The 이벤트가 처리되지 않으면 알러트를 트리거합니다 설정의 기본값은 YES. 데이터가 일정 시간이 지난 후 로그 소스에서 더 이상 유입되지 않으면 알림을 받게 되므로, 이 설정은 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.
Carbon Black 데이터 스트리밍 로그를 Panther에 온보딩하는 방법
Panther로 수집하기 위해 Carbon Black 로그 스트리밍을 구성하려면, 먼저 Carbon Black에서 Data Forwarder를 설정한 다음 Panther에서 Carbon Black Data Streaming 소스를 생성해야 합니다.
schema: CarbonBlack.Audit
description: CarbonBlack의 감사 로그
referenceURL: https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/
필드:
- name: verbose
description: 이벤트가 자세한지 여부
유형: 불리언
- name: eventId
description: 이벤트의 ID
required: true
유형: 문자열
- name: eventTime
설명: 이벤트가 발생한 시간
유형: 타임스탬프
시간 형식:
- unix_ms
isEventTime: true
- name: description
설명: 이벤트에 대한 설명
유형: 문자열
- name: orgName
설명: 조직의 이름
유형: 문자열
- name: clientIp
설명: 클라이언트의 IP 주소
유형: 문자열
지표:
- ip
- 이름: requestUrl
설명: 요청의 URL
유형: 문자열
지표:
- 호스트 이름
- 이름: loginName
설명: 로그인한 사용자의 이름
유형: 문자열
지표:
- 사용자 이름
- 이름: flagged
설명: 이벤트에 플래그가 지정되었는지 여부
유형: 불리언
스키마: CarbonBlack.AlertV2
설명: Carbon Black Cloud에서 생성된 알러트 로그
참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/알러트-2.0.0/
필드:
- 이름: additional_events_present
설명: API 및 포워더 사용자가 이 알러트와 관련된 다른 연관 이벤트를 조회해야 한다는 것을 알리는 표시기
유형: 불리언
- 이름: 알러트_notes_present
설명: 알러트 ID에 노트가 있으면 True입니다. 노트가 없으면 False입니다.
유형: 불리언
- 이름: 알러트_url
설명: 이 알러트의 알러트 페이지로 연결되는 링크입니다. 알러트 유형에 따라 달라지지 않습니다
유형: 문자열
required: true
지표:
- url
- name: backend_timestamp
description: Carbon Black Cloud가 검색을 위해 알러트를 처리하고 활성화한 시점의 타임스탬프입니다. Alerts 페이지의 Created 열에 해당합니다.
유형: 타임스탬프
timeFormat: rfc3339
- name: backend_update_timestamp
description: Carbon Black Cloud가 알러트에 대한 업데이트를 시작하고 처리한 시점의 타임스탬프입니다. Alerts 페이지의 Updated 열에 해당합니다.
유형: 타임스탬프
timeFormat: rfc3339
- name: blocked_effective_reputation
description: 차단된 파일 또는 프로세스의 유효 평판입니다. 차단이 발생한 시점에 센서가 적용합니다.
유형: 문자열
- name: blocked_md5
description: 자식 프로세스 바이너리의 MD5 해시입니다. 센서에 의해 종료된 모든 프로세스에 해당합니다.
유형: 문자열
지표:
- md5
- 이름: blocked_name
설명: 센서 동작에 의해 차단된 파일의 토큰화된 파일 경로
유형: 문자열
- 이름: blocked_sha256
설명: 하위 프로세스 바이너리의 SHA-256 해시; 센서에 의해 종료된 모든 프로세스에 대해
유형: 문자열
지표:
- sha256
- 이름: childproc_cmdline
설명: 하위 프로세스의 명령줄
유형: 문자열
- 이름: childproc_effective_reputation
설명: 하위 프로세스의 유효 평판; 이벤트가 발생했을 때 센서에 의해 적용됨
유형: 문자열
- 이름: childproc_guid
설명: 자식 프로세스에 할당된 고유 프로세스 식별자
유형: 문자열
- 이름: childproc_md5
설명: 자식 프로세스의 바이너리 해시(Enterprise EDR)
유형: 문자열
지표:
- md5
- 이름: childproc_name
설명: 자식 프로세스의 바이너리에 대한 파일 시스템 경로
유형: 문자열
- 이름: childproc_sha256
설명: 자식 프로세스의 바이너리 해시(Endpoint Standard)
유형: 문자열
지표:
- sha256
- 이름: childproc_username
설명: 자식 프로세스가 실행된 사용자 컨텍스트
유형: 문자열
지표:
- 사용자 이름
- 이름: 디택션_timestamp
설명: 알러트가 처음 감지된 시점의 타임스탬프입니다. 센서에서 전송된 알러트의 경우, 이는 센서에서 이벤트가 발생한 시간입니다. 백엔드에서 생성된 알러트의 경우, 이는 백엔드 시스템이 알러트를 트리거한 시간입니다.
유형: 타임스탬프
timeFormat: rfc3339
required: true
isEventTime: true
- 이름: determination
설명: 사용자가 업데이트할 수 있는 알러트의 판단
유형: 객체
필드:
- 이름: change_timestamp
설명: 판단이 업데이트된 시점의 타임스탬프
유형: 타임스탬프
timeFormat: rfc3339
- 이름: changed_by
설명: 판단을 변경한 사용자
유형: 문자열
지표:
- 사용자 이름
- 이름: changed_by_type
설명: 판단을 변경한 사용자의 유형
유형: 문자열
- 이름: value
description: 사용자가 설정한 알러트의 판정 값
유형: 문자열
- name: device_external_ip
description: Carbon Black Cloud에 따른 엔드포인트의 IP 주소; 네트워크 프록시 또는 NAT로 인해 device_internal_ip와 다를 수 있음; IPv4(점으로 구분된 십진 표기법) 또는 IPv6(독점 형식)
유형: 문자열
지표:
- ip
- name: device_id
description: 장치의 ID
유형: 문자열
- name: device_internal_ip
description: 센서가 보고한 엔드포인트의 IP 주소; IPv4(점으로 구분된 십진 표기법) 또는 IPv6(독점 형식)
유형: 문자열
지표:
- ip
- name: device_location
description: 현재 IP 주소와 장치에 등록된 DNS 도메인 접미사를 기준으로, 알러트가 시작될 때 장치가 사내에 있었는지 외부에 있었는지 여부
유형: 문자열
- name: device_name
설명: 디바이스 이름
유형: 문자열
- 이름: device_os
설명: 디바이스 운영 체제
유형: 문자열
- 이름: device_os_version
설명: 엔드포인트의 운영 체제 및 버전. Windows CBC 센서 버전 3.5 이상이 필요합니다.
유형: 문자열
- 이름: device_policy
설명: 디바이스 정책
유형: 문자열
- 이름: device_policy_id
설명: 디바이스 정책 ID
유형: 문자열
- 이름: device_target_value
설명: 정책에서 설정된, 디바이스에 할당된 대상 값
유형: 문자열
- 이름: device_uem_id
설명: WS1/EUC와의 디바이스 상관 관계로, Workspace ONE Intelligence 통합이 작동하는 데 필요합니다
유형: 문자열
- 이름: device_username
설명: 알러트의 사용자 또는 디바이스 소유자
유형: 문자열
지표:
- 사용자 이름
- 이름: first_event_timestamp
설명: 알러트에서 첫 번째 이벤트가 발생한 타임스탬프
유형: 타임스탬프
timeFormat: rfc3339
- 이름: id
설명: 알러트의 고유 ID
유형: 문자열
required: true
- 이름: is_updated
설명: Carbon Black Cloud 백엔드에서 시작된 알러트의 업데이트된 복사본인 경우 true로 설정합니다. 메모 추가와 같은 사용자 워크플로 업데이트는 알러트의 새 복사본을 생성하지만, is_updated는 false로 설정됩니다.
유형: 불리언
- 이름: last_event_timestamp
설명: 알러트에서 마지막 이벤트가 발생한 타임스탬프
유형: 타임스탬프
timeFormat: rfc3339
- 이름: netconn_local_ip
설명: 네트워크 연결의 원격 측 IP 주소; 점으로 구분된 10진수로 저장됨
유형: 문자열
지표:
- ip
- 이름: netconn_local_ipv4
설명: 네트워크 연결의 로컬 측 IPv4 주소; 점으로 구분된 10진수로 저장됨. ipv4 및 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_local_ipv6
설명: 네트워크 연결의 로컬 측 IPv6 주소; 옥텟을 구분하는 콜론 문자 없이 문자열로 저장됨. ipv4 및 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_local_port
설명: 네트워크 연결의 로컬 측에서 사용하는 TCP 또는 UDP 포트
유형: int
- 이름: netconn_protocol
설명: 네트워크 연결의 네트워크 프로토콜
유형: 문자열
- 이름: netconn_remote_domain
설명: 사용 가능한 경우 네트워크 연결의 원격 끝과 연결된 도메인 이름(FQDN)
유형: 문자열
지표:
- 도메인
- 이름: netconn_remote_ip
설명: 네트워크 연결의 로컬 측 IP 주소; 점으로 구분된 10진수로 저장됨
유형: 문자열
지표:
- ip
- 이름: netconn_remote_ipv4
설명: 네트워크 연결의 원격 측 IPv4 주소; 점으로 구분된 10진수로 저장됨. ipv4 및 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_remote_ipv6
설명: 네트워크 연결의 원격 측 IPv6 주소; 옥텟을 구분하는 콜론 문자 없이 문자열로 저장됨. ipv4 및 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_remote_port
설명: 네트워크 연결의 원격 측에서 사용하는 TCP 또는 UDP 포트; netconn_port 및 event_network_remote_port와 동일함
유형: int
- 이름: org_key
설명: Carbon Black Cloud에서 조직을 식별하는 고유한 영숫자 문자열
유형: 문자열
- 이름: parent_cmdline
설명: 상위 프로세스의 명령줄
유형: 문자열
- 이름: parent_effective_reputation
설명: 상위 프로세스의 유효 평판; 이벤트가 발생했을 때 센서에 의해 적용됨
유형: 문자열
- name: parent_guid
description: 상위 프로세스에 할당된 고유 프로세스 식별자
유형: 문자열
- name: parent_md5
description: 상위 프로세스 바이너리의 MD5 해시
유형: 문자열
지표:
- md5
- name: parent_name
description: 상위 프로세스 바이너리의 파일 시스템 경로
유형: 문자열
- name: parent_pid
description: 운영 체제가 상위 프로세스에 할당한 식별자
유형: 문자열
- name: parent_reputation
description: 상위 프로세스의 평판; 이벤트가 처음 처리될 때 Carbon Black Cloud에서 적용됨
유형: 문자열
- name: parent_sha256
description: 상위 프로세스 바이너리의 SHA-256 해시
유형: 문자열
지표:
- sha256
- name: parent_username
description: 상위 프로세스가 실행된 사용자 컨텍스트
유형: 문자열
지표:
- 사용자 이름
- name: policy_applied
description: 이 알러트와 연결된 모든 이벤트에 정책이 적용되었는지 여부를 나타냄
유형: 문자열
- name: primary_event_id
description: 알러트의 기본 이벤트 ID
유형: 문자열
- name: process_cmdline
description: 행위자 프로세스가 실행한 명령줄
유형: 문자열
- name: process_effective_reputation
description: 행위자 해시의 유효 평판
유형: 문자열
- name: process_guid
description: 알러트를 발생시킨 프로세스의 Guid(선택 사항)
유형: 문자열
- name: process_issuer
description: 프로세스 인증서와 연결된 인증 기관
유형: 배열
요소:
유형: 문자열
- name: process_md5
description: 행위자 프로세스 바이너리의 MD5 해시
유형: 문자열
지표:
- md5
- name: process_name
description: 알러트의 프로세스 이름
유형: 문자열
- name: process_pid
description: 알러트를 발생시킨 프로세스의 PID(선택 사항)
유형: 문자열
- name: process_publisher
description: Windows 또는 macOS 프로세스 바이너리에 서명하는 데 사용된 인증서의 게시자 이름
유형: 배열
요소:
유형: 문자열
- name: process_reputation
description: 행위자 프로세스의 평판; 이벤트가 Carbon Black Cloud에서 처리될 때 적용됨
유형: 문자열
- name: process_sha256
description: 행위자 프로세스 바이너리의 SHA-256 해시
유형: 문자열
지표:
- sha256
- name: process_username
description: 행위자 프로세스가 실행된 사용자 컨텍스트. MacOS - fork() 및 exec() 전환에 대해 해당 PID의 모든 사용자. Linux - exec() 이벤트의 프로세스 사용자이지만, 향후 센서 릴리스에서는 setuid()로 인해 다중 값이 될 수 있음
유형: 문자열
지표:
- 사용자 이름
- name: reason
description: 알러트가 발생한 이유와 무엇이 발생했는지, 그리고 수행된 조치에 대한 구어체 설명으로 작성된 설명이며, 일반적으로 1~3문장으로 구성됨.
유형: 문자열
- name: reason_code
description: 특정 알러트 이유를 식별하는 고유한 약식 코드 또는 GUID
유형: 문자열
- name: run_state
description: 알러트의 위협이 실제로 실행되었는지 여부
유형: 문자열
- name: sensor_action
description: 정책 규칙에 따라 센서가 수행한 조치
유형: 문자열
- name: severity
description: 참 양성일 경우 알러트의 영향도를 나타내는 정수 표현
유형: int
- name: threat_id
description: 알러트 유형을 기준으로 공통 기준을 가진 알러트 그룹에 할당된 ID
유형: 문자열
- name: type
description: 생성된 알러트의 유형
유형: 문자열
required: true
- name: user_update_timestamp
description: 사용자가 변경한 알러트의 마지막 속성의 타임스탬프, 예: 알러트 워크플로 또는 판정
유형: 타임스탬프
timeFormat: rfc3339
- name: version
description: 출력되는 스키마의 버전입니다. 예: 2.0.0
유형: 문자열
- name: workflow
description: 알러트의 현재 워크플로 상태입니다. 워크플로는 OPEN에서 IN_PROGRESS를 거쳐 CLOSED로 이동하는 흐름을 나타내며, 누가 알러트를 현재 상태로 이동시켰는지 기록합니다. 이러한 상태 전환의 이력은 알러트 이력 경로를 통해 확인할 수 있습니다.
유형: 객체
필드:
- 이름: change_timestamp
설명: 마지막 상태 변경이 발생한 시점
유형: 타임스탬프
timeFormat: rfc3339
- 이름: changed_by
설명: 마지막 상태 변경을 수행한 사람(또는 항목)
유형: 문자열
- 이름: changed_by_type
설명: 마지막 상태 변경을 수행한 사용자 또는 시스템의 유형
유형: 문자열
- 이름: changed_by_autoclose_룰_id
설명: 알러트를 종료한 자동 종료 룰의 ID
유형: 문자열
- 이름: closure_reason
설명: 알러트가 해결된 이유에 대한 더 자세한 설명
유형: 문자열
- 이름: status
유형: 문자열
- 이름: attack_tactic
설명: MITRE ATT&CK 프레임워크의 전술; 자격 증명 액세스 달성과 같은 공격자의 행동 이유를 정의합니다
유형: 문자열
- 이름: attack_technique
설명: MITRE ATT&CK 프레임워크의 기법; 자격 증명 액세스를 달성하기 위해 자격 증명을 덤프하는 것과 같이, 공격자가 목표를 달성하기 위해 취하는 행동을 정의합니다
유형: 문자열
- 이름: 룰_category_id
설명: 특정 알러트 유형에 대한 룰_id의 범주를 나타내는 ID
유형: 문자열
- 이름: 룰_id
설명: 알러트를 트리거한 룰의 ID; 침입 디택션 시스템, 호스트 기반 방화벽, TAU 인텔리전스 및 USB 장치 제어 알러트에 적용됩니다
유형: 문자열
- 이름: threat_category
설명: 우리가 조치를 취할 수 있었던 위협의 범주
유형: 문자열
- 이름: ttps
설명: 위협과 관련된 기타 잠재적 악성 활동
유형: 배열
요소:
유형: 문자열
- 이름: connection_type
description: 연결 유형
유형: 문자열
- name: egress_group_id
description: 이그레스 그룹의 고유 식별자
유형: 문자열
- name: egress_group_name
description: 이그레스 그룹의 이름
유형: 문자열
- name: ip_reputation
description: 원격 IP에 대해 허용할 평판 범위
유형: int
- name: k8s_cluster
description: K8s 클러스터 이름
유형: 문자열
- name: k8s_kind
설명: K8s 워크로드 종류
유형: 문자열
- name: k8s_namespace
설명: K8s 네임스페이스
유형: 문자열
- name: k8s_pod_name
설명: 워크로드 내의 파드 이름
유형: 문자열
- name: k8s_policy
설명: K8s 정책 이름
유형: 문자열
- name: k8s_policy_id
설명: K8s 정책의 고유 식별자
유형: 문자열
- name: k8s_룰
설명: K8s 정책 룰의 이름
유형: 문자열
- name: k8s_룰_id
설명: K8s 정책 룰의 고유 식별자
유형: 문자열
- 이름: k8s_workload_name
설명: K8s 워크로드 이름
유형: 문자열
- 이름: remote_is_private
설명: 원격 정보는 비공개입니까? 참 또는 거짓
유형: 불리언
- 이름: remote_k8s_kind
설명: 원격 워크로드의 종류; 원격 측이 동일한 클러스터의 다른 워크로드인 경우 설정
유형: 문자열
- 이름: remote_k8s_namespace
설명: 원격 워크로드의 클러스터 내 네임스페이스; 원격 측이 동일한 클러스터의 다른 워크로드인 경우 설정
유형: 문자열
- 이름: remote_k8s_pod_name
설명: 원격 워크로드의 Pod 이름; 원격 측이 동일한 클러스터의 다른 워크로드인 경우 설정
유형: 문자열
- 이름: remote_k8s_workload_name
설명: 원격 워크로드의 이름; 원격 측이 동일한 클러스터의 다른 워크로드인 경우 설정
유형: 문자열
- 이름: external_device_friendly_name
설명: 사람이 읽을 수 있는 외부 장치 이름
유형: 문자열
- 이름: product_id
설명: USB 장치를 식별하는 제품 ID
유형: 문자열
- 이름: product_name
설명: USB 장치를 식별하는 제품 이름
유형: 문자열
- 이름: serial_number
설명: USB 장치의 일련번호
유형: 문자열
- 이름: vendor_id
설명: USB 장치를 식별하는 공급업체 ID
유형: 문자열
- 이름: vendor_name
설명: 장치를 제작한 공급업체의 이름
유형: 문자열
- 이름: threat_name
설명: 위협의 이름
유형: 문자열
- 이름: tms_룰_id
설명: 디택션 ID
유형: 문자열
- 이름: ioc_field
설명: 지표 일치(IOC) 히트에 포함된 필드
유형: 문자열
- 이름: ioc_hit
설명: 일치하는 IOC 필드 값 또는 IOC 쿼리
유형: 문자열
- 이름: ioc_id
설명: 워치리스트 히트를 생성한 IOC의 고유 식별자
유형: 문자열
- 이름: ml_classification_final_verdict
설명: 예측에 사용된 ML 모델을 기반으로 한 알러트의 최종 판정.
유형: 문자열
- 이름: ml_classification_global_prevalence
설명: 모든 지역 조직 전반에서 경고의 보급률을 설명하는 데 사용되는 범주(낮음/중간/높음).
유형: 문자열
- 이름: ml_classification_org_prevalence
설명: 조직 내에서 경고의 보급률을 설명하는 데 사용되는 범주(낮음/중간/높음).
유형: 문자열
- 이름: report_description
설명: 보고서에 대한 설명
유형: 문자열
- 이름: report_id
설명: 적중을 유발한 IOC가 포함된 보고서 ID
유형: 문자열
- 이름: report_link
설명: 적중을 유발한 IOC가 포함된 보고서 링크
유형: 문자열
지표:
- url
- 이름: report_name
설명: 워치리스트 보고서의 이름
유형: 문자열
- 이름: report_tags
설명: 워치리스트 보고서와 연결된 태그
유형: 배열
요소:
유형: 문자열
- 이름: watchlists
설명: 알러트와 연결된 워치리스트 목록. 알러트는 매시간 일괄 처리됩니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: id
설명: 워치리스트의 고유 식별자
유형: 문자열
- 이름: name
설명: 워치리스트의 이름
유형: 문자열
- 이름: mdr_알러트
설명: 알러트가 Carbon Black MDR 분석가의 검토 대상이 될 수 있습니까?
유형: 불리언
- name: mdr_알러트_notes_present
description: MDR 분석가가 추가한 알러트 수준의 고객에게 표시되는 메모
유형: 불리언
- name: mdr_determination
description: 알러트의 MDR에서 업데이트 가능한 분류
유형: 객체
필드:
- 이름: change_timestamp
description: MDR 결정이 마지막으로 변경된 시점
유형: 타임스탬프
timeFormat: rfc3339
- 이름: value
description: 알러트가 가능성 있는 위협 또는 가능성 없는 위협을 나타내는 것으로 판정되었는지 식별하는 레코드.
유형: 문자열
- name: mdr_workflow
description: 알러트의 MDR에서 업데이트 가능한 워크플로
유형: 객체
필드:
- 이름: change_timestamp
description: MDR 워크플로가 마지막으로 변경된 시점
유형: 타임스탬프
timeFormat: rfc3339
- 이름: status
유형: 문자열
description: MD 분석가의 알러트 분류 중 상태 변경을 캡처하는 데 사용되는 기본 값
- name: is_assigned
유형: 불리언
description: 알러트가 할당되었는지 여부를 나타냅니다
schema: CarbonBlack.EndpointEvent
description: CarbonBlack의 엔드포인트 이벤트
referenceURL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/endpoint.event-1.0.0/
필드:
- name: action
description: 이 이벤트 동안 센서가 관찰한 특정 엔드포인트 작업.
유형: 문자열
required: true
- name: backend_timestamp
description: Carbon Black Cloud 백엔드의 시계를 기준으로 백엔드가 이벤트 배치를 수신한 시각으로, UTC 기준 초 단위의 RFC 3339 형식 시간 문자열입니다; 비동기 처리로 인해 device_timestamp와 몇 분 차이날 수 있습니다
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S %z %Z'
- name: device_group
설명: 센서가 이벤트 데이터를 기록할 때 엔드포인트가 할당된 센서 그룹
유형: 문자열
- name: device_id
설명: 이 이벤트를 생성한 장치의 ID
유형: 문자열
- name: device_name
설명: 이 이벤트를 생성한 장치의 호스트 이름
유형: 문자열
- 이름: device_os
설명: 장치의 OS 유형(Windows/OSX/Linux)
유형: 문자열
- 이름: device_timestamp
설명: 센서에서 확인된 시간으로, 센서의 시계를 기준으로 한 RFC 3339 UTC 형식의 초 단위 시간
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%N %z %Z'
- '%Y-%m-%d %H:%M:%S %z %Z'
required: true
isEventTime: true
- 이름: event_origin
설명: 이벤트가 어떤 제품에서 발생했는지 나타냅니다.
유형: 문자열
- 이름: org_key
설명: 콘솔 인스턴스와 연결된 조직 키입니다. 서로 다른 Carbon Black Cloud 테넌트 조직의 이벤트를 구분하는 데 사용할 수 있습니다.
유형: 문자열
- name: parent_guid
description: 상위 프로세스의 고유 ID.
유형: 문자열
- name: parent_hash
description: 상위 프로세스를 지원하는 실행 파일의 암호학적 해시이며, 두 요소의 배열로 표현됩니다 - MD5 및 SHA-256 해시
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: parent_path
description: 장치의 파일 시스템에서 상위 프로세스를 지원하는 실행 파일의 전체 경로
유형: 문자열
- name: parent_pid
description: 상위 프로세스의 OS 보고 프로세스 ID
유형: 문자열
- name: parent_reputation
description: 상위 프로세스의 평판; 이벤트가 Carbon Black Cloud에 의해 처리될 때, 즉 센서가 이벤트를 클라우드로 전달한 후 적용됨
유형: 문자열
- name: process_cmdline
description: 행위자 프로세스가 실행한 명령줄
유형: 문자열
- name: process_fork_pid
description: *nix 시스템에서 실행자(actor)로부터 분기된 프로세스의 PID입니다. process_pid != process_fork_pid인 경우, 현재 프로세스는 원래의 process_pid에서 분기되었습니다.
유형: 문자열
- name: process_guid
description: 프로세스의 고유 ID.
유형: 문자열
- name: process_hash
description: 이 프로세스를 뒷받침하는 실행 파일의 암호화 해시이며, MD5 및 SHA-256 해시의 두 요소로 구성된 배열로 표시됩니다.
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: process_path
description: 장치의 파일 시스템에서 이 프로세스를 뒷받침하는 실행 파일의 전체 경로
유형: 문자열
- name: process_pid
description: 현재 프로세스의 OS 보고 프로세스 ID
유형: 문자열
- name: process_reputation
description: 행위자 프로세스의 평판; 이벤트가 Carbon Black Cloud에서 처리될 때, 즉 센서가 이벤트를 클라우드에 전달한 후 적용됩니다.
유형: 문자열
- name: process_username
description: 이 프로세스가 시작될 때 사용된 사용자 컨텍스트와 연결된 사용자 이름
유형: 문자열
지표:
- 사용자 이름
- name: schema
description: 스키마 버전입니다. 현재 스키마 버전은 1입니다.
유형: 문자열
- name: sensor_action
description: 센서가 이벤트를 차단했거나 보안 정책으로 인해 애플리케이션을 종료한 경우 포함됩니다.
유형: 문자열
- name: target_cmdline
description: 대상 프로세스와 연결된 프로세스 명령줄
유형: 문자열
- name: type
description: 이벤트 유형입니다. 아래 사양에 따라 어떤 필드를 예상해야 하는지 결정하려면 이 필드를 사용하십시오.
유형: 문자열
required: true
- name: 알러트_id
description: 이 이벤트와 연결된 알러트의 ID
유형: 문자열
- name: device_external_ip
description: 백엔드에서 확인한 호스트의 IP 주소(Carbon Black Cloud에 연결하는 데 사용된 공인 IPv4 또는 IPv6 주소)
유형: 문자열
지표:
- ip
- name: event_description
description: Carbon Black Cloud 웹 콘솔에 표시되는 이벤트의 긴 텍스트 설명
유형: 문자열
- name: event_id
description: 이 특정 이벤트와 연결된 내부 Endpoint Standard 이벤트 ID—이 이벤트 ID를 사용하여 Carbon Black Cloud 웹 콘솔에서 특정 이벤트를 찾을 수 있습니다.
유형: 문자열
- name: process_terminated
description: 프로세스가 종료된 경우 True입니다. Endpoint Standard 이벤트에서는 항상 FALSE입니다.
유형: 불리언
- 이름: parent_cmdline
description: 부모 프로세스와 연결된 프로세스 명령줄
유형: 문자열
- name: process_duration
description: 프로세스 시작과 프로세스 종료 이벤트 간의 시간 차이(초)
type: float
- name: process_publisher
description: “name” 및 “state”의 두 키를 가진 객체 배열입니다. 각 배열 항목은 엔드포인트에서 보고된 프로세스의 서명 항목입니다.
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- name: crossproc_api
description: 행위자 프로세스가 호출한 운영 체제 API의 이름입니다. 해당 호출이 다른 프로세스를 대상으로 하는 경우 그 프로세스는 crossproc_name으로 보고됩니다. 대상 프로세스가 없는 경우 이 필드는 시스템 API 호출을 나타냅니다.
유형: 문자열
- name: crossproc_action
description: 행위자 프로세스가 호출한 운영 체제 API에 의해 수행된 작업
유형: 문자열
- name: crossproc_guid
description: 크로스 프로세스의 고유 ID
유형: 문자열
- name: crossproc_hash
description: crossproc 이벤트 대상의 암호화 해시—이는 MD5 및 SHA-256 해시의 두 요소로 구성된 배열로 표시됩니다.
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: crossproc_name
description: 장치의 로컬 파일 시스템에서 crossproc 이벤트 대상의 전체 경로
유형: 문자열
- name: crossproc_publisher
description: 각 배열 항목은 엔드포인트에서 보고된 crossproc의 서명 항목입니다.
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- name: crossproc_reputation
description: crossproc에 대한 Carbon Black Cloud 평판 문자열입니다.
유형: 문자열
- name: crossproc_target
description: 프로세스가 크로스 프로세스 이벤트의 대상인 경우 True, 행위자인 경우 false
유형: 불리언
- name: filemod_hash
description: 수정된 파일의 암호화 해시—이는 MD5 및 SHA-256 해시의 두 요소로 구성된 배열로 표시됩니다.
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: filemod_name
description: 장치의 파일 시스템에서 수정 중인 파일의 전체 경로
유형: 문자열
- 이름: fileless_scriptload_cmdline
description: 행위자 프로세스가 실행한 명령줄
유형: 문자열
- 이름: fileless_scriptload_cmdline_length
설명: 파일리스 컨텍스트에서 실행된 난독화 해제된 스크립트 콘텐츠의 문자 수
유형: bigint
- 이름: fileless_scriptload_hash
설명: 파일리스 컨텍스트에서 프로세스가 실행한 난독화 해제된 스크립트 콘텐츠의 SHA-256 해시
유형: JSON
- 이름: modload_count
설명: 마지막 초기화 이후 센서가 보고한 modload 이벤트 수
유형: bigint
- 이름: modload_effective_reputation
설명: 로드된 모듈의 유효 평판; 이벤트 발생 시 센서에 의해 적용됨
유형: JSON
- 이름: modload_hash
설명: 프로세스가 로드한 모듈의 MD5 또는 SHA-256 해시
유형: JSON
- 이름: modload_md5
설명: 프로세스가 로드한 모듈의 MD5 해시
유형: 문자열
지표:
- md5
- 이름: modload_name
설명: 장치의 파일 시스템에서 로드 중인 모듈의 전체 경로
유형: 문자열
- 이름: modload_publisher
설명: 배열의 각 항목은 엔드포인트가 보고한 모듈 로드에 대한 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- 이름: modload_sha256
설명: 프로세스가 로드한 모듈의 SHA-256 해시
유형: 문자열
지표:
- sha256
- 이름: local_ip
설명: 이 네트워크 연결의 “로컬” 끝과 연결된 문자열 형식의 IPv4 또는 IPv6 주소
유형: 문자열
지표:
- ip
- 이름: local_port
설명: 이 네트워크 연결의 “로컬” 끝과 연결된 UDP/TCP 포트 번호
유형: int
- 이름: netconn_domain
설명: 이 네트워크 연결의 “원격” 끝과 연결된 DNS 이름
유형: 문자열
지표:
- 호스트 이름
- 이름: netconn_inbound
설명: netconn이 인바운드인 경우 true로 설정됨
유형: 불리언
- 이름: netconn_protocol
설명: 문자열 형식의 UDP 또는 TCP 프로토콜 식별자
유형: 문자열
- 이름: remote_ip
설명: 이 네트워크 연결의 “원격” 끝과 연결된 문자열 형식의 IPv4 또는 IPv6 주소
유형: 문자열
지표:
- ip
- 이름: remote_port
설명: 이 네트워크 연결의 “원격” 끝과 연결된 UDP/TCP 포트 번호
유형: int
- 이름: netconn_proxy_domain
설명: 이 네트워크 연결의 “프록시” 끝과 연결된 DNS 이름
유형: 문자열
지표:
- 호스트 이름
- 이름: netconn_proxy_ip
설명: 이 네트워크 연결의 “프록시” 끝과 연결된 문자열 형식의 IPv4 또는 IPv6 주소
유형: 문자열
지표:
- ip
- 이름: netconn_proxy_port
설명: 이 네트워크 연결의 “프록시” 끝과 연결된 UDP/TCP 포트 번호
유형: int
- 이름: childproc_guid
설명: 자식 프로세스의 고유 ID.
유형: 문자열
- 이름: childproc_hash
설명: 자식 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, MD5와 SHA-256 해시의 두 요소 배열로 표현됨
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- 이름: childproc_name
설명: 장치의 로컬 파일 시스템에서 자식 프로세스의 대상 애플리케이션에 대한 전체 경로
유형: 문자열
- 이름: childproc_pid
설명: OS에서 보고한 자식 프로세스의 프로세스 ID
유형: 문자열
- 이름: childproc_publisher
설명: 배열의 각 항목은 엔드포인트가 보고한 childproc에 대한 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
설명: 자식 프로세스 게시자의 이름
유형: 문자열
- name: state
설명: 자식 프로세스 게시자의 상태
유형: 문자열
- 이름: childproc_reputation
description: 자식 프로세스에 대한 Carbon Black Cloud 평판 문자열
유형: 문자열
- 이름: childproc_username
description: 자식 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름
유형: 문자열
지표:
- 사용자 이름
- name: regmod_name
description: Windows 디바이스의 레지스트리에서 수정 중인 하이브를 포함한 레지스트리 키의 전체 경로
유형: 문자열
- name: scriptload_effective_reputation
description: 로드된 스크립트의 유효 평판; 이벤트가 발생했을 때 센서가 적용함
유형: JSON
- name: scriptload_hash
description: 프로세스 시작 시 로드된 파일 시스템 스크립트 파일의 MD5 및/또는 SHA-256 해시
유형: JSON
- name: scriptload_name
description: 프로세스 시작 시 로드된 스크립트 파일의 파일 시스템 경로
유형: 문자열
- name: scriptload_publisher
description: 각 배열 항목은 엔드포인트가 보고한 scriptload의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: scriptload 게시자의 이름
유형: 문자열
- name: state
description: scriptload 게시자의 상태
유형: 문자열
- name: scriptload_reputation
description: 로드된 스크립트의 평판; 센서가 이벤트를 클라우드에 전달한 후 Carbon Black Cloud에서 이벤트가 처리될 때 적용됨
유형: JSON
- name: process_loaded_script_hash
description: 프로세스의 전체 실행 기간 동안 파일 시스템에서 로드된 모든 스크립트의 SHA-256 해시; fileless_scriptload_hash와 비교
유형: JSON
- name: process_loaded_script_name
description: 프로세스의 전체 실행 기간 동안 파일 시스템에서 로드된 모든 스크립트 콘텐츠의 파일 시스템 경로; fileless_scriptload_cmdline, scriptload_content와 비교
유형: 문자열
- name: scriptload_content
description: 프로세스 시작 시 파일 시스템에서 로드된 난독화 해제된 스크립트 콘텐츠(문자열, 바이너리 또는 원시 실행 이미지); fileless_scriptload_cmdline, process_loaded_script_name과 비교
유형: 문자열
- name: scriptload_count
description: 마지막 초기화 이후 센서가 보고한 모든 프로세스의 scriptload 이벤트 수
유형: bigint
- name: scriptload_content_length
description: 난독화 해제된 파일 시스템 스크립트의 문자 수; fileless_scriptload_cmdline_length와 비교
유형: bigint
schema: CarbonBlack.WatchlistHit
description: CarbonBlack의 watchlist 적중
referenceURL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/watchlist.hit-1.0.0/
필드:
- name: 알러트_id
description: 이 watchlist 적중과 연결된 알러트의 ID
유형: 문자열
- name: create_time
description: watchlist 적중이 생성된 시간(밀리초까지의 ISO 8601 UTC 타임스탬프 형식)
유형: 타임스탬프
시간 형식:
- rfc3339
isEventTime: true
required: true
- name: device_external_ip
description: Carbon Black Cloud 관점에서 본 엔드포인트의 IP 주소입니다. 네트워크 프록시 또는 NAT로 인해 device_internal_ip와 다를 수 있습니다. IPv4 또는 IPv6일 수 있습니다.
유형: 문자열
지표:
- ip
- name: device_id
description: 이 watchlist 적중을 생성한 디바이스의 정수 ID
유형: 문자열
required: true
- name: device_internal_ip
description: 센서가 보고한 엔드포인트의 IP 주소입니다. IPv4 또는 IPv6일 수 있습니다.
유형: 문자열
지표:
- ip
- name: device_name
description: 이 watchlist 적중을 생성한 디바이스의 호스트 이름
유형: 문자열
- 이름: device_os
설명: 장치의 OS 유형(Windows/OSX/Linux)
유형: 문자열
- 이름: device_uem_id
description: VMware Workspace ONE Intelligence가 할당한 Unified Endpoint Management 식별자이며, Workspace ONE 통합이 구성된 경우에만 채워집니다.
유형: 문자열
- 이름: ioc_field
description: IOC 적중이 포함하는 필드
유형: 문자열
- 이름: ioc_hit
description: 일치하는 IOC 필드 값 또는 IOC 쿼리
유형: 문자열
- 이름: ioc_id
description: 적중을 발생시킨 IOC의 ID
유형: 문자열
required: true
- name: schema
description: 스키마 버전입니다. 현재 스키마 버전은 1입니다.
유형: 문자열
- 이름: org_key
description: 콘솔 인스턴스와 연결된 organization key입니다. 서로 다른 고객/조직의 알러트를 구분하는 데 사용할 수 있습니다.
유형: 문자열
- 이름: parent_cmdline
description: 부모 프로세스에 의해 실행된 명령줄
유형: 문자열
- name: parent_guid
description: 상위 프로세스의 고유 ID.
유형: 문자열
- name: parent_hash
description: 상위 프로세스를 지원하는 실행 파일의 암호학적 해시이며, 두 요소의 배열로 표현됩니다 - MD5 및 SHA-256 해시
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: parent_path
description: 장치의 파일 시스템에서 상위 프로세스를 지원하는 실행 파일의 전체 경로
유형: 문자열
- name: parent_pid
description: 상위 프로세스의 OS 보고 프로세스 ID
유형: 문자열
- name: parent_publisher
description: 각 배열 항목은 엔드포인트가 보고한 부모 프로세스의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- name: parent_reputation
description: 상위 프로세스의 평판; 이벤트가 Carbon Black Cloud에 의해 처리될 때, 즉 센서가 이벤트를 클라우드로 전달한 후 적용됨
유형: 문자열
- name: parent_username
description: 부모 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름
유형: 문자열
지표:
- 사용자 이름
- name: process_cmdline
description: 행위자 프로세스가 실행한 명령줄
유형: 문자열
- name: process_guid
description: 프로세스의 고유 ID.
유형: 문자열
- name: process_hash
description: 이 프로세스를 뒷받침하는 실행 파일의 암호화 해시이며, MD5 및 SHA-256 해시의 두 요소로 구성된 배열로 표시됩니다.
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: process_path
description: 장치의 파일 시스템에서 이 프로세스를 뒷받침하는 실행 파일의 전체 경로
유형: 문자열
- name: process_pid
description: 현재 프로세스의 OS 보고 프로세스 ID
유형: 문자열
- name: process_publisher
description: 각 배열 항목은 엔드포인트가 보고한 행위자 프로세스의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- name: process_reputation
description: 행위자 프로세스의 평판; 이벤트가 Carbon Black Cloud에서 처리될 때, 즉 센서가 이벤트를 클라우드에 전달한 후 적용됩니다.
유형: 문자열
- name: process_username
description: 이 프로세스가 시작될 때 사용된 사용자 컨텍스트와 연결된 사용자 이름
유형: 문자열
지표:
- 사용자 이름
- 이름: report_id
description: 프로세스에서 적중을 탐지한 watchlist 보고서의 ID
유형: 문자열
- 이름: report_name
description: 프로세스에서 적중을 탐지한 watchlist 보고서의 이름
유형: 문자열
- 이름: report_tags
description: 프로세스에서 적중을 탐지한 보고서와 연결된 태그 목록
유형: 배열
요소:
유형: 문자열
- name: severity
description: watchlist 적중의 심각도
유형: int
- name: type
설명: 감시 목록 적중 유형
유형: 문자열
- 이름: watchlists
설명: IOC 적중 보고서를 포함하는 감시 목록의 목록
유형: 배열
요소:
유형: 객체
필드:
- 이름: id
설명: 감시 목록의 ID
유형: 문자열
- 이름: name
설명: 워치리스트의 이름
유형: 문자열
