FileModスキーマ🔗
注意
スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | 例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | 例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | 例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs)。 |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定します |
| host_id | string | hostId$ | ホストID -- イベントが発生したホストを一意に識別します。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| was_modification_allowed | bool | wasModificationAllowed$ | sensor_action |
| process_id | string | processId$ | ファイルを変更した実行中プロセスに対してOSが付与した識別子 |
| process_create_time_usec | uint64 | processCreateTimeUsec$ | ファイルを変更したプロセスの作成時刻(µs) |
| process_correlation_id | string | processCorrelationId$ | ローリングID対策のためのプロセス相関ID。redcloak -- host_id:id.pid:id.time_window |
| file_name | string | fileName$ | 変更されたファイル名 |
| file_hash | FileHash | fileHash$ | 変更されたファイルのハッシュ値 |
| action | string | action$ | ファイルに対して実行されたアクション。作成、削除、更新など |
| commandline | string | commandline$ | ファイル変更を行ったプロセスの完全なコマンドライン |
| parent_commandline | string | parentCommandline$ | ファイル変更を行ったプロセスの親プロセスの完全なコマンドライン |
| parent_path | string | parentPath$ | ファイル変更を行ったプロセスの親プロセスのバイナリパス |
| parent_process_file_hash | FileHash | parentProcessFileHash$ | ファイル変更を行ったプロセスの親プロセスのバイナリファイルのハッシュ値 |
| parent_process_id | string | parentProcessId$ | ファイル変更を行ったプロセスの親プロセスのプロセスID |
| process_username | string | processUsername$ | ファイル変更を行ったプロセスを実行したユーザーのユーザー名 |
| process_file_hash | FileHash | processFileHash$ | ファイル変更を行ったプロセスのバイナリファイルのハッシュ値 |
| process_image_path | string | processImagePath$ | cb filemodのprocess_pathはprocess_image_pathと見なされます |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列)。 |