CloudAuditスキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列。 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供された顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | IngestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定します |
| host_id | string | hostId$ | イベント発生元ホストを一意に識別するホストID。例: IPv(4/6)アドレス、デバイスMACアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列)。 |
| user_name | string | userName$ | 監査対象アクティビティを実施したCloudユーザー名 |
| user_type | string | userType$ | 監査対象ユーザーのタイプ(Cloudプロバイダーによる分類) |
| access_key | string | accessKey$ | 監査対象アクティビティ中にユーザーが使用したアクセスキー |
| mfa_used | bool | mfaUsed$ | ユーザー認証時にMFAが使用されたかどうか |
| user_id | string | userId$ | ユーザーの一意なID |
| target_user_name | string | targetUserName$ | アクションの影響を受けたアカウント |
| source_user_name | string | sourceUserName$ | ソースに関連付けられたユーザー |
| event_type | string | eventType$ | Cloudプロバイダーによって割り当てられた監査イベントタイプ(例: 'AwsApiCall') |
| event_name | string | eventName$ | Cloudプロバイダーによって割り当てられた監査イベント名(例: 'PutObject') |
| event_source | string | eventSource$ | Cloudプロバイダーによって割り当てられた監査イベントソース(例: 's3.amazonaws.com') |
| recipient_account_id | string | recipientAccountId$ | Cloudプロバイダーによって割り当てられた監査イベントの受信アカウントID |
| read_only | bool | readOnly$ | 監査イベントが読み取り専用かどうか |
| management_event | bool | managementEvent$ | 監査イベントが管理イベントかどうか |
| bucket_name | string | bucketName$ | オブジェクトを含むバケット名(例: 'us-bucket01') |
| target_hostname | string | targetHostname$ | ターゲットホスト名(例: 'us-bucket01.s3.amazonaws.com') |
| object_key | string | objectKey$ | オブジェクトのキー(例: 'sample_image.jpg'、'mydatabase/mytable/data-content.snappy.parquet') |
| object_prefix | string | objectPrefix$ | オブジェクトに指定されたプレフィックス |
| resources | CloudAudit.CloudResource | repeated | 監査イベントでアクセスされたリソースの完全なリスト。各リソースはresource_account_id、resource_id、resource_typeで記述されます。 |
| source_address | string | sourceAddress$ | 監査イベントを引き起こしたリクエストをユーザーが開始したインターネットIPアドレス |
| user_agent | string | userAgent$ | リクエストで使用されたUser-Agent |
| source_ipgeo_summary | GeoSummary | sourceIpgeoSummary$ | ソースIPの地理的位置 |
| os | OperatingSystem | \(os.\)os | ユーザー端末のオペレーティングシステムおよびアーキテクチャ |
| logon_application_family | string | logonApplicationFamily$ | ユーザーがログオンに使用したアプリケーション(バージョン情報なし、例: chrome, firefox) |
| region | string | region$ | データセンターのリージョン(例: 'sa-east-1') |
| status | string | status$ | 監査イベントの結果ステータス |
| error_code | string | errorCode$ | 監査イベントの結果エラーコード(該当する場合) |
| error_message | string | errorMessage$ | 監査イベントの結果エラーメッセージ(該当する場合) |
| request_parameters | KeyValuePairsIndexed | requestParameters$ | リクエスト内のパラメータ(キーと値のペアのリスト) |
| responses | KeyValuePairsIndexed | responses$ | クラウドサービスからの応答 |
| additional_event_data | KeyValuePairsIndexed | additionalEventData$ | 監査イベントの追加メタデータ(キーと値のペア) |
CloudAudit.CloudResource🔗
CloudResourceは、クラウド内の監査対象リソースを識別し、記述します。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | Cloudプロバイダーによって割り当てられたリソースの一意な識別子 |
| resource_account_id | string | resourceAccountId$ | クラウド内でリソースが属するアカウントID |
| resource_type | string | resourceType$ | Cloudプロバイダーによって割り当てられたリソースタイプ |