FileModスキーマ

正規化されたフィールド	型	パーサーのフィールド	説明
resource_id	string	resourceId$	レコードを識別する完全なリソース文字列
tenant_id	string	tenantId$	このCTPX IDに固有のテナントID
sensor_type	string	sensorType$	例: redcloak
sensor_event_id	string	sensorEventId$	センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant	string	sensorTenant$	例: redloak-domain, ctp-client-id
sensor_id	string	sensorId$	例: redcloak-agent-id
sensor_cpe	string	sensorCpe$	アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:*
original_data	string	originalData$	変換前の元のデータ（未加工データ）
event_time_usec	uint64	eventTimeUsec$	イベント発生時刻（マイクロ秒単位、µs）
ingest_time_usec	uint64	ingestTimeUsec$	取り込み時刻（マイクロ秒単位、µs）
event_time_fidelity	TimeFidelity	eventTimeFidelity$	event_time_usecに使用された元の時刻精度を指定
host_id	string	hostId$	ホストID -- イベントが発生したホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス
was_modification_allowed	bool	wasModificationAllowed$	sensor_action
process_id	string	processId$	ファイルを変更した実行中プロセスに対してOSが付与した識別子
process_create_time_usec	uint64	processCreateTimeUsec$	ファイルを変更したプロセスの作成時刻（µs）
process_correlation_id	string	processCorrelationId$	ローリングID対策のためのプロセス相関ID。redcloak -- host_id:id.pid:id.time_window
file_name	string	fileName$	変更されたファイル名
file_hash	FileHash	fileHash$	変更されたファイルのハッシュ値
action	string	action$	ファイルに対して実行されたアクション。作成、削除、更新など
commandline	string	commandline$	ファイル変更を行ったプロセスの完全なコマンドライン
parent_commandline	string	parentCommandline$	ファイル変更を行ったプロセスの親プロセスの完全なコマンドライン
parent_path	string	parentPath$	ファイル変更を行ったプロセスの親プロセスのバイナリパス
parent_process_file_hash	FileHash	parentProcessFileHash$	ファイル変更を行ったプロセスの親プロセスのバイナリファイルのハッシュ値
parent_process_id	string	parentProcessId$	ファイル変更を行ったプロセスの親プロセスのプロセスID
process_username	string	processUsername$	ファイル変更を行ったプロセスを実行したユーザーのユーザー名
process_file_hash	FileHash	processFileHash$	ファイル変更を行ったプロセスのバイナリファイルのハッシュ値
process_image_path	string	processImagePath$	cb filemodのprocess_pathはprocess_image_pathと見なすべき
sensor_version	string	sensorVersion$	エージェントのバージョン（文字列）