FileInfo スキーマ🔗
file.proto🔗
Command🔗
Commandはコマンドとその実行コンテキストを保持します
| フィールド | 型 | ラベル | 説明 |
|---|---|---|---|
| args | string | repeated | コマンド引数のリスト。 |
| host_program | FileInfo | ||
| program | FileInfo | ||
| path_context | PathContext |
FileInfo🔗
| フィールド | 型 | ラベル | 説明 |
|---|---|---|---|
| resource_id | string | レコードを識別する完全なリソース文字列 | |
| tenant_id | string | このCTPX IDに固有のテナントID | |
| visibility | Visibility | レコードの可視性に関する制約 | |
| normalizer | string | このレコードを作成した正規化ツールの名前とバージョン | |
| sensor_type | string | 例: redcloak | |
| sensor_event_id | string | センサーによって割り当てられたoriginal_dataのイベントID | |
| sensor_tenant | string | 例: redloak-domain, ctp-client-id | |
| sensor_id | string | 例: redcloak-agent-id | |
| sensor_cpe | string | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
|
| original_data | string | 変換前の元データ(未加工データ) | |
| event_time_usec | uint64 | イベント発生時刻(マイクロ秒単位、µs) | |
| ingest_time_usec | uint64 | 取り込み時刻(マイクロ秒単位、µs) | |
| event_time_fidelity | TimeFidelity | event_time_usecに使用された元の時刻精度を指定 | |
| host_id | string | ホストID -- イベントが発生したホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス | |
| path | string | ファイルのフルパス名 | |
| type | FileInfo.FileType | ファイルの種類。@see FileType | |
| size | uint64 | ファイルサイズ(バイト単位) | |
| sha1_hash | bytes | 非推奨。 ファイル内容のハッシュ。非推奨、file_hash.sha1を使用してください。 | |
| create_time_usec | uint64 | ファイルが作成された時刻(マイクロ秒単位、µs) | |
| access_time_usec | uint64 | ファイルが最後にアクセス(オープン)された時刻(マイクロ秒単位、µs) | |
| mod_time_usec | uint64 | ファイルが最後に変更された時刻(マイクロ秒単位、µs) | |
| attributes | string | ファイル属性(タイプ、パーミッション等)の文字列表現。基盤となるファイルシステムに基づく | |
| file_hash | FileInfo.Hash | ファイル内容のハッシュ | |
| path_context | PathContext | OSのバイトサイズ(32bit/64bit)に基づき、Windows DLLパスがリダイレクトされたかどうかを示す | |
| user_path | bool | 非推奨。 TODO | |
| basename | string | ディレクトリパスを除いたファイル名のみ | |
| native_path | string | Windowsの場合、DLLアクセスに使用されるネイティブシステムディレクトリ | |
| acl | string | repeated | POSIXのgetfacl/setfacl出力に対応するための繰り返しフィールド(将来的な利用を想定) |
| version_info | VersionInfo | Windowsファイルの場合、実行ファイルのResourceセクションに格納されるバージョン情報 | |
| signature | Signature | 署名付き実行ファイルをサポートするOS向けのデジタル署名情報 | |
| os | OperatingSystem | ファイルが検出されたオペレーティングシステムおよびアーキテクチャ | |
| st_ino | uint64 | ファイルステータス関連属性。興味深いことに、WindowsでもPOSIXサブシステムを介して収集される場合があります。 |
iノード番号 | | st_mode | uint32 | | ファイルタイプおよびモード | | st_nlink | uint32 | | ハードリンク数 | | st_uid | uint32 | | 所有者のユーザーID | | st_gid | uint32 | | 所有者のグループID | | pivot | string | | データのグルーピングにおける主要なハンティングピボットポイント |
FileInfo.Hash🔗
データのハッシュに使用されるMACを指定
| フィールド | 型 | ラベル | 説明 |
|---|---|---|---|
| md5 | string | ||
| sha1 | string | ||
| sha256 | string | ||
| sha512 | string |
Signature🔗
Windows実行ファイルのデジタル署名情報
| フィールド | 型 | ラベル | 説明 |
|---|---|---|---|
| valid | bool | ||
| hash | string | ||
| program_name | string | ||
| publisher_link | string | ||
| more_info_link | string | ||
| serial_number | string | ||
| issuer_name | string | ||
| subject_name | string |
VersionInfo🔗
Windowsファイルの場合、バージョン情報はResourceセクションに格納され、任意で入力されます
| フィールド | 型 | ラベル | 説明 |
|---|---|---|---|
| file_description | string | ||
| company_name | string | ||
| product_name | string | ||
| product_version | string | ||
| file_version | string | ||
| comments | string | ||
| legal_copyright | string | ||
| internal_name | string | ||
| original_file_name | string | ||
| language | uint32 | ||
| codepage | uint32 |
FileInfo.FileType🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | 未使用だがproto3の要件 |
| REG | 1 | 通常ファイル |
| DIR | 2 | ディレクトリ |
| LINK | 3 | シンボリックリンク |
| WIN_FILE_TYPE_DISK | 101 | InspectorはWinBase.hの値を使用し、上記と衝突するため変換します。指定されたWindowsファイルはディスクファイルです |
| WIN_FILE_TYPE_CHAR | 102 | 指定されたWindowsファイルはキャラクタファイル(通常はLPTデバイスやコンソール)です |
| WIN_FILE_TYPE_PIPE | 103 | 指定されたWindowsファイルはソケット、名前付きパイプ、または匿名パイプです |
PathContext🔗
Windowsパスコンテキストは、WOW64経由でリダイレクトされているかどうかを示します: [https://docs.microsoft.com/en-us/windows/desktop/winprog64/file-system-redirector]{: target="_blank"}
| 名前 | 番号 | 説明 |
|---|---|---|
| PATH_UNUSED | 0 | |
| PATH_32 | 32 | |
| PATH_64 | 64 |