スクリプトブロックスキーマ🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resoureId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| visibility | Visibility | visibility$ | レコードの可視性に関する制約 |
| normalizer | string | normalizer$ | このレコードを作成したノーマライザーの名前とバージョン |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元の未加工データ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | IngestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された時刻の元の精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| process_id | string | processId$ | 実行中プロセスに対してOSが提供する識別子 |
| process_create_time_usec | uint64 | parentCreateTimeUsec$ | プロセスの作成時刻(µs) |
| process_correlation_id | string | processCorrelationId$ | ローリングID対策のためのプロセス相関ID |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| normalizer_version | string | normalizerVersion$ | ノーマライザーのバージョン(gitタグ) |
| normalizer_revision | string | normalizerRevision$ | ノーマライザーのリビジョン(gitコミットハッシュ) |
| os | OperatingSystem | \(os.\)os | オペレーティングシステム、ユーザー端末のアーキテクチャ |
| enrichments | Enrichments | enrichments$ | イベントのエンリッチメント |
| interpreter_name | string | interpreterName$ | 正規化されたインタープリター名(例: python2, python3, bash, powershellなど) |
| interpreter_path | string | interpreterArgs$ | インタープリターのフルパス(例: /usr/bin/python)。該当する場合はインタープリター行から取得 |
| interpreter_args | string | repeated | インタープリター行から取得した引数のセット(該当する場合) |
| decoders | string | repeated | ブロック内容に適用されたデコーダーのリスト |
| decoded_block_text | string | decodedBlockTest$ | デコード後のブロックテキスト。デコードが行われていない場合はoriginal_script_blockと同じ |
| original_script_block | string | originalScriptBlock$ | デコード前の元のスクリプト |
| original_block_hash | string | originalBlockHash$ | original_script_blockのハッシュ値 |
| decoded_block_hash | string | decodedBlockHash$ | decoded_block_hashのSHA1ハッシュ |
| decoded_block_base64 | bool | decodedBlockBase64$ | スクリプトのblock_textがbase64エンコードされているかどうか |
| decoded_block_truncated | bool | decodedBlockTruncated$ | スクリプトのblock_textがトランケーション制限を超えて切り捨てられたかどうか |
| script_name | string | scriptName$ | スクリプト名(存在する場合) |