コンテンツにスキップ

NIDSスキーマ🔗

注意

スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。

正規化されたフィールド パーサーのフィールド 説明
resource_id string resourceId$ レコードを識別する完全なリソース文字列
tenant_id string tenantId$ このCTPX IDに固有のテナントID
sensor_type string sensorType$ このイベントを生成したデバイスのタイプ。例: redcloak
sensor_event_id string sensorEventId$ センサーによってoriginal_dataに割り当てられたイベントID
sensor_tenant string sensorTenant$ データの発信元アプリケーションによって提供された顧客ID。例: redloak-domain, ctp-client-id
sensor_id string sensorId$ データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id
sensor_cpe string sensorCpe$ アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:*
original_data string originalData$ 変換前の元のデータ。
event_time_usec uint64 eventTimeUsec$ イベント発生時刻(マイクロ秒単位、µs)
ingest_time_usec uint64 ingestTimeUsec$ 取り込み時刻(マイクロ秒単位、µs)
event_time_fidelity TimeFidelity eventTimeFidelity$ event_time_usecに使用された元の時刻精度を指定
host_id string hostId$ ホストID -- イベント発生元ホストを一意に識別。例: IPv(4/6)アドレス、デバイスMACアドレス
sensor_version string sensorVersion$ エージェントのバージョン(文字列)
enrichments Enrichments enrichments$ イベントのエンリッチメント
generator_id uint32 generatorId$ イベントを生成したgenerator_id(snortベースのNIDS)
signature_id uint32 signatureId$ イベント作成に使用されたルールID
signature_revision uint32 signatureRevision$ ルールのバージョン
policy_id uint32 policyId$ ポリシーID(snortベースのNIDS)
message string message$ イベントのタイトル
classification string classification$ classifications.confからのイベント分類(snortベースのNIDS)
priority uint32 priority$ 正規化処理によってイベントに付与された優先度(ベンダースケールに基づく)。1が最も高く、5が最も低い。
action string action$ パケットの処理方法。DROP、SDROP、REJECT、ALERT、FW_TRUSTEDなど
impact_flag uint32 impactFlag$ actionより優先されるフラグ
blocked uint32 blocked$ 1=NotBlocked, 2=Blocked, 3=WouldHaveBlocked
vlan uint32 vlan$ アラートパケットのVLANヘッダーから抽出されたVLAN ID
mpls_label uint32 mplsLabel$ アラートパケットのMPLSヘッダーから抽出されたMPLSラベル
snort_sensor_id uint32 snortSensorId$ アラートを発生させたデバイスのID
event_id uint32 eventId$ センサーによって割り当てられたイベントID
event_ref uint32 eventRef$ 会話の一部である他のevent_idへの参照
source_address string sourceAddress$ IPソースアドレス
destination_address string destinationAddress$ IP宛先アドレス
source_port uint32 sourcePort$ TCP/UDPソースポート(protocol == 6
icmp_type uint32 icmpType$ ICMPイベントのタイプ(protocol == 1の場合)
destination_port uint32 destinationPort$ TCP/UDPソースポート(protocol == 6
icmp_code uint32 icmpCode$ ICMPコード(protocol == 99の場合)
protocol uint32 protocol$ IPプロトコル番号
ttl uint32 ttl$ IPパケットのTTL(Time To Live)
tos string tos$ IPパケットのサービス種別フラグ
packet_id uint32 packetId$ IPパケット識別子
ip_len uint32 ipLen$ アラートパケットのIPヘッダー長
dgm_len uint32 dgmLen$ UDPパケットのデータグラム長
flags string flags$ TCPフラグ(tcpdump形式の文字列)
sequence string sequence$ アラートパケットのTCPシーケンス
ack string ack$ TCP ACK
window string window$ 受信ウィンドウサイズ
tcp_len uint32 tcpLen$ TCPパケットのサイズ
tcp_options string tcpOptions$ 文字列形式のTCPオプション
pcap bytes bytes$ アラートに関連するすべてのパケット。Base64エンコードされており、デコード後にtcpdumpやwireshark等で利用可能。
pcapref string pcapref$ pcapフィールドが存在しない場合、pcapの取得方法を説明するテキスト文字列。例: "REST QUERY <IP> with <PATH> having <arguments>"
source_username string sourceUsername$ ソースに関連付けられたユーザー名
destination_username string destinationUsername$ 宛先に関連付けられたユーザー名
application_name string applicationName$ Deep Packet Inspectionエンジンによって検出されたアプリケーション
direction Nids.Direction direction$ センサーの視点から見たソースと宛先間のネットワークトラフィックの方向
event_metadata KeyValuePairsIndexed eventMetadata$ event_metadataは、アプライアンスがurl/filenameのトリガーやより良いスキーマ情報などのコンテキストを追加するために提供可能
countermeasure_author Nids.author countermeasureAuthor$ countermeasure_authorは、nidsアラートで検出されたイベントの作成者を示します。
log_type string logType$ ベンダーが提供するログタイプの定義
src_ipblacklists repeated string srcIpblacklists$ ソースが一致したブラックリスト名を提供
dest_ipblacklists repeated string destIpblacklists$ ソースが一致したブラックリスト名を提供
src_ipgeo_summary GeoSummary srcIpgeoSummary$ ソースIPの地理的位置
dest_ipgeo_summary GeoSummary destIpgeoSummary$ 宛先IPの地理的位置
threat_intelligence_indicators repeated Nids.ThreatIntelligenceIndicators threatIntelligenceIndicators$ 脅威インテリジェンスインジケーターに関連する詳細(カテゴリ、最終観測日、ソース、ソースURL、タイプなど)

Nids.ThreatIntelligenceIndicators🔗

正規化されたフィールド パーサーのフィールド 説明
type string type$ TIのタイプ。例: IPアドレス、Emailアドレス、url、ハッシュ、マルウェア等
value string value$ TIインジケーターの生値。例: (1.1.1.1, FAKEURL.COM may be available for sale or other proposals )
category string category$ TIのカテゴリ。例: C&C、Keylogger、backdoor等
last_observation_time_usec uint64 lastObservationTimeUsec$ TIが最後にキュレートされた時刻のタイムスタンプ
source string source$ TIデータの人間が読めるソース。例: “Microsoft TIC”
source_url string sourceUrl$ TIに関する情報を提供するURL
family string family$ プロバイダーが生成したマルウェアファミリー(例: 'wannacry', 'notpetya'等)

Nids.VendorExtraContextEntry🔗

正規化されたフィールド パーサーのフィールド 説明
key string key$
value string value$

Nids.Direction🔗

名前 番号 説明
UNKNOWN 0 proto3で必須だが未使用
INBOUND 1 セキュリティコントロール自体への入出力フロー。受信
OUTBOUND 2 送信
CLIENT_TO_SERVER 3 セキュリティコントロールがAからBへのフローを監視する場合。セキュリティコントロールは会話の当事者ではなく、観察者。接続のイニシエーター(クライアント)と受信者(サーバー)のみを認識。
SERVER_TO_CLIENT 4

Nids.author🔗

名前 番号 説明
DEFAULT_ORIGIN 0 proto3で必須だが未使用
VENDOR_OF_SENSOR 1 sensortTypeの製造元がこのnids対策の作成者
SCWX_CTU 2 このnids対策がSecureworksのCounter Threat Unitによるものであることを示す
EMERGING_THREATS 3 https://rules.emergingthreats.net/{: target="_blank"} からの対策であることを示す