レジストリスキーマ
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| resource_id |
string |
resourceId$ |
レコードを識別する完全なリソース文字列 |
| tenant_id |
string |
tenantId$ |
このCTPX IDに固有のテナントID |
| sensor_type |
string |
sensorType$ |
例: redcloak |
| sensor_event_id |
string |
sensorEventId$ |
センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant |
string |
sensorTenant$ |
例: redloak-domain, ctp-client-id |
| sensor_id |
string |
sensorId$ |
例: redcloak-agent-id |
| sensor_cpe |
string |
sensorCpe$ |
アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data |
string |
originalData$ |
変換前の元のデータ。 |
| event_time_usec |
uint64 |
eventTimeUsec$ |
イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec |
uint64 |
ingestTimeUsec$ |
取り込み時刻(マイクロ秒単位、µs)。 |
| event_time_fidelity |
TimeFidelity |
eventTimeFidelity$ |
event_time_usecに使用された元の時刻精度を指定します |
| host_id |
string |
hostId$ |
ホストID -- イベントが発生したホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| process_id |
string |
processId$ |
ファイルを変更した実行中プロセスに対してOSが提供する識別子 |
| process_create_time_usec |
uint64 |
processCreateTimeUsec$ |
ファイルを変更したプロセスの作成時刻(µs) |
| commandline |
string |
commandline$ |
ファイル変更を行ったプロセスの完全なコマンドライン |
| process_correlation_id |
string |
processCorrelationId$ |
ローリングID対策のためのプロセス相関ID redcloak -- host_id:id.pid:id.time_window |
| sensor_version |
string |
sensorVersion$ |
エージェントのバージョン(文字列)。 |
| name |
string |
name$ |
レジストリキー/値の名前(キーのサブセット) |
| path |
string |
path$ |
レジストリキー/値のフルパス |
| key |
Registry.RegistryKey |
key$ |
|
| value |
Registry.RegistryValue |
value$ |
|
| pivot |
string |
pivot$ |
データをグループ化するための主要なハンティングピボットポイント |
| rule_context |
repeated Registry.RuleContextEntry |
ruleContext$ |
一部のルールは、アナリストが結果を解釈しやすくするために追加の文字列をヒットに付与します |
Registry.RegistryKey
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| acl32 |
string |
acl32$ |
32ビットアプリがx64でリダイレクトされたキーを書き込んだ場合の権限 |
| acl64 |
string |
acl64$ |
ネイティブアプリがx64で書き込んだ場合の権限 |
| last_write_time32_usec |
uint64 |
lastWriteTime32Usec$ |
32ビットアプリがx64でリダイレクトされたキーを書き込んだ場合 |
| last_write_time64_usec |
uint64 |
lastWriteTime64Usec$ |
ネイティブアプリがx64でデータを保存した場合 |
| pivot |
string |
pivot$ |
|
Registry.RegistryValue
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| type32 |
Registry.RegistryValue.ValueType |
type32$ |
32ビットアプリがx64でリダイレクトされたキーに保存したデータの型 |
| type64 |
Registry.RegistryValue.ValueType |
type64$ |
ネイティブアプリがx64で保存したデータの型 |
| data32 |
string |
data32$ |
32ビットアプリがx64でリダイレクトされたキーに保存した値データ |
| data64 |
string |
data64$ |
ネイティブアプリがx64で保存した値データ |
| name |
string |
name$ |
taegis agentからのvalueName、32/64ビット両方のバリアントで使用 |
| pivot |
string |
pivot$ |
|
Registry.RuleContextEntry
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| key |
string |
|
|
| value |
string |
|
|
Registry.RegistryValue.ValueType
| Name |
Number |
説明 |
| REG_NONE |
0 |
定義されていない値の型。 |
| REG_SZ |
1 |
ヌル終端文字列。UnicodeまたはANSI文字列(Unicode/ANSI関数の使用による)。 |
| REG_EXPAND_SZ |
2 |
展開されていない環境変数参照(例: "%PATH%")を含むヌル終端文字列。UnicodeまたはANSI文字列(Unicode/ANSI関数の使用による)。環境変数参照を展開するにはExpandEnvironmentStrings関数を使用。 |
| REG_BINARY |
3 |
任意の形式のバイナリデータ。 |
| REG_DWORD |
4 |
32ビット数値 |
| REG_MULTI_SZ |
7 |
ヌル終端文字列の連続、空文字列(\0)で終了。 |
| REG_QWORD |
11 |
64ビット数値。 |
| REG_DWORD_LITTLE_ENDIAN |
12 |
リトルエンディアン形式の32ビット数値。Windowsはリトルエンディアンアーキテクチャ向けに設計されているため、この値はWindowsヘッダーファイルでREG_DWORDとして定義されています。 |
| REG_DWORD_BIG_ENDIAN |
13 |
ビッグエンディアン形式の32ビット数値。一部のUNIXシステムはビッグエンディアンアーキテクチャをサポート。 |
| REG_LINK |
14 |
RegCreateKeyEx関数でREG_OPTION_CREATE_LINKを指定して作成されたシンボリックリンクのターゲットパスを含むヌル終端Unicode文字列。 |
| REG_QWORD_LITTLE_ENDIAN |
15 |
リトルエンディアン形式の64ビット数値。Windowsはリトルエンディアンアーキテクチャ向けに設計されているため、この値はWindowsヘッダーファイルでREG_QWORDとして定義されています。 |