Taegis Endpoint Agent 検出スキーマ🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resoureId$ | レコードを識別する完全なリソース文字列 |
| tenant_id | string | tenantId$ | このCTPX IDに固有のテナントID |
| visibility | Visibility | visibility$ | レコードの可視性に関する制約 |
| normalizer | string | normalizer$ | このレコードを作成したノーマライザーの名称とバージョン |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発信元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:* |
| original_data | string | originalData$ | 変換前の元の未加工データ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位、µs) |
| ingest_time_usec | uint64 | IngestTimeUsec$ | 取り込み時刻(マイクロ秒単位、µs) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecの元となる時刻の精度を指定 |
| host_id | string | hostId$ | ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMacアドレス |
| process_id | string | processId$ | 実行中プロセスに対してOSが付与した識別子 |
| process_create_time_usec | uint64 | parentCreateTimeUsec$ | プロセスの作成時刻(µs) |
| process_correlation_id | string | processCorrelationId$ | ローリングID対策のためのプロセス相関ID |
| image_path | string | imagePath$ | プロセスバイナリのパス |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(文字列) |
| normalizer_version | string | normalizerVersion$ | ノーマライザーのバージョン(gitタグ) |
| normalizer_revision | string | normalizerRevision$ | ノーマライザーのリビジョン(gitコミットハッシュ) |
| os | OperatingSystem | \(os.\)os | オペレーティングシステム、ユーザー端末のアーキテクチャ |
| enrichments | Enrichments | enrichments$ | イベントのエンリッチメント情報 |
| detection_category | DetectionCategory | 上位の検出カテゴリ | |
| detection_type | DetectionType | 検知された具体的な検出内容 | |
| summary | string | summary$ | 検出内容の簡潔な1行サマリー |
| kernel_context | KernelContext | カーネルの詳細情報 | |
| execution_context | ExecutionContext | プロセス実行・メモリの詳細情報 | |
| registry_context | RegistryContext | レジストリの詳細情報 | |
| file_system_context | FileSystemContext | 該当する場合のファイルシステム・ボリュームの詳細情報 | |
| container_context | ContainerContext | 該当する場合のコンテナの詳細情報 | |
| redirection_context | RedirectionContext | 該当する場合のリダイレクトの詳細情報 |