ManagementEvent スキーマ🔗
注意
スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | 例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられた original_data のイベントID |
| sensor_tenant | string | sensorTenant$ | 例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | 例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント時刻(マイクロ秒単位)( µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位)( µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usec を設定する際に使用された元の時刻精度を指定します |
| host_id | string | hostId$ | ホストID -- イベントが発生したホストを一意に識別します。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列)。 |
| type | ManagementEvent.ManagementInterface | type$ | このイベントを生成した管理システムのタイプを定義します。 |
| remote_operation | bool | remoteOperation$ | この管理イベントがリモートホストによってトリガーされたかどうかを示します。 |
| operation_id | uint64 | operationId$ | 実行されている特定の操作タイプを識別するためのIDを提供します。このIDはプロバイダー内の特定のイベントに固有ではありませんが、一意です。 |
| operation_group_id | uint64 | operationGroupId$ | 複数のイベントをグループ化し、関連付けるために使用されます。 |
| operation_name | string | operationName$ | 実行されている操作を識別する名前。 |
| operation | string | operation$ | 実行されている操作。これは要約や、operation_name や operation_id よりも多くの情報を提供する人間が読める情報である場合があります。 |
| query | string | query$ | 管理イベントによって実行されたクエリ。 |
| query_language | string | queryLanguage$ | クエリが実行されている言語。 |
| command | string | command$ | 操作の一部として実行されているコマンド。 |
| result | string | result$ | 操作の最終結果に関する情報を伝えるコードまたはメッセージ。 |
| namespace | string | namespace$ | 名前空間の定義は使用中の管理インターフェースの種類によって異なります。WMIの場合、これはWindowsの名前空間を指します。 |
| filters | repeated string | filters$ | このイベントの発生を許可した、または適用されたフィルターの名前。 |
| consumers | repeated string | consumers$ | このイベントの既知の下流コンシューマーの名前。 |
| possible_cause | string | possibleCause$ | 特定の管理イベントの潜在的な原因に関する情報を含みます。すべての管理イベントで入力されるわけではありませんが、コマンド/クエリ/操作などだけでは十分な情報が得られない場合に入力されることがあります。 |
| channel | string | channel$ | イベントが発生したチャネル。これはプロバイダー固有であり、例えばETWではWMIアクティビティを説明するチャネルがあります。 |
| event_id | uint64 | eventId$ | プロバイダー固有のイベントIDを含みます。これは operation_id よりも一般的であり、フィルタリング目的で有用な場合があります。 |
| script | string | script$ | 管理イベントの一部としてスクリプトが実行された場合、利用可能であればスクリプトの内容が格納されます。 |
| script_language | string | scriptLanguage$ | 管理イベントの一部としてスクリプトが実行された場合、利用可能であればスクリプトの言語が格納されます。 |
| script_file_path | string | scriptFilePath$ | 管理イベントの一部としてスクリプトが実行された場合、利用可能であればスクリプトのファイルパスが格納されます。 |
| username | string | username$ | 操作が実行されたユーザー名。 |
| client_hostname | string | clientHostname$ | 管理イベントをトリガーしたツールを実行したホスト。操作がリモートで実行されている場合、これらの値はターゲットホストと同一になります。 |
| client_hostname_fqdn | string | clientHostnameFqdn$ | |
| target_hostname | string | targetHostname$ | 管理コマンドや変更などが実行されたホスト。操作がリモートで実行されている場合、これらの値はクライアントホストのフィールドと異なります。 |
| target_hostname_fqdn | string | targetHostnameFqdn$ | |
| client_process_correlation_id | ProcessCorrelationID | clientProcessCorrelationId | このイベントに関連付けられたプロセスへの参照を含みます。remote_operation が true の場合、このプロセスは別のホスト上のプロセス作成時刻となります。 |
| created_process_correlation_id | ProcessCorrelationID | createdProcessCorrelationId$ | このイベントに関連付けられたプロセスへの参照を含みます。 |
| client_process_create_time_usec | uint64 | clientProcessCreateTimeUsec$ | クライアントプロセスの作成時刻。remote_operation が true の場合、これはリモートマシン上のプロセス作成時刻となります。 |
| client_process_id | uint64 | clientProcessId$ | クライアントプロセスのプロセスID。remote_operation が true の場合、これはリモートマシン上のプロセス作成時刻となります。 |
| created_process_create_time_usec | uint64 | createdProcessCreateTimeUsec$ | 管理コマンドによって作成されたプロセスの作成時刻。 |
| created_process_id | uint64 | creaetedProcessId$ | 管理コマンドによって作成されたプロセスのプロセスID。 |
ManagementEvent.ManagementInterface🔗
さまざまな管理プロバイダーを識別する列挙型を表します。
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | |
| WMI | 1 | "Windows Management Instrumentation" |
| SUDO | 2 | "SUDO" |