コンテンツにスキップ

Encryptスキーマ🔗

注意

スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。

正規化されたフィールド パーサーのフィールド 説明
resource_id string resourceId$ レコードを識別する完全なリソース文字列
tenant_id string tenantId$ このCTPX IDに固有のテナントID
sensor_type string sensorType$ このイベントを生成したデバイスのタイプ。例: redcloak
sensor_event_id string sensorEventId$ センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant string sensorTenant$ データの発信元アプリケーションによって提供された顧客ID。例: redloak-domain, ctp-client-id
sensor_id string sensorId$ データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id
sensor_cpe string sensorCpe$ アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:*
original_data string originalData$ 変換前の元のデータ(未加工データ)
event_time_usec uint64 eventTimeUsec$ イベント発生時刻(マイクロ秒単位)(<C2><B5>s)
ingest_time_usec uint64 ingestTimeUsec$ 取り込み時刻(マイクロ秒単位)(<C2><B5>s)
event_time_fidelity TimeFidelity eventTimeFidelity$ event_time_usecに使用された元の時刻精度を指定
host_id string hostId$ ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMACアドレス
protocol Encrypt.Protocol protocol 暗号化プロトコル
tls_version Encrypt.TlsVersion tlsVersion$ TLSバージョン
certificate_version int32 certificateVersion$ 証明書バージョン(例: 3)
serial_number string serialNumber$ 証明書のシリアル番号
certificate_subject string certificateSubject$ 証明書のサブジェクト
subject_order string subjectOrder$ 証明書サブジェクトの順序 (C:ST:L:O:OU:CN:E)
certificate_issuer string certificateIssuer$ 証明書の発行者
issuer_order string issueOrder$ 証明書発行者の順序 (C:ST:L:O:OU:CN:E)
subject_common_name string subjectCommonName$ 証明書サブジェクトのCommonName (CN)
subject_organizational_unit string subjectOrganizationalUnit$ 証明書サブジェクトのOrganizationalUnit (OU)
subject_organization string subjectOrganization$ 証明書サブジェクトのOrganization (O)
subject_locality string subjectLocality$ 証明書サブジェクトのLocality (L)
subject_state string subjectState$ 証明書サブジェクトのStateOrProvinceName (S)
subject_country string subjectCountry$ 証明書サブジェクトのCountryName (C)
subject_email string subjectEmail$ 証明書サブジェクトのメールアドレス
issuer_common_name string issuerCommonName$ 証明書発行者のCommonName (CN)
issuer_organizational_unit string issuerOrganizationalUnit$ 証明書発行者のOrganizationalUnit (OU)
issuer_organization string issuerOrganization$ 証明書発行者のOrganization (O)
issuer_locality string issuerLocality$ 証明書発行者のLocality (L)
issuer_state string issuerState$ 証明書発行者のStateOrProvinceName (S)
issuer_country string issuerCountry$ 証明書発行者のCountryName (C)
issuer_email string issuerEmail$ 証明書発行者のメールアドレス
valid_from_usec uint64 validFromUsec$ 証明書が有効でない期間の開始時刻(マイクロ秒単位)(µs)
valid_through_usec uint64 validThroughUsec$ 証明書が有効でない期間の終了時刻(マイクロ秒単位)(µs)
valid_from_string string validFromString$ 証明書が有効でない期間の開始時刻(文字列形式、YYYYMMDDHHMMSSZ)
valid_through_string string validThroughString$ 証明書が有効でない期間の終了時刻(文字列形式、YYYYMMDDHHMMSSZ)
ja3 string ja3$ JA3ハッシュ
ja3s string ja3s$ JA3Sハッシュ
fingerprint FileHash fingerprint$ 証明書のフィンガープリント
sensor_version string sensorVersion$ エージェントバージョン(文字列)。(既存フィールドのため、ベースと非整合でインデックス化)
source_address string sourceAddress$ 送信元のIPアドレス
destination_address string destinationAddress$ 宛先のIPアドレス
source_port uint32 sourcePort$ 送信元のポート
destination_port uint32 destinationPort$ 宛先のポート
source_ipgeo_summary GeoSummary sourceIpgeoSummary$ 送信元IPの地理的位置
destination_ipgeo_summary GeoSummary destinationIpgeoSummary$ 宛先IPの地理的位置
event_type string eventType$ データソースによって提供されたイベントタイプ
event_metadata KeyValuePairsIndexed eventMetadata$ データソースがコンテキスト追加のために提供できるevent_metadata

Encrypt.Protocol🔗

証明書プロパティ

Name Number 説明
UNKNOWN_PROTOCOL 0 内部用:未使用だがproto3で必須
TLS 1 TLS
SSL 2 SSL
SSH 3 SSH

Encrypt.TlsVersion🔗

Name Number 説明
TLS_UNKNOWN 0 内部用:未使用だがproto3で必須
TLS_10 1 TLSv1.0
TLS_11 2 TLSv1.1
TLS_12 3 TLSv1.2
TLS_13 4 TLSv1.3