Trend Micro Vision One > XDR Threat Investigation > Searchアプリ > 検索方法のデータソース > データマッピング：エンドポイントアクティビティデータ

データマッピング：エンドポイントアクティビティデータ

フィールド名	一般フィールド	説明	サンプル	製品
deviceType	-	ディスクドライブの種類	TELEMETRY_DEVICE_TYPE_UNKNOWN TELEMETRY_DEVICE_TYPE_REMOVABLE	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
endpointGuid	EndpointID	イベントが検出されたエンドポイントのホストGUID	885fd860-cc63-5c61-9eca-37911c864cc9 fbcf0426-c46b-4fe7-b3a8-e6896de49ea3	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
endpointHostName	EndpointName	イベントが検出されたエンドポイントのホスト名	PHILIPSIBE09 WHAM6WK8XG2 MacBook-Pro-del-Meno	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
endpointIp	IPv4 IPv6	イベントが検出されたエンドポイントのIPアドレス	127.0.0.1 ::1 fe80::1	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
eventId	-	イベントの種類	-	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
eventSubId	-	イベントのアクセスの種類	TELEMETRY_PROCESS_CREATE TELEMETRY_FILE_CREATE TELEMETRY_CONNECTION_CONNECT_OUTBOUND	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
eventTime	-	エージェントがイベントを検出したときに記録された時間	1657781088000	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
hostName	DomainName	ドメイン名	localhost wpad settings-win.data.microsoft.com	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
integrityLevel	-	プロセスの整合性レベル	-	XDR Endpoint Sensor Apex One SaaS
logonUser	UserAccount	ログオンユーザ名	root SISTEMA oracle	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectAppName	-	AMSIイベントに関連するアプリの名前	Exchange Server 2016 PowerShell_C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe_10.0.19041.1 PowerShell_C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe_10.0.14393.0	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
objectCmd	CLICommand	対象プロセスのコマンドラインエントリ	wc -l runc init docker-init --version	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectFileHashMd5	FileMD5	対象プロセスイメージまたは対象ファイルのmd5ハッシュ	7ac47235c7bb452a03d3afd872f44c9e c9873d83a969645a97f21adc1b164cc5 3b32b378c8b288de6f15e1607a8c2145	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectFileHashSha1	FileSHA1	対象プロセスイメージまたは対象ファイルのSHA1ハッシュ	ded3833f145989fd86c1f4811b61497298ebc7fd c4fa06404142f1994431f9eef3df2cbe0f1998f1 3c01d486ed5aa1ecc2d8f33dc24b0ed59b3e609e	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectFileHashSha256	FileSHA2	対象プロセスイメージまたは対象ファイルのSHA256ハッシュ	39109eef00821658893b45634fe2f4664f880da9242712df907f1327d4ceefb8 49fa3e206abf6a1f4546417dbe09f3f06b38847866a4a66de75bd90f39cb6c1c 0969321ad5a0923f0f03896ad2c10e49290515c44b721d773942a37f62a24893	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectFilePath	FileFullPath FileName	対象プロセスイメージまたは対象ファイルのファイルパスの場所	/usr/bin/bash /bin/bash /opt/nimsoft/probes/system/processes/processes	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectHostName	DomainName	インターネットイベントが検出されたサーバの名前	10.1.222.175 alertusupstate.ghs.org alertusmidlands.palmettohealth.org	Apex One SaaS XDR Endpoint Sensor
objectIntegrityLevel	-	対象プロセスの整合性レベル	-	XDR Endpoint Sensor Apex One SaaS
objectIp	IPv4 IPv6	インターネットイベントのIPアドレス	10.1.222.175 10.6.32.77 167.171.82.37	Apex One SaaS XDR Endpoint Sensor
objectIps	IPv4 IPv6	インターネットイベントのIPアドレスリスト	::1 127.0.0.1 ::ffff:127.0.0.1	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
objectPid	-	対象プロセスのPID	-	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectPort	Port	インターネットイベントで使用されるポート番号	-	Apex One SaaS XDR Endpoint Sensor
objectProcessHashId	-	対象プロセスのFNV	1415699552492662761 -100650285065767982 -1139416698673814436	Apex One SaaS XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security
objectRawDataStr	-	AMSIイベントのデータ内容	$global:? 0 $servicename = "WinRM" $arrService = Get-Service $servicename if ($arrService.Status -ne "Running") { Restart-Service $servicename }	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
objectRegistryData	RegistryValueData	レジストリ値のデータ	{00020424-0000-0000-C000-000000000046} 1 0	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
objectRegistryKeyHandle	RegistryKey	レジストリキー	HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters HKLM\system\currentcontrolset\services\w32time\config HKLM\system\currentcontrolset\services\tcpip\parameters	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
objectRegistryValue	RegistryValue	レジストリ値の名前	lastknowngoodtime threadingmodel epoch	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
objectSigner	-	オブジェクトプロセスまたはファイルの証明書署名者	Microsoft Windows Software Signing;Apple Code Signing Certification Authority;Apple Root CA; Microsoft Corporation	XDR Endpoint Sensor Apex One SaaS Trend Micro Cloud One - Endpoint & Workload Security
objectSignerValid	-	証明書署名者の有効性	1 0	XDR Endpoint Sensor Apex One SaaS Trend Micro Cloud One - Endpoint & Workload Security
objectSubTrueType	-	ファイルオブジェクトの実際のサブタイプ	0 5000 18000 28001	XDR Endpoint Sensor Apex One SaaS Trend Micro Cloud One - Endpoint & Workload Security
objectTrueType	-	ファイルオブジェクトの実際のメジャータイプ	7 5 18 4051	Apex One SaaS XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security
objectUser	UserAccount	対象プロセスの所有者名/ログオンユーザ名	root SYSTEM oracle	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
parentCmd	CLICommand	親プロセスのコマンドラインエントリ	C:\WINDOWS\system32\services.exe C:\Windows\system32\services.exe /sbin/launchd	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
parentFileHashMd5	FileMD5	親プロセスのmd5ハッシュ	d8e577bf078c45954f4531885478d5a9 cd10cb894be2128fca0bf0e2b0c27c16 cfd65bed18a1fae631091c3a4c4dd533	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
parentFileHashSha1	FileSHA1	親プロセスのSHA1ハッシュ	d7a213f3cfee2a8a191769eb33847953be51de54 1f912d4bec338ef10b7c9f19976286f8acc4eb97 9ad737cbd8bbdddc96726156dbd3bc03936bf02f	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
parentFileHashSha256	FileSHA2	親プロセスのSHA256ハッシュ	dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674 f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881 00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
parentFilePath	FileFullPath FileName	親プロセスのファイルパスの場所	c:\windows\system32\services.exe /usr/bin/bash c:\windows\system32\svchost.exe	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
parentPid	-	親プロセスのPID	1 976 920	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
pname	-	内部製品ID（廃止、productCodeを使用）	2200 751 533	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processCmd	CLICommand	対象プロセスのコマンドラインエントリ	C:\Windows\system32\lsass.exe C:\WINDOWS\system32\lsass.exe nimbus(processes)	XDR Endpoint Sensor Trend Micro Cloud One - Endpoint & Workload Security Apex One SaaS
processFileHashMd5	FileMD5	対象プロセスイメージのmd5ハッシュ	cd10cb894be2128fca0bf0e2b0c27c16 7ac47235c7bb452a03d3afd872f44c9e cfd65bed18a1fae631091c3a4c4dd533	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processFileHashSha1	FileSHA1	対象プロセスイメージのSHA1ハッシュ	1f912d4bec338ef10b7c9f19976286f8acc4eb97 ded3833f145989fd86c1f4811b61497298ebc7fd 9ad737cbd8bbdddc96726156dbd3bc03936bf02f	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processFileHashSha256	FileSHA2	対象プロセスイメージのSHA256ハッシュ	f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881 39109eef00821658893b45634fe2f4664f880da9242712df907f1327d4ceefb8 00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processFilePath	ProcessFullPath ProcessName FileFullPath FileName	対象プロセスイメージのファイルパスの場所	/usr/bin/bash c:\windows\system32\svchost.exe c:\windows\system32\lsass.exe	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processHashId	-	対象プロセスのFNV	7114696589795796819 1307755369266815004 -5015325378148567246	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processName	ProcessName	イベントをトリガしたプロセスのイメージ名	/usr/bin/bash c:\windows\system32\svchost.exe c:\windows\system32\lsass.exe	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processPid	-	対象プロセスのPID	4 1 784 792	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
processUser	UserAccount	対象プロセスイメージの所有者名	root SYSTEM SISTEMA	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
rawDataStr	-	Windowsイベントの未加工コンテンツ	{ "EventData" : { "LogonType" : "", "TargetDomainName" : "", "TargetLogonId" : "", "TargetUserName" : "", "TargetUserSid" : "" } } { "EventData" : { "LogonType" : "10", "TargetDomainName" : "AFASADV", "TargetLogonId" : "14941011731", "TargetUserName" : "administrator", "TargetUserSid" : "S-1-5-21-1507008304-2416677881-2121376573-500" } } { "EventData" : { "LogonType" : "10", "TargetDomainName" : "AIS", "TargetLogonId" : "216921070", "TargetUserName" : "MWoodr01", "TargetUserSid" : "S-1-5-21-1873864278-1756520048-3043165120-15057" } }	XDR Endpoint Sensor Apex One SaaS
request	URL	リクエストURL	http://10.1.222.175/Conserver/CommunicationNode http:///cgi-bin/admin/param.cgi?action=list&group=Alarm.Status http://search.namequery.com/	Apex One SaaS XDR Endpoint Sensor
dpt	Port	ネットワーク接続の送信先ポート番号	-	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
dst	IPv4 IPv6	ネットワーク接続の送信先IPアドレス	:: 0.0.0.0 127.0.0.1	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
spt	Port	ネットワーク接続の送信元ポート番号	53 5353 443	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
src	IPv4 IPv6	ネットワーク接続の送信元アドレス	:: 172.20.0.10 192.168.0.10	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
srcFileHashMd5	FileMD5	ソースファイルのmd5ハッシュ	e5d5e9c1f65b8ec7aa5b7f1b1acdd731 a6779bf446db07e4c4ba3516b273c496 4bb7334fdadc6eccb8e6ab402aae013b	Apex One SaaS XDR Endpoint Sensor
srcFileHashSha1	FileSHA1	ソースファイルのSHA1ハッシュ	5d34902fecc1760138212ada36be1e742bda5e52 dbb14dcda6502ab1d23a7c77d405dafbcbeb439e 2292f8109cd756e790c068a52d50f1b0858f503b	Apex One SaaS XDR Endpoint Sensor
srcFileHashSha256	FileSHA2	ソースファイルのSHA256ハッシュ	4eaa002225f4ea2dedcd19b7f1337d7c58ea7dd6d4571c12468dde95e6bcfdaf e30508e2088bc16b2a84233ced64995f738deaef2366ac6c86b35c93bbcd9d80 16b20a3ad485b4fbbe3028c7e743b226db21ea93cacc8b3d7d7d4a731bf02333	Apex One SaaS XDR Endpoint Sensor
srcFilePath	FileFullPath FileName	ソースファイルのファイルパスの場所	\\cnva-apps\megaclockprod\traveler\travelerprint.accdb c:\program files\common files\microsoft shared\clicktorun\officesvcmgrschedule.xml q:\a7_dbs\a4_pkg\a4_packaging.accde	XDR Endpoint Sensor Apex One SaaS Trend Micro Cloud One - Endpoint & Workload Security
tags	Technique	手法 IDがアラートフィルタに基づいてXDRによって検出されました。	MITREV9.T1057 MITREV9.T1059.003 XSAE.F2924	Security Analytics Engine
uuid	-	ログの一意のキー	00000003-be87-4aad-add2-d395e4efad3e 00000014-0493-459d-9f90-93565402f41e 0000006b-b5ea-4f5e-8d56-ddec452ef3bd	Security Analytics Engine
winEventId	-	WindowsイベントのイベントID	11 4624 4670	XDR Endpoint Sensor Apex One SaaS
productCode	-	ログを送信した製品	sds (Trend Micro Cloud One - Endpoint & Workload Security) xes (Trend Micro Vision One Endpoint Sensor) sao (Apex One SaaS	Security Analytics Engine
filterRiskLevel	-	イベントの最上位のリスクレベル	info low medium	Security Analytics Engine
eventDataIpAddress	-	「イベントが正常にログオンされた」Windowsイベント4624のIPアドレス	- 10.37.38.237 10.5.10.5	XDR Endpoint Sensor Apex One SaaS
eventDataLogonType	-	Windowsイベント4624のログオンの種類で、「アカウントは正常にログオンしました」	3 5 2	XDR Endpoint Sensor Apex One SaaS
eventDataScriptBlockText	-	Windowsイベント4104、スクリプトブロックテキストの作成	$global:? 0 { Set-StrictMode -Version 1; $_.PSMessageDetails }	Apex One SaaS
eventDataOperation	-	Windowsイベント11	Start IWbemServices::ExecQuery - root\ccm : select * from SMS_Authority Start IWbemServices::ExecQuery - root\cimv2 : select * from win32_process Start IWbemServices::ExecQuery - root\ccm : SELECT * FROM SMS_Authority	XDR Endpoint Sensor Apex One SaaS
objectBmData	-	BMイベントのデータ	{"provider":"ORCA","schema_version":1,"data":[{"str":"Access /proc/<pid>/*"}]} {"provider":"ORCA","schema_version":1,"data":[{"str":"source '/etc/profile.d/lang.sh'"}]} {"provider":"ORCA","schema_version":1,"data":[{"str":"source '/etc/profile.d/bash_completion.sh'"}]}	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor
osDescription	-	OSバージョン	Windows 10（64ビット） Windows 10 Pro（64ビット）ビルド19044 Amazon Linux 2（64ビット）（5.4.188-104.359.amzn2.x86_64）	Trend Micro Cloud One - Endpoint & Workload Security XDR Endpoint Sensor Apex One SaaS
receivedTime	-	XDRログを受信した時刻	1657781088000	Security Analytics Engine

表 1. pnameの値のマッピング
製品	pnameの値
Trend Micro Apex One （Windowsセキュリティエージェント）	533
Trend Micro Apex One （Macセキュリティエージェント）	620
Trend Micro Apex One （Deep Security Linux Agent）	2200
Deep Security	2200
Deep Security Virtual Appliance	2201
Deep Security Relay	2202
Deep Security Manager	2203
Deep Security MANIFEST	2211
Deep Security Relayのマニフェスト	2212
Deep Securityルールのアップデート	2213
Deep Security Smart Check 1	2214

データマッピング： エンドポイントアクティビティ データ

データマッピング：エンドポイントアクティビティデータ