ProcessModuleスキーマ🔗

注意

スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。

process_module.proto🔗

ProcessModule🔗

基本イベント

フィールド	型	説明
resource_id	string	レコードを識別する完全なリソース文字列
tenant_id	string	このレコードを所有するテナントのID（CTPX IDに特有）
visibility	Visibility	レコードの可視性に関する制約
normalizer	string	このレコードを作成した正規化ツールの名前とバージョン
sensor_type	string	例: redcloak
sensor_event_id	string	センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant	string	例: redloak-domain, ctp-client-id
sensor_id	string	例: redcloak-agent-id
sensor_cpe	string	アラートを生成したプラットフォームのCPE。例: `cpe:2.3:a:secureworks:redcloak:::::::*`
original_data	string	変換前の元データ（未加工データ）
event_time_usec	uint64	イベント発生時刻（マイクロ秒単位、µs）
ingest_time_usec	uint64	取り込み時刻（マイクロ秒単位、µs）
event_time_fidelity	TimeFidelity	event_time_usecに使用された元の時刻精度を指定
host_id	string	ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス
sensor_version	string	エージェントのバージョン（文字列）
normalizer_version	string	正規化ツールのバージョン（gitタグ）
normalizer_revision	string	正規化ツールのリビジョン（gitコミットハッシュ）
process_id	string	ホスティングプロセスのID
base_address	uint64	モジュールがロードされたメモリアドレス
file	FileInfo	モジュールに関連付けられたファイル（存在する場合）
process_create_time_usec	uint64	ファイルを変更したプロセスの作成時刻（µs）
commandline	string	ファイル変更を行ったプロセスの完全なコマンドライン
process_correlation_id	string	ローリングID対策のためのプロセス相関ID（redcloak -- host_id:id.pid:id.time_window）
module_action	string	モジュールロードのアクション
process_username	string	プロセスのユーザー名
process_account_name	string	プロセスのアカウント名
prcess_windows_sid	string	Windows SID（存在する場合）
process_file	FileInfo	プロセスファイル（存在する場合）
parent_process_id	string	親プロセスID
parent_create_time_usec	uint64	親プロセスの作成時刻
parent_process_file	FileInfo	親プロセスファイル（存在する場合）
sensor_action	string	センサーアクション
pivot	string	データのグルーピングに用いる主要なハンティングピボットポイント