|
フィールド名
|
種類
|
一般フィールド
|
説明
|
例
|
製品
|
|
act
|
|
-
|
アクション
|
|
|
|
actResult
|
|
-
|
アクションの結果
|
|
|
|
アクション
|
|
-
|
トラフィック処理アクション
|
|
|
|
アクション名
|
|
-
|
ユーザまたはサービスアクション
|
|
|
|
追加イベントデータ
|
|
-
|
リクエストまたは対応の一部ではなかった追加のイベント情報
|
|
|
|
アラートカテゴリ
|
|
-
|
アラートカテゴリのリスト
|
|
|
|
アラートタイトル
|
|
-
|
アラートのタイトル
|
|
|
|
apiVersion
|
|
-
|
AwsApiCallイベントタイプ値に関連付けられたAPIバージョン
|
|
|
|
app
|
|
-
|
ネットワークプロトコル
|
|
|
|
appPkgName
|
|
-
|
アプリパッケージ名 (対象がアプリの場合)
|
|
|
|
アプリケーション
|
|
-
|
要求されたアプリケーションの名前
|
|
|
|
applicationId
|
|
-
|
アプリケーションID
|
|
|
|
attachmentFileHashSha256s
|
|
|
メール添付ファイルのSHA-256ハッシュを示します
|
|
|
|
attachmentFileHashes
|
|
|
メール添付ファイルのSHA-1を示します
|
|
|
|
attachmentFileName
|
|
|
添付ファイルのファイル名
|
|
|
|
attachmentMd5
|
|
|
メール添付ファイルのMD5ハッシュ
|
|
|
|
attachmentUrls
|
|
-
|
メール添付ファイルから抽出されたURLとURLソース
|
-
|
|
|
awsRegion
|
|
-
|
リクエストが行われたAWSリージョン
|
|
|
|
azId
|
|
-
|
アベイラビリティゾーンID
|
|
|
|
バイト
|
|
-
|
送信されたデータバイト数
|
|
|
|
category
|
|
-
|
イベントカテゴリ
|
|
|
|
cloudAccountId
|
|
-
|
ソースネットワークインターフェイスの所有者のAWSアカウントID (アカウントID)
|
|
|
|
cloudTrailEventId
|
|
-
|
AWS CloudTrailによって生成されたイベントを識別するGUID
|
|
|
|
clusterId
|
|
-
|
コンテナのクラスタID
|
|
|
|
clusterName
|
|
-
|
コンテナのクラスタ名
|
|
|
|
cnt
|
|
-
|
ログの総数
|
|
|
|
containerId
|
|
-
|
KubernetesコンテナID
|
|
|
|
コンテナイメージ
|
|
-
|
Kubernetesコンテナイメージ
|
|
|
|
containerImageDigest
|
|
-
|
Kubernetesコンテナイメージダイジェスト
|
|
|
|
コンテナ名
|
|
-
|
Kubernetesコンテナ名
|
|
|
|
cves
|
|
-
|
このフィルターに関連するCVE
|
|
|
|
dOSName
|
|
-
|
宛先OS
|
|
|
|
dUser1
|
|
|
宛先の最新のサインインユーザ
|
|
|
|
dhost
|
|
|
送信先ホスト名
|
|
|
|
direction
|
|
-
|
方向
|
|
|
|
dmac
|
|
-
|
送信先MACアドレス
|
|
|
|
dnsQueryType
|
|
-
|
DNSプロトコルによって要求されたレコードタイプ
|
|
|
|
dpt
|
|
|
送信先ポート
|
|
|
|
dst
|
|
|
宛先IP
|
|
|
|
dstEndpointGuid
|
|
-
|
イベントが検出された宛先ホストGUID
|
|
|
|
dstEndpointHostName
|
|
|
イベントが検出された宛先デバイスのホスト名
|
|
|
|
dstIpType
|
|
-
|
送信先IPタイプ
|
|
|
|
dstLocation
|
|
-
|
目的国
|
|
|
|
dstZone
|
|
-
|
セッションの宛先ゾーン
|
|
|
|
duser
|
|
|
メールの受信者
|
|
|
|
dvc
|
|
-
|
デバイスIP
|
-
|
|
|
dvchost
|
|
-
|
ネットワークデバイスのホスト名
|
|
|
|
ecsTaskArn
|
|
-
|
ECSタスクARNのリスト
|
|
|
|
ecsTaskId
|
|
-
|
ECSタスクID
|
|
|
|
endpointGuid
|
|
-
|
イベントが検出されたホストエンドポイントのGUID
|
|
|
|
endpointHostName
|
|
|
イベントが検出されたデバイスのホスト名
|
|
|
|
endpointIp
|
|
|
イベントが検出されたエンドポイントのIPアドレス
|
|
|
|
エラーコード
|
|
-
|
AWSサービスエラーコード
|
|
|
|
エラーメッセージ
|
|
-
|
エラーの説明
|
|
|
|
イベントケース
|
|
-
|
リクエストが送信されたAWSサービス
|
|
|
|
イベントカテゴリ
|
|
-
|
LookupEvents呼び出しで使用されるイベントカテゴリ
|
|
|
|
eventDataLogonType
|
|
-
|
Windowsイベント4624 (サインイン成功) のサインインタイプ
|
|
|
|
eventId
|
|
-
|
イベントID
|
|
|
|
eventName
|
|
-
|
ログタイプ
|
|
|
|
イベントソース
|
|
-
|
リクエストが行われたAWSサービス
|
|
|
|
eventSubName
|
|
-
|
イベントタイプのサブ名
|
|
|
|
イベント時間
|
|
-
|
エージェントまたは製品がイベントを検出した時刻
|
|
|
|
eventType
|
|
-
|
イベントレコードを生成したイベントの種類
|
|
|
|
eventVersion
|
|
-
|
ログイベント形式バージョン
|
|
|
|
fileHash
|
|
|
ファイルのSHA-1
|
|
|
|
fileHashMd5
|
|
|
ファイルのMD5
|
|
|
|
fileHashSha256
|
|
|
ファイルのSHA-256
|
|
|
|
fileName
|
|
|
ファイル名
|
|
|
|
fileOriginIP
|
|
-
|
ファイルがダウンロードされたIPアドレス
|
|
|
|
fileOriginUrl
|
|
-
|
ファイルがダウンロードされたURL
|
|
|
|
filePath
|
|
|
ファイルパス
|
|
|
|
ファイルサイズ
|
|
-
|
ファイルサイズ
|
|
|
|
fileType
|
|
-
|
ファイルの種類
|
|
|
|
フィルターリスクレベル
|
|
-
|
イベントのトップレベルフィルターリスク
|
|
|
|
フローディレクション
|
|
-
|
ネットワークインターフェイストラフィックの方向
|
|
|
|
flowId
|
|
-
|
接続ID
|
|
|
|
フロータイプ
|
|
-
|
トラフィックの種類 (type)
|
|
|
|
fullPath
|
|
|
ファイルのフルパス
|
|
|
|
グループID
|
|
-
|
管理スコープフィルターのグループID
|
|
|
|
hostName
|
|
|
ホスト名
|
|
|
|
httpReferer
|
|
|
HTTPリファラー
|
|
|
|
httpRespContentType
|
|
-
|
HTTP応答データのコンテンツタイプ
|
|
|
|
httpXForwardedFor
|
|
-
|
HTTP X-Forwarded-For ヘッダー
|
|
|
|
idpName
|
|
-
|
IDプロバイダ
|
|
|
|
initiatedByUserIpAddress
|
|
|
ユーザのクライアントIP
|
|
|
|
initiatedByUserPrincipalName
|
|
|
ユーザのユーザプリンシパル名
|
|
|
|
インスタンスID
|
|
-
|
インスタンスID
|
|
|
|
ipProto
|
|
-
|
プロトコル番号 (プロトコル)
|
|
|
|
isLocalAdmin
|
|
-
|
ユーザがデバイスのローカル管理者であるかどうか
|
|
|
|
k8sNamespace
|
|
-
|
コンテナのKubernetes Namespace
|
|
|
|
k8sPodId
|
|
-
|
コンテナのKubernetes Pod ID
|
|
|
|
k8sPodName
|
|
-
|
コンテナのKubernetes Pod名
|
|
|
|
logReceivedTime
|
|
-
|
XDRログが受信された時刻
|
|
|
|
ログステータス
|
|
-
|
VPCフローログのステータス
|
|
|
|
logonUser
|
|
|
サインインユーザ名
|
|
|
|
mailBccAddresses
|
|
|
メールヘッダーのBCCアドレス
|
|
|
|
mailCcAddresses
|
|
|
メールヘッダーのCCアドレス
|
|
|
|
mailDirection
|
|
-
|
メールトラフィックの方向
|
|
|
|
mailFromAddresses
|
|
|
メールヘッダー内のMail Fromアドレス
|
|
|
|
mailMsgId
|
|
|
メールのインターネットメッセージID
|
|
|
|
mailMsgSubject
|
|
|
メールの件名
|
|
|
|
mailToAddresses
|
|
|
メールヘッダー内の宛先アドレス
|
|
|
|
mailUrlsRealLink
|
|
|
メール内容から抽出されたURL
|
|
|
|
mailUrlsVisibleLink
|
|
|
メール内容から抽出されたURL
|
|
|
|
メールボックス
|
|
-
|
ターゲットまたはプライマリメールアドレス
|
|
|
|
malFamily
|
|
-
|
脅威ファミリー
|
|
|
|
malName
|
|
-
|
検出された不正プログラムの名前
|
|
|
|
管理イベント
|
|
-
|
管理イベント
|
|
|
|
monitoringLevel
|
|
-
|
クラウド活動監視レベル
|
|
|
|
networkInterfaceId
|
|
-
|
ネットワークインターフェースID (interface-id)
|
|
|
|
objectAppLabel
|
|
-
|
アプリ名
|
|
|
|
objectAppPackageName
|
|
-
|
アプリパッケージ名
|
|
|
|
objectCmd
|
|
|
ターゲットプロセスのコマンドラインエントリ
|
|
|
|
objectFileHashMd5
|
|
|
ターゲットファイルのMD5
|
|
|
|
objectFileHashSha1
|
|
|
ターゲットプロセスイメージまたはターゲットファイルのSHA-1ハッシュ
|
|
|
|
objectFileHashSha256
|
|
|
ターゲットプロセスイメージまたはターゲットファイルのSHA-256ハッシュ
|
|
|
|
objectFileName
|
|
|
オブジェクトファイル名
|
|
|
|
objectFilePath
|
|
|
ターゲットプロセスイメージまたはターゲットファイルのファイルパス
|
|
|
|
objectIps
|
|
|
DNSプロトコルによって解決されたIPアドレス
|
|
|
|
objectPid
|
|
-
|
オブジェクトプロセスPID
|
|
|
|
objectRegistryData
|
|
|
レジストリデータの内容
|
|
|
|
objectRegistryKeyHandle
|
|
|
レジストリキーのパス
|
|
|
|
objectRegistryOriginalData
|
|
-
|
変更前の元のレジストリ値データ
|
|
|
|
objectRegistryOriginalKeyHandle
|
|
-
|
変更前の元のレジストリキー
|
|
|
|
objectRegistryOriginalValue
|
|
-
|
変更前の元のレジストリ値の名前
|
|
|
|
objectRegistryValue
|
|
|
レジストリ値の名前
|
|
|
|
objectRegistryValueType
|
|
-
|
WindowsレジストリタイプID
|
|
|
|
objectSessionIp
|
|
|
リモートデバイスのIPアドレス
|
|
|
|
objectSigner
|
|
-
|
オブジェクトプロセス署名者のリスト
|
|
|
|
objectSignerValid
|
|
-
|
オブジェクトプロセスの各署名者が有効かどうか
|
|
|
|
objectType
|
|
-
|
オブジェクトタイプ
|
|
|
|
オブジェクトユーザー
|
|
|
現在実行中のプロセスによって起動された対象プロセスのユーザ名
|
|
|
|
objectUserDomain
|
|
-
|
現在実行中のプロセスによって起動されたターゲットプロセスの所有者ドメイン
|
|
|
|
objectVersionInfoOriginalFileName
|
|
|
オブジェクトイメージのバージョン情報からの元のファイル名
|
|
|
|
oldFileHash
|
|
|
古いファイルハッシュ
|
|
|
|
pComp
|
|
-
|
検出を行ったコンポーネント
|
|
|
|
パケット
|
|
-
|
送信されたデータパケットの数
|
|
|
|
parentCmd
|
|
|
親プロセスのコマンドラインエントリ
|
|
|
|
親ファイル名
|
|
-
|
親プロセス名
|
|
|
|
parentPid
|
|
-
|
親プロセスのPID
|
|
|
|
pktDstAddr
|
|
|
パケットレベルの宛先IP
|
|
|
|
pktDstCloudServiceName
|
|
-
|
クラウドサービスの宛先IPアドレス (pkt-dst-aws-service) のサブセットIPアドレス範囲名
|
|
|
|
pktSrcAddr
|
|
|
パケットレベルの送信元IP
|
|
|
|
pktSrcCloudServiceName
|
|
-
|
クラウドサービスソースIP (pkt-src-aws-service) のサブセットIPアドレス範囲名
|
|
|
|
pname
|
|
-
|
製品名
|
|
|
|
policyName
|
|
-
|
トリガされたポリシーの名前
|
|
|
|
policyTreePath
|
|
-
|
ポリシーツリーパス
|
|
|
|
policyUuid
|
|
-
|
ポリシーUUID
|
|
|
|
previousObjectFileName
|
|
|
以前のオブジェクトファイル名
|
|
|
|
previousObjectFilePath
|
|
|
ターゲットプロセスイメージまたはターゲットファイルの以前のファイルパス
|
|
|
|
principalName
|
|
-
|
プロキシにサインインするために使用されるユーザプリンシパル名
|
|
|
|
processCmd
|
|
|
サブジェクトプロセスのコマンドライン
|
|
|
|
processFileHashMd5
|
|
|
サブジェクトプロセスイメージのMD5ハッシュ
|
|
|
|
processFileHashSha1
|
|
|
サブジェクトプロセスのSHA-1
|
|
|
|
processFileHashSha256
|
|
|
サブジェクトプロセスイメージファイルのSHA-256
|
|
|
|
processFileName
|
|
-
|
サブジェクトプロセスのファイル名
|
|
|
|
processFilePath
|
|
|
サブジェクトプロセスのファイルパス
|
|
|
|
processFileRemoteAccess
|
|
-
|
プロセスファイルへのリモートアクセスがあったかどうか
|
|
|
|
processName
|
|
|
イベントをトリガしたプロセスのイメージ名
|
|
|
|
プロセスPID
|
|
-
|
サブジェクトプロセスのPID
|
|
|
|
processRemoteSessionDeviceName
|
|
-
|
プロセスのリモートデバイス名
|
|
|
|
processRemoteSessionIp
|
|
|
プロセスのリモートデバイスIPアドレス
|
|
|
|
processSigner
|
|
-
|
エンドポイントまたはコンテナ内のプロセス署名者のリスト
|
|
|
|
processUser
|
|
|
プロセスまたはファイル作成者のユーザ名
|
|
|
|
processUserDomain
|
|
-
|
対象プロセスイメージの所有者ドメイン
|
|
|
|
processVersionInfoOriginalFileName
|
|
|
プロセスイメージのバージョン情報からの元のファイル名
|
|
|
|
productCode
|
|
-
|
内部製品コード
|
|
|
|
プロファイル
|
|
-
|
トリガされた脅威対策テンプレートまたは情報漏えい対策プロファイルの名前
|
|
|
|
proto
|
|
-
|
トランスポートネットワークプロトコル
|
|
|
|
pver
|
|
-
|
製品バージョン
|
|
|
|
quarantineFilePath
|
|
|
隔離されたオブジェクトのファイルパス
|
|
|
|
quarantineFileSha256
|
|
|
隔離されたオブジェクトのSHA-256
|
|
|
|
rating
|
|
-
|
信頼性レベル
|
|
|
|
読み取り専用
|
|
-
|
操作が読み取り専用かどうか
|
|
|
|
受取人アカウントID
|
|
-
|
イベントを受信したアカウントID
|
|
|
|
地域コード
|
|
-
|
ネットワークインターフェイスAWSリージョン
|
|
|
|
reqDataSize
|
|
-
|
クライアントによってトランスポート層を介して送信されたデータ量 (バイト単位)
|
|
|
|
requestClientApplication
|
|
-
|
HTTPユーザエージェント
|
|
|
|
リクエストID
|
|
-
|
サービスによって生成されたリクエストID (この値)
|
|
|
|
requestMethod
|
|
-
|
ネットワークプロトコルリクエストメソッド
|
|
|
|
リクエストパラメータ
|
|
-
|
リクエストと共に送信されたパラメータ
|
|
|
|
リクエスト
|
|
|
リクエストのURL
|
|
|
|
リソース
|
|
-
|
イベントでアクセスされたリソース
|
|
|
|
respDataSize
|
|
-
|
サーバによってトランスポート層で送信されたデータ量 (バイト単位)
|
|
|
|
responseElements
|
|
-
|
作成、更新、削除アクションの対応要素
|
|
|
|
ruleId
|
|
-
|
ルールID
|
|
|
|
ruleName
|
|
-
|
イベントをトリガしたルールの名前
|
|
|
|
sOSName
|
|
-
|
ソースOS
|
|
|
|
sUser1
|
|
|
ソースの最新のサインインユーザ
|
|
|
|
samUser
|
|
-
|
SAMアカウントのユーザ名
|
|
|
|
service
|
|
-
|
アクティビティが発生したMicrosoft 365サービス
|
|
|
|
サービスイベントの詳細
|
|
-
|
サービスイベントの詳細
|
|
|
|
セッション終了
|
|
-
|
セッション終了時間 (秒単位)
|
|
|
|
セッション終了理由
|
|
-
|
セッションが終了した理由
|
|
|
|
セッション開始
|
|
-
|
セッション開始名 (秒単位)
|
|
|
|
severity
|
|
-
|
イベントの重大度
|
|
|
|
sharedEventID
|
|
-
|
同じAWSアクションが異なるAWSアカウントに送信された場合のAWS CloudTrail GUID
|
|
|
|
shost
|
|
|
送信元ホスト名
|
|
|
|
smac
|
|
-
|
送信元MACアドレス
|
|
|
|
sourceIPAddress
|
|
|
リクエストIPアドレス (サービスコンソールアクションの場合: 顧客リソース、AWSサービスの場合: DNS名)
|
|
|
|
spt
|
|
|
送信元ポート
|
|
|
|
src
|
|
|
送信元IP
|
|
|
|
srcEndpointGuid
|
|
-
|
イベントが検出されたソースエンドポイントGUID
|
|
|
|
srcEndpointHostName
|
|
|
イベントが検出されたソースデバイスのホスト名
|
|
|
|
srcFilePath
|
|
|
別のパスに移動またはコピーされたファイルパス
|
|
|
|
srcIpType
|
|
-
|
ソースIPタイプ
|
|
|
|
srcLocation
|
|
-
|
送信元の国
|
|
|
|
srcZone
|
|
-
|
セッションのソースゾーン
|
|
|
|
sslCertIssuerCommonName
|
|
-
|
発行元の一般名
|
|
|
|
subLocationId
|
|
-
|
サブロケーションID
|
|
|
|
サブロケーションタイプ
|
|
-
|
サブロケーションタイプ
|
|
|
|
subnetId
|
|
-
|
サブネットID
|
|
|
|
suid
|
|
|
ユーザー名またはメールボックス
|
|
|
|
suser
|
|
|
メール送信者
|
|
|
|
tacticId
|
|
|
MITRE戦術IDのリスト
|
|
|
|
タグ
|
|
|
アラートフィルターに基づく検出された手法ID
|
|
|
|
tcpFlags
|
|
-
|
FIN/SYN/RST/SYN-ACK TCP フラグのビットマスク値
|
|
|
|
techniqueId
|
|
|
検出ルールに基づいて製品エージェントによって検出された手法ID
|
|
|
|
tlsDetails
|
|
-
|
TLSの詳細
|
|
|
|
トラフィックパス
|
|
-
|
送信トラフィックパス番号
|
|
|
|
urlCat
|
|
-
|
要求されたURLカテゴリ
|
|
|
|
userAgent
|
|
|
リクエストが行われたユーザエージェントまたはエージェント
|
|
|
|
ユーザードメイン
|
|
|
ユーザドメイン
|
|
|
|
ユーザーID
|
|
-
|
リクエストを行ったユーザに関する情報
|
|
|
|
uuid
|
|
-
|
ログエントリの一意のキー
|
|
|
|
vendor
|
|
-
|
デバイスベンダー
|
|
|
|
ベンダーデバイスID
|
|
-
|
デバイスID
|
|
|
|
vendorLogId
|
|
-
|
ベンダーイベントログID
|
|
|
|
ベンダー解析済み
|
|
-
|
正規化されたイベントログ (JSON形式)
|
{"cefHeader": { "cefVersion": "0", "deviceVendor": "Palo Alto Networks","deviceProduct": "PAN-OS","deviceEventClassId": "Machine Learning found virus(599805)"},"cefExtension": "rt":".."}
|
|
|
ベンダーの生データ
|
|
-
|
元のイベントログ文字列
|
CEF:0|Palo Alto Networks|PAN-OS|10.2.9-h1|end|TRAFFIC|1|rt=Aug 12 2024 15:31:19 GMT deviceExternalId=021201072197 src=10.10.10.10 dst=10.10.10.11 sourceTranslatedAddress=0.0.0.0 destinationTranslatedAddress=0.0.0.0 cs1Label=Rule cs1=TLC-to-nat-trust suser= duser= app=ping cs3Label=Virtual System cs3=vsys1 cs4Label=Source Zone cs4=TLC cs5Label=Destination Zone cs5=nat-trust deviceInboundInterface=ethernet1/6 deviceOutboundInterface=ethernet1/8 cs6Label=LogProfile cs6=PA440_to_Panorama cn1Label=SessionID cn1=19120 cnt=1 spt=0 dpt=0 sourceTranslatedPort=0 destinationTranslatedPort=0 flexString1Label=Flags flexString1=0x100019 proto=icmp act=allow flexNumber1Label=Total bytes flexNumber1=98 in=98 out=0 cn2Label=Packets cn2=1 |
|
|
vpcEndpointId
|
|
-
|
VPCエンドポイントは、VPCから別のAWSサービスへのリクエストが行われた場所です
|
|
|
|
vpcId
|
|
-
|
VPC ID
|
|
|
|
vsysName
|
|
-
|
セッションの仮想システム
|
|
|
|
winEventId
|
|
-
|
WindowsイベントID
|
|
|
ビュー: