プロセススキーマ
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| resource_id |
string |
resourceId$ |
レコードを識別する完全なリソース文字列 |
| tenant_id |
string |
tenantId$ |
このCTPX IDに固有のテナントID |
| sensor_type |
string |
sensorType$ |
このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id |
string |
sensorEventId$ |
センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant |
string |
sensorTenant$ |
データの発信元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id |
| sensor_id |
string |
sensorId$ |
データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe |
string |
sensorCpe$ |
アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data |
string |
originalData$ |
変換前の元のデータ(未加工データ) |
| event_time_usec |
uint64 |
eventTimeUsec$ |
イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec |
uint64 |
ingestTimeUsec$ |
取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity |
TimeFidelity |
eventTimeFidelity$ |
event_time_usecに使用された元の時刻精度を指定 |
| host_id |
string |
hostId$ |
ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| sensor_version |
string |
sensorVersion$ |
エージェントのバージョン(文字列) |
| process_id |
string |
processId$ |
実行中プロセスに対してOSが提供する識別子 |
| parent_process_id |
string |
parentProcessId$ |
親プロセスのID |
| process_correlation_id |
string |
processCorrelationId$ |
ローリングID対策のためのプロセス相関ID redcloak -- host_id:id.pid:id.time_window |
| parent_process_correlation_id |
string |
parentProcessCorrelationId$ |
ローリングID対策のための親プロセス相関ID redcloak -- host_id:parent_id.pid:parent_id.time_window |
| parent_create_time_usec |
uint64 |
parentCreateTimeUsec$ |
親プロセスの作成時刻(µs) |
| image_path |
string |
imagePath$ |
プロセスバイナリのパス |
| commandline |
string |
commandline$ |
バイナリを実行する完全なコマンドライン |
| commandline_decoded |
string |
commandlineDecoded$ |
設定されている場合、バイナリを実行する完全なコマンドラインのデコード版 |
| commandline_decoder |
repeated string |
commandlineDecoder$ |
設定されている場合、コマンドラインのデコードに使用されたデコーダ |
| username |
string |
username$ |
アプリケーションを起動したユーザー |
| process |
string |
process$ |
プロセスが実行されているホスト |
| program_hash |
Process.Hash |
processHash$ |
プログラムバイナリのハッシュ値 |
| user_is_admin |
bool |
userIsAdmin$ |
プロセスが管理者ユーザーによって実行されたかどうか |
| process_is_admin |
bool |
processIsAdmin$ |
プロセスが管理者権限で実行されているかどうか |
| was_blocked |
bool |
wasBlocked$ |
Redcloakエンドポイントがプロセスの実行をブロックしたかどうか |
| computer_name |
string |
computerName$ |
プロセスが実行されているホスト名またはデバイス名 |
| host_program |
Process.FileInfo |
hostProgram$ |
ホストプログラム(例: cmd.exe)に関する情報。これは'image_path'フィールドで識別されたファイルの詳細です。 |
| target_program |
Process.FileInfo |
targetProgram$ |
ターゲットファイル(例: foo.bat)に関する情報。ホストプログラムが既知のファイルターゲットとともに識別され、追加のファイル詳細収集の機会がある場合に存在します。 |
| parent_image_path |
string |
parentImagePath$ |
親プロセスのイメージパス |
| process_timewindow |
uint64 |
processTimewindow$ |
プロセスの切り捨てられたタイムウィンドウ |
| parent_timewindow |
uint64 |
parentTimewindow$ |
親プロセスの切り捨てられたタイムウィンドウ |
| os |
OperatingSystem |
\(os.\)os |
プロセスが実行されたオペレーティングシステム、アーキテクチャ |
| hidden |
Process.Hidden |
hidden$ |
プロセスが「通常の」表示から隠されているかどうか |
| process_create_time_usec |
uint64 |
processCreateTimeUsec$ |
このプロセスが作成された時刻 |
| pivot |
string |
pivot$ |
データのグルーピングのための主要なハンティングピボットポイント |
| external_uris |
repeated ExternalURI |
externalUris |
イベントソースなど追加情報を含む可能性のある外部URIのリスト |
Process.FileInfo
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| path |
string |
path$ |
|
| type |
Process.FileInfo.FileType |
type$ |
|
| size |
uint64 |
size$ |
|
| create_time_usec |
uint64 |
createTimeUsec$ |
時刻はマイクロ秒単位(µs) |
| access_time_usec |
uint64 |
accessTimeUsec$ |
時刻はマイクロ秒単位(µs) |
| mod_time_us |
uint64 |
modTimeUs$ |
時刻はマイクロ秒単位(µs) |
| st_ino |
uint64 |
stIno$ |
ファイルの状態に関連する属性。興味深いことに、WindowsでもPOSIXサブシステムを介して収集される場合があります。 |
| st_mode |
uint32 |
stMode$ |
|
| st_nlink |
uint32 |
stNlink$ |
|
| st_uid |
uint32 |
stUid$ |
|
| st_gid |
uint32 |
stGid$ |
|
| file_hash |
Process.Hash |
fileHash$ |
ファイル内容のハッシュ値 |
| basename |
string |
basename$ |
先頭のディレクトリパスを除いたファイル名のみ |
| native_path |
string |
nativePath$ |
Windowsの場合、DLLアクセスに使用されるネイティブシステムディレクトリ |
Process.Hash
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| md5 |
string |
md5$ |
|
| sha1 |
string |
sha1$ |
|
| sha256 |
string |
sha256$ |
|
| sha512 |
string |
sha512$ |
|
ProcessRef
ProcessRefは、特定の時刻にホスト上で実行されているプロセスへの「軽量」参照です
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| host_id |
string |
hostId$ |
ホストID -- イベント発生元のホストを一意に識別。 |
| pid |
string |
pid$ |
ソースシステムによって報告されたPID |
| time_window |
int64 |
timeWindow$ |
プロセス作成時刻(最も近い秒に丸められる) |
| process_name |
string |
processName$ |
提供されている場合のプロセス名 |
| process_create_time |
int64 |
processCreateTime$ |
プロセス作成時刻 |
Process.FileInfo.FileType
| 名前 |
番号 |
説明 |
| UNKNOWN |
0 |
proto3で必須だが未使用 |
| REG |
1 |
通常ファイル |
| DIR |
2 |
ディレクトリ |
| LINK |
3 |
シンボリックリンク |
| WIN_FILE_TYPE_DISK |
101 |
InspectorはWinBase.hの値を使用し、上記と衝突するため変換します。指定されたWindowsファイルはディスクファイルです |
| WIN_FILE_TYPE_CHAR |
102 |
指定されたWindowsファイルはキャラクタファイル(通常はLPTデバイスやコンソール)です |
| WIN_FILE_TYPE_PIPE |
103 |
指定されたWindowsファイルはソケット、名前付きパイプ、または匿名パイプです |
Process.Hidden
プロセスが「通常の」表示から隠されているかどうか
注意: Inspectorはこれをboolとして取得するため、変換します。
| 名前 |
番号 |
説明 |
| NOT_HIDDEN |
0 |
|
| THREAD_PARENT_MISSING |
1 |
Windowsの場合、Process32First/Nextでプロセスが見つからず、Thread32First/Nextで見つかった場合。 |