レジストリスキーマ
注意
スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| resource_id |
string |
resourceId$ |
レコードを識別する完全なリソース文字列 |
| tenant_id |
string |
tenantId$ |
このCTPX IDに固有のテナントID |
| sensor_type |
string |
sensorType$ |
例: redcloak |
| sensor_event_id |
string |
sensorEventId$ |
センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant |
string |
sensorTenant$ |
例: redloak-domain, ctp-client-id |
| sensor_id |
string |
sensorId$ |
例: redcloak-agent-id |
| sensor_cpe |
string |
sensorCpe$ |
アラートを生成したプラットフォームのCPE。
例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data |
string |
originalData$ |
変換前の元のデータ。 |
| event_time_usec |
uint64 |
eventTimeUsec$ |
イベント時刻(マイクロ秒単位、µs) |
| ingest_time_usec |
uint64 |
ingestTimeUsec$ |
取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity |
TimeFidelity |
eventTimeFidelity$ |
event_time_usecに使用された元の時刻精度を指定します |
| host_id |
string |
hostId$ |
ホストID -- イベントが発生したホストを一意に識別します。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| process_id |
string |
processId$ |
ファイルを変更した実行中プロセスに対してOSが提供する識別子 |
| process_create_time_usec |
uint64 |
processCreateTimeUsec$ |
ファイルを変更したプロセスの作成時刻(µs) |
| commandline |
string |
commandline$ |
ファイル変更を行ったプロセスの完全なコマンドライン |
| process_correlation_id |
string |
processCorrelationId$ |
ローリングID対策のためのプロセス相関ID redcloak -- host_id:id.pid:id.time_window |
| sensor_version |
string |
sensorVersion$ |
エージェントのバージョン(文字列) |
| name |
string |
name$ |
レジストリキー/値の名前(キーのサブセット) |
| path |
string |
path$ |
レジストリキー/値のフルパス |
| key |
Registry.RegistryKey |
key$ |
|
| value |
Registry.RegistryValue |
value$ |
|
| pivot |
string |
pivot$ |
データのグルーピングに用いる主要なハンティングピボットポイント |
| rule_context |
repeated Registry.RuleContextEntry |
ruleContext$ |
一部のルールは、アナリストが結果を解釈しやすくするために追加の文字列をヒットに付与します |
Registry.RegistryKey
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| acl32 |
string |
acl32$ |
32ビットアプリがx64でリダイレクトされたキーを書き込んだ場合の権限 |
| acl64 |
string |
acl64$ |
ネイティブアプリがx64で書き込んだ場合の権限 |
| last_write_time32_usec |
uint64 |
lastWriteTime32Usec$ |
32ビットアプリがx64でリダイレクトされたキーを書き込んだ場合 |
| last_write_time64_usec |
uint64 |
lastWriteTime64Usec$ |
ネイティブアプリがx64でデータを保存した場合 |
| pivot |
string |
pivot$ |
|
Registry.RegistryValue
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| type32 |
Registry.RegistryValue.ValueType |
type32$ |
32ビットアプリがx64でリダイレクトされたキーを書き込んだ場合に保存されるデータの型 |
| type64 |
Registry.RegistryValue.ValueType |
type64$ |
ネイティブアプリがx64でデータを保存した場合に保存されるデータの型 |
| data32 |
string |
data32$ |
32ビットアプリがx64でリダイレクトされたキーを書き込んだ場合に値に保存されるデータ |
| data64 |
string |
data64$ |
ネイティブアプリがx64で値に保存したデータ |
| name |
string |
name$ |
taegis agentからのvalueName、32ビット/64ビット両方のバリアントで使用 |
| pivot |
string |
pivot$ |
|
Registry.RuleContextEntry
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| key |
string |
|
|
| value |
string |
|
|
Registry.RegistryValue.ValueType
| 名前 |
番号 |
説明 |
| REG_NONE |
0 |
定義されていない値の型。 |
| REG_SZ |
1 |
ヌル終端文字列。UnicodeまたはANSI文字列(UnicodeまたはANSI関数の使用に依存)。 |
| REG_EXPAND_SZ |
2 |
展開されていない環境変数参照(例: "%PATH%")を含むヌル終端文字列。UnicodeまたはANSI文字列(UnicodeまたはANSI関数の使用に依存)。環境変数参照を展開するにはExpandEnvironmentStrings関数を使用。 |
| REG_BINARY |
3 |
任意の形式のバイナリデータ。 |
| REG_DWORD |
4 |
32ビット数値 |
| REG_MULTI_SZ |
7 |
ヌル終端文字列の連続列。空文字列(\0)で終了。 |
| REG_QWORD |
11 |
64ビット数値。 |
| REG_DWORD_LITTLE_ENDIAN |
12 |
リトルエンディアン形式の32ビット数値。Windowsはリトルエンディアンアーキテクチャ用に設計されているため、この値はWindowsヘッダーファイルでREG_DWORDとして定義されています。 |
| REG_DWORD_BIG_ENDIAN |
13 |
ビッグエンディアン形式の32ビット数値。一部のUNIXシステムはビッグエンディアンアーキテクチャをサポート。 |
| REG_LINK |
14 |
RegCreateKeyEx関数でREG_OPTION_CREATE_LINKを指定して作成されたシンボリックリンクのターゲットパスを含むヌル終端Unicode文字列。 |
| REG_QWORD_LITTLE_ENDIAN |
15 |
リトルエンディアン形式の64ビット数値。Windowsはリトルエンディアンアーキテクチャ用に設計されているため、この値はWindowsヘッダーファイルでREG_QWORDとして定義されています。 |