ManagementEvent スキーマ🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | 例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | 例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | 例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント時刻(マイクロ秒単位)( µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位)( µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された時刻の元の精度を指定します。 |
| host_id | string | hostId$ | ホストID -- イベントが発生したホストを一意に識別します。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列)。 |
| type | ManagementEvent.ManagementInterface | type$ | このイベントを生成した管理システムのタイプを定義します。 |
| remote_operation | bool | remoteOperation$ | この管理イベントがリモートホストによってトリガーされたかどうかを示します。 |
| operation_id | uint64 | operationId$ | 実行されている特定の操作タイプを識別するIDを提供します。このIDはプロバイダー内の特定のイベントに固有ではありませんが、一意です。 |
| operation_group_id | uint64 | operationGroupId$ | 複数のイベントをグループ化し、関連付けるために使用されます。 |
| operation_name | string | operationName$ | 実行されている操作を識別する名前。 |
| operation | string | operation$ | 実行されている操作。これは要約や、operation_nameやoperation_idが含む以上のインサイトを提供する人間が読める情報である場合があります。 |
| query | string | query$ | 管理イベントによって実行されたクエリ。 |
| query_language | string | queryLanguage$ | クエリが実行されている言語。 |
| command | string | command$ | 操作の一部として実行されているコマンド。 |
| result | string | result$ | 操作の最終結果に関する情報を伝えるコードまたはメッセージ。 |
| namespace | string | namespace$ | 名前空間の定義は使用している管理インターフェースの種類によって異なります。WMIの場合、これはWindowsの名前空間を指します。 |
| filters | repeated string | filters$ | このイベントの発生を許可または適用したフィルター名。 |
| consumers | repeated string | consumers$ | このイベントの既知の下流コンシューマー名。 |
| possible_cause | string | possibleCause$ | 特定の管理イベントの潜在的な原因に関する情報を含みます。すべての管理イベントで入力されるわけではありませんが、command/query/operation等だけでは十分な情報が得られない場合に入力されることがあります。 |
| channel | string | channel$ | イベントが発生したチャネル。プロバイダー固有であり、例えばETWではWMIアクティビティを説明するチャネルがあります。 |
| event_id | uint64 | eventId$ | プロバイダー固有のイベントIDを含みます。これはoperation_idよりも一般的で、フィルタリングに役立つ場合があります。 |
| script | string | script$ | 管理イベントの一部としてスクリプトが実行された場合、その内容が利用可能であればこのフィールドに含まれます。 |
| script_language | string | scriptLanguage$ | 管理イベントの一部としてスクリプトが実行された場合、その言語が利用可能であればこのフィールドに含まれます。 |
| script_file_path | string | scriptFilePath$ | 管理イベントの一部としてスクリプトが実行された場合、そのファイルパスが利用可能であればこのフィールドに含まれます。 |
| username | string | username$ | 操作が実行されたユーザー名。 |
| client_hostname | string | clientHostname$ | 管理イベントをトリガーしたツールを実行したホスト。操作がリモートで実行されている場合、これらの値はターゲットホストと同一になります。 |
| client_hostname_fqdn | string | clientHostnameFqdn$ | |
| target_hostname | string | targetHostname$ | 管理コマンドや変更等が実行されたホスト。操作がリモートで実行されている場合、これらの値はクライアントホストのフィールドと異なります。 |
| target_hostname_fqdn | string | targetHostnameFqdn$ | |
| client_process_correlation_id | ProcessCorrelationID | clientProcessCorrelationId | このイベントに関連付けられたプロセスへの参照を含みます。remote_operationがtrueの場合、このプロセスは別のホスト上のプロセス作成時刻となります。 |
| created_process_correlation_id | ProcessCorrelationID | createdProcessCorrelationId$ | このイベントに関連付けられたプロセスへの参照を含みます。 |
| client_process_create_time_usec | uint64 | clientProcessCreateTimeUsec$ | クライアントプロセスの作成時刻。remote_operationがtrueの場合、これはリモートマシン上のプロセス作成時刻となります。 |
| client_process_id | uint64 | clientProcessId$ | クライアントプロセスのプロセスID。remote_operationがtrueの場合、これはリモートマシン上のプロセス作成時刻となります。 |
| created_process_create_time_usec | uint64 | createdProcessCreateTimeUsec$ | 管理コマンドによって作成されたプロセスの作成時刻。 |
| created_process_id | uint64 | creaetedProcessId$ | 管理コマンドによって作成されたプロセスのプロセスID。 |
ManagementEvent.ManagementInterface🔗
さまざまな管理プロバイダーを識別するenumを表します。
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | |
| WMI | 1 | "Windows Management Instrumentation" |
| SUDO | 2 | "SUDO" |