBC_MD5 4
DES3_CBC_SHA1 5
DSA_WITH_SHA1_CMSOID 6
MD5_WITH_RSA_ENCRYPTION_CMSOID 7
SHA1_WITH_RSA_ENCRYPTION_CMSOID 8
RC2CBC_ENVOID 9
RSA_ENCRYPTION_ENVOID 10
RSA_ES_OAEP_ENV_OID 11
DES_EDE3_CBC_ENV_OID 12
DES3_CBC_SHA1_KD 13
AES128_CTS_HMAC_SHA1_96 14
AES256_CTS_HMAC_SHA1_96 15
RC4_HMAC 16
RC4_HMAC_EXP 17
SUBKEY_KEYMATERIAL 18

Auth.LogonType🔗

WIN32値にマッピングされるログオンタイプの値

名前 番号 説明
SYSTEMONLY 0 未使用だがproto3のため必須
UNKNOWN 1
INTERACTIVE 2
NETWORK 3
BATCH 4
SERVICE 5
PROXY 6
UNLOCK 7
NETWORKCLEARTEXT 8
NEWCREDENTIALS 9
REMOTEINTERACTIVE 10
CACHEDINTERACTIVE 11
CACHEDREMOTEINTERACTIVE 12
CACHEDUNLOCKED 13