型スキーマ
Enrichments
Enrichmentsは、さまざまな取り込み時のエンリッチメントフィールドを保持するためのトップレベルフィールドを提供します
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| attack_technique_ids |
repeated string |
attackTechniqueIds$ |
MITRE Attack Technique IDのリスト |
| rule_id_to_techniques |
repeated KeyAndValues |
ruleIdToTechniques$ |
すべての異なるrule_idから、それらがカバーするMITRE attack techniqueのリストへのマッピング |
EntityOptions
ExternalURI
ExternalURIは、特定のイベントに対する外部リソースを参照します。これはイベントのソース、リサーチやTDR外のその他の情報である場合があります。
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| uri |
string |
uri$ |
リソースを識別します。これはWeb URL、UUID、または他のリソース内の単一イベントを一意に識別する他の文字列である場合があります。 |
| description |
string |
description$ |
uriが参照する内容の簡単な説明を含みます。 |
FileHash
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| md5 |
string |
md5$ |
|
| sha1 |
string |
sha1$ |
|
| sha256 |
string |
sha256$ |
|
| sha512 |
string |
sha512$ |
|
GeoSummary
GeoSummaryは、指定されたポイント半径に関連付けられた地理的事実の簡潔な要約を提供します
GeoSummary.ASN
ASNsの詳細については: https://en.wikipedia.org/wiki/Autonomous_system_(Internet)
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| autonomous_system_no |
uint32 |
autonomousSystemNo$ |
IPアドレスに関連付けられた自律システム番号。 |
| autonomous_system_org |
string |
autonomousSystemOrg$ |
IPアドレスの登録自律システム番号に関連付けられた組織。 |
GeoSummary.City
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| geoname_id |
uint32 |
geonameId$ |
GeoNamesで指定された都市の一意識別子 |
| locale_names |
KeyValuePairsIndexed |
localeNames$ |
"en"などのロケールコードから、その機能のローカライズ名へのマップ。 |
| name |
string |
name$ |
都市名 |
| confidence |
uint32 |
confidence$ |
0から99の範囲で、0はデータソースへの信頼度が最も低く、99はデータソースへの完全な信頼度を表します。 |
GeoSummary.City.NamesEntry
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| key |
string |
key$ |
|
| value |
string |
value$ |
|
GeoSummary.Continent
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| geoname_id |
uint32 |
geonameId$ |
GeoNamesで指定された都市の一意識別子 |
| code |
string |
code$ |
IPアドレスに関連付けられた大陸の2文字コード。利用可能なコードは: AF – Africa AN – Antarctica AS – Asia EU – Europe NA – North America OC – Oceania SA – South America |
GeoSummary.Country
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| geoname_id |
uint32 |
geonameId$ |
GeoNamesで指定された都市の一意識別子 |
| iso_code |
string |
isoCode$ |
IPアドレスに関連付けられた国の2文字ISO 3166-1国コード。 |
| code |
string |
code$ |
3文字のISO 3166-1 alpha-3国コード https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3 |
| confidence |
uint32 |
confidence$ |
0から99の範囲で、0はデータソースへの信頼度が最も低く、99はデータソースへの完全な信頼度を表します。 |
GeoSummary.Location
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| radius |
uint32 |
radius$ |
IPアドレスに関連付けられた地理的エンティティ(国、サブディビジョン、都市または郵便番号)の緯度・経度周辺の概算精度半径(km単位) |
| latitude |
float |
latitude$ |
IPアドレスに関連付けられた郵便番号、都市、サブディビジョンまたは国の概算緯度・経度 |
| longitude |
float |
longitude$ |
|
| us_metro_code |
uint32 |
usMetroCode$ |
IPアドレスに関連付けられたメトロコード。これは米国内のIPアドレスのみ利用可能です。 |
| timezone |
string |
timezone$ |
IANA Time Zone Databaseで指定されたロケーションのタイムゾーン。例: "America/New_York" |
| gmt_offset |
sint32 |
gmtOffset$ |
timezoneに関連付けられたGMTからのオフセット |
| metro_code |
uint32 |
metroCode$ |
非推奨。 internal:このフィールドは非推奨であり、使用しないでください。古いデータとの後方互換性のために存在し続ける必要があります。 |
HostPart
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| original_name |
string |
originalName$ |
元データに現れたオリジナルのホスト名値。(例: SomeHost@secureworks.com) |
| name |
string |
name$ |
グループやドメイン識別子を除いたホスト名値のみ。(例: SomeHost) |
| domain |
string |
domain$ |
元のホスト名値から明示的に抽出されたホストのドメイン名値。他のフィールドや元データの他の部分からパースされたものではありません。(例: secureworks.com) |
KeyAndValues
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| key |
string |
key$ |
|
| values |
repeated string |
values$ |
|
KeyValuePairsIndexed
KeyValueRecordIndexed
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| key |
string |
key$ |
'filename'などのオブジェクト名 |
| value |
string |
value$ |
'important.docx'などのオブジェクト値 |
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| normalized_event |
string |
normalizedEvent$ |
イベントに関連付けられた正規化済み関連イベント。JSONとしてシリアライズされます。 |
SearchOptions
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| id |
bool |
id$ |
この型の一意IDとなるフィールドです。イベントの場合、"resource_id"フィールドであると想定され、これはオプションです。 |
| index |
bool |
index$ |
このフィールドがインデックス化されるかどうか。インデックス化されていないフィールドは検索できない場合があります。 |
| store |
bool |
store$ |
このフィールドが保存されるかどうか。通常、ストレージからイベント全体を取得するために必要なフィールドのみがインデックスに保存されますが、よく要求されるフィールドは保存する価値がある場合もあります。 |
| tokenize |
SearchOptions.TokenizationType |
tokenize$ |
このフィールドをトークン化するかどうか、またどのようなトークン化を行うか。 |
| group |
bool |
group$ |
このフィールドがファセットやグループ化の対象となるかどうか。 |
| groupName |
repeated string |
groupName$ |
このフィールドが他のフィールドと組み合わせてファセットやグループ化に使われる場合、集約エンティティの名前を含みます。例えば、4つのフィールドが"event summary"フィールドを構成し、それがグループ化キーとなる場合、これら4つのキーはそれぞれ"groupName"フィールドに"event_summary"を持ち、適切にインデックス化されます。 |
| type |
SearchOptions.LogicalType |
type$ |
フィールドの"論理型"で、インデックス化、保存、処理方法のヒントを与える場合があります。 |
| alias |
repeated string |
alias$ |
このフィールドを別名でもインデックス化するかどうか。これによりインデックスの容量は増えますが、後方互換性の維持やスキーマ間の不整合解消のために有用な場合があります。 |
| ql_name |
string |
qlName$ |
このフィールドをクエリ言語ユーザーに提示する際の名前。クエリおよび返却結果の両方でフィールド名を修正します。 |
| hidden |
bool |
hidden$ |
このフィールドを検索結果から非表示にするかどうか。インデックス化されていても検索できなくなります。 |
UserPart
ユーザー名の各部分を標準化し、ログソースが複数部分(例: ユーザーとドメイン)を組み合わせている場合に、利用者がユーザー名の一部を参照できるようにします
| 正規化されたフィールド |
型 |
パーサーのフィールド |
説明 |
| original_name |
string |
originalName$ |
元データに現れたオリジナルのユーザー名値。(例: WORKGROUP\SomeUser@secureworks.com) |
| name |
string |
name$ |
グループやドメイン識別子を除いたユーザー名値のみ。(例: SomeUser) |
| domain |
string |
domain$ |
元のユーザー名値から明示的に抽出されたユーザーのドメイン名値。他のフィールドや元データの他の部分からパースされたものではありません。(例: secureworks.com) |
| group |
string |
group$ |
元のユーザー名値から明示的に抽出されたユーザーのグループ値。他のフィールドや元データの他の部分からパースされたものではありません。(例: WORKGROUP) |
EntityOptions.Direction
| 名前 |
番号 |
説明 |
| NON_DETERMINISTIC |
0 |
|
| SOURCE |
1 |
|
| SINK |
2 |
|
IdentityType
イベントでアクションを実行するユーザーが使用するカテゴリ型IDプロファイル
| 名前 |
番号 |
説明 |
| UNKNOWN_IDENTITY_TYPE |
0 |
未使用だがprotoの要件 |
| USER |
10 |
通常のユーザーアカウント。 |
| ROLE |
20 |
ロールベースアクセス制御(RBAC)でよく使われるロールを表すID。 |
| ADMIN |
30 |
権限が昇格された管理者アカウント。 |
| SERVICE_ACCOUNT |
40 |
アプリケーションやサービスが他のサービスとやり取りするために使用するサービスアカウント。 |
| GUEST |
50 |
一時的または限定的なアクセスのためによく使われるゲストまたは外部ユーザーアカウント。 |
| SYSTEM |
60 |
オペレーティングシステムやシステムサービスが使用するシステムアカウント。 |
NullableBoolean
| 名前 |
番号 |
説明 |
| UNSET |
0 |
|
| TRUE |
10 |
|
| FALSE |
20 |
|
SearchOptions.LogicalType
| 名前 |
番号 |
説明 |
| UNKNOWN |
0 |
デフォルト。特定の論理型がない、または不明であることを示します。 |
| TIMESTAMP_MILLIS |
1 |
このフィールドはUnixエポック(1970-01-01 00:00:00 UTC)からのミリ秒数として解釈されます。 |
| TIMESTAMP_MICROS |
2 |
このフィールドはUnixエポック(1970-01-01 00:00:00 UTC)からのマイクロ秒数として解釈されます。 |
| UUID |
3 |
|
| IP |
4 |
|
| DOMAIN |
5 |
|
| HOSTNAME |
6 |
|
| USERNAME |
7 |
|
| PORT |
8 |
|
| LATITUDE |
9 |
|
| LONGITUDE |
10 |
|
| MAC_ADDRESS |
11 |
|
| PROGRAM_HASH |
12 |
|
| FILE_PATH |
13 |
|
| URL |
14 |
|
| COMMAND_LINE |
15 |
|
| SENSOR_ID |
16 |
|
SearchOptions.TokenizationType
| 名前 |
番号 |
説明 |
| NONE |
0 |
デフォルト。このフィールドをトークン化しない |
| WHITESPACE |
1 |
空白でのみトークン化 |
| DEFAULT |
2 |
このフィールドの論理型に適したデフォルト、または論理型が不明な場合は汎用テキスト用のデフォルトでトークン化。 |
TimeFidelity
| 名前 |
番号 |
説明 |
| UNDEFINED |
0 |
未使用だがproto3の要件 |
| SECOND |
1 |
|
| MILLI |
2 |
10^-3秒 |
| MICRO |
3 |
10^-6秒 |
| NANO |
4 |
10^-9秒 |
Visibility
| 名前 |
番号 |
説明 |
| UNKNOWN |
0 |
未使用だがproto3の要件 |
| PUBLIC |
1 |
|
| PRIVATE |
2 |
|
| SHARED |
3 |
|
ファイルレベル拡張
| 拡張 |
型 |
ベース |
番号 |
説明 |
| entity |
EntityOptions |
.google.protobuf.EnumValueOptions |
80101 |
|
| search |
SearchOptions |
.google.protobuf.FieldOptions |
80100 |
|