 |
WichtigDiese Datenquellenabfragemethode ist nach dem 2. Februar 2026 nicht mehr verfügbar.
Für weitere Informationen zu den derzeit verfügbaren Datenquellen für Abfragen im
XDR Data Explorer gehen Sie zu https://trendmicro.github.io/tm-v1-schema/pages/index.
|
|
Feldname
|
Typ
|
Allgemeines Feld
|
Beschreibung
|
Beispiel
|
Produkte
|
|
act
|
|
-
|
Die Aktion
|
|
|
|
Aktion
|
|
-
|
Die Verkehrsverarbeitungsaktion
|
|
|
|
app
|
|
-
|
Das Netzwerkprotokoll
|
|
|
|
Anwendung
|
|
-
|
Der Name der angeforderten Anwendung
|
|
|
|
archFiles
|
|
-
|
Die Dateiinformationen, die aus erkannten Dateien extrahiert wurden
|
|
|
|
authType
|
|
-
|
Die Authentifizierungsmethode
|
|
|
|
azId
|
|
-
|
Die Verfügbarkeitszonen-ID
|
|
|
|
Byte
|
|
-
|
Die Anzahl der übertragenen Daten-Byte
|
|
|
|
clientGroup
|
|
-
|
Die Client-IP-Netzwerkgruppe
|
|
|
|
clientHost
|
|
-
|
Der Client-IP-Hostname
|
|
|
|
clientIp
|
|
|
Die Endpunkt-IP
|
|
|
|
clientMAC
|
|
-
|
Die MAC-Adresse des Clients
|
|
|
|
clientPort
|
|
|
Der Client-Port
|
|
|
|
clientProtocol
|
|
-
|
Das Client-Protokoll
|
|
|
|
clientTls
|
|
-
|
Die Transportschichtsicherheit des Clients
|
|
|
|
cloudAccountId
|
|
-
|
Die AWS-Konto-ID des Eigentümers der Quell-Netzwerkschnittstelle (account-id)
|
|
|
|
cloudAppCat
|
|
-
|
Die Kategorie des Ereignisses im Cloud-Reputation-Dienst
|
|
|
|
Firmenname
|
|
-
|
Der Firmenname
|
|
|
|
Inhaltskodierung
|
|
-
|
Die Inhaltscodierung der Anfrage oder der Antwort
|
|
|
|
dBenutzer1
|
|
|
Der zuletzt angemeldete Benutzer des Ziels
|
|
|
|
Erkennungstyp
|
|
-
|
Der Fundtyp des Datenverkehrs
|
|
|
|
deviceGUID
|
|
-
|
Das Nicht-Endpunkt-Objekt wie ein Netzwerkgerät
|
|
|
|
dhost
|
|
|
Der Ziel-Hostname
|
|
|
|
Richtung
|
|
-
|
Die Übertragungsrichtung des Objekts
|
|
|
|
dnsQueryType
|
|
-
|
Der vom DNS-Protokoll angeforderte Aufzeichnungstyp
|
|
|
|
dpt
|
|
|
Der Zielport des Dienstes des privaten Anwendungsservers (dstport)
|
|
|
|
dst
|
|
|
Die Ziel-IP (dstaddr)
|
|
|
|
dstLocation
|
|
-
|
Das Zielland
|
|
|
|
Dauer
|
|
-
|
Die Zeit, die der Scanner benötigte, um das DURCHSUCHEN abzuschließen (in Millisekunden)
|
|
|
|
duser
|
|
|
Der E-Mail-Empfänger
|
|
|
|
dvc
|
|
-
|
Die IP-Adresse des Deep Discovery Inspector oder Virtual Network Sensor Geräts
|
|
|
|
dvchost
|
|
-
|
Der Hostname des Netzwerkgeräts
|
|
|
|
e2eLatency
|
|
-
|
Die End-to-End-Verkehrslatenzzeit (in Millisekunden)
|
|
|
|
endpointGuid
|
|
|
Die Geräte-GUID
|
|
|
|
endpointHostName
|
|
|
Der Hostname des Geräts, auf dem das Ereignis erkannt wurde
|
|
|
|
eventId
|
|
-
|
Die Ereignis-ID
|
|
|
|
eventName
|
|
-
|
Der Name des Protokollereignisses
|
|
|
|
eventSubName
|
|
-
|
Die Zero Trust Secure Access - Internet Access Cloud-App-Aktion oder der Palo Alto
Networks Firewall-Protokoll-Untertyp
|
|
|
|
Ereigniszeit
|
|
-
|
Die Uhrzeit, zu der der Agent oder das Produkt das Ereignis erkannt hat
|
|
|
|
fehlgeschlageneHTTPS-Inspektion
|
|
-
|
Ob etwas bei der HTTPS-Verkehrsüberprüfung fehlgeschlagen ist
|
|
|
|
fileHash
|
|
|
Der SHA-1 der Datei, die die Richtlinie verletzt hat
|
|
|
|
fileHashSha256
|
|
|
Der SHA-256 der Datei, die gegen die Richtlinie verstoßen hat
|
|
|
|
FileName
|
|
|
Der Name der Datei, die gegen die Richtlinie verstoßen hat
|
|
|
|
Dateigröße
|
|
-
|
Die Größe der Datei, die gegen die Richtlinie verstößt
|
|
|
|
Dateityp
|
|
-
|
Der Dateityp, der gegen die Richtlinie verstößt
|
|
|
|
filterRiskLevel
|
|
-
|
Risikostufe der obersten Ebene des Ereignisses
|
|
|
|
Flussrichtung
|
|
-
|
Die Richtung des Datenverkehrs der Netzwerkschnittstelle
|
|
|
|
flowId
|
|
-
|
Die Netzwerk-Analysefluss-ID
|
|
|
|
Flusstyp
|
|
-
|
Der Typ des Datenverkehrs (Typ)
|
|
|
|
ftpTrans
|
|
-
|
Die Transaktionsinformationen des FTP-Protokolls
|
|
|
|
groupId
|
|
-
|
Die Gruppen-ID für den Verwaltungsbereichsfilter
|
|
|
|
hostName
|
|
|
Der Hostname
|
|
|
|
httpLocation
|
|
|
Der HTTP-Location-Header
|
|
|
|
httpReferer
|
|
|
Der HTTP-Referrer-Header
|
|
|
|
httpXForwardedFor
|
|
-
|
Der HTTP X-Forwarded-For-Header
|
|
|
|
httpXForwardedForGruppe
|
|
-
|
Die X-Forwarded-For-IP-Netzwerkgruppe
|
|
|
|
httpXForwardedForHost
|
|
-
|
Der X-Forwarded-For IP-Hostname
|
|
|
|
httpXForwardedForIp
|
|
|
Die von der Netzwerk-Appliance verwendete X-Forwarded-For-IP
|
|
|
|
instanceId
|
|
-
|
Die Instanz-ID
|
|
|
|
ipProto
|
|
-
|
Die Protokollnummer (Protokoll)
|
|
|
|
isPrivateApp
|
|
-
|
Ob die angeforderte Anwendung privat ist
|
|
|
|
isRetroScan
|
|
-
|
Ob das Ereignis mit dem Filter der Security Analytics Engine übereinstimmt
|
|
|
|
ja3Hash
|
|
-
|
Der JA3-Hash
|
|
|
|
ja3sHash
|
|
-
|
Der JA3S-Hash
|
|
|
|
logEmpfangszeit
|
|
-
|
Der Zeitpunkt, zu dem das XDR-Protokoll empfangen wurde
|
|
|
|
Status protokollieren
|
|
-
|
Der Status des VPC-Flow-Protokolls
|
|
|
|
mailMsgSubject
|
|
|
Der Betreff der E-Mail
|
|
|
|
malName
|
|
-
|
Der Name der entdeckten Malware
|
-
|
|
|
mimeType
|
|
-
|
Der MIME-Typ oder Inhaltstyp des Antwortkörpers
|
|
|
|
msgId
|
|
|
Die Nachrichten-ID des Dienstanbieters
|
|
|
|
networkInterfaceId
|
|
-
|
Die Netzwerk-Schnittstellen-ID (interface-id)
|
|
|
|
objectId
|
|
-
|
Die UUID der Zero Trust Secure Access Private-Access-Anwendung
|
|
|
|
objectIps
|
|
|
Die durch das DNS-Protokoll aufgelöste IP-Adresse
|
|
|
|
originEventSourceType
|
|
-
|
Der Quelltyp des ursprünglichen Ereignisses, das mit dem Filter der Security Analytics
Engine übereinstimmt
|
|
|
|
originUUID
|
|
-
|
Die UUID des ursprünglichen Ereignisses, das dem Filter der Security Analytics Engine
entspricht
|
|
|
|
osName
|
|
-
|
Der Name des Host-Betriebssystems
|
|
|
|
überSsl
|
|
-
|
Ob eine SSL-Protokollverbindung besteht
|
|
|
|
Pakete
|
|
-
|
Die Anzahl der übertragenen Datenpakete
|
|
|
|
pktDstAddr
|
|
|
Die Ziel-IP auf Paketebene
|
|
|
|
pktDstCloudServiceName
|
|
-
|
Der Name des IP-Adressbereichs für die Ziel-IP des Cloud-Dienstes (pkt-dst-aws-service)
|
|
|
|
pktSrcAddr
|
|
|
Die Quell-IP auf Paketebene
|
|
|
|
pktSrcCloudServiceName
|
|
-
|
Der Name des IP-Adressbereichs für die Cloud-Dienstquelle IP (pkt-src-aws-service)
|
|
|
|
pname
|
|
-
|
Der Produktname
|
|
|
|
Richtlinienvorlage
|
|
-
|
Der Vorlagenname „Prävention vor Datenverlust“
|
|
|
|
policyTreePath
|
|
-
|
Der Richtlinienbaum-Pfad (nur Endpunkt)
|
|
|
|
policyUuid
|
|
-
|
Die Richtlinien-UUID
|
|
|
|
principalName
|
|
|
Der Benutzerprinzipalname
|
|
|
|
productCode
|
|
-
|
The internal product code
|
|
|
|
Profil
|
|
-
|
Der Name der ausgelösten Bedrohungsschutzvorlage oder des Prävention vor Datenverlust-Profils
|
-
|
|
|
pver
|
|
-
|
Die Produktversion
|
|
|
|
regionCode
|
|
-
|
Die Netzwerkschnittstelle AWS-Region
|
|
|
|
reqAppVersion
|
|
-
|
Die Versionsnummer der Clientanwendung
|
|
|
|
reqDataSize
|
|
-
|
Das vom Client über die Transportschicht übertragene Datenvolumen (in Byte)
|
|
|
|
reqScannedBytes
|
|
-
|
Das vom Client übertragene Datenvolumen (in Byte)
|
|
|
|
Anforderung
|
|
|
Die Ziel-URL, auf die der Benutzer zugreift
|
|
|
|
requestBase
|
|
|
Die URL-Domain
|
|
|
|
requestClientApplication
|
|
-
|
Der HTTP-User-Agent
|
|
|
|
requestDate
|
|
-
|
Der HTTP-Datums-Header
|
|
|
|
Anforderungsheader
|
|
-
|
Die Liste aller HTTP-Header ohne sensible Informationen
|
|
|
|
requestMethod
|
|
-
|
Die Anfragemethode des Netzwerkprotokolls
|
|
|
|
requestMimeType
|
|
-
|
Der Typ des Anfrageinhalts
|
|
|
|
requestSize
|
|
-
|
Die Anforderungslänge
|
|
|
|
Anfragen
|
|
|
Die URLs der Anforderung
|
|
|
|
resolvedUrlGroup
|
|
-
|
Die IP-Adresse FQDN-Netzwerkgruppe
|
|
|
|
resolvedUrlIp
|
|
|
Die IP-Adresse des FQDN
|
|
|
|
gelösteUrlPort
|
|
|
Der HTTP-Server-Port
|
|
|
|
respAppVersion
|
|
-
|
Die Versionsnummer der Serveranwendung
|
|
|
|
respArchFiles
|
|
-
|
Die Dateiinformationen, die aus Dateien extrahiert wurden, die in der Antwortrichtung
erkannt wurden
|
|
|
|
respCode
|
|
-
|
Der Antwortcode des Netzwerkprotokolls
|
|
|
|
respDataSize
|
|
-
|
Das vom Server über die Transportschicht übertragene Datenvolumen (in Byte)
|
|
|
|
respDate
|
|
-
|
Der HTTP-Antwort-Datums-Header
|
|
|
|
respFileHash
|
|
|
Der SHA-1 der Datei, die in der Antwort-Richtung erkannt wurde
|
|
|
|
respFileHashSha256
|
|
|
Der SHA-256 der Datei, die in der Antwort-Richtung erkannt wurde
|
|
|
|
respFileType
|
|
-
|
Der Dateityp, der in der Antwort-Richtung erkannt wurde
|
|
|
|
respHeaders
|
|
-
|
Die Liste aller HTTP-Antwortheader ohne sensible Informationen
|
|
|
|
respMethod
|
|
-
|
Die Antwortmethode
|
|
|
|
respScannedBytes
|
|
-
|
Das vom Server übertragene Datenvolumen (in Byte)
|
|
|
|
Antwortgröße
|
|
-
|
Die Antwortlänge
|
|
|
|
RegelName
|
|
-
|
Der Name der ausgelösten Cloud-Zugriffsregel
|
|
|
|
ruleUuid
|
|
-
|
Die Risikobewertung und Kontrollgestaltung, die durch die Zero Trust Secure Access-Risikokontrollregeln
definiert wird
|
|
|
|
sBenutzer1
|
|
|
Der zuletzt angemeldete Benutzer der Quelle
|
|
|
|
Absender
|
|
-
|
Der Standort des Zero Trust Internet Access Gateways
|
|
|
|
serverGroup
|
|
-
|
Die Server-IP-Netzwerkgruppe
|
|
|
|
serverHost
|
|
-
|
Der Server-IP-Hostname
|
|
|
|
serverIp
|
|
|
Die Server-IP
|
|
|
|
serverMAC
|
|
-
|
Die MAC-Adresse des Servers
|
|
|
|
serverPort
|
|
|
Der Serverport
|
|
|
|
serverProtocol
|
|
-
|
Die Version des HTTP-Protokolls zwischen dem Service-Gateway und dem Server/der Website
|
|
|
|
serverRespTime
|
|
-
|
Die Zeit, die der Server benötigte, um auf die Anfrage zu antworten (in Millisekunden)
|
|
|
|
serverTls
|
|
-
|
Die TLS-Version zwischen dem Service-Gateway und dem Server/der Website
|
|
|
|
SitzungBeenden
|
|
-
|
Die Sitzungsendzeit (in Sekunden)
|
|
|
|
Sitzungsendgrund
|
|
-
|
Der Grund, warum eine Sitzung beendet wurde
|
|
|
|
SitzungStart
|
|
-
|
Die Sitzungsstartzeit (in Sekunden)
|
|
|
|
shost
|
|
|
Der Quell-Hostname
|
|
|
|
spt
|
|
|
Der virtuelle Port der Quelle, der dem Secure Access Module zugewiesen ist (srcport)
|
|
|
|
src
|
|
|
Die Quell-IP (srcaddr)
|
|
|
|
srcLocation
|
|
-
|
Das Ursprungsland
|
|
|
|
sslCertCommonName
|
|
|
Der allgemeine Name des Zertifikats
|
|
|
|
sslZertifikatFingerabdruck
|
|
-
|
Der Zertifikat-Fingerabdruck
|
|
|
|
sslCertIssuer
|
|
-
|
Der Aussteller des Zertifikats
|
|
|
|
sslCertSANs
|
|
-
|
Der alternative Antragstellername des Zertifikats
|
|
|
|
sslZertifikatSeriennummer
|
|
-
|
Die Seriennummer des Zertifikats
|
|
|
|
sslCertValidFrom
|
|
-
|
Der Beginn der Zertifikatsgültigkeit
|
|
|
|
sslZertifikatGültigBis
|
|
-
|
Das Ablaufdatum des Zertifikats
|
|
|
|
status
|
|
-
|
Der Sitzungsstatus des Netzwerkanalyseflusses
|
|
|
|
subLocationId
|
|
-
|
Die Unterstandort-ID
|
|
|
|
subLocationType
|
|
-
|
Der Unterstandorttyp
|
|
|
|
subnetzId
|
|
-
|
Die Subnetz-ID
|
|
|
|
suid
|
|
|
Der Benutzername oder die IP-Adresse (IPv4)
|
|
|
|
suser
|
|
|
Der E-Mail-Absender
|
|
|
|
Tags
|
|
|
Die erkannte Technik-ID basierend auf dem Alarmfilter
|
|
|
|
tcpFlags
|
|
-
|
Der Bitmaskenwert der FIN/SYN/RST/SYN-ACK TCP-Flags
|
|
|
|
tlsJA3Fingerprint
|
|
-
|
Der JA3-Fingerabdruck
|
-
|
|
|
tlsJA3SFingerprint
|
|
-
|
Der unformatierte JA3S-Wert
|
|
|
|
tlsAusgewählterChiffre
|
|
-
|
Der ausgewählte Verschlüsselungsalgorithmus des TLS-Protokolls
|
|
|
|
trafficPath
|
|
-
|
Die Nummer des ausgehenden Datenverkehrspfads
|
|
|
|
trafficType
|
|
-
|
Der Zero Trust Internetzugang Gateway-Dienstmodus
|
|
|
|
Benutzerabteilung
|
|
-
|
Die Anforderungsmethode der Benutzerabteilung
|
|
|
|
BenutzerDomäne
|
|
|
Die Active Directory-Domäne oder die Benutzerdomäne für das TMAS-Admin-Portal
|
|
|
|
uuid
|
|
-
|
Eindeutiger Schlüssel des Protokolls
|
|
|
|
vpcId
|
|
-
|
Die VPC-ID
|
|
|