MemoryAllocation スキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
memory_allocation.proto🔗
MemoryAllocation🔗
| フィールド | 型 | ラベル | 説明 |
|---|---|---|---|
| resource_id | string | レコードを識別する完全なリソース文字列 | |
| tenant_id | string | このレコードを所有するテナントのID(CTPX IDに特有) | |
| visibility | Visibility | レコードの可視性に関する制約 | |
| normalizer | string | このレコードを作成した正規化ツールの名前とバージョン | |
| sensor_type | string | 例: redcloak | |
| sensor_event_id | string | センサーによって割り当てられたoriginal_dataのイベントID | |
| sensor_tenant | string | 例: redloak-domain, ctp-client-id | |
| sensor_id | string | 例: redcloak-agent-id | |
| sensor_cpe | string | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
|
| original_data | string | 変換前の元のデータ(未加工データ) | |
| event_time_usec | uint64 | イベント発生時刻(マイクロ秒単位、µs) | |
| ingest_time_usec | uint64 | 取り込み時刻(マイクロ秒単位、µs) | |
| event_time_fidelity | TimeFidelity | event_time_usecに使用された元の時刻精度を指定 | |
| host_id | string | ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス | |
| protection | string | メモリ保護(文字列で表現) 注: Inspectorはこれをuintで取得するため、変換します。 |
|
| base_address | uint64 | 割り当てられたメモリのアドレス | |
| size | uint64 | 割り当てサイズ | |
| executable | bool | 割り当てが実行可能かどうか | |
| file | FileInfo | 割り当てを裏付けるファイルオブジェクト(存在する場合) | |
| captures | MemoryAllocation.AllocationCaptures | repeated | この割り当てに関連付けられた割り当てキャプチャリクエスト(存在する場合) |
| os | OperatingSystem | メモリ情報が取得されたオペレーティングシステムおよびアーキテクチャ | |
| pivot | string | データのグルーピングにおける主要なハンティングピボットポイント |
MemoryAllocation.AllocationCaptures🔗
| フィールド | 型 | ラベル | 説明 |
|---|---|---|---|
| content | string | この割り当て内でキャプチャされたメモリの圧縮・base64エンコード済み内容 | |
| requested_size | int32 | キャプチャを希望したメモリサイズ(実際にキャプチャされたサイズと異なる場合あり) | |
| captured_size | int32 | 実際にキャプチャされたサイズ | |
| sha1 | string | キャプチャされた元のメモリのsha1(解凍・デコード後に一致するはず) |