Netflowスキーマ
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| resource_id |
string |
resourceId$ |
レコードを識別する完全なリソース文字列 |
| tenant_id |
string |
tenantId$ |
このCTPX IDに固有のテナントID |
| sensor_type |
string |
sensorType$ |
このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id |
string |
sensorEventId$ |
センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant |
string |
sensorTenant$ |
データの発信元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id |
| sensor_id |
string |
sensorId$ |
データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe |
string |
sensorCpe$ |
アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data |
string |
originalData$ |
変換前の元のデータ(未加工データ) |
| event_time_usec |
uint64 |
eventTimeUsec$ |
イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec |
uint64 |
ingestTimeUsec$ |
取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity |
TimeFidelity |
eventTimeFidelity$ |
event_time_usecに使用された元の時刻精度を指定 |
| host_id |
string |
hostId$ |
ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version |
string |
sensorVersion$ |
エージェントのバージョン(文字列) |
| source_mac |
string |
sourceMac$ |
ソースMACアドレス(テキスト標準形式) |
| destination_mac |
string |
destinationMac$ |
デスティネーションMACアドレス(テキスト標準形式) |
| source_address |
string |
sourceAddress$ |
ソースのIPアドレス |
| destination_address |
string |
destinationAddress$ |
デスティネーションのIPアドレス |
| source_port |
uint32 |
sourcePort$ |
ソースのポート番号 |
| destination_port |
uint32 |
destinationPort$ |
デスティネーションのポート番号 |
| protocol |
uint32 |
protocol$ |
転送プロトコル |
| tx_packet_count |
uint64 |
txPacketCount$ |
転送されたパケット数 |
| tx_byte_count |
uint64 |
txByteCount$ |
転送されたバイト数 |
| rx_packet_count |
uint64 |
rxPacketCount$ |
受信したパケット数 |
| rx_byte_count |
uint64 |
rxByteCount$ |
受信したバイト数 |
| direction |
Netflow.Direction |
direction$ |
センサーの視点から見たソースとデスティネーション間のネットワークトラフィックの方向。例: INBOUND, OUTBOUND |
| start_timestamp_usec |
uint64 |
startTimestampUsec$ |
フロー開始時刻(マイクロ秒単位) |
| end_timestamp_usec |
uint64 |
endTimestampUsec$ |
フロー終了時刻(マイクロ秒単位) |
| src_ipblacklists |
repeated string |
srcIpblacklists$ |
ソースが一致したブラックリスト名を提供 |
| dest_ipblacklists |
repeated string |
destIpblacklists$ |
デスティネーションが一致したブラックリスト名を提供 |
| src_ipgeo_summary |
GeoSummary |
srcIpgeoSummary$ |
ソースIPの地理的位置 |
| dest_ipgeo_summary |
GeoSummary |
destIpgeoSummary$ |
デスティネーションIPの地理的位置 |
| source_nat_address |
string |
sourceNatAddress$ |
ネットワークアドレス変換が行われた場合のソースIP |
| destination_nat_address |
string |
destinationNatAddress$ |
ネットワークアドレス変換が行われた場合のデスティネーションIP |
| source_nat_port |
uint32 |
sourceNatPort$ |
ネットワークアドレス変換が行われた場合のソースポート |
| destination_nat_port |
uint32 |
destinationNatPort$ |
ネットワークアドレス変換が行われた場合のデスティネーションポート |
| application_name |
string |
applicationName$ |
PaloAltoのAPP-IDなどのDeep Packet Inspectionエンジンで検出されたアプリケーション |
| flow_action |
Netflow.fw_action |
flowAction$ |
ファイアウォールがフローに対して実施した内容をenumで提供。自由形式のテキストが必要な場合はconnection_end_reason = 206を参照。0 - FW_UNKNOWN - 未使用。1 - FW_BLOCKED - フローがドロップされた(ファイアウォールがTCPハンドシェイクまたはUDPパケットをブロック)。2 - FW_ALLOWED - ファイアウォールによって拒否されなかった。3 - FW_RESET_CLIENT_TO_SERVER - ファイアウォールがサーバーにRSTパケットを送信(TCPプローブ)。4 - FW_RESET_SERVER_TO_CLIENT - ファイアウォールがクライアントにRSTパケットを送信(TCPプローブ)。5 - FW_RESET_BOTH - ファイアウォールがクライアントとサーバーの両方にRSTパケットを送信(TCPプローブ)。6 - FW_ICMP_CLIENT - クライアントにICMP宛先ホスト到達不能を送信(UDPプローブ)。 |
| connection_end_reason |
string |
connectionEndReason$ |
flow_actionだけでは不十分な場合に、セッション終了理由の詳細を提供。例: tcp-rst-from-client(Paloalto)、TCP Reset - I(ASA) |
| community_id_hash |
string |
communityIdHash$ |
NetflowレコードをIDSアラートなど他のレコードと関連付けるための値: https://github.com/corelight/community-id-spec{: target="_blank"} |
| event_metadata |
KeyValuePairsIndexed |
eventMetadata$ |
event_metadataは、ファイアウォールルール名やソースインターフェースなど、データソースがコンテキスト追加のために提供可能 |
| processCorrelationID |
ProcessCorrelationID |
processCorrelationId$ |
このnetflowセッションを作成したプロセスのProcessCorrelationID |
| process_image_path |
string |
processImagePath$ |
このnetflowを開始したプロセスのイメージパス |
Netflow.Direction
| Name |
Number |
説明 |
| UNKNOWN |
0 |
internal: proto3で必須だが未使用 |
| INBOUND |
1 |
フローがソースへのインバウンド |
| OUTBOUND |
2 |
フローがソースからのアウトバウンド |
| CLIENT_TO_SERVER |
3 |
ファイアウォールによって報告される場合、コントロールは接続のイニシエーター(クライアント)と受信者(サーバー)のみを認識 |
| SERVER_TO_CLIENT |
4 |
ファイアウォールによって報告される場合、コントロールは接続のイニシエーター(クライアント)と受信者(サーバー)のみを認識 |
Netflow.fw_action
ファイアウォールアプライアンスがトラフィックを許可または拒否したか、拒否した場合はどのようにか。
| Name |
Number |
説明 |
| FW_UNKNOWN |
0 |
internal: proto3で必須だが未使用 |
| FW_BLOCKED |
1 |
フローがドロップされた(ファイアウォールがTCPハンドシェイクまたはUDPパケットをブロック) |
| FW_ALLOWED |
2 |
ファイアウォールによって拒否されなかった |
| FW_RESET_CLIENT_TO_SERVER |
3 |
ファイアウォールがサーバーにRSTパケットを送信(TCPプローブ) |
| FW_RESET_SERVER_TO_CLIENT |
4 |
ファイアウォールがクライアントにRSTパケットを送信(TCPプローブ) |
| FW_RESET_BOTH |
5 |
ファイアウォールがクライアントとサーバーの両方にRSTパケットを送信(TCPプローブ) |
| FW_ICMP_CLIENT |
6 |
クライアントにICMP宛先ホスト到達不能を送信(UDPプローブ) |