Emailスキーマ🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供された顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ(未加工データ) |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元ホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| from_email_address | repeated string | fromEmailAddress$ | 送信元Emailアドレス(複数指定されている場合は注目) |
| to_email_address | repeated string | toEmailAddress$ | 宛先Emailアドレス |
| cc_email_address | repeated string | ccEmailAddress$ | CC Emailアドレス |
| bcc_email_address | repeated string | bccEmailAddress$ | BCC Emailアドレス |
| reply_to_email_address | string | replyToEmailAddress$ | 返信先Emailアドレス |
| subject | string | subject$ | 件名 |
| message_size | uint64 | messageSize$ | メッセージサイズ(バイト単位) |
| status | Email.Status | status$ | 配信ステータス |
| direction | Email.Direction | direction$ | Emailの方向 |
| attachments | AttachmentRecord | repeated | Email内の添付ファイルおよびハッシュのリスト |
| vendor_spam_score | int32 | vendorSpamScore$ | ベンダーが提供するスパムスコア。スパムかどうかの信頼度を示す。 |
| quarantine_reason | string | quarantineReason$ | 隔離された理由。例: ウイルス、マルウェア等 |
| threats | ThreatRecord | repeated | 検知されたすべての脅威の記録 |
| sender_ip | string | senderIp$ | Email送信元のIPアドレス |
| vendor_alert_url | string | vendorAlertUrl$ | ベンダーが提供するアラート全体に関するドキュメントURL |
| message_id | string | messageId$ | Emailメッセージのベンダー割り当てID。1つのEmailに対して複数のイベントが生成される場合があるため、一意でない場合がある。 |
| click_time_usec | uint64 | clickTimeUsec$ | ユーザーがURLをクリックした時刻 |
| event_type | string | eventType$ | Emailセキュリティソースが提供するイベントタイプ。例: 'Click Permitted' |
| event_metadata | KeyValuePairsIndexed | eventMetadata$ | データソースがコンテキスト追加のために提供できるevent_metadata |
AttachmentRecord🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| file_name | string | fileName$ | 添付ファイルのファイル名 |
| file_hash | FileHash | fileHash$ | 添付ファイルに関連付けられたファイルハッシュ |
| file_size | uint64 | fileSize$ | 添付ファイルのサイズ |
| declared_content_type | string | declaredContentType$ | Email上でのコンテンツタイプ |
| detected_content_type | string | detectedContentType$ | 解析によって判定されたコンテンツタイプ(宣言タイプと異なる場合に注目) |
| sandbox_status | string | sandboxStatus$ | 添付ファイルのステータス(例: "THREAT") |
ThreatRecord🔗
Email添付ファイルで検知された脅威の記録
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| fileinfo | AttachmentRecord | fileinfo$ | 一般的なファイル情報 |
| classification | string | classification$ | 脅威固有 |
| name | string | name$ | 脅威名 |
| vendor_threat_url | string | vendorThreatUrl$ | イベント内でベンダーが提供する追加情報のURL |
| type | string | type$ | 脅威タイプ |
| additional_threat_data | KeyValuePairsIndexed | additionalThreatData$ | 脅威データの追加メタデータ(キーと値のペア) |
Email.Direction🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | proto3で必須だが未使用 |
| INBOUND | 1 | 受信Email |
| OUTBOUND | 2 | 送信Email |
| INTERNAL | 3 | パブリックインターネットを越えない内部Email |
Email.Status🔗
配信ステータスの種類
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_STATUS | 0 | proto3で必須だが未使用 |
| DELIVERED | 1 | 配信済み/受信済み |
| QUARANTINED | 2 | 隔離/保留 |
| BLOCKED | 3 | 完全にブロック |