Thirdparty スキーマ🔗
注意
スキーマドキュメントでは、正規化に利用できるフィールドを表示しています。XDRでスキーマフィールドが反映されるには、パーサーで定義された対応するフィールドが元データ内に存在している必要があります。正規化されたデータはイベントの正規化されたデータタブに表示され、対応するフィールドが元データに存在する場合のみXDRで検索可能です。データレイク検索のスキーマライブラリーでは、検索可能なフィールドのみが表示されます。
注意
このスキーマは、XDRのカスタムパーサーUIで thirdpartyalert として表示されます。
Thirdparty🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| resource_id | string | resourceId$ | レコードを識別する完全なリソース文字列。 |
| tenant_id | string | tenantId$ | このレコードを所有するテナントのID(CTPX IDに特有) |
| visibility | Visibility | visibility$ | レコードの可視性に関する制約 |
| normalizer | string | normalizer$ | このレコードを作成したノーマライザーの名前とバージョン |
| sensor_type | string | sensorType$ | このイベントを生成したデバイスのタイプ。例: redcloak, iSensor |
| sensor_event_id | string | sensorEventId$ | センサーによって割り当てられたoriginal_dataのイベントID |
| sensor_tenant | string | sensorTenant$ | データの発生元アプリケーションによって提供されたカスタマーID。例: redloak-domain, ctp-client-id |
| sensor_id | string | sensorId$ | データの発生元アプリケーションによって提供されたID。例: redcloak-agent-id, iSensor Dev IP |
| sensor_cpe | string | sensorCpe$ | アラートを生成したプラットフォームのCPE。例: cpe:2.3 secureworks:redcloak:::::::: |
| original_data | string | originalData$ | 変換前の元データ。 |
| event_time_usec | uint64 | eventTimeUsec$ | イベント発生時刻(マイクロ秒単位) |
| ingest_time_usec | uint64 | ingestTimeUsec$ | 取り込み時刻(マイクロ秒単位) |
| event_time_fidelity | TimeFidelity | eventTimeFidelity$ | event_time_usecに使用された時刻の元の精度を指定 |
| host_id | string | hostId$ | イベント発生元ホストの一意識別子(できればuuid)。内部利用: assets-v2で活用 |
| sensor_version | string | sensorVersion$ | エージェントのバージョン(既存フィールド定義の都合でbase eventとインデックスが一致しない場合あり) |
| normalizer_version | string | normalizerVersion$ | ノーマライザーのバージョン(gitタグ) |
| normalizer_revision | string | normalizerRevision$ | ノーマライザーのリビジョン(gitコミットハッシュ) |
| created_time_usec | uint64 | createdTimeUsec$ | アラート作成時刻 |
| closed_time_usec | uint64 | closedTimeUsec$ | アラートクローズ時刻 |
| updated_time_usec | uint64 | updatedTimeUsec$ | アラートが最後に更新された時刻 |
| first_event_time_usec | uint64 | firstEventTimeUsec$ | このアラートを引き起こしたイベントが最初に観測された時刻 |
| last_event_time_usec | uint64 | lastEventTimeUsec$ | このアラートを引き起こした最後のイベントが観測された時刻 |
| summary | string | summary$ | サードパーティアラートの説明 |
| title | string | title$ | アラートのタイトル(説明の短縮版) |
| severity | Thirdparty.AlertSeverity | severity$ | サードパーティアラート重大度に正規化されたアラート重大度。 |
| vendor_severity | string | vendorSeverity$ | スキーマ上で生の値として保持されるアラート重大度。ベンダーの重大度指標を把握し、イベントフィルター作成に利用可能。 |
| confidence | string | confidence$ | アラートロジックの信頼度(通常1-100のパーセンテージだが任意値可) |
| status | string | status$ | アラートのライフサイクルステータス(例: unknown, newAlert, inProgress, resolvedなど) |
| user_principal_name | string | userPrincipalName$ | ユーザーのサインイン名 |
| source_user_name | string | sourceUserName$ | アラートが生成されたアカウント |
| target_user_name | string | targetUserName$ | アクションによって影響を受けたアカウント |
| domain_name | string | domainName$ | ユーザーアカウントのドメイン |
| protocol | uint32 | protocol$ | ネットワークプロトコル(tcp, udp, icmpなど) |
| direction | Thirdparty.Direction | direction$ | ネットワーク接続方向。可能な値: unknown, inbound, outbound。 |
| action | Thirdparty.Action | action$ | 脅威がどのように処理されたか。可能な値: action_unknown, attempted, succeeded, blocked, failed。 |
| risk_score | float | riskScore$ | プロバイダーが生成/計算したリスクスコア。推奨値範囲は0-1(パーセンテージ換算)。 |
| log_type | string | logType$ | ベンダーが定義したログタイプ |
| destination_service_name | string | destinationServiceName$ | アラートの宛先クラウドアプリまたはサービス名 |
| destination_service_class | string | destinationServiceClass$ | アラートの宛先クラウドアプリまたはサービス名の分類 |
| destination_url | string | destinationUrl$ | アラート発行元が提供する宛先URL |
| user_agent | string | userAgent$ | リクエストで使用されたユーザーエージェント文字列 |
| alert_id | string | alertId$ | アラートオブジェクトの一意識別子 |
| source_user_id | string | sourceUserId$ | アラートが生成されたアカウントID |
| target_user_id | string | targetUserId$ | アラートが生成された対象アカウントID |
| destination_mac | string | destinationMac$ | アラートが生成された宛先MACアドレス |
| source_mac | string | sourceMac$ | アラートが生成された送信元MACアドレス |
| target_host_name | string | targetHostName$ | アラートが生成された対象ホスト名 |
| target_host | HostPart | targetHost$ | target_host_nameの標準化フォーマット |
| source_host_name | string | sourceHostName$ | アラートが生成された送信元ホスト名 |
| source_host | HostPart | sourceHost$ | source_host_nameの標準化フォーマット |
| is_custom_alert | NullableBoolean | isCustomAlert$ | 検知がカスタマーまたはテナントロジック(完全なカスタムルールやインジケーター、またはテナントがインスタンス化・設定したベンダーテンプレート/コンテンツパック/ビルディングブロック等)に基づく場合はTrue。 ベンダーデフォルトの一律検知のみで生成された場合はFalse。 出所が特定できない場合はUnknown。 |
| is_generated | NullableBoolean | isGenerated$ | アラートがプログラム的に生成されたデータ("true")か、実際のテレメトリー("false")かを示す |
| action_reason | string | actionReason$ | アクションを実施したデバイスが提供する理由 |
| device_location | string | deviceLocation$ | ログを生成したデバイスの論理的な場所を示すラベル(例: "Build A Devices") |
| user_location | string | userLocation$ | ログ内のユーザーまたはアクションを実施したユーザーの論理的な場所を示すラベル(例: "Traveling worker") |
| alert_category | string | alertCategory$ | アラートを広範なカテゴリ(例: "Threat", "Policy Violation", "Operational Issue"など)に分類するベンダー提供の一般的分類。log_type(ベンダー定義のログタイプ)やontology(ドメイン知識に基づくより具体的・形式的なカテゴリ)とは異なる。 |
| target_os | OperatingSystem | targetOs$ | アラート対象のオペレーティングシステム・アーキテクチャ |
| source_user_type | string | sourceUserType$ | アラートプロバイダーによる監査ユーザーのタイプ分類 |
| vendor | string | vendor$ | アラートベンダー名(例: Microsoft, Dell, FireEye) |
| provider | string | provider$ | 特定のプロバイダー(製品/サービス名。ベンダー企業名ではない)。例: WindowsDefenderATP。 |
| sub_provider | string | subProvider$ | 集約プロバイダー配下のサブプロバイダー。例: WindowsDefenderATP.SmartScreen。 |
| provider_version | string | providerVersion$ | アラートを生成したプロバイダーまたはサブプロバイダーのバージョン(存在する場合) |
| ontology | string | ontology$ | アラートのカテゴリ(例: credential theft, ransomware, UnfamiliarLocation, UnauthorizedAccess:S3/TorIPCallerなど) |
| additional_data | KeyValuePairsIndexed | additionalData$ | アラートごとの追加情報(キーと値のペア) |
| source_address | string | sourceAddress$ | アラートプロバイダーが提供する送信元IP情報 |
| destination_address | string | destinationAddress$ | アラートプロバイダーが提供する宛先IP情報 |
| source_port | uint32 | sourcePort$ | TCP/UDP送信元ポート |
| destination_port | uint32 | destinationPort$ | TCP/UDP宛先ポート |
| src_ipgeo_summary | GeoSummary | srcIpgeoSummary$ | 送信元IPの地理的位置情報 |
| dest_ipgeo_summary | GeoSummary | destIpgeoSummary$ | 宛先IPの地理的位置情報 |
| vendor_src_ipgeo_summary | GeoSummary | vendorSrcIpgeoSummary$ | アラート発行元が提供する送信元IPの地理的位置情報 |
| vendor_dst_ipgeo_summary | GeoSummary | vendorDstIpgeoSummary$ | アラート発行元が提供する宛先IPの地理的位置情報 |
| session_id | string | sessionId$ | ネットワーク上で2つのデバイスまたはアプリケーション間の通信チャネルを識別するID。 |
注意
is_custom_alert が true の場合:
- 検知の重大度は変更されません。
- これらのイベントによって生成された検知はMDRサービスキューをバイパスし、Taegis MDR サービス範囲外のため、セルフサービス用のカスタム検知としてテナントに直接配信されます。
Thirdparty.Evidence🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| evidence_id | string | evidenceId$ | エビデンスオブジェクトの一意識別子(重複排除に使用) |
| source_data | KeyValuePairsIndexed | sourceData$ | ソースエビデンスオブジェクトの属性のコピー |
Thirdparty.ThreatIntelligenceIndicators🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| type | string | type$ | TIのタイプ(例: IPアドレス、Emailアドレス、url、ハッシュ、マルウェアなど) |
| value | string | value$ | TIインジケーターの生値(例: 1.1.1.1, FAKEURL.COM may be available for sale or other proposals) |
| category | string | category$ | 脅威識別子が提供するTIのカテゴリ。脅威インジケーターの共通特性や属性に基づくグループ化を表し、脅威タイプの整理や理解を促進。 |
| last_observation_time_usec | uint64 | lastObservationTimeUsec$ | TIが最後にキュレーションされた時刻のタイムスタンプ。 |
| source | string | source$ | TIデータの人間が読めるソース(例: “Microsoft TIC”) |
| source_url | string | sourceUrl$ | TIに関する情報を提供するURL |
| family | string | family$ | プロバイダーが生成したマルウェアファミリー(例: 'wannacry', 'notpetya'など) |
| classification | string | classification$ | 脅威識別子が提供するTIの分類。確立された基準に基づくクラスやグループへの体系的な配列を指し、脅威インジケーターを特定のクラスに割り当てることで、その重大度、緊急性、潜在的影響を反映。 |
Thirdparty.Vulnerabilities🔗
| 正規化されたフィールド | 型 | パーサーのフィールド | 説明 |
|---|---|---|---|
| cvss | string | cvss$ | この脆弱性のBase Common Vulnerability Scoring System(CVSS)重大度スコア。 |
| cve | string | cve$ | 脆弱性のCommon Vulnerabilities and Exposures(CVE)。 |
Thirdparty.Action🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| ACTION_UNKNOWN | 0 | |
| ATTEMPTED | 1 | |
| SUCCEEDED | 2 | |
| BLOCKED | 3 | |
| FAILED | 4 |
Thirdparty.AlertSeverity🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN_SEVERITY | 0 | |
| INFO | 1 | |
| LOW | 2 | |
| MEDIUM | 3 | |
| HIGH | 4 | |
| CRITICAL | 5 |
Thirdparty.Direction🔗
| 名前 | 番号 | 説明 |
|---|---|---|
| UNKNOWN | 0 | proto3で必須だが未使用 |
| INBOUND | 1 | インバウンドネットワーク接続 |
| OUTBOUND | 2 | アウトバウンドネットワーク接続 |