macOS セキュリティのアラートとログディクショナリリファレンス

注：

このセクションの内容は、macOS セキュリティのレガシーの脅威防御戦略に適用されます。レガシー戦略は、macOS セキュリティの今後のバージョンで非推奨になる予定です。脅威防御戦略の構成に関する情報と手順については、macOS 戦略向け脅威防御を参照してください。

一般イベントのフィールド

各イベントは多数のイベントフィールドで構成されており、この概要のフィールド名はすべてのイベントタイプで共通です。


#	フィールド名	説明	データタイプ	値の例
1	`input.eventType`	イベントタイプを定義	ストリング	`GPFSEvent`
2	`input.host.ips`	IP アドレス	ストリング	`192.168.1.2`
3	`input.host.serial`	シリアル番号	ストリング	`C02TL0WGGAAA`
4	`input.host.hostname`	ホスト名	ストリング	`Jon’s MacBook Pro`
5	`input.match{}.tags{}`	情報タグ	ストリング	`MITRE TTPs`
6	`input.match{}.uuid`	UUID アラート	ストリング	`237BF758-408B-402A-87C2-64BCCFF7D0A2`
7	`input.match{}.event.timestamp`	アラート時間	整数	`1635055240.016535`
8	`input.match{}.facts{}.name`	アラート名	ストリング	`SpearphishOfficeWritesExecutableResearch`
9	`input.match{}.facts{}.human`	アラートの説明	ストリング	Office が実行可能ファイルを作成するときに発生します。
10	`input.match{}.actions{}.name`	イベントベースのアクション	ストリング	`Log`
11	`input.match{}.custom`	カスタム解析識別子	ブーリアン	`false`
12	`input.match{}.context`	追加のメタデータ	ストリング	`[ { "name": "ItemName", "value": "jamf", "valueType": "String" }, { "name": "Label", "value": "com.jamfsoftware.task.checkForTasks", "valueType": "String" }, { "name": "Args", "value": "/usr/local/jamf/bin/jamf manage -rebootIfNeeded -deleteLaunchdTask", "valueType": "String" }, { "name": "Name", "value": "com.jamfsoftware.task.checkForTasks.plist", "valueType": "String" }, { "name": "ItemBinary", "value": "/usr/local/jamf/bin/jamf", "valueType": "Binary" } ]`
13	`input.match{}.severity`	アラートの重大度	整数	`0` = 情報提供用 `1` = 低 `2` = 中 `3` = 高
14	`input.related{}.users{}`	イベントユーザの配列	整数、ストリング	"binaries": [ { "gid": 0, "uid": 0, "fsid": 16777225, "mode": 33261, "path": "/Library/PrivilegedHelperTools/com.microsoft.autoupdate.helper", "size": 293136, "inode": 19220446, "xattrs": [], "changed": 1698151132, "created": 1698151132, "sha1hex": "63182f5bda15fd2e262b512bf20104497b723b77", "accessed": 1698917972, "modified": 1698151132, "sha256hex": "f1ff86c81b106a4dc9445f01f2e62940fcca9117437941da99b0131dd98bb9e5", "isDownload": false, "objectType": "GPSystemObject", "isAppBundle": false, "isDirectory": false, "signingInfo": { "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }, "isScreenShot": false } ]
15	`input.related{}.groups{}`	イベントグループの配列	アレイ	`"groups": [ { "gid": 0, "name": "wheel", "uuid": "Z2C23RW4DY0" }, { "gid": 33, "name": "_appstore", "uuid": "Z2C23RW4DY21" } ]`
16	`input.related{}.binaries{}`	イベントバイナリ情報の配列^¹	整数、ストリング	{ "gid": 0, "uid": 0, "fsid": 16777230, "mode": 35273, "path": "/usr/libexec/security_authtrampoline", "size": 134768, "inode": 1152921500312504800, "xattrs": [], "changed": 1694870910, "created": 1694870910, "sha1hex": "82e899cb1c8a42b74653b05ca526d5feae92b9f6", "accessed": 1694870910, "modified": 1694870910, "sha256hex": "7528368ce03bd25fb22520923f366e364ea40ae90b22dac79fba90f2152c3d32", "isDownload": false, "objectType": "GPSystemObject", "isAppBundle": false, "isDirectory": false, "signingInfo": { "appid": "com.apple.security_authtrampoline", "cdhash": "rbIoddPMz9MoMMZl1ATihY8wlMk=", "status": 0, "teamid": "", "signerType": 0, "authorities": [ "Software Signing", "Apple Code Signing Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }, "isScreenShot": false }
17	`input.related{}.binaries{}.uid`	ファイル所有者ユーザ識別子	整数	`501`
18	`input.related{}.binaries{}.gid`	ファイル所有者グループ識別子	整数	`80`
19	`input.related{}.binaries{}.path`	バイナリパス^¹	ストリング	/Applications/iMyFone iBypasser.app/Contents/MacOS/iMyFone iBypasser
20	`input.related{}.binaries{}.sha1hex`	SHA-1ハッシュファイル16進文字列	ストリング	`39655008a0a72cabf6d488cd0dcfb37e9883e0b8`
21	`input.related{}.binaries{}.sha256hex`	SHA-256ハッシュファイル16進文字列	ストリング	`d2d07ceb1e637c555786d68b65f7b8913c8d52c5e4348881632aea0fa91c1643`
22	`input.related{}.binaries{}.xattrs{}`	ファイル拡張属性の配列	ストリング	`["com.dropbox.attrs", "com.jamf.protect.quarantined"]`
23	`input.related{}.binaries{}.isDownload`	インターネットでダウンロードしたファイルの検証	ブーリアン	`true`
24	`input.related{}.binaries{}.isAppBundle`	App バンドルディレクトリファイルの検証	ブーリアン	`true`
25	`input.related{}.binaries{}.isDirectory`	ディレクトリファイルの検証	ブーリアン	`true`
26	`input.related{}.binaries{}.isScreenShot`	スクリーンショットイメージファイルの検証	ブーリアン	`true`
27	`input.related{}.binaries{}.signingInfo{}`	バイナリ署名情報の配列^¹	ストリング	`"signingInfo": { "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }`
28	`input.related{}.binaries{}.signingInfo.appid`	バイナリ識別子^¹	ストリング	`com.jamf.protect.security-extension`
29	`input.related{}.binaries{}.signingInfo.cdhash`	バイナリコードディレクトリハッシュ^¹	ストリング	`XeQsQOHD7J3vTAuYYZTMQP2mwm0=`
30	`input.related{}.binaries{}.signingInfo.teamid`	バイナリ開発チーム署名者識別子^¹	ストリング	`483DWKW443`
31	`input.related{}.binaries{}.signingInfo.signerType`	署名タイプとバイナリ暗黙的信頼レベル^¹	整数	`2`
32	`input.related{}.binaries{}.signingInfo.authorities`	署名機関の配列	ストリング	`[ "Developer ID Application: JAMF Software (483DWKW443)", "Developer ID Certification Authority", "Apple Root CA" ]`
33	`input.related{}.binaries{}.signingInfo.entitlements`	バイナリで許可された資格の配列^¹	ストリング	`[ "com.apple.private.responsibility.set-to-self", "com.apple.private.responsibility.set-to-other", "com.apple.private.security.storage.InstallerSandboxes", "com.apple.private.responsibility.set-hosted-properties" ]`
34	`input.related{}.binaries{}.signingInfo.statusMessage`	署名情報取得翻訳ステータスコード	ストリング	`No error.`
35	`input.related{}.processes{}.uid`	実効ユーザ実行プロセス識別子	整数	`501`
36	`input.related{}.processes{}.gid`	実効グループ実行プロセス識別子	整数	`20`
37	`input.related{}.processes{}.ppid`	親プロセス識別子	整数	`1`
38	`input.related{}.processes{}.pgid`	プロセスグループ識別子	整数	`1`
39	`input.related{}.processes{}.ruid`	実ユーザ実行プロセス識別子	整数	`501`
40	`input.related{}.processes{}.rgid`	実グループ実行プロセス識別子	整数	`20`
41	`input.related{}.processes{}.pid`	プロセス識別子（プロセス）	整数	`772`
42	`input.related{}.processes{}.responsiblePID`	担当プロセス識別子	整数	`19678`
43	`input.related{}.processes{}.originalParentPID`	親プロセス識別子	整数	`55064`
44	`input.related{}.processes{}.args{}`	プロセスで渡されるオプション引数の配列	ストリング	`[ "mv", "Slack.app", "/Users/ada.powers/Applications" ]`
45	`input.related{}.processes{}.name`	プロセス名	ストリング	`Snap Camera`
46	`input.related{}.processes{}.path`	プロセスパス	ストリング	/Applications/Snap Camera.app/Contents/MacOS/Snap Camera
47	`input.related{}.processes{}.exitCode`	プロセス終了コード	整数	`0`
48	`input.related{}.process{}.signingInfo{}`	プロセス署名情報の配列	ストリング	`"signingInfo": { "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }`
49	`input.related{}.process{}.signingInfo.appid`	バンドル識別子 (プロセス)	ストリング	`MF.iMyFone iBypasser`
50	`input.related{}.process{}.signingInfo.cdhash`	プロセスコードディレクトリハッシュ	ストリング	`XeQsQOHD7J3vTAuYYZTMQP2mwm0=`
51	`input.related{}.process{}.signingInfo.teamid`	プロセス開発チーム署名識別子	ストリング	`483DWKW443`
52	`input.related{}.process{}.signingInfo.signerType`	署名タイプとバイナリ暗黙的信頼レベル^¹	整数	`2`
53	`input.related{}.process{}.signingInfo.authorities`	署名機関の配列	ストリング	`[ "Developer ID Application: JAMF Software (483DWKW443)", "Developer ID Certification Authority", "Apple Root CA" ]`
54	`input.related{}.process{}.signingInfo.entitlements`	プロセスで許可された資格の配列	ストリング	`com.apple.rootless.restricted-block-devices`
55	`input.related{}.binaries{}.signingInfo.statusMessage`	署名情報取得翻訳ステータスコード	ストリング	`No error.`
56	`input.related{}.process{}.startTimetamp`	プロセス開始タイムスタンプ	整数	`1657114862`
¹Jamf バイナリではなく、イベント関連のバイナリ。

GPClickEvent

擬似的なクリックイベント


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event{}.gid`	擬似的なクリックグループ識別子	整数	`20`
2	`input.match{}.event{}.pid`	擬似的なクリックプロセス識別子 (PID)	整数	`96657`
3	`input.match{}.event{}.uid`	擬似的なクリックユーザ識別子	整数	`501`
4	`input.match{}.event{}.clickType`	クリックタイプ	整数	0 = `Other` 1 = `Left Down` 2 = `Left Up` 3 = `Right Down` 4 = `Right Up`
5	`input.match{}.event{}.targetpid`	擬似的なクリック対象プロセス識別子 (PID)	整数	`4456`

GPDownloadEvent

インターネットからダウンロードされるファイルを監視します。


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event.path`	ダウンロードされたファイルパス	ストリング	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
2	`input.related{}.files{}.gid`	ファイルグループ識別子	整数	`20`
3	`input.related{}.files{}.uid`	ファイル所有者ユーザ識別子	整数	`501`
4	`input.related{}.files{}.fsid`	ファイルシステム ID (FSID)	整数	`16777234`
5	`input.related{}.files{}.mode`	ファイルタイプとモード	整数	`33188`
6	`input.related{}.files{}.path`	ファイルパス	ストリング	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
7	`input.related{}.files{}.size`	ファイルサイズ	整数	`35249769`
8	`input.related{}.files{}.inode`	ファイル i ノード識別子	整数	`7174457`
9	`input.related{}.files{}.xattrs`	ファイル拡張属性の配列	ストリング	`["com.apple.macl", "com.apple.metadata:kMDItemDownloadedDate", "com.apple.metadata:kMDItemWhereFroms", "com.apple.quarantine"]`
10	`input.related{}.files{}.changed`	ファイル変更日	整数	`1632496484`
11	`input.related{}.files{}.created`	ファイル作成日	整数	`1632496484`
12	`input.related{}.files{}.sha1hex`	SHA-1ハッシュファイル16進文字列	ストリング	`39655008a0a72cabf6d488cd0dcfb37e9883e0b8`
13	`input.related{}.files{}.accessed`	ファイル最終アクセス日	整数	`1632496484`
14	`input.related{}.files{}.modified`	ファイル最終変更日	整数	`1632496484`
15	`input.related{}.files{}.sha256hex`	SHA-256ハッシュファイル16進文字列	ストリング	`ca43054c05867b673d980bbcc97215d7ebaed5465ad1266eea4c776188bbd385`
16	`input.related{}.files{}.isDownload`	インターネットでダウンロードしたファイルの検証	ブーリアン	`true`
17	`input.related{}.files{}.isAppBundle`	App バンドルディレクトリファイルの検証	ブーリアン	`true`
18	`input.related{}.files{}.isDirectory`	ディレクトリファイルの検証	ブーリアン	`true`
19	`input.related{}.files{}.signingInfo{}`	ファイル署名情報の配列	整数、ストリング	`{ "status": -67062, "authorities": [], "teamid": "", "signerType": 4, "statusMessage": "code object is not signed at all", "entitlements": [], "appid": "" },`
20	`input.related{}.files{}.signingInfo.appid`	ファイル識別子	ストリング	`GoogleChrome-97.0.4692.99-GGRO`
21	`input.related{}.files{}.signingInfo.cdhash`	ファイルコードディレクトリハッシュ	ストリング	`WApZMfx1x99D8eRQhUFeID4YZDY=`
22	`input.related{}.files{}.signingInfo.teamid`	開発チーム署名者識別子	ストリング	`EQHXZ8M8AV`
23	`input.related{}.files{}.signingInfo.signerType`	オブジェクト署名タイプと暗黙的信頼レベル	整数	`2`
24	`input.related{}.files{}.signingInfo.authorities`	署名機関の配列	ストリング	`["Developer ID Application: Google, Inc. (EQHXZ8M8AV)", "Developer ID Certification Authority", "Apple Root CA"]`
25	`input.related{}.files{}.signingInfo.entitlements`	ファイルで許可された資格の配列	ストリング	`com.apple.rootless.restricted-block-devices`
26	`input.related{}.files{}.isScreenShot`	スクリーンショットイメージファイルの検証	ブーリアン	`true`
27	`input.related{}.files{}.downloadedFrom`	ファイルダウンロード場所の配列	ストリング	`https://files.jamf.com`

GPFSEvent

ファイルシステムイベント


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event.dev`	ファイルシステムイベントデバイス ID	整数	`16777233`
2	`input.match{}.event.gid`	ファイルグループ識別子	整数	`0`
3	`input.match{}.event.pid`	ファイルプロセス識別子 (PID)	整数	`96657`
4	`input.match{}.event.uid`	ファイルユーザ識別子	整数	`0`
5	`input.match{}.event.path`	ファイルパス	ストリング	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
6	`input.match{}.event.type`	ファイルシステムイベント	整数	`0` = 作成済み `1` = 削除済み `3` = 名前を変更済み `4` = 変更済み `7` = ディレクトリ作成済み
7	`input.match{}.event.iNode`	ファイル i ノード識別子	整数	`3493490`
8	`input.match{}.event.eventID`	ファイルシステムイベント識別子	整数	`62816`
9	`input.match{}.event.prevFile`	ファイル名変更操作の前のパス	ストリング	/Library/LaunchDaemons/.dat.nosync7991.BW4gMk
10	`input.related{}.files{}.gid`	ファイルシステム操作グループ識別子	整数	`0`
11	`input.related{}.files{}.uid`	ファイルシステム操作ユーザ識別子	整数	`0`
12	`input.related{}.files{}.fsid`	ファイル FSID	整数	`16777234`
13	`input.related{}.files{}.mode`	ファイルタイプとモード	整数	`33188`
14	`input.related{}.files{}.path`	ファイルパス	ストリング	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
15	`input.related{}.files{}.size`	ファイルサイズ	整数	`0`
16	`input.related{}.files{}.inode`	ファイル i ノード識別子	整数	`7174457`
17	`input.related{}.files{}.xattrs`	ファイル拡張属性の配列	ストリング	`["com.apple.quarantine"]`
18	`input.related{}.files{}.changed`	ファイル変更日	整数	`1632496484`
19	`input.related{}.files{}.created`	ファイル作成日	整数	`1632496484`
20	`input.related{}.files{}.sha1hex`	SHA-1ハッシュファイル16進文字列	ストリング	`39655008a0a72cabf6d488cd0dcfb37e9883e0b8`
21	`input.related{}.files{}.accessed`	ファイルアクセス日	整数	`1632496484`
22	`input.related{}.files{}.modified`	ファイル変更日	整数	`1632496484`
23	`input.related{}.files{}.sha256hex`	SHA-256ハッシュファイル16進文字列	ストリング	`ca43054c05867b673d980bbcc97215d7ebaed5465ad1266eea4c776188bbd385"`
24	`input.related{}.files{}.isDownload`	インターネットでダウンロードしたファイルの検証	ブーリアン	`false`
25	`input.related{}.files{}.isAppBundle`	App バンドルディレクトリファイルの検証	ブーリアン	`false`
26	`input.related{}.files{}.isDirectory`	ディレクトリファイルの検証	ブーリアン	`false`
27	`input.related{}.files{}.signingInfo{}`	ファイル署名情報の配列	アレイ	`{ "status": -67062, "authorities": [], "teamid": "", "signerType": 4, "statusMessage": "code object is not signed at all", "entitlements": [], "appid": "" },`
28	`input.related{}.files{}.signingInfo.appid`	ファイル識別子	ストリング	`com.googlecode.iterm2`
29	`input.related{}.files{}.signingInfo.cdhash`	ファイルコードディレクトリハッシュ	ストリング	`JmJW/m4Oafwj3PRZh8QspKxDUYw=`
30	`input.related{}.files{}.signingInfo.teamid`	開発チーム署名者識別子	ストリング	`AQPZ6F3ASY`
31	`input.related{}.files{}.signingInfo.signerType`	オブジェクト署名タイプと暗黙的信頼レベル	整数	`0` = Apple `1` = App Store `2` = 開発者 `3` = アドホック `4` = 未署名
32	`input.related{}.files{}.signingInfo.authorities`	署名機関の配列	アレイ	`[ "Software Signing", "Apple Code Signing Certification Authority", "Apple Root CA" ]`
33	`input.related{}.files{}.signingInfo.entitlements`	ファイルの資格の配列	アレイ	`com.apple.private.security.clear-library-validation`
34	`input.related{}.files{}.isScreenShot`	スクリーンショットイメージファイルの検証	ブーリアン	`true`
35	`input.related{}.files{}.downloadedFrom`	ファイルダウンロード場所の配列	ストリング	`https://files.jamf.com`

GPProcessEvent

コンピュータ上で起動または終了されるプロセスを監視します。


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event.pid`	プロセスイベント識別子	整数	`96657`
2	`input.match{},event.type`	プロセスアクティビティ	整数	`1`
3	`input.match{},event.subType`	詳細なプロセスアクティビティ	整数	`23`

GPKeylogRegisterEvent

macOS の Core Graphics フレームワークを介した新しい「イベントタップ」登録を監視します。Core Graphic イベントタップは、キーログとアクセシビリティのソフトウェアの特定のタイプでよく使用されます。


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event{}.options`	ログのキータップ登録時に設定されるオプション。	ストリング	`defaultTap` = デフォルトタップ `listenOnly` = リッスンのみ
2	`input.match{}.event{}.sourcePID`	ソースプロセス ID (ログのキータップ登録リクエスト)	整数	`86939`
3	`input.match{}.event{}.destinationPID`	デスティネーションプロセス ID (ログのキータップ登録リクエスト)	整数	`0`

GPGatekeeperEvent

Gatekeeper のアクションとログを監視します。Gatekeeper は、コード署名を強制し、ダウンロードした App を開く前に検証するための Apple の組み込み機能です。


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event{}.pid`	プロセス ID (Gatekeeper イベント)	整数	`39357`
2	`input.match{}.event{}.name`	イベント名	ストリング	`CrashReporter`
3	`input.match{}.event{}.path`	プロセスパス (Gatekeeper イベント)	ストリング	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
4	`input.match{}.event{}.sender`	ログメッセージ送信者	ストリング	`AppleSystemPolicy`
5	`input.match{}.event{}.process`	ログメッセージ送信者プロセス	ストリング	`kernel`
6	`input.match{}.event{}.category`	ロギングカテゴリ	ストリング	`XPEvent.structured`
7	`input.match{}.event{}.subsystem`	ロギングサブシステム	ストリング	`com.apple.XProtectFramework.PluginAPI`
8	`input.match{}.event{}.composedMessage`	ログメッセージ	ストリング	`ASP: Security policy would not allow process: 30659, /Applications/JamfComplianceReporter.app/Contents/Helpers/JamfComplianceReporterAgent.app/Contents/MacOS/JamfComplianceReporterAgent`
9	`input.match{}.event{}.senderImagePath`	イメージパス (ログメッセージ送信者)	ストリング	/System/Library/Extensions/AppleSystemPolicy.kext/Contents/MacOS/AppleSystemPolicy
10	`input.match{}.event{}.processImagePath`	プロセスパス (ログメッセージ送信者)	ストリング	/kernel
11	`input.match{}.event{}.processIdentifier`	プロセス ID (ログメッセージ送信者)	整数	`0`
12	`input.match{}.facts{}.name`	アラート名	ストリング	`GatekeeperBlockedSigned`

GPMRTEvent

macOS から対象ファイルを削除する Apple の組み込みアプリケーションであるマルウェア削除ツール (MRT) からのアクションとログを監視します。


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event{}.pid`	プロセス ID (Gatekeeper イベント)	整数	`96657`
2	`input.match{}.event{}.name`	イベント名	ストリング	`JamfComplianceReporterAgent`
3	`input.match{}.event{}.path`	プロセスパス (Gatekeeper イベント)	ストリング	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
4	`input.match{}.event{}.sender`	ログメッセージ送信者	ストリング	`AppleSystemPolicy`
5	`input.match{}.event{}.process`	ログメッセージ送信者プロセス	ストリング	`kernel`
6	`input.match{}.event{}.category`	ロギングカテゴリ	ストリング	`XPEvent.structured`
7	`input.match{}.event{}.subsystem`	ロギングサブシステム	ストリング	`com.apple.XProtectFramework.PluginAPI`
8	`input.match{}.event{}.composedMessage`	ログメッセージ	ストリング	`ASP: Security policy would not allow process: 30659, /Applications/JamfComplianceReporter.app/Contents/Helpers/JamfComplianceReporterAgent.app/Contents/MacOS/JamfComplianceReporterAgent"`
9	`input.match{}.event{}.senderImagePath`	イメージパス (ログメッセージ送信者)	ストリング	/System/Library/Extensions/AppleSystemPolicy.kext/Contents/MacOS/AppleSystemPolicy
10	`input.match{}.event{}.processImagePath`	プロセスパス (ログメッセージ送信者)	ストリング	/kernel
11	`input.match{}.event{}.processIdentifier`	プロセス ID (ログメッセージ送信者)	整数	`0`
12	`input.match{}.facts{}.name`	`SpearphishOfficeWritesExecutableResearch`	ストリング	`LaunchDaemon`

GPPreventedExecutionEvent

カスタム防止リストイベント


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event{}.blocked`	App がブロックされた	ブーリアン	`true`
2	`input.match{}.event{}.matchType`	照合方法	ストリング	`signingID`
3	`input.match{}.event{}.matchValue`	阻止された App 名	ストリング	`scriptingosx.desktoppr`
4	`input.match{}.event{}.process{}.gid`	プロセス実効グループ識別子	整数	`20`
5	`input.match{}.event{}.process{}.pid`	プロセス識別子（プロセス）	整数	`40990`
6	`input.match{}.event{}.process{}.uid`	プロセス実効ユーザ識別子	整数	`501`
7	`input.match{}.event{}.process{}.args`	プロセス配列によって渡される可能性のある引数	ストリング	`[ "/tmp/PKInstallSandbox.nVjzpr/Scripts/com.jamf.ce.Wallpaper.43ZvSw/desktoppr", "/Library/Desktop Pictures/wallpaper.heic" ] "/tmp/PKInstallSandbox.nVjzpr/Scripts /com.jamf.ce.Wallpaper.43ZvSw/desktoppr", "/Library/Desktop Pictures/wallpaper.heic" ]`
8	`input.match{}.event{}.process{}.name`	プロセス名	ストリング	`desktoppr`
9	`input.match{}.event{}.process{}.path`	プロセスパス	ストリング	/tmp/PKInstallSandbox.nVjzpr/Scripts/com.jamf.ce.Wallpaper.43ZvSw/desktoppr
10	`input.match{}.event{}.process{}.pgid`	プロセスグループ識別子	整数	`40990`
11	`input.match{}.event{}.process{}.rgid`	プロセス実グループ識別子	整数	`20`
12	`input.match{}.event{}.process{}.ruid`	プロセス実ユーザ識別子	整数	`501`
13	`input.match{}.event{}.process{}.uuid`	イベント固有識別子	ストリング	`ade83c7a-2eaa-4bd3-b468-d1643483746f`
14	`input.match{}.event{}.process{}.signingInfo{}`	プロセス署名情報の配列	整数、ストリング	`[ "appid": "com.scriptingosx.desktoppr", "cdhash": "oA74w5FQMn1N1G7k1Ar0lyClqu8=", "status": 0, "teamid": "JME5BW3F3R", "signerType": 2, "authorities": [ "Developer ID Application: Jon Smith (JME5BW3F3R)", "Developer ID Certification Authority", "Apple Root CA" ]`
15	`input.match{}.event{}.process{}.signingInfo{}.appid`	識別子 (プロセス)	ストリング	`com.scriptingosx.desktoppr`
16	`input.match{}.event{}.process{}.signingInfo{}.cdhash`	プロセスコードディレクトリハッシュ	ストリング	`oA74w5FQMn1N1G7k1Ar0lyClqu8=`
17	`input.match{}.event{}.process{}.signingInfo{}.status`	署名情報取得ステータス	整数	`0` = Apple `1` = App Store `2` = 開発者 `3` = アドホック `4` = 未署名
18	`input.match{}.event{}.process{}.signingInfo{}.teamid`	プロセス開発チーム署名者識別子	ストリング	`JME5BW3F3R`
19	`input.match{}.event{}.process{}.signingInfo{}.signerType`	署名タイプと暗黙的信頼レベル	整数	`0` = Apple `1` = App Store `2` = 開発者 `3` = アドホック `4` = 未署名
20	`input.match{}.event{}.process{}.signingInfo{}.authorities`	署名機関の配列	ストリング	`[ "Developer ID Application: Jon Smith (JME5BW3F3R)", "Developer ID Certification Authority", "Apple Root CA" ]`
21	`input.match{}.event{}.process{}.signingInfo{}.entitlements`	プロセスで許可された資格の配列	ストリング	`com.apple.private.security.clear-library-validation`
22	`input.match{}.event{}.process{}.signingInfo{}.statusMessage`	署名情報取得ステータスコード	ストリング	`No error.`
23	`input.match{}.event{}.process{}.startTimestamp`	プロセス開始タイムスタンプ	整数	`1668431165`
24	`input.match{}.event{}.process{}.orginalParentPID`	親プロセス識別子	整数	`1`

GPThreatMatchExecEvent

脅威防御イベント


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event{}.blocked`	脅威がブロックされた	ブーリアン	`true`
2	`input.match{}.event{}.matchType`	データベース照合	ストリング	`Threat Signature`
3	`input.match{}.event{}.matchValue`	脅威名	ストリング	`applejeus_jmt_a`
4	`input.match{}.event{}.scriptPath`	スクリプトパス	ストリング	`/tmp/CrashReporter.sh`
5	`input.match{}.event{}.process{}.gid`	実効グループ実行プロセス識別子	整数	`0`
6	`input.match{}.event{}.process{}.pid`	プロセス識別子（プロセス）	整数	`39356`
7	`input.match{}.event{}.process{}.uid`	実効ユーザ実行プロセス識別子	整数	`0`
8	`input.match{}.event{}.process{}.args`	プロセスで渡されるオプション引数の配列	ストリング	`[ "/Library/JMTTrader/CrashReporter", "Maintain" ]`
9	`input.match{}.event{}.process{}.name`	プロセス名	ストリング	`CrashReporter`
10	`input.match{}.event{}.process{}.path`	プロセスパス	ストリング	/Library/radar/CrashReporter
11	`input.match{}.event{}.process{}.pgid`	プロセスグループ識別子	整数	`39356`
12	`input.match{}.event{}.process{}.rgid`	実グループ実行プロセス識別子	整数	`0`
13	`input.match{}.event{}.process{}.ruid`	実ユーザ実行プロセス識別子	整数	`0`
14	`input.match{}.event{}.process{}.uuid`	イベント固有識別子	ストリング	`3a842375-29f4-4516-8c8e-aca148c3ab32`
15	`input.match{}.event{}.process{}.signingInfo{}`	プロセス署名情報の配列	整数、ストリング	`{ "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }`
16	`input.match{}.event{}.process{}.signingInfo{}.appid`	識別子 (プロセス)	ストリング	`com.scriptingosx.desktoppr`
17	`input.match{}.event{}.process{}.signingInfo{}.cdhash`	プロセスコードディレクトリハッシュ	ストリング	`oA74w5FQMn1N1G7k1Ar0lyClqu8=`
18	`input.match{}.event{}.process{}.signingInfo{}.status`	署名情報取得ステータス	整数	`-67068`
19	`input.match{}.event{}.process{}.signingInfo{}.teamid`	プロセス開発チーム署名識別子	ストリング	`JME5BW3F3R`
20	`input.match{}.event{}.process{}.signingInfo{}.signerType`	オブジェクト署名タイプと暗黙的信頼レベル	整数	`0` = Apple `1` = App Store `2` = 開発者 `3` = アドホック `4` = 未署名
21	`input.match{}.event{}.process{}.signingInfo{}.authorities`	署名機関の配列	ストリング	`[ "Developer ID Application: Jon Smith (JME5BW3F3R)", "Developer ID Certification Authority", "Apple Root CA" ]`
22	`input.match{}.event{}.process{}.signingInfo{}.entitlements`	プロセスで許可された資格の配列	ストリング	`com.apple.private.security.clear-library-validation`
23	`input.match{}.event{}.process{}.signingInfo{}.statusMessage`	署名情報取得翻訳ステータスコード	ストリング	`cannot find code object on disk`
24	`input.match{}.event{}.process{}.startTimestamp`	プロセス開始タイムスタンプ	整数	`1668430737`
25	`input.match{}.event{}.process{}.orginalParentPID`	親プロセス識別子	整数	`1`
26	`input.match.facts{}.version`	エンドポイント脅威防御バージョン	整数	`11568`

GPUnifiedLogEvent

統合ログイベント


#	フィールド名	説明	データタイプ	値の例
1	`input.match{}.event{}.sender`	ログメッセージ送信者	ストリング	`XProtectRadarSecurity`
2	`input.match{}.event{}.process`	ログメッセージ送信者プロセス	ストリング	`XProtectRadarSecurity`
3	`input.match{}.event{}.category`	ロギングカテゴリ	ストリング	`XPEvent.structured`
4	`input.match{}.event{}.subsystem`	ロギングサブシステム	ストリング	`com.apple.XProtectFramework.PluginAPI`
5	`input.match{}.event{}.composedMessage`	ログメッセージ	ストリング	`{\"caused_by\":[],\"status_message\":\"NoThreatDetected\",\"status_code\":20,\"execution_duration\":0.7135159969329834}`
6	`input.match{}.event{}.senderImagePath`	ログメッセージ送信者イメージパス	ストリング	`/Library/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtectRadarSecurity`
7	`input.match{}.event{}.processImagePath`	ログメッセージ送信者プロセスパス	ストリング	`/Library/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtectRLibrary/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtectRadarSecurity`
8	`input.match{}.event{}.processIdentifier`	ログメッセージ送信者プロセス ID	整数	`6925`

GPUSBEvent

コンピュータに挿入される USB デバイスを監視します。


#	フィールド名	説明	データタイプ	値の例
1	`input.match.type`	USB イベントタイプ	整数	`0` = デバイスが挿入されました `1` = デバイスが削除されました
2	`input.match.usbAddress`	USB アドレス	整数	`6`
3	`input.match{}.device{}.mediaPath`	メディアパス	ストリング	`IODeviceTree:/PCI0@0/RP05@1C,4/UPSB@0/DSB2@2/XHC2@0/@1:0`
4	`input.match{}.device{}.protocol`	プロトコル	ストリング	`USB`
5	`input.match{}.device{}.deviceModel`	モデル	ストリング	`Ultra USB 3.0`
6	`input.match{}.device{}.isRemovable`	リムーバブル	ブーリアン	`true`
7	`input.match{}.device{}.mediaName`	メディア名	ストリング	`SanDisk Ultra USB 3.0 Media`
8	`input.match{}.device{}.bsdMinor`	BSD Minor	整数	`11`
9	`input.match{}.device{}.vendorName`	USB デバイスベンダー	ストリング	`Apple Inc.`
10	`input.match{}.device{}.isWhole`	全体	ブーリアン	`false`
11	`input.match{}.device{}.unit`	単位	整数	`1`
12	`input.match{}.device{}.deviceSubclass`	USB デバイスサブクラス	整数	`0`
13	`input.match{}.device{}.serialNumber`	USB デバイスシリアル番号	ストリング	`FM79997PJ3VYB7+SET`
14	`input.match{}.device{}.bsdUnit`	BSD ユニット	整数	`2`
15	`input.match{}.device{},busPath`	バスパス	ストリング	IODeviceTree:/PCI0@0/RP05@1C,4/UPSB@0/DSB2@2/XHC2@0
16	`input.match{}.device{}.isLeaf`	リーフ	ブーリアン	`true`
17	`input.match{}.device{}.isInternal`	内部	ブーリアン	`true`
18	`input.match{}.device{}.busName`	バス名	ストリング	`XHC2`
19	`input.match{}.device{}.bsdMajor`	BSD Major	整数	`1`
20	`input.match{}.device{}.isEjectable`	イジェクタブル	ブーリアン	`true`
21	`input.match{}.device{}.isEncrypted`	Encrypted (暗号化)	ブーリアン	`true`
22	`input.match{}.device{}.devicePath`	デバイスパス	ストリング	IOService:/AppleACPIPlatformExpert/PCI0@0/AppleACPIPCI/RP05@1C,4/IOPP/UPSB@0/IOPP/DSB2@2/IOPP/XHC2@0/XHC2@00000000/SSP1@00100000/Ultra USB 3.0@00100000/IOUSBHostInterface@0/IOUSBMassStorageInterfaceNub/IOUSBMassStorageDriverNub/IOUSBMassStorageDriver/IOSCSILogicalUnitNub@0/IOSCSIPeripheralDeviceType00/IOBlockStorageServices
23	`input.match{}.device{}.bsdName`	BSD 名	ストリング	`disk2`
24	`input.match{}.device{}.vendorId`	USB デバイスベンダー識別子	ストリング	`0x05ac`
25	`input.match{}.device{}.content`	デバイスコンテンツ	ストリング	`GUID_partition_scheme`
26	`input.match{}.device{}.revision`	デバイスリビジョン	ストリング	`1.00`
27	`input.match{}.device{}.size`	デバイスサイズ	整数	`15376000000`
28	`input.match{}.device{}.isNetworkVolume`	ネットワークボリューム	ブーリアン	`true`
29	`input.match{}.device{}.blocksize`	ブロックサイズ	整数	`512`
30	`input.match{}.device{}.productName`	USB 製品名	ストリング	`Apple Internal Keyboard / Trackpad`
31	`input.match{}.device{}.mediaKind`	メディアの種類	ストリング	`IOMedia`
32	`input.match{}.device{}.isWritable`	書き込み可能なデバイス	ブーリアン	`true`
33	`input.match{}.device{}.productId`	USB デバイス製品識別子	ストリング	`0x027b`
34	`input.match{}.device{}.deviceClass`	USB デバイスクラス	整数	`0`
35	`input.match{}.device{}.encryptionDetail`	暗号化詳細	整数	`0`