Netflowスキーマ🔗
注意
スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供される顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されるID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ(未加工データ) |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元ホストを一意に識別。例: IPv(4/6)アドレス、デバイスMACアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| source_mac | string | sourceMac$ | ソースMACアドレス(テキスト標準形式) |
| destination_mac | string | destinationMac$ | デスティネーションMACアドレス(テキスト標準形式) |
| source_address | string | sourceAddress$ | ソースのIPアドレス |
| destination_address | string | destinationAddress$ | デスティネーションのIPアドレス |
| source_port | uint32 | sourcePort$ | ソースのポート番号 |
| destination_port | uint32 | destinationPort$ | デスティネーションのポート番号 |
| protocol | uint32 | protocol$ | 転送プロトコル |
| tx_packet_count | uint64 | txPacketCount$ | 転送されたパケット数 |
| tx_byte_count | uint64 | txByteCount$ | 転送されたバイト数 |
| rx_packet_count | uint64 | rxPacketCount$ | 受信したパケット数 |
| rx_byte_count | uint64 | rxByteCount$ | 受信したバイト数 |
| direction | Netflow.Direction | direction$ | センサーの視点から見たソースとデスティネーション間のネットワークトラフィックの方向。例: INBOUND, OUTBOUND |
| start_timestamp_usec | uint64 | startTimestampUsec$ | フロー開始時刻(マイクロ秒単位) |
| end_timestamp_usec | uint64 | endTimestampUsec$ | フロー終了時刻(マイクロ秒単位) |
| src_ipblacklists | repeated string | srcIpblacklists$ | ソースが一致したブラックリスト名 |
| dest_ipblacklists | repeated string | destIpblacklists$ | デスティネーションが一致したブラックリスト名 |
| src_ipgeo_summary | GeoSummary | srcIpgeoSummary$ | ソースIPの地理的位置 |
| dest_ipgeo_summary | GeoSummary | destIpgeoSummary$ | デスティネーションIPの地理的位置 |
| source_nat_address | string | sourceNatAddress$ | ネットワークアドレス変換が行われた場合のソースIP |
| destination_nat_address | string | destinationNatAddress$ | ネットワークアドレス変換が行われた場合のデスティネーションIP |
| source_nat_port | uint32 | sourceNatPort$ | ネットワークアドレス変換が行われた場合のソースポート |
| destination_nat_port | uint32 | destinationNatPort$ | ネットワークアドレス変換が行われた場合のデスティネーションポート |
| application_name | string | applicationName$ | PaloAltoのAPP-IDなどのDeep Packet Inspectionエンジンで検出されたアプリケーション |
| flow_action | Netflow.fw_action | flowAction$ | ファイアウォールがフローに対して実施した内容を定義するenum。自由形式のテキストが必要な場合はconnection_end_reason = 206を参照。0 - FW_UNKNOWN - 未使用。1 - FW_BLOCKED - フローがドロップされた(ファイアウォールがTCPハンドシェイクまたはUDPパケットをブロック)。2 - FW_ALLOWED - ファイアウォールによって拒否されなかった。3 - FW_RESET_CLIENT_TO_SERVER - ファイアウォールがサーバーにRSTパケットを送信(TCPプローブ)。4 - FW_RESET_SERVER_TO_CLIENT - ファイアウォールがクライアントにRSTパケットを送信(TCPプローブ)。5 - FW_RESET_BOTH - ファイアウォールがクライアントとサーバーの両方にRSTパケットを送信(TCPプローブ)。6 - FW_ICMP_CLIENT - クライアントにICMP宛先ホスト到達不能を送信(UDPプローブ)。 |
| connection_end_reason | string | connectionEndReason$ | flow_actionだけでは不十分な場合に、セッション終了理由の詳細を提供。例: tcp-rst-from-client(Paloalto)、TCP Reset - I(ASA) |
| community_id_hash | string | communityIdHash$ | NetflowレコードをIDSアラートなど他のレコードと関連付けるための値: https://github.com/corelight/community-id-spec{: target="_blank"} |
| event_metadata | KeyValuePairsIndexed | eventMetadata$ | event_metadataは、ファイアウォールルール名やソースインターフェースなど、データソースがコンテキスト追加のために提供可能 |
| processCorrelationID | ProcessCorrelationID | processCorrelationId$ | このnetflowセッションを作成したプロセスのProcessCorrelationID |
| process_image_path | string | processImagePath$ | このnetflowを開始したプロセスのイメージパス |
Netflow.Direction🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | 内部用:未使用だがproto3の要件で必要 |
| INBOUND | 1 | フローがソースへのインバウンド |
| OUTBOUND | 2 | フローがソースからのアウトバウンド |
| CLIENT_TO_SERVER | 3 | ファイアウォールによる報告時、コントロールは接続のイニシエーター(クライアント)と受信者(サーバー)のみを認識 |
| SERVER_TO_CLIENT | 4 | ファイアウォールによる報告時、コントロールは接続のイニシエーター(クライアント)と受信者(サーバー)のみを認識 |
Netflow.fw_action🔗
ファイアウォールアプライアンスがトラフィックを許可または拒否したか、拒否した場合はどのようにか。
| 名前 | 番号 | 説明 |
|---|---|---|
| FW_UNKNOWN | 0 | 内部用:未使用だがproto3の要件で必要 |
| FW_BLOCKED | 1 | フローがドロップされた(ファイアウォールがTCPハンドシェイクまたはUDPパケットをブロック) |
| FW_ALLOWED | 2 | ファイアウォールによって拒否されなかった |
| FW_RESET_CLIENT_TO_SERVER | 3 | ファイアウォールがサーバーにRSTパケットを送信(TCPプローブ) |
| FW_RESET_SERVER_TO_CLIENT | 4 | ファイアウォールがクライアントにRSTパケットを送信(TCPプローブ) |
| FW_RESET_BOTH | 5 | ファイアウォールがクライアントとサーバーの両方にRSTパケットを送信(TCPプローブ) |
| FW_ICMP_CLIENT | 6 | クライアントにICMP宛先ホスト到達不能を送信(UDPプローブ) |