レジストリスキーマ🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| sensor_type | string | sensorType$ | 例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | 例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | 例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ(未加工データ) |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された元の時刻精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| process_id | string | processId$ | ファイルを変更した実行中プロセスにOSが付与した識別子 |
| process_create_time_usec | uint64 | processCreateTimeUsec$ | ファイルを変更したプロセスの作成時刻(µs) |
| commandline | string | commandline$ | ファイル変更を行ったプロセスの完全なコマンドライン |
| process_correlation_id | string | processCorrelationId$ | ローリングID対策のためのプロセス相関ID redcloak -- host_id:id.pid:id.time_window |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| name | string | name$ | レジストリキー/値の名前(キーのサブセット) |
| path | string | path$ | レジストリキー/値のフルパス |
| key | Registry.RegistryKey | key$ | |
| value | Registry.RegistryValue | value$ | |
| pivot | string | pivot$ | データのグルーピングに用いる主要なハンティングピボットポイント |
| rule_context | repeated Registry.RuleContextEntry | ruleContext$ | 一部のルールは、アナリストが結果を解釈しやすくするために追加の文字列をヒットに付与します |
Registry.RegistryKey🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| acl32 | string | acl32$ | 32ビットアプリがx64でリダイレクトキーを書き込んだ場合の権限 |
| acl64 | string | acl64$ | ネイティブアプリがx64で書き込んだ場合の権限 |
| last_write_time32_usec | uint64 | lastWriteTime32Usec$ | 32ビットアプリがx64でリダイレクトキーを書き込んだ場合 |
| last_write_time64_usec | uint64 | lastWriteTime64Usec$ | ネイティブアプリがx64でデータを保存した場合 |
| pivot | string | pivot$ |
Registry.RegistryValue🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| type32 | Registry.RegistryValue.ValueType | type32$ | 32ビットアプリがx64でリダイレクトキーを書き込んだ場合に保存されるデータ型 |
| type64 | Registry.RegistryValue.ValueType | type64$ | ネイティブアプリがx64でデータを保存した場合に保存されるデータ型 |
| data32 | string | data32$ | 32ビットアプリがx64でリダイレクトキーを書き込んだ場合に値に保存されるデータ |
| data64 | string | data64$ | ネイティブアプリがx64で値に保存したデータ |
| name | string | name$ | taegis agentからのvalueName、32/64ビット両方のバリアントで使用 |
| pivot | string | pivot$ |
Registry.RuleContextEntry🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| key | string | ||
| value | string |
Registry.RegistryValue.ValueType🔗
| Name | Number | 説明 |
|---|---|---|
| REG_NONE | 0 | 定義されていない値の型。 |
| REG_SZ | 1 | ヌル終端文字列。UnicodeまたはANSI文字列(UnicodeまたはANSI関数の使用に依存)。 |
| REG_EXPAND_SZ | 2 | 展開されていない環境変数参照(例: "%PATH%")を含むヌル終端文字列。UnicodeまたはANSI文字列(UnicodeまたはANSI関数の使用に依存)。環境変数参照を展開するにはExpandEnvironmentStrings関数を使用。 |
| REG_BINARY | 3 | 任意の形式のバイナリデータ。 |
| REG_DWORD | 4 | 32ビット数値 |
| REG_MULTI_SZ | 7 | ヌル終端文字列の連続列。空文字列(\0)で終了。 |
| REG_QWORD | 11 | 64ビット数値。 |
| REG_DWORD_LITTLE_ENDIAN | 12 | リトルエンディアン形式の32ビット数値。Windowsはリトルエンディアンアーキテクチャで動作するため、この値はWindowsヘッダーファイルでREG_DWORDとして定義。 |
| REG_DWORD_BIG_ENDIAN | 13 | ビッグエンディアン形式の32ビット数値。一部のUNIXシステムはビッグエンディアンアーキテクチャをサポート。 |
| REG_LINK | 14 | RegCreateKeyEx関数でREG_OPTION_CREATE_LINKを指定して作成されたシンボリックリンクのターゲットパスを含むヌル終端Unicode文字列。 |
| REG_QWORD_LITTLE_ENDIAN | 15 | リトルエンディアン形式の64ビット数値。Windowsはリトルエンディアンアーキテクチャで動作するため、この値はWindowsヘッダーファイルでREG_QWORDとして定義。 |