コンテンツにスキップ

Thirdparty スキーマ🔗

注意

スキーマドキュメントは、正規化のために利用可能なフィールドを示しています。XDRでスキーマフィールドが入力されるためには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。詳細検索のスキーマライブラリーには、検索可能なフィールドのみが表示されます。

注意

このスキーマは、XDRのカスタムパーサーUIで thirdpartyalert として表示されます。

Thirdparty🔗

正規化されたフィールド パーサーのフィールド 説明
resource_id string resourceId$ レコードを識別する完全なリソース文字列。
tenant_id string tenantId$ このレコードを所有するテナントのID(CTPX IDに特有)
visibility Visibility visibility$ レコードの可視性に関する制約
normalizer string normalizer$ このレコードを作成したノーマライザーの名前とバージョン
sensor_type string sensorType$ このイベントを生成したデバイスのタイプ。例: redcloak, iSensor
sensor_event_id string sensorEventId$ センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant string sensorTenant$ データの発信元アプリケーションによって提供されたカスタマーID。例: redloak-domain, ctp-client-id
sensor_id string sensorId$ データの発信元アプリケーションによって提供されたID。例: redcloak-agent-id, iSensor Dev IP
sensor_cpe string sensorCpe$ アラートを生成したプラットフォームのCPE。例: cpe:2.3🅰secureworks:redcloak::::::::
original_data string originalData$ 変換前の元のデータ。
event_time_usec uint64 eventTimeUsec$ イベント発生時刻(マイクロ秒単位)
ingest_time_usec uint64 ingestTimeUsec$ 取り込み時刻(マイクロ秒単位)
event_time_fidelity TimeFidelity eventTimeFidelity$ event_time_usecに使用された時刻の元の精度を指定
host_id string hostId$ イベント発生元ホストの一意識別子(できればuuid)。内部利用: assets-v2で活用
sensor_version string sensorVersion$ エージェントのバージョン(既存フィールド定義の都合でbase eventとインデックスが一致しない場合あり)
normalizer_version string normalizerVersion$ ノーマライザーのバージョン(gitタグ)
normalizer_revision string normalizerRevision$ ノーマライザーのリビジョン(gitコミットハッシュ)
created_time_usec uint64 createdTimeUsec$ アラート作成時刻
closed_time_usec uint64 closedTimeUsec$ アラートクローズ時刻
updated_time_usec uint64 updatedTimeUsec$ アラートが最後に更新された時刻
first_event_time_usec uint64 firstEventTimeUsec$ このアラートを引き起こしたイベントが最初に観測された時刻
last_event_time_usec uint64 lastEventTimeUsec$ このアラートを引き起こした最後のイベントが観測された時刻
summary string summary$ サードパーティアラートの説明
title string title$ アラートのタイトル(説明の短縮版)
severity Thirdparty.AlertSeverity severity$ サードパーティアラート重大度に正規化されたアラート重大度。
vendor_severity string vendorSeverity$ スキーマ上で生の値として保持されるアラート重大度。ベンダーの重大度指標を把握し、イベントフィルター作成に利用可能。
confidence string confidence$ アラートロジックの信頼度(通常1-100のパーセンテージだが任意値可)
status string status$ アラートのライフサイクルステータス(例: unknown, newAlert, inProgress, resolvedなど)
user_principal_name string userPrincipalName$ ユーザーのサインイン名
source_user_name string sourceUserName$ アラートが生成されたアカウント
target_user_name string targetUserName$ アラートが生成された対象アカウント
domain_name string domainName$ ユーザーアカウントのドメイン
protocol uint32 protocol$ ネットワークプロトコル(tcp, udp, icmpなど)
direction Thirdparty.Direction direction$ ネットワーク接続の方向。値: unknown, inbound, outbound。
action Thirdparty.Action action$ 脅威がどのように処理されたか。値: action_unknown, attempted, succeeded, blocked, failed。
risk_score float riskScore$ プロバイダーが生成/計算したリスクスコア。推奨値範囲は0-1(パーセンテージ換算)。
log_type string logType$ ベンダーが定義したログタイプ
destination_service_name string destinationServiceName$ アラートの宛先クラウドアプリまたはサービス名
destination_service_class string destinationServiceClass$ アラートの宛先クラウドアプリまたはサービス名の分類
destination_url string destinationUrl$ アラート発行元が提供する宛先URL
user_agent string userAgent$ リクエストで使用されたユーザーエージェント文字列
alert_id string alertId$ アラートオブジェクトの一意識別子
source_user_id string sourceUserId$ アラートが生成されたアカウントID
target_user_id string targetUserId$ アラートが生成された対象アカウントID
destination_mac string destinationMac$ アラートが生成された宛先MACアドレス
source_mac string sourceMac$ アラートが生成された送信元MACアドレス
target_host_name string targetHostName$ アラートが生成された対象ホスト名
target_host HostPart targetHost$ target_host_nameの標準化フォーマット
source_host_name string sourceHostName$ アラートが生成された送信元ホスト名
source_host HostPart sourceHost$ source_host_nameの標準化フォーマット
is_custom_alert NullableBoolean isCustomAlert$ アラートロジックがベンダー作成(false)かエンドユーザー作成(true)かを示すブール値
is_generated NullableBoolean isGenerated$ アラートがプログラム的に生成されたデータ("true")か、実際のテレメトリー("false")かを示す
action_reason string actionReason$ アクションを実行したデバイスが提供する理由
device_location string deviceLocation$ ログを生成したデバイスの論理的な場所を示すラベル(例: "Build A Devices")
user_location string userLocation$ ログ内のユーザーまたはアクションを実行したユーザーの論理的な場所を示すラベル(例: "Traveling worker")
alert_category string alertCategory$ アラートを広範なカテゴリ(例: "Threat", "Policy Violation", "Operational Issue"など)に分類するベンダー提供の一般的分類。log_type(ベンダー定義のログタイプ)やontology(ドメイン知識に基づくより具体的・形式的なカテゴリ)とは異なる。
target_os OperatingSystem targetOs$ アラート対象のオペレーティングシステム・アーキテクチャ
source_user_type string sourceUserType$ アラートプロバイダーによって分類された監査対象ユーザーのタイプ
vendor string vendor$ アラートベンダー名(例: Microsoft, Dell, FireEye)
provider string provider$ 特定のプロバイダー(製品/サービス名。ベンダー会社名ではない)。例: WindowsDefenderATP。
sub_provider string subProvider$ 集約プロバイダー配下の特定サブプロバイダー。例: WindowsDefenderATP.SmartScreen。
provider_version string providerVersion$ アラートを生成したプロバイダーまたはサブプロバイダーのバージョン(存在する場合)
ontology string ontology$ アラートのカテゴリ(例: credential theft, ransomware, UnfamiliarLocation, UnauthorizedAccess:S3/TorIPCallerなど)
additional_data KeyValuePairsIndexed additionalData$ アラートごとの追加情報(キーと値のペア)
source_address string sourceAddress$ アラートプロバイダーが提供する送信元IP情報
destination_address string destinationAddress$ アラートプロバイダーが提供する宛先IP情報
source_port uint32 sourcePort$ TCP/UDP送信元ポート
destination_port uint32 destinationPort$ TCP/UDP宛先ポート
src_ipgeo_summary GeoSummary srcIpgeoSummary$ 送信元IPの地理的位置
dest_ipgeo_summary GeoSummary destIpgeoSummary$ 宛先IPの地理的位置
vendor_src_ipgeo_summary GeoSummary vendorSrcIpgeoSummary$ アラート発行元が提供する送信元IPの地理的位置
vendor_dst_ipgeo_summary GeoSummary vendorDstIpgeoSummary$ アラート発行元が提供する宛先IPの地理的位置
session_id string sessionId$ ネットワーク上で2つのデバイスまたはアプリケーション間の通信チャネルの識別子。

Thirdparty.Evidence🔗

正規化されたフィールド パーサーのフィールド 説明
evidence_id string evidenceId$ エビデンスオブジェクトの一意識別子(重複排除に使用)
source_data KeyValuePairsIndexed sourceData$ ソースエビデンスオブジェクトの属性のコピー

Thirdparty.ThreatIntelligenceIndicators🔗

正規化されたフィールド パーサーのフィールド 説明
type string type$ TIのタイプ(例: IPアドレス、Emailアドレス、url、ハッシュ、マルウェアなど)
value string value$ TIインジケーターの生値(例: 1.1.1.1, FAKEURL.COM may be available for sale or other proposals)
category string category$ 脅威識別子が提供するTIのカテゴリ。脅威インジケーターの共通特性や属性に基づくグループ化を表し、脅威タイプの整理や理解を促進。
last_observation_time_usec uint64 lastObservationTimeUsec$ TIが最後にキュレーションされた時刻のタイムスタンプ。
source string source$ TIデータの人間可読なソース(例: “Microsoft TIC”)
source_url string sourceUrl$ TIに関する情報を提供するURL
family string family$ プロバイダーが生成したマルウェアファミリー(例: 'wannacry', 'notpetya'など)
classification string classification$ 脅威識別子が提供するTIの分類。確立された基準に基づくクラスやグループへの体系的な配列を指し、脅威インジケーターを特定のクラスに割り当てることで、その重大度、緊急性、潜在的影響を反映。

Thirdparty.Vulnerabilities🔗

正規化されたフィールド パーサーのフィールド 説明
cvss string cvss$ この脆弱性のベースCVSS(共通脆弱性評価システム)重大度スコア。
cve string cve$ 脆弱性のCVE(共通脆弱性識別子)。

Thirdparty.Action🔗

名前 番号 説明
ACTION_UNKNOWN 0
ATTEMPTED 1
SUCCEEDED 2
BLOCKED 3
FAILED 4

Thirdparty.AlertSeverity🔗

名前 番号 説明
UNKNOWN_SEVERITY 0
INFO 1
LOW 2
MEDIUM 3
HIGH 4
CRITICAL 5

Thirdparty.Direction🔗

名前 番号 説明
UNKNOWN 0 proto3で必須だが未使用
INBOUND 1 インバウンドネットワーク接続
OUTBOUND 2 アウトバウンドネットワーク接続