スクリプトブロックスキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resoureId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| visibility | Visibility | visibility$ | レコードの可視性に関する制約 |
| normalizer | string | normalizer$ | このレコードを作成したノーマライザーの名前とバージョン |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発生元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発生元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元のデータ(未加工データ) |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | IngestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに設定された時刻の元の精度を指定 |
| host_id | string | hostId$ | イベント発生元ホストを一意に識別するホストID(例: IPv(4/6)アドレス、デバイスMACアドレス) |
| process_id | string | processId$ | 実行中プロセスに対してOSが提供する識別子 |
| process_create_time_usec | uint64 | parentCreateTimeUsec$ | プロセスの作成時刻(µs単位) |
| process_correlation_id | string | processCorrelationId$ | ローリングID対策のためのプロセス相関ID |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| normalizer_version | string | normalizerVersion$ | ノーマライザーのバージョン(gitタグ) |
| normalizer_revision | string | normalizerRevision$ | ノーマライザーのリビジョン(gitコミットハッシュ) |
| os | OperatingSystem | \(os.\)os | ユーザーのマシンのオペレーティングシステムおよびアーキテクチャ |
| enrichments | Enrichments | enrichments$ | イベントのエンリッチメント情報 |
| interpreter_name | string | interpreterName$ | インタープリターの正規化名(例: python2, python3, bash, powershellなど) |
| interpreter_path | string | interpreterArgs$ | インタープリター行で指定された場合のインタープリターのフルパス(例: /usr/bin/python) |
| interpreter_args | string | repeated | インタープリター行で指定された場合のインタープリター引数のセット |
| decoders | string | repeated | ブロック内容に適用されたデコーダーのリスト |
| decoded_block_text | string | decodedBlockTest$ | デコード後のブロックテキスト。デコードが行われていない場合はoriginal_script_blockと同じ |
| original_script_block | string | originalScriptBlock$ | デコード前の元のスクリプト |
| original_block_hash | string | originalBlockHash$ | original_script_blockのハッシュ値 |
| decoded_block_hash | string | decodedBlockHash$ | decoded_block_hashのSHA1ハッシュ |
| decoded_block_base64 | bool | decodedBlockBase64$ | スクリプトブロックテキストがbase64エンコードされているかどうか |
| decoded_block_truncated | bool | decodedBlockTruncated$ | スクリプトブロックテキストがトランケーション制限を超えて切り捨てられたかどうか |
| script_name | string | scriptName$ | スクリプト名(存在する場合) |