スキーマ🔗
スキーマとは、パースおよび正規化されたデータが整合されるデータのカテゴリです。利用可能なSecureworks® Taegis™ XDRスキーマのリファレンスを活用し、データレイク検索クエリの作成に役立ててください。
データタイプ🔗
| データタイプ | 説明 |
|---|---|
| 検出 | イベントまたはイベントセットに基づき、Secureworks® Taegis™ XDRの検知機によってトリガーされた出力。 |
| イベント | 単一時点でのセキュリティテレメトリー。 |
注意
検出は任意の期間で検索できます。
ただし、イベント データは異なる扱いとなり、31日以内の任意の期間で検索できます。イベントデータは、データレイク検索で検出以外のタイプを選択することでクエリ可能です。これらの方法でイベントデータを検索する場合、カスタム日付ピッカーで検索期間を指定できます。このカスタム日付ピッカーでは、アカウントがデータを保持している任意の開始日を選択できますが、検索期間の終了日を選択する際は、開始日と終了日の差(日数)が31日以内である必要がある点にご注意ください。
イベントスキーマ🔗
| イベントタイプ | 説明 |
|---|---|
| Antivirusイベント | ホストやネットワーク上のマルウェア活動に関連するイベント。 |
| API Callイベント | プロセスがオペレーティングシステムのAPIを呼び出そうとした(成功・失敗を問わず)事例。 |
| Authイベント | ログイン成功・失敗、ログオフなどのアクティビティ。 |
| Cloud Auditイベント | クラウドベースのアプリケーションやクラウドホスト型インフラからの監査イベント。 |
| Detection Findingイベント | エンドポイントエージェントやXDR外部の他のソースによって生成された検出。 |
| DHCPイベント | クライアントおよびサーバーのDHCPアクティビティ(IPアドレス割り当てなど)の記録。 |
| DNSイベント | ホストによるドメイン名解決要求の記録。 |
| Emailイベント | フィッシングやスパムなどの手法に関連するEmailセキュリティサービスからのイベント。 |
| Encryptイベント | SSL/TLS接続やX.509証明書メタデータに関連するイベント。 |
| File Modificationイベント | プロセスがファイルの作成、変更、書き込み、削除を試みた事例。 |
| Genericイベント | syslogやその他一部の取り込みソースからの全ての生ログメッセージを格納。Genericイベントは他のイベントタイプにも正規化される場合があります。 |
| HTTPイベント | HTTP接続の詳細(例:プロキシサーバーログから)。 |
| Managementイベント | エンタープライズ環境のホストから管理情報へアクセスされた事例(例:WindowsのWMI経由)。 |
| Netflowイベント | 通信の入出力に関するネットワークトラフィック情報(送信元/送信先IPやポートを含む)。 |
| NIDSイベント | ネットワーク侵入検知・防御システムからのイベント。 |
| Persistenceイベント | Runキー、スケジュールタスク、サービスなど、攻撃者が侵害システムで永続化を維持するために一般的に使用する手法に関連するイベント。 |
| Processイベント | 他のライブプロセスでの任意コード実行。Processイベントには、プログラムの起動や関連するコマンドライン、親子関係、ホスト上で実行されたプログラムやコマンドに関するその他情報(例:WindowsのPowerShellによるメイン親実行ファイルからのターゲットプログラム起動)が含まれる場合があります。 |
| Process Moduleイベント | 異なるプロセスによってライブラリがロードされた際に生成されるイベント。 |
| Registryイベント | 特定のWindowsレジストリエントリのプロパティ。攻撃の検知に役立つ場合があります。 |
| Script Blockイベント | 攻撃者や他のエンティティによるリモートエンドポイント上でのコード(スクリプト)ブロックの実行。 |
| Taegis Agentイベント | Taegis Agentによって報告された検出。 |
| Technique Findingイベント | エンドポイントエージェントやXDR外部の他のソースによって観測された不正な挙動の指標。 |
| Third Party Alertイベント | XDR外部のソースで生成されたアラートのイベント記録。 |
| Thread Injectionイベント | スレッドが異なるターゲットプロセスのメモリアドレス空間内にコードを挿入し実行した事例。 |