コンテンツにスキップ

スキーマ🔗

スキーマとは、パースおよび正規化されたデータが整合されるデータのカテゴリです。利用可能なSecureworks® Taegis™ XDRスキーマのリファレンスを活用し、データレイク検索クエリの作成に役立ててください。

データタイプ🔗

データタイプ 説明
検出 検知機によるイベントまたはイベントセットに基づき、Secureworks® Taegis™ XDR検出をトリガーした出力。
イベント 単一時点のセキュリティテレメトリー。

注意

検出は任意の期間で検索できます。

ただし、イベント データは異なる扱いとなり、31日以内の任意の期間で検索できます。イベントデータは、データレイク検索で非検出タイプを選択することで検索可能です。いずれの方法でも、カスタム日付ピッカーで検索期間を指定できます。このカスタム日付ピッカーでは、アカウントがデータを保持している任意の開始日を選択できますが、検索期間の終了日を選択する際は、開始日と終了日の差分(日数)が31日以内である必要があります。

イベントスキーマ🔗

イベントタイプ 説明
Antivirusイベント ホストやネットワーク上のマルウェア活動に関連するイベント。
API Callイベント プロセスがオペレーティングシステムAPIの呼び出しを試みた(成功・失敗問わず)事例。
Authイベント ログイン成功・失敗、ログオフなどのアクティビティ。
Cloud Auditイベント クラウドベースのアプリケーションやクラウドホスト型インフラからの監査イベント。
検出発見事項イベント エンドポイントエージェントやXDR外部ソースから生成された検出。
DHCPイベント クライアントおよびサーバーのDHCPアクティビティ(IPアドレス割り当てなど)の記録。
DNSイベント ホストによるドメイン名解決要求の記録。
Emailイベント フィッシングやスパムなどの手法に関連するEmailセキュリティサービスからのイベント。
Encryptイベント SSL/TLS接続やX.509証明書メタデータに関連するイベント。
File Modificationイベント プロセスがファイルの作成、変更、書き込み、削除を試みた事例。
Genericイベント syslogやその他一部の取り込みソースからの全ての生ログメッセージを格納。Genericイベントは他のイベントタイプにも正規化される場合があります。
HTTPイベント HTTP接続の詳細(例:プロキシサーバーログから)。
ID検出結果イベント Sophos IDRのネイティブワークフローを支えるIDおよびアクセス管理(IAM)分析イベントを収集。
Managementイベント エンタープライズ環境のホストから管理情報へアクセスした事例(例:WindowsのWMI経由)。
Netflowイベント 通信の入出力に関するネットワークトラフィック情報(送信元/送信先IPやポートを含む)。
NIDSイベント ネットワーク侵入検知・防御システムからのイベント。
Persistenceイベント Runキー、スケジュールタスク、サービスなど、攻撃者が侵害システムで永続化を維持するために一般的に使用する手法に関連するイベント。
Processイベント 他のライブプロセスでの任意コード実行。Processイベントには、プログラムの起動や関連コマンドライン、親子関係、ホスト上で実行されたプログラムやコマンドに関する情報(例:WindowsのPowerShellによるターゲットプログラムの起動)が含まれる場合があります。
Process Moduleイベント 異なるプロセスによってライブラリがロードされた際に生成されるイベント。
Registryイベント 特定のWindowsレジストリエントリのプロパティ。攻撃の検知に役立つ場合があります。
Script Blockイベント 攻撃者やその他のエンティティによるリモートエンドポイント上でのコード(スクリプト)ブロックの実行。
ソフトウェアインベントリ情報イベント デバイスのソフトウェアインベントリデータを記録または事前収集したソフトウェアインベントリ情報イベント。
Taegis Agentイベント Taegis Agentによって報告された検出。
テクニック発見事項イベント エンドポイントエージェントやXDR外部ソースで観測された不正な挙動の指標。
サードパーティアラートイベント XDR外部ソースで生成されたアラートのイベント記録。
Thread Injectionイベント スレッドが他のターゲットプロセスのメモリアドレス空間にコードを挿入・実行した事例。