コンテンツにスキップ

Encryptスキーマ🔗

注意

スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。

正規化されたフィールド パーサーのフィールド 説明
resource_id string resourceId$ レコードを識別する完全なリソース文字列
tenant_id string tenantId$ このCTPX IDに固有のテナントID
sensor_type string sensorType$ このイベントを生成したデバイスのタイプ。例: redcloak
sensor_event_id string sensorEventId$ センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant string sensorTenant$ データの発信元アプリケーションによって提供される顧客ID。例: redloak-domain, ctp-client-id
sensor_id string sensorId$ データの発信元アプリケーションによって提供されるID。例: redcloak-agent-id
sensor_cpe string sensorCpe$ アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:*
original_data string originalData$ 変換前の元の未加工データ
event_time_usec uint64 eventTimeUsec$ イベント時刻(マイクロ秒単位)(<C2><B5>s)
ingest_time_usec uint64 ingestTimeUsec$ 取り込み時刻(マイクロ秒単位)(<C2><B5>s)
event_time_fidelity TimeFidelity eventTimeFidelity$ event_time_usecに設定された時刻の元の精度を指定
host_id string hostId$ ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス
protocol Encrypt.Protocol protocol 暗号化プロトコル
tls_version Encrypt.TlsVersion tlsVersion$ TLSバージョン
certificate_version int32 certificateVersion$ 証明書バージョン(例: 3)
serial_number string serialNumber$ 証明書のシリアル番号
certificate_subject string certificateSubject$ 証明書のサブジェクト
subject_order string subjectOrder$ 証明書サブジェクトの順序(C:ST:L:O:OU:CN:E)
certificate_issuer string certificateIssuer$ 証明書の発行者
issuer_order string issueOrder$ 証明書発行者の順序(C:ST:L:O:OU:CN:E)
subject_common_name string subjectCommonName$ 証明書サブジェクトのCommonName(CN)
subject_organizational_unit string subjectOrganizationalUnit$ 証明書サブジェクトのOrganizationalUnit(OU)
subject_organization string subjectOrganization$ 証明書サブジェクトのOrganization(O)
subject_locality string subjectLocality$ 証明書サブジェクトのLocality(L)
subject_state string subjectState$ 証明書サブジェクトのStateOrProvinceName(S)
subject_country string subjectCountry$ 証明書サブジェクトのCountryName(C)
subject_email string subjectEmail$ 証明書サブジェクトのメールアドレス
issuer_common_name string issuerCommonName$ 証明書発行者のCommonName(CN)
issuer_organizational_unit string issuerOrganizationalUnit$ 証明書発行者のOrganizationalUnit(OU)
issuer_organization string issuerOrganization$ 証明書発行者のOrganization(O)
issuer_locality string issuerLocality$ 証明書発行者のLocality(L)
issuer_state string issuerState$ 証明書発行者のStateOrProvinceName(S)
issuer_country string issuerCountry$ 証明書発行者のCountryName(C)
issuer_email string issuerEmail$ 証明書発行者のメールアドレス
valid_from_usec uint64 validFromUsec$ 証明書が有効でない期間の開始タイムスタンプ(マイクロ秒単位)(µs)
valid_through_usec uint64 validThroughUsec$ 証明書が有効でない期間の終了タイムスタンプ(マイクロ秒単位)(µs)
valid_from_string string validFromString$ 証明書が有効でない期間の開始タイムスタンプ(文字列形式:YYYYMMDDHHMMSSZ)
valid_through_string string validThroughString$ 証明書が有効でない期間の終了タイムスタンプ(文字列形式:YYYYMMDDHHMMSSZ)
ja3 string ja3$ JA3ハッシュ
ja3s string ja3s$ JA3Sハッシュ
fingerprint FileHash fingerprint$ 証明書のフィンガープリント
sensor_version string sensorVersion$ エージェントバージョン(文字列)。(既存フィールドのため、ベースと非整合でインデックス化)
source_address string sourceAddress$ 送信元のIPアドレス
destination_address string destinationAddress$ 宛先のIPアドレス
source_port uint32 sourcePort$ 送信元のポート
destination_port uint32 destinationPort$ 宛先のポート
source_ipgeo_summary GeoSummary sourceIpgeoSummary$ 送信元IPの地理的位置
destination_ipgeo_summary GeoSummary destinationIpgeoSummary$ 宛先IPの地理的位置
event_type string eventType$ データソースから提供されたイベントタイプ
event_metadata KeyValuePairsIndexed eventMetadata$ event_metadataは、データソースからコンテキスト追加のために提供可能

Encrypt.Protocol🔗

証明書プロパティ

名前 番号 説明
UNKNOWN_PROTOCOL 0 内部用:未使用だがproto3の要件で必要
TLS 1 TLS
SSL 2 SSL
SSH 3 SSH

Encrypt.TlsVersion🔗

名前 番号 説明
TLS_UNKNOWN 0 内部用:未使用だがproto3の要件で必要
TLS_10 1 TLSv1.0
TLS_11 2 TLSv1.1
TLS_12 3 TLSv1.2
TLS_13 4 TLSv1.3