NIDSスキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供された顧客ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ(未加工データ) |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元ホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| enrichments | Enrichments | enrichments$ | イベントのエンリッチメント情報 |
| generator_id | uint32 | generatorId$ | イベントを生成したgenerator_id(snortベースのNIDS) |
| signature_id | uint32 | signatureId$ | イベント生成に使用されたルールID |
| signature_revision | uint32 | signatureRevision$ | ルールのバージョン |
| policy_id | uint32 | policyId$ | ポリシーID(snortベースのNIDS) |
| message | string | message$ | イベントのタイトル |
| classification | string | classification$ | classifications.confからのイベント分類(snortベースのNIDS) |
| priority | uint32 | priority$ | 正規化処理によってイベントに付与された優先度(ベンダースケールに基づく)。1が最も高く、5が最も低い。 |
| action | string | action$ | パケットの処理方法。DROP、SDROP、REJECT、ALERT、FW_TRUSTEDなど |
| impact_flag | uint32 | impactFlag$ | actionより優先されるフラグ |
| blocked | uint32 | blocked$ | 1=NotBlocked、2=Blocked、3=WouldHaveBlocked |
| vlan | uint32 | vlan$ | アラートパケットのVLANヘッダーから抽出されたVLAN ID |
| mpls_label | uint32 | mplsLabel$ | アラートパケットのMPLSヘッダーから抽出されたMPLSラベル |
| snort_sensor_id | uint32 | snortSensorId$ | アラートを発生させたデバイスのID |
| event_id | uint32 | eventId$ | センサーによって割り当てられたイベントID |
| event_ref | uint32 | eventRef$ | 会話の一部となる他のevent_idへの参照 |
| source_address | string | sourceAddress$ | IP送信元アドレス |
| destination_address | string | destinationAddress$ | IP宛先アドレス |
| source_port | uint32 | sourcePort$ | プロトコル==6または17の場合のTCP/UDP送信元ポート |
| icmp_type | uint32 | icmpType$ | プロトコル==1の場合のICMPタイプ |
| destination_port | uint32 | destinationPort$ | プロトコル==6または17の場合のTCP/UDP送信先ポート |
| icmp_code | uint32 | icmpCode$ | プロトコル==99の場合のICMPコード |
| protocol | uint32 | protocol$ | IPプロトコル番号 |
| ttl | uint32 | ttl$ | IPパケットのTTL(Time To Live) |
| tos | string | tos$ | IPパケットのサービス種別フラグ |
| packet_id | uint32 | packetId$ | IPパケット識別子 |
| ip_len | uint32 | ipLen$ | アラートパケットのIPヘッダー長 |
| dgm_len | uint32 | dgmLen$ | UDPパケットのデータグラム長 |
| flags | string | flags$ | TCPフラグ(tcpdump形式の文字列) |
| sequence | string | sequence$ | アラートパケットのTCPシーケンス |
| ack | string | ack$ | TCP ACK |
| window | string | window$ | 受信ウィンドウサイズ |
| tcp_len | uint32 | tcpLen$ | TCPパケットのサイズ |
| tcp_options | string | tcpOptions$ | 文字列形式のTCPオプション |
| pcap | bytes | bytes$ | アラートに関連する全パケット。Base64エンコードされており、デコード後tcpdumpやwireshark等で利用可能。 |
| pcapref | string | pcapref$ | pcapフィールドが存在しない場合、pcapの取得方法を説明するテキスト文字列を提供。例: "REST QUERY <IP> with <PATH> having <arguments>" |
| source_username | string | sourceUsername$ | 送信元に関連付けられたユーザー名 |
| destination_username | string | destinationUsername$ | 宛先に関連付けられたユーザー名 |
| application_name | string | applicationName$ | Deep Packet Inspectionエンジンによって検出されたアプリケーション |
| is_custom_alert | NullableBoolean | isCustomAlert$ | 検知が顧客またはテナントのロジック(完全なカスタムルールやインジケーター、またはテナントがインスタンス化または大幅に構成したベンダー提供のテンプレート、コンテンツパック、ビルディングブロック(例: ポリシー、名前付きルールインスタンス、しきい値、スコープ))を反映している場合はTrue。 ベンダーデフォルトの一律展開された検知のみで意味のあるテナントロジックがない場合はFalse。 ソースから判別できない場合はUnknown。 |
| direction | Nids.Direction | direction$ | センサーの視点から見た送信元と宛先間のネットワークトラフィックの方向 |
| event_metadata | KeyValuePairsIndexed | eventMetadata$ | event_metadataは、アプライアンスがurl/ファイル名などのトリガー情報やより良いスキーマ情報などのコンテキストを追加するために提供可能 |
| countermeasure_author | Nids.author | countermeasureAuthor$ | countermeasure_authorは、nidsアラートで記録されたイベントの作成者を示します。 |
| log_type | string | logType$ | ベンダーが提供するログタイプの定義 |
| src_ipblacklists | repeated string | srcIpblacklists$ | 送信元が一致したブラックリスト名を提供 |
| dest_ipblacklists | repeated string | destIpblacklists$ | 宛先が一致したブラックリスト名を提供 |
| src_ipgeo_summary | GeoSummary | srcIpgeoSummary$ | 送信元IPの地理的位置 |
| dest_ipgeo_summary | GeoSummary | destIpgeoSummary$ | 宛先IPの地理的位置 |
| threat_intelligence_indicators | repeated Nids.ThreatIntelligenceIndicators | threatIntelligenceIndicators$ | 脅威インテリジェンスインジケーターに関連する詳細情報(カテゴリ、最終観測日、ソース、ソースURL、タイプなど) |
注意
is_custom_alertがtrueの場合:
- 検知の重大度は変更されません。
- これらのイベントによって生成された検知はMDRサービスキューをバイパスし、Taegis MDRサービス範囲外のため、セルフサービス用のカスタム検知としてテナントに直接配信されます。
Nids.ThreatIntelligenceIndicators🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| type | string | type$ | TIのタイプ。例: IPアドレス、Emailアドレス、URL、ハッシュ、マルウェアなど |
| value | string | value$ | TIインジケーターの生値。例: (1.1.1.1, FAKEURL.COM may be available for sale or other proposals ) |
| category | string | category$ | TIのカテゴリ。例: C&C、Keylogger、backdoorなど |
| last_observation_time_usec | uint64 | lastObservationTimeUsec$ | TIが最後にキュレーションされた時刻のタイムスタンプ |
| source | string | source$ | TIデータの人間が読めるソース。例: “Microsoft TIC” |
| source_url | string | sourceUrl$ | TIに関する情報を提供するURL |
| family | string | family$ | プロバイダーが生成したマルウェアファミリー(例: 'wannacry', 'notpetya'など) |
Nids.VendorExtraContextEntry🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| key | string | key$ | |
| value | string | value$ |
Nids.Direction🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | proto3で必須だが未使用 |
| INBOUND | 1 | セキュリティコントロール自体への入出力フローがある場合。受信 |
| OUTBOUND | 2 | 送信 |
| CLIENT_TO_SERVER | 3 | セキュリティコントロールがAからBへのフローを監視する場合。セキュリティコントロールは会話の当事者ではなく、観察者。コントロールは接続の開始者(クライアント)と受信者(サーバー)を認識しているのみ。 |
| SERVER_TO_CLIENT | 4 |
Nids.author🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| DEFAULT_ORIGIN | 0 | proto3で必須だが未使用 |
| VENDOR_OF_SENSOR | 1 | sensorTypeを製造したベンダーがこのnids対策の作成者 |
| SCWX_CTU | 2 | このnids対策がSecureworksのCounter Threat Unitによるものであることを示す |
| EMERGING_THREATS | 3 | https://rules.emergingthreats.net/{: target="_blank"} からの対策であることを示す |