Netflowスキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供される顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されるID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定します |
| host_id | string | hostId$ | ホストID -- イベント発生元のホストを一意に識別します。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| source_mac | string | sourceMac$ | テキスト標準形式の送信元MACアドレス |
| destination_mac | string | destinationMac$ | テキスト標準形式の宛先MACアドレス |
| source_address | string | sourceAddress$ | 送信元のIPアドレス |
| destination_address | string | destinationAddress$ | 宛先のIPアドレス |
| source_port | uint32 | sourcePort$ | 送信元ポート |
| destination_port | uint32 | destinationPort$ | 宛先ポート |
| protocol | uint32 | protocol$ | 転送プロトコル |
| tx_packet_count | uint64 | txPacketCount$ | 転送されたパケット数 |
| tx_byte_count | uint64 | txByteCount$ | 転送されたバイト数 |
| rx_packet_count | uint64 | rxPacketCount$ | 受信したパケット数 |
| rx_byte_count | uint64 | rxByteCount$ | 受信したバイト数 |
| direction | Netflow.Direction | direction$ | センサーの視点から見た送信元と宛先間のネットワークトラフィックの方向。例: INBOUND, OUTBOUND |
| start_timestamp_usec | uint64 | startTimestampUsec$ | フロー開始時刻(マイクロ秒単位) |
| end_timestamp_usec | uint64 | endTimestampUsec$ | フロー終了時刻(マイクロ秒単位) |
| src_ipblacklists | repeated string | srcIpblacklists$ | 送信元が一致したブラックリスト名 |
| dest_ipblacklists | repeated string | destIpblacklists$ | 宛先が一致したブラックリスト名 |
| src_ipgeo_summary | GeoSummary | srcIpgeoSummary$ | 送信元IPの地理的位置。カスタムパーサーからは書き込み不可 — TaegisのIPエンリッチメントによりsource_addressから自動的に入力されます。下記の注記を参照してください。 |
| dest_ipgeo_summary | GeoSummary | destIpgeoSummary$ | 宛先IPの地理的位置。カスタムパーサーからは書き込み不可 — TaegisのIPエンリッチメントによりdestination_addressから自動的に入力されます。下記の注記を参照してください。 |
| source_nat_address | string | sourceNatAddress$ | ネットワークアドレス変換が行われた場合の送信元IP |
| destination_nat_address | string | destinationNatAddress$ | ネットワークアドレス変換が行われた場合の宛先IP |
| source_nat_port | uint32 | sourceNatPort$ | ネットワークアドレス変換が行われた場合の送信元ポート |
| destination_nat_port | uint32 | destinationNatPort$ | ネットワークアドレス変換が行われた場合の宛先ポート |
| application_name | string | applicationName$ | PaloAltoのAPP-IDなどのDeep Packet Inspectionエンジンで検出されたアプリケーション |
| flow_action | Netflow.fw_action | flowAction$ | ファイアウォールがフローに対して実施した内容を定義するenum。自由形式のテキストが必要な場合はconnection_end_reason = 206を参照。0 - FW_UNKNOWN - 未使用。1 - FW_BLOCKED - フローがドロップされた(ファイアウォールがTCPハンドシェイクまたはUDPパケットをブロック)。2 - FW_ALLOWED - ファイアウォールによって拒否されなかった。3 - FW_RESET_CLIENT_TO_SERVER - ファイアウォールがサーバーにRSTパケットを送信(TCPプローブ)。4 - FW_RESET_SERVER_TO_CLIENT - ファイアウォールがクライアントにRSTパケットを送信(TCPプローブ)。5 - FW_RESET_BOTH - ファイアウォールがクライアントとサーバーの両方にRSTパケットを送信(TCPプローブ)。6 - FW_ICMP_CLIENT - クライアントにICMP宛先ホスト到達不能を送信(UDPプローブ)。 |
| connection_end_reason | string | connectionEndReason$ | flow_actionだけでは不十分な場合のセッション終了理由の詳細。例: tcp-rst-from-client (Paloalto), TCP Reset - I (ASA) |
| community_id_hash | string | communityIdHash$ | netflowレコードをIDSアラートなど他のレコードと関連付けるための値: https://github.com/corelight/community-id-spec{: target="_blank"} |
| event_metadata | KeyValuePairsIndexed | eventMetadata$ | event_metadataは、ファイアウォールルール名や送信元インターフェースなど、データソースがコンテキスト追加のために提供できます。 |
| processCorrelationID | ProcessCorrelationID | processCorrelationId$ | このnetflowセッションを作成したプロセスのProcessCorrelationID |
| process_image_path | string | processImagePath$ | このnetflowを開始したプロセスのイメージパス |
地理的IPフィールド(src_ipgeo_summary, dest_ipgeo_summary)はカスタムパーサーから書き込みできません
src_ipgeo_summaryおよびdest_ipgeo_summaryフィールドは、カスタムパーサーによる正規化の後に実行される自動Taegis IPエンリッチメントステップによって入力されます。カスタムパーサーがこれらのフィールドに書き込んだ値は、クエリ可能なストレージに到達する前に上書きされます。
地理情報を入力するには、パーサーが送信元および宛先IPアドレスをsource_address$およびdestination_address$に書き込むようにしてください。エンリッチメントはこれらのフィールドを利用して地理情報を検索し、自動的にsrc_ipgeo_summary / dest_ipgeo_summaryを入力します。
エンリッチメントはパブリックにルーティング可能なIPアドレスのみに適用されます。プライベートアドレスやループバックアドレスは対象外です。
Netflow.Direction🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | 内部用:未使用だがproto3の要件で必要 |
| INBOUND | 1 | フローが送信元に対してインバウンドです。 |
| OUTBOUND | 2 | フローが送信元に対してアウトバウンドです。 |
| CLIENT_TO_SERVER | 3 | ファイアウォールによって報告される場合、コントロールは接続のイニシエーター(クライアント)と受信者(サーバー)のみを認識します。 |
| SERVER_TO_CLIENT | 4 | ファイアウォールによって報告される場合、コントロールは接続のイニシエーター(クライアント)と受信者(サーバー)のみを認識します。 |
Netflow.fw_action🔗
ファイアウォールアプライアンスがトラフィックを許可または拒否したか、拒否した場合はどのようにしたか。
| 名前 | 番号 | 説明 |
|---|---|---|
| FW_UNKNOWN | 0 | 内部用:未使用だがproto3の要件で必要 |
| FW_BLOCKED | 1 | フローがドロップされた(ファイアウォールがTCPハンドシェイクまたはUDPパケットをブロック) |
| FW_ALLOWED | 2 | フローはファイアウォールによって拒否されなかった。 |
| FW_RESET_CLIENT_TO_SERVER | 3 | ファイアウォールがサーバーにRSTパケットを送信(TCPプローブ) |
| FW_RESET_SERVER_TO_CLIENT | 4 | ファイアウォールがクライアントにRSTパケットを送信(TCPプローブ) |
| FW_RESET_BOTH | 5 | ファイアウォールがクライアントとサーバーの両方にRSTパケットを送信(TCPプローブ) |
| FW_ICMP_CLIENT | 6 | クライアントにICMP宛先ホスト到達不能を送信(UDPプローブ) |