コンテンツにスキップ

NIDSスキーマ🔗

正規化されたフィールド パーサーのフィールド 説明
resource_id string resourceId$ レコードを識別する完全なリソース文字列
tenant_id string tenantId$ このレコードを所有するテナントのID(CTPX IDに特有)
sensor_type string sensorType$ このイベントを生成したデバイスのタイプ。例: redcloak
sensor_event_id string sensorEventId$ センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant string sensorTenant$ データの発信元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id
sensor_id string sensorId$ データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id
sensor_cpe string sensorCpe$ アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:*
original_data string originalData$ 変換前の元のデータ(未加工データ)
event_time_usec uint64 eventTimeUsec$ イベント発生時刻(マイクロ秒単位、µs)
ingest_time_usec uint64 ingestTimeUsec$ 取り込み時刻(マイクロ秒単位、µs)
event_time_fidelity TimeFidelity eventTimeFidelity$ event_time_usecに使用された元の時刻精度を指定
host_id string hostId$ ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス
sensor_version string sensorVersion$ エージェントのバージョン(文字列)
enrichments Enrichments enrichments$ イベントのエンリッチメント情報
generator_id uint32 generatorId$ イベントを生成したgenerator_id(snortベースのNIDS)
signature_id uint32 signatureId$ イベント作成に使用されたルールID
signature_revision uint32 signatureRevision$ ルールのバージョン
policy_id uint32 policyId$ ポリシーID(snortベースのNIDS)
message string message$ イベントのタイトル
classification string classification$ classifications.confからのイベント分類(snortベースのNIDS)
priority uint32 priority$ 正規化処理によってイベントに付与された優先度(ベンダースケールに基づく)。1が最も高く、5が最も低い。
action string action$ パケットの処理方法。DROP、SDROP、REJECT、ALERT、FW_TRUSTEDなどが含まれる可能性あり。
impact_flag uint32 impactFlag$ actionよりも優先されるフラグ
blocked uint32 blocked$ 1=NotBlocked, 2=Blocked, 3=WouldHaveBlocked
vlan uint32 vlan$ アラートパケットのVLANヘッダーから抽出されたVLAN ID
mpls_label uint32 mplsLabel$ アラートパケットのMPLSヘッダーから抽出されたMPLSラベル
snort_sensor_id uint32 snortSensorId$ アラートを発したデバイスのID
event_id uint32 eventId$ センサーによって割り当てられたイベントID
event_ref uint32 eventRef$ 会話の一部である他のevent_idへの参照
source_address string sourceAddress$ IPソースアドレス
destination_address string destinationAddress$ IP宛先アドレス
source_port uint32 sourcePort$ プロトコル==6
icmp_type uint32 icmpType$ プロトコル==1の場合のICMPイベントタイプ
destination_port uint32 destinationPort$ プロトコル==6
icmp_code uint32 icmpCode$ プロトコル==99の場合のICMPコード
protocol uint32 protocol$ IPプロトコル番号
ttl uint32 ttl$ IPパケットのTTL(Time To Live)
tos string tos$ IPパケットのサービス種別フラグ
packet_id uint32 packetId$ IPパケット識別子
ip_len uint32 ipLen$ アラートパケットのIPヘッダー長
dgm_len uint32 dgmLen$ UDPパケットのデータグラム長
flags string flags$ TCPフラグ(tcpdump形式の文字列)
sequence string sequence$ アラートパケットのTCPシーケンス
ack string ack$ TCP ACK
window string window$ 受信ウィンドウサイズ
tcp_len uint32 tcpLen$ TCPパケットのサイズ
tcp_options string tcpOptions$ 文字列形式のTCPオプション
pcap bytes bytes$ アラートに関連するすべてのパケット。Base64エンコードされており、(デコード後に)tcpdumpやwireshark等で利用可能。
pcapref string pcapref$ pcapフィールドが存在しない場合、pcapの取得方法を説明するテキスト文字列を提供。例: "REST QUERY <IP> with <PATH> having <arguments>"
source_username string sourceUsername$ ソースに関連付けられたユーザー名
destination_username string destinationUsername$ 宛先に関連付けられたユーザー名
application_name string applicationName$ Deep Packet Inspectionエンジンによって検出されたアプリケーション
direction Nids.Direction direction$ センサーの視点から見たソースと宛先間のネットワークトラフィックの方向
event_metadata KeyValuePairsIndexed eventMetadata$ event_metadataは、アプライアンスがコンテキスト(例: トリガーとなったurl/ファイル名、より良いスキーマ情報など)を追加するために提供可能
countermeasure_author Nids.author countermeasureAuthor$ countermeasure_authorは、nidsアラートで記録されたイベントの作成者を示します。
log_type string logType$ ベンダーが提供するログタイプの定義
src_ipblacklists repeated string srcIpblacklists$ ソースが一致したブラックリスト名を提供
dest_ipblacklists repeated string destIpblacklists$ ソースが一致したブラックリスト名を提供
src_ipgeo_summary GeoSummary srcIpgeoSummary$ ソースIPの地理的位置
dest_ipgeo_summary GeoSummary destIpgeoSummary$ 宛先IPの地理的位置
threat_intelligence_indicators repeated Nids.ThreatIntelligenceIndicators threatIntelligenceIndicators$ 脅威インテリジェンスインジケーターに関連する詳細(カテゴリ、最終観測日、ソース、ソースURL、タイプなど)

Nids.ThreatIntelligenceIndicators🔗

正規化されたフィールド パーサーのフィールド 説明
type string type$ TIのタイプ。例: IPアドレス、Emailアドレス、url、ハッシュ、マルウェア等
value string value$ TIインジケーターの生値。例: (1.1.1.1, FAKEURL.COM may be available for sale or other proposals )
category string category$ TIのカテゴリ。例: C&C、Keylogger、backdoor等
last_observation_time_usec uint64 lastObservationTimeUsec$ TIが最後にキュレーションされた時刻のタイムスタンプ
source string source$ TIデータの人間が読めるソース。例: “Microsoft TIC”
source_url string sourceUrl$ TIに関する情報を提供するURL
family string family$ プロバイダーが生成したマルウェアファミリー(例: 'wannacry'、'notpetya'等)

Nids.VendorExtraContextEntry🔗

正規化されたフィールド パーサーのフィールド 説明
key string key$
value string value$

Nids.Direction🔗

名前 番号 説明
UNKNOWN 0 proto3で必須だが未使用
INBOUND 1 セキュリティコントロール自体へのフローがある場合。受信
OUTBOUND 2 送信
CLIENT_TO_SERVER 3 セキュリティコントロールがAからBへのフローを監視する場合。セキュリティコントロールは会話の当事者ではなく、観察者。セキュリティコントロールは接続の開始者(クライアント)と受信者(サーバー)を知っているのみ。
SERVER_TO_CLIENT 4

Nids.author🔗

名前 番号 説明
DEFAULT_ORIGIN 0 proto3で必須だが未使用
VENDOR_OF_SENSOR 1 sensorTypeを製造したベンダーがこのnids対策の作成者
SCWX_CTU 2 このnids対策がSecureworksのCounter Threat Unitによるものであることを示す
EMERGING_THREATS 3 https://rules.emergingthreats.net/{: target="_blank"} からの対策であることを示す