このトピックでは、CSE スキーマ v3 の属性を定義します。
accountId
| 説明 |
組織アカウント (テナントなど) に関連付けられた一意の識別子。サブアカウントまたは複数のテナントが存在するクラウド サービスで一般的に使用されます。ユーザ アカウント識別子としては使用しません。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
action
| 説明 |
action はデバイスによって実行され、ログに記録される操作を要約します。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
application
| 説明 |
実行、存在、または特定のイベントのコンテキストを示すログで参照されるサービスまたはソフトウェア アプリケーション。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
baseImage
| 説明 |
実行可能プロセスの名前。プロセス監査およびマルウェア検出イベントでよく見られます。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
bytesIn
| 説明 |
受信データの量 (バイト単位)。 |
| データ型 |
long |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
bytesOut
| 説明 |
送信データの量 (バイト単位)。 |
| データ型 |
long |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
changeTarget
| 説明 |
変更、削除、作成される、または変更、削除、または作成されたユーザ、グループ、ポリシー、その他のリソース。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
changeType
| 説明 |
変更の性質 (変更、削除、作成) と、多くの場合、その実行対象のカテゴリ (ユーザ、グループ、ポリシー、その他のリソース)。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
commandLine
| 説明 |
Windows のコマンド プロンプト (cmd.exe) や PowerShell、または Unix ベース システムのターミナルなどのテキスト インターフェイスに入力される指示。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
cseSignal
| 説明 |
CIP からの Scheduled Search アラートなど、ログ パスを介して受信されるシグナルに使用されます。 |
| データ型 |
map[string]string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
day
| 説明 |
タイムスタンプから取得される日。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
description
| 説明 |
ログ メッセージの意味を人間が読める形式で要約した概要。ログに概要が含まれていない場合、このフィールドはログ メッセージのイベント ID に基づいて、定数またはルックアップとしてマッピングで手動で定義されることがよくあります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
device_hostname
| 説明 |
コンピュータを一意かつ絶対的に指定する完全修飾ドメイン名。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
device_hostname_raw
| 説明 |
マッピング時に設定されるホスト名の値。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip
| 説明 |
ネットワーク上のデバイスに関連付けられた名前。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
device_ip_asnNumber
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの自律システム番号。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_asnOrg
| 説明 |
MaxMind GeoIP データベースに基づいて IP アドレスに関連付けられた組織。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_city
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの都市。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_countryCode
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_countryName
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_ipv4IntValue
| 説明 |
64 ビット符号なし整数値として保存される ipv4 アドレス。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_isInternal
| 説明 |
IP アドレスが内部か外部かを示します。内部の場合は True、外部の場合は False。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_isp
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスのインターネット サービス プロバイダ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_latitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの緯度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_location
| 説明 |
この値は、アップロードしたネットワーク ブロックに基づいて入力されます。一致がある場合、ネットワーク ブロック ラベルが入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_longitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの経度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_region
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの州または領地。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_ip_version
| 説明 |
IP プロトコルのバージョン (4 または 6 など) |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_mac
| 説明 |
ネットワーク上のデバイスを一意に識別するハードウェア識別番号 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
device_natIp
| 説明 |
内部 IP のネットワーク アドレス変換が行われる場合の外部 IP。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
device_natIp_asnNumber
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの自律システム番号。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_asnOrg
| 説明 |
MaxMind GeoIP データベースに基づいて IP アドレスに関連付けられた組織。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_city
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの都市。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_countryCode
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_countryName
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_ipv4IntValue
| 説明 |
64 ビット符号なし整数値として保存される ipv4 アドレス。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_isInternal
| 説明 |
IP アドレスが内部か外部かを示します。内部の場合は True、外部の場合は False。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_isp
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスのインターネット サービス プロバイダ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_latitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの緯度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_location
| 説明 |
この値は、アップロードしたネットワーク ブロックに基づいて入力されます。一致がある場合、ネットワーク ブロック ラベルが入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_longitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの経度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_region
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの州または領地。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_natIp_version
| 説明 |
IP プロトコルのバージョン (4 または 6 など) |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
device_osName
| 説明 |
このデバイスを制御しているオペレーティング システム。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
device_uniqueId
| 説明 |
デバイスの Source 固有の識別子 (ある場合)。これはクラウド環境でのインスタンス ID であることがよくあります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dns_query
| 説明 |
クライアント マシンから DNS サーバに出されるリクエスト全体。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dns_queryDomain
| 説明 |
DNS リクエストで照会される完全修飾ドメイン名 (ある場合)。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dns_queryDomain_alexaRank
| 説明 |
Alexa の上位 10,000 サイトのドメイン ランキング。リストに含まれていない場合は NULL。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_entropyFqdn
| 説明 |
fqdn フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_entropyRootDomain
| 説明 |
rootDomain フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_entropySubDomain
| 説明 |
エントロピは無秩序を測る基準です。この場合の対象はサブドメイン。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_fqdn
| 説明 |
完全修飾ドメイン名 (somehost.sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_possibleDga
| 説明 |
このドメインが、バックエンド アナリティクスに基づく、ドメイン生成アルゴリズムによって作成されたドメインであるかどうかの可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_possibleDynDns
| 説明 |
このドメインに関連付けられた動的 (静的ではない) IP アドレスである可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_rootDomain
| 説明 |
ドメインのホスト名のルート ドメイン (sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryDomain_tld
| 説明 |
ドメイン名の top-level-domain フィールド (com、net、org など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_queryType
| 説明 |
クライアントによって照会されている DNS レコードのタイプ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dns_reply
| 説明 |
DNS 返信。1 つのレコード、または文字列に連結された複数のレコードの場合があります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dns_replyDomain
| 説明 |
返信にドメインが含まれている場合、DNS 内に含まれたドメイン。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dns_replyDomain_alexaRank
| 説明 |
Alexa の上位 10,000 サイトのドメイン ランキング。リストに含まれていない場合は NULL。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_entropyFqdn
| 説明 |
fqdn フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_entropyRootDomain
| 説明 |
rootDomain フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_entropySubDomain
| 説明 |
エントロピは無秩序を測る基準です。この場合の対象はサブドメイン。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_fqdn
| 説明 |
完全修飾ドメイン名 (somehost.sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_possibleDga
| 説明 |
このドメインが、バックエンド アナリティクスに基づく、ドメイン生成アルゴリズムによって作成されたドメインであるかどうかの可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_possibleDynDns
| 説明 |
このドメインに関連付けられた動的 (静的ではない) IP アドレスである可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_rootDomain
| 説明 |
ドメインのホスト名のルート ドメイン (sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyDomain_tld
| 説明 |
ドメイン名の top-level-domain フィールド (com、net、org など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp
| 説明 |
返信に IP アドレスが含まれている場合、DNS 内に含まれた IP アドレス。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dns_replyIp_asnNumber
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの自律システム番号。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_asnOrg
| 説明 |
MaxMind GeoIP データベースに基づいて IP アドレスに関連付けられた組織。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_city
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの都市。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_countryCode
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_countryName
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_ipv4IntValue
| 説明 |
64 ビット符号なし整数値として保存される ipv4 アドレス。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_isInternal
| 説明 |
IP アドレスが内部か外部かを示します。内部の場合は True、外部の場合は False。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_isp
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスのインターネット サービス プロバイダ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_latitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの緯度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_location
| 説明 |
この値は、アップロードしたネットワーク ブロックに基づいて入力されます。一致がある場合、ネットワーク ブロック ラベルが入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_longitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの経度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_region
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの州または領地。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_replyIp_version
| 説明 |
IP プロトコルのバージョン (4 または 6 など) |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dns_returnCode
| 説明 |
DNS リクエストの結果を示すコードまたはメッセージ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dstDevice_hostname
| 説明 |
コンピュータを一意かつ絶対的に指定する完全修飾ドメイン名。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dstDevice_hostname_raw
| 説明 |
マッピング時に設定されるホスト名の値。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip
| 説明 |
ネットワーク上のデバイスに関連付けられた名前。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dstDevice_ip_asnNumber
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの自律システム番号。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_asnOrg
| 説明 |
MaxMind GeoIP データベースに基づいて IP アドレスに関連付けられた組織。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_city
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの都市。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_countryCode
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_countryName
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_ipv4IntValue
| 説明 |
64 ビット符号なし整数値として保存される ipv4 アドレス。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_isInternal
| 説明 |
IP アドレスが内部か外部かを示します。内部の場合は True、外部の場合は False。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_isp
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスのインターネット サービス プロバイダ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_latitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの緯度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_location
| 説明 |
この値は、アップロードしたネットワーク ブロックに基づいて入力されます。一致がある場合、ネットワーク ブロック ラベルが入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_longitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの経度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_region
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの州または領地。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_ip_version
| 説明 |
IP プロトコルのバージョン (4 または 6 など) |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_mac
| 説明 |
ネットワーク上のデバイスを一意に識別するハードウェア識別番号 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dstDevice_natIp
| 説明 |
内部 IP のネットワーク アドレス変換が行われる場合の外部 IP。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dstDevice_natIp_asnNumber
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの自律システム番号。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_asnOrg
| 説明 |
MaxMind GeoIP データベースに基づいて IP アドレスに関連付けられた組織。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_city
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの都市。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_countryCode
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_countryName
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_ipv4IntValue
| 説明 |
64 ビット符号なし整数値として保存される ipv4 アドレス。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_isInternal
| 説明 |
IP アドレスが内部か外部かを示します。内部の場合は True、外部の場合は False。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_isp
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスのインターネット サービス プロバイダ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_latitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの緯度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_location
| 説明 |
この値は、アップロードしたネットワーク ブロックに基づいて入力されます。一致がある場合、ネットワーク ブロック ラベルが入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_longitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの経度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_region
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの州または領地。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_natIp_version
| 説明 |
IP プロトコルのバージョン (4 または 6 など) |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
dstDevice_osName
| 説明 |
このデバイスを制御しているオペレーティング システム。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dstDevice_uniqueId
| 説明 |
デバイスの Source 固有の識別子 (ある場合)。これはクラウド環境でのインスタンス ID であることがよくあります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
dstPort
| 説明 |
ネットワーク トランザクションの宛先ポート。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
email_messageId
| 説明 |
送信側のメール システムによって生成されるメール メッセージの半一意の識別子で、多くの場合、送信側システムの完全修飾ドメイン名で終わります。複数の受信者に送信されるなど、同じメール メッセージのコピーに同じメッセージ ID が使用される場合があるため、完全に一意ではありません。メール システムによっては、メッセージ ID が異なる方法で形成される場合があります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
email_sender
| 説明 |
メール送信者のアドレス。メール アクティティビティ (スパムのフィルタリング、メッセージのトラッキングなど) に関連するログのみに使用されます。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
email_subject
| 説明 |
メールの件名 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
fieldTags
| 説明 |
エンティティのタグのリストに対するエンティティ フィールドのマップ。 |
| データ型 |
map[string]array[string] |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
fields
| 説明 |
ログ行からマッピングされていないすべてのデータの汎用コンテナ。 |
| データ型 |
map[string]string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
file_basename
| 説明 |
パスのないファイルの名前と拡張子 (該当する場合)。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_hash_imphash
| 説明 |
インポート ハッシュ (Imphash) アルゴリズムを使用して作成されるファイル ハッシュ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_hash_md5
| 説明 |
128 ビット MD5 アルゴリズムを使用して作成されるファイル ハッシュ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_hash_pehash
| 説明 |
PEHash アルゴリズムを使用して作成されるポータブル実行可能 (PE) ファイル バイナリのハッシュ値。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_hash_sha1
| 説明 |
SHA1 アルゴリズムを使用して生成されるファイルのハッシュ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_hash_sha256
| 説明 |
SHA256 アルゴリズムを使用して生成されるファイルのハッシュ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_hash_ssdeep
| 説明 |
ssdeep を使用して生成されるファイルのファジー ハッシュ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_mimeType
| 説明 |
インターネットを介して送信されるファイルの性質と形式を示す 2 つの部分で構成されるメディア タイプ (タイプ/サブタイプ)。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_path
| 説明 |
ファイルのフル パス (可能な場合)。このフィールドには部分的なパスが含まれ、パス フィールドの汎用プレース ホルダとして機能する場合があります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_size
| 説明 |
ファイルが占めるバイト数。 |
| データ型 |
long |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
file_uid
| 説明 |
ファイルのデータ ソース固有の一意の識別子。多くの場合、GUID です。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
flowState
| 説明 |
ネットワーク トラフィック フローがインターフェイスに入るまたは出ていくときの状態 (開始、終了、続行など) を示す値。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
friendlyName
| 説明 |
データがマッピングされるテーブルの名前。V3 の場合は必ずレコードです。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
fromUser_authDomain
| 説明 |
この特定のユーザに関連付けられたドメイン。(Sumologic.com、sumologic.local など) |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
fromUser_email
| 説明 |
このユーザに割り当てられた関連付けられたメール アドレス。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
fromUser_userId
| 説明 |
ユーザ アカウントの Source の一意の識別子。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
fromUser_username
| 説明 |
ユーザを識別するために一般的に使用される名前。ドメインを含む場合があります。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
fromUser_username_raw
| 説明 |
ユーザ名の未処理 (非正規化) バージョン。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
fromUser_username_role
| 説明 |
正規化されたユーザ名から parse されるロール (通常は、AWS 想定ロール ARN から)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
hour
| 説明 |
タイムスタンプから取得される時間。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
http_category
| 説明 |
URL またはドメインに基づき、サービスによって判断される概要カテゴリ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_contentLength
| 説明 |
リクエスト本文のデータのバイト数。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_hostname
| 説明 |
HTTP リクエスト内のホストの名前。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_method
| 説明 |
実行される HTTP リクエストのタイプ (GET、POST など) |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_referer
| 説明 |
リクエストのオリジンを判断するために、リクエストされているリソースにリンクされた Web ページのアドレス (URI または IRI) を特定します。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_referer_alexaRank
| 説明 |
Alexa トラフィック ランクによる上位 10,000 サイト中のドメインのランク。リストに含まれていない場合は NULL。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_entropyFqdn
| 説明 |
fqdn フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_entropyRootDomain
| 説明 |
rootDomain フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_fqdn
| 説明 |
URL の完全修飾ドメイン名 (somehost.sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_path
| 説明 |
URL のパス コンポーネント (somepath/something など) |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_possibleDga
| 説明 |
このドメインが、バックエンド アナリティクスに基づく、ドメイン生成アルゴリズムによって作成されたドメインであるかどうかの可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_possibleDynDns
| 説明 |
このドメインに関連付けられた動的 (静的ではない) IP アドレスである可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_protocol
| 説明 |
URL プロトコル (https など) |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_rootDomain
| 説明 |
URL のホスト名のルート ドメイン (sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_referer_tld
| 説明 |
URL のドメイン名の top-level-domain フィールド (com、net、org など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_requestHeaders
| 説明 |
HTTP リクエスト ヘッダーのマップ。 |
| データ型 |
map[string]string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_response_contentLength
| 説明 |
応答本文のデータのバイト数。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_response_contentType
| 説明 |
HTTP 応答内に含まれるデータの性質と形式を示す 2 つの部分で構成されるメディア タイプ (MIME タイプ/サブタイプ)。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_response_statusCode
| 説明 |
HTTP リクエストに対する数値応答コード。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_response_statusText
| 説明 |
HTTP ステータス コードに対応する、HTTP リクエストの応答テキスト。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_url
| 説明 |
HTTP リソース (Web ページ) の Uniform Resource Locator (URL)。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
http_url_alexaRank
| 説明 |
Alexa トラフィック ランクによる上位 10,000 サイト中のドメインのランク。リストに含まれていない場合は NULL。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_entropyFqdn
| 説明 |
fqdn フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_entropyRootDomain
| 説明 |
rootDomain フィールドのエントロピ計算。 |
| データ型 |
double |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_fqdn
| 説明 |
URL の完全修飾ドメイン名 (somehost.sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_path
| 説明 |
URL のパス コンポーネント (somepath/something など) |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_possibleDga
| 説明 |
このドメインが、バックエンド アナリティクスに基づく、ドメイン生成アルゴリズムによって作成されたドメインであるかどうかの可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_possibleDynDns
| 説明 |
このドメインに関連付けられた動的 (静的ではない) IP アドレスである可能性。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_protocol
| 説明 |
URL プロトコル (https など) |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_rootDomain
| 説明 |
URL のホスト名のルート ドメイン (sumologic.com など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_url_tld
| 説明 |
URL のドメイン名の top-level-domain フィールド (com、net、org など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
http_userAgent
| 説明 |
HTTP リクエストでユーザの代理として機能しているソフトウェア エージェント。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
ipProtocol
| 説明 |
ログ イベントを生成したトラフィックで使用されるトランスポート層のインターネット プロトコル。これには、Internet Assigned Numbers Authority (IANA) で定義されているように、IP プロトコル キーワードまたはプロトコル番号 (ICMP または 1、TCP または 6、UDP または 17 など) を使用します。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
listMatches
| 説明 |
ログ内の値と一致した一致リストの名前。 |
| データ型 |
array[string] |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
logonType
| 説明 |
開始されたユーザ セッションの認証方法またはタイプ。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
matchedItems
| 説明 |
ログ内の値と一致した一致リストの値。 |
| データ型 |
array[MatchedItem] |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_defaultTz
| 説明 |
タイプスタンプの parse のデフォルトのタイムゾーン。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_deviceEventId
| 説明 |
ベンダーがログに対して定義したイベント タイプ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_mapperName
| 説明 |
ログを正規化するために使用される Sumo Logic CSE マッパーの名前。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_mapperUid
| 説明 |
ログを正規化するために使用される Sumo Logic CSE マッパーの UID。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_parseTime
| 説明 |
パーサおよびマッパー サービスによってログ行がレコードに parse された時間 (エポック時刻からのミリ秒数)。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_parser
| 説明 |
元のログで使用された Sumo Logic パーサの名前。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_product
| 説明 |
データ ソースに特有の製品名。この製品を作成した会社の名前は「vendor」フィールドにあります。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_productGuid
| 説明 |
ログの正規化されたベンダーと製品の組み合わせの UID。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_receiptTime
| 説明 |
ログ センサーがログ行を受信した時間 (エポック時刻からのミリ秒数)。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_schemaVersion
| 説明 |
現在のスキーマ バージョン (3)。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_sensorId
| 説明 |
ログを取り込むために使用される Sumo Logic センターの UID。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_sensorZone
| 説明 |
センサーから伝達される名前。IP アドレス空間が重複する環境にセンサーがインストールされている場合、これを使用して 2 つの同一 IP アドレスを区別します。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_sourceCategory
| 説明 |
データの Sumo Logic Source Category。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_sourceMessageId
| 説明 |
元の Source ログ メッセージの _messageID (SumoLogic から)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
metadata_vendor
| 説明 |
データ ソースの責任を持つ会社の名前。製品名は「product」フィールドにあります。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
moduleType
| 説明 |
ファイル タイプを識別する機能を拡張するためにプロセスによって読み込まれるファイルの属性。またはどのように動作するかを示します。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
month
| 説明 |
タイムスタンプから取得される月。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
normalizedSeverity
| 説明 |
1 から 5 の段階で表す重大度スコア。1 が Informational (情報) で、5 が Critical (重大) を表します。これは、ベンダー固有の重大度を正規化するために、マッピングで明示的またはルックアップで定義されます。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
normalizedSeverity_description
| 説明 |
重大度を表す文字列。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
objectType
| 説明 |
最上位のスキーマ オブジェクト タイプの名前。(Authentication、Audit、Endpoint、Network、Notification など)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
packetsIn
| 説明 |
ネットワーク接続で受信したパケット数。 |
| データ型 |
long |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
packetsOut
| 説明 |
ネットワーク接続で送信したパケット数。 |
| データ型 |
long |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
parentBaseImage
| 説明 |
子プロセスを生成した実行可能プロセスの名前。プロセス監査およびマルウェア検出イベントでよく見られます。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
parentCommandLine
| 説明 |
親プロセスに関連付けられた、Windows のコマンド プロンプト (cmd.exe) や PowerShell、または Unix ベース システムのターミナルなどのテキスト インターフェイスに入力される指示。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
parentPid
| 説明 |
プロセスを開始したプログラム (通常は parentBaseImage) のプロセス ID。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
pid
| 説明 |
プロセス (通常は baseImage) のプロセス ID。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
processUid
| 説明 |
プロセスのデータ ソース固有の一意の識別子。多くの場合、GUID です。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
resource
| 説明 |
マッピング スキーマで現在指定されているより具体的なフィールドがないログ内で参照されるオブジェクトを取得するための汎用フィールド。(ただし、ファイルがリソースの場合は、この値を取得するために file_basename と file_path の両方が存在します) |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
severity
| 説明 |
正規化を行わない Source 固有の重大度。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
sourceUid
| 説明 |
レコード自体で定義される UID。マッピング時に各レコードに UID が割り当てられます。ただし、これは元のメッセージ内に存在する可能性がある一意の識別子フィールドです。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
srcDevice_hostname
| 説明 |
コンピュータを一意かつ絶対的に指定する完全修飾ドメイン名。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
srcDevice_hostname_raw
| 説明 |
マッピング時に設定されるホスト名の値。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip
| 説明 |
ネットワーク上のデバイスに関連付けられた名前。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
srcDevice_ip_asnNumber
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの自律システム番号。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_asnOrg
| 説明 |
MaxMind GeoIP データベースに基づいて IP アドレスに関連付けられた組織。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_city
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの都市。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_countryCode
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_countryName
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_ipv4IntValue
| 説明 |
64 ビット符号なし整数値として保存される ipv4 アドレス。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_isInternal
| 説明 |
IP アドレスが内部か外部かを示します。内部の場合は True、外部の場合は False。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_isp
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスのインターネット サービス プロバイダ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_latitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの緯度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_location
| 説明 |
この値は、アップロードしたネットワーク ブロックに基づいて入力されます。一致がある場合、ネットワーク ブロック ラベルが入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_longitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの経度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_region
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの州または領地。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_ip_version
| 説明 |
IP プロトコルのバージョン (4 または 6 など) |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_mac
| 説明 |
ネットワーク上のデバイスを一意に識別するハードウェア識別番号 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
srcDevice_natIp
| 説明 |
内部 IP のネットワーク アドレス変換が行われる場合の外部 IP。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
srcDevice_natIp_asnNumber
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの自律システム番号。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_asnOrg
| 説明 |
MaxMind GeoIP データベースに基づいて IP アドレスに関連付けられた組織。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_city
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの都市。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_countryCode
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_countryName
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの国コード。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_ipv4IntValue
| 説明 |
64 ビット符号なし整数値として保存される ipv4 アドレス。 |
| データ型 |
long |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_isInternal
| 説明 |
IP アドレスが内部か外部かを示します。内部の場合は True、外部の場合は False。 |
| データ型 |
boolean |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_isp
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスのインターネット サービス プロバイダ。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_latitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの緯度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_location
| 説明 |
この値は、アップロードしたネットワーク ブロックに基づいて入力されます。一致がある場合、ネットワーク ブロック ラベルが入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_longitude
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの経度。 |
| データ型 |
float |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_region
| 説明 |
MaxMind GeoIP データベースに基づく、IP アドレスの州または領地。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_natIp_version
| 説明 |
IP プロトコルのバージョン (4 または 6 など) |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
srcDevice_osName
| 説明 |
このデバイスを制御しているオペレーティング システム。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
srcDevice_uniqueId
| 説明 |
デバイスの Source 固有の識別子 (ある場合)。これはクラウド環境でのインスタンス ID であることがよくあります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
srcPort
| 説明 |
ネットワーク トラフィックの発生元のポート番号。 |
| データ型 |
int |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
success
| 説明 |
ログに記録されたアクションまたはイベントが成功したかどうかを示す true または false。このフィールドは、マッピングで定数として、またはルックアップに基づいて定義されます。 |
| データ型 |
boolean |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
tcpProtocol
| 説明 |
インターネット プロトコル スイート (TCP/IP) で定義されているように、接続を確立するために使用されるアプリケーション層プロトコル。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
threat_category
| 説明 |
シグネチャまたは脅威名に基づき、サービスによって判断される脅威の種類。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
threat_identifier
| 説明 |
脅威 (脆弱性ではなく) に固有の識別子または痕跡。一般的に、これには痕跡値が入力されます。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
threat_name
| 説明 |
マルウェアやエクスプロイトなど、特定の脅威 (脆弱性ではなく) の名前。多くの場合、脅威シグネチャです。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
threat_referenceUrl
| 説明 |
脅威の詳細情報を提供できる外部 URL。これは、観察された HTTP リクエストを表す URL にはできません。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
threat_ruleType
| 説明 |
このフィールドは、セキュリティ イベントの検出がすでに発生していることを示すログで使用します。これらのログは、シグネチャやルール セットのようなセキュリティ製品独自の検出機能によって生成されます。たとえば、ログのメッセージに重大度、リスク、または影響がある場合は、そのマッパーに threat_ruleType を含めて読み込まれるようにします。このフィールドを使用するログはすべてパス スルー コンテンツの形式になります。セキュリティ イベント検出を含まないメッセージは、このフィールドをマッパーから除外するか、空白のままにする必要があります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
threat_signalName
| 説明 |
このフィールドは、他のセキュリティ製品、アプライアンス、サービスからセキュリティ アラートを直接パス スルーするよう設計された、正規化されたルールと一緒に使用します。これらのルールは、このフィールドに読み込まれたテキストをシグナル名の要素として使用し、正規化されたルール ロジックを保持しながら、製品によって異なるシグナル名を許可します。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
timestamp
| 説明 |
イベントのタイムスタンプ (エポック時刻からのミリ秒)。 |
| データ型 |
long |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
uid
| 説明 |
Sumo Logic CSE で parse されるレコードの UID。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
user_authDomain
| 説明 |
この特定のユーザに関連付けられたドメイン。(Sumologic.com、sumologic.local など) |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
user_email
| 説明 |
このユーザに割り当てられた関連付けられたメール アドレス。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
user_userId
| 説明 |
ユーザ アカウントの Source の一意の識別子。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
user_username
| 説明 |
ユーザを識別するために一般的に使用される名前。ドメインを含む場合があります。名前の正規化が行われる場合、これは正規化された名前になります。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
user_username_raw
| 説明 |
ユーザ名の未処理 (非正規化) バージョン。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
user_username_role
| 説明 |
正規化されたユーザ名から parse されるロール (通常は、AWS 想定ロール ARN から)。 |
| データ型 |
string |
| マッピングで設定可 |
False |
| 強化フィールド |
True |
vuln_bugtraq
| 説明 |
SecurityFocus によって割り当てられた Bugtraq 識別子。BugTraq は、コンピュータ セキュリティの脆弱性について詳細な議論や発表を行うための完全開示承認制のメーリング リストです。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
vuln_cert
| 説明 |
United States Computer Emergency Readiness Team Coordination Center (US CERT/CC) によって割り当てられた脆弱性の数値 ID。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
vuln_cve
| 説明 |
脆弱性の共通脆弱性識別子。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
vuln_cvss
| 説明 |
CVSS は重大度スコアの割り当てを試み、応答者は脅威に応じて応答とリソースに優先順位を付けることができます。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
vuln_name
| 説明 |
脆弱性の名前。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
vuln_reference
| 説明 |
脆弱性に関する詳細情報の参照先。 |
| データ型 |
string |
| マッピングで設定可 |
True |
| 強化フィールド |
False |
year
| 説明 |
タイムスタンプから取得される年。 |
| データ型 |
int |
| マッピングで設定可 |
False |
| 強化フィールド |
False |
