DNSスキーマ🔗
注意
スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供される顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されるID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ(未加工データ) |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecの元の精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| source_address | string | sourceAddress$ | DNSクエリの発信元。すべてのエージェントで設定されるわけではありません。internal: Redcloakエージェントイベントには存在しません |
| destination_address | string | destinationAddress$ | DNSサーバーのアドレス。すべてのエージェントで設定されるわけではありません。internal: Redcloakエージェントイベントには存在しません |
| query_name | string | queryName$ | 問い合わせたホストのドメイン名または文字列 |
| query_type | int32 | queryType$ | RFC1035等で定義されたQUERYの数値DNSレコードタイプ |
| query_class | int32 | queryClass$ | DNSレコードクラス |
| responses | DNSQuery.Responses | responses$ | QUERYに対するREPLYのリスト |
| index_of_top_private_domain | sint32 | indexOfTopPrivateDomain$ | query_name内でトッププライベートドメインが始まる文字インデックス。例: www.microsoft.comなら4、www.store.example.co.ukなら10。負の値はトッププライベートドメインが特定できなかったことを示す。 |
| is_top_private_domain_parsed | bool | isTopPrivateDomainParsed$ | パーサーがトッププライベートドメインの特定を実行した場合はTrue。Falseの場合、index_of_top_private_domainは無視すること。 |
| response_code | int32 | responseCode$ | original_dataに存在する場合のRCODE(rfc6895等で定義) |
| src_ipblacklists | string | repeated | ソースが一致したブラックリスト名 |
| dest_ipblacklists | string | repeated | 宛先が一致したブラックリスト名 |
| src_ipgeo_summary | GeoSummary | ソースIPの地理的位置情報 | |
| dest_ipgeo_summary | GeoSummary | 宛先IPの地理的位置情報 | |
| whois_record | whois.WhoisSimple | ソースのIP登録情報などインターネットリソース情報 | |
| processCorrelationID | ProcessCorrelationID | このDNSルックアップを作成したプロセスのProcessID |
DNSQuery.ResponseRecord🔗
QUERYに対するREPLYのタイプ
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| response_type | int32 | responseType$ | |
| response_data | string | responseData$ |
DNSQuery.Responses🔗
QUERYに対するREPLYのリスト
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| records | repeated DNSQuery.ResponseRecord | records$ |