# Carbon Black 로그

## 개요

Panther는 다음과 같은 로그 수집 방법을 지원합니다 [Carbon Black](https://www.vmware.com/products/carbon-black-endpoint.html):

* [Carbon Black 감사 로그 API](#how-to-onboard-carbon-black-audit-logs-to-panther): Panther는 Carbon Black API를 직접 쿼리하여 Carbon Black 감사 로그를 가져올 수 있습니다 [Carbon Black API](https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/).
* [Carbon Black 데이터 스트리밍](#how-to-onboard-carbon-black-data-streaming-logs-to-panther): Panther는 Carbon Black의 알러트, 엔드포인트 이벤트 및 워치리스트 적중과 관련된 데이터를 다음을 사용하여 수집할 수 있습니다 [Carbon Black의 데이터 스트리밍](https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-E8D33F72-BABB-4157-A908-D8BBDB5AF349.html) 기능을 통해 AWS S3를 사용합니다.

## Carbon Black 감사 로그를 Panther에 온보딩하는 방법

Panther에서 Carbon Black을 로그 소스로 설정하려면 Carbon Black API 키를 사용하여 Panther에서 새 로그 소스를 생성합니다.

{% hint style="warning" %}
이 Carbon Black 감사 로그 통합은 다음만 지원합니다 [CarbonBlack.Audit](#carbonblack.audit) 로그. 다른 로그 유형을 수집하려면 다음을 참조하십시오 [Carbon Black 데이터 스트리밍 로그를 Panther에 온보딩하는 방법](#how-to-onboard-carbon-black-data-streaming-logs-to-panther).
{% endhint %}

### 1단계: Carbon Black API 키 생성

{% hint style="warning" %}
Panther 통합에 연결된 Carbon Black API 키를 다른 애플리케이션에 사용하지 마십시오. 그렇게 하면 로그 손실이 발생할 수 있습니다.
{% endhint %}

1. Carbon Black 인스턴스에서 클릭하십시오 **설정** > **API 액세스**.
2. 을 클릭하세요 **액세스 수준** 탭을 클릭하세요.
3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **액세스 수준 추가**.
   1. 필수 필드에 값을 입력하십시오.
   2. 다음을 선택하십시오 `org.audits READ` 권한을, **감사 로그** > **감사 보기 및 내보내기**.
   3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **"Resource": "\<secret ARN>"**.
4. 을 클릭하세요 **API 키** 탭을 클릭하세요.
5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **API 키 추가**.
   1. 일반 구성 **이름** 필드에 설명적인 이름을 입력하십시오(예: `Panther`.
   2. 일반 구성 **액세스 수준 유형** 필드, 선택 `사용자 지정`.
   3. 일반 구성 **사용자 지정 액세스 수준** 필드에서 이 프로세스 초기에 생성한 액세스 수준을 선택하십시오.
   4. (선택 사항) **허용된 IP 주소** 필드에 Panther의 IP 주소를 입력하여 액세스를 Panther로만 제한하십시오.
      * Panther 콘솔의 페이지에서 Panther의 IP 주소를 찾으십시오, [**설정** > **일반** 페이지](https://docs.panther.com/ko/system-configuration#general-settings).
   5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **"Resource": "\<secret ARN>"**.
6. 다음 값을 복사하세요 **API ID** 와 **API 비밀 키** 그리고 다음 단계에서 이러한 값이 필요하므로 안전한 위치에 저장하십시오.

### 2단계: Panther에서 새 Carbon Black 감사 로그 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**.
3. "Carbon Black Audit Logs"를 검색한 다음 해당 타일을 클릭하십시오.
4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**.
5. 다음 화면에서 소스의 설명적인 이름을 입력하십시오. 예: `내 Carbon Black 감사 로그`.
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Panther 콘솔에서 필드에 값을 입력하세요:**
7. 페이지에서 **자격증명 설정** 페이지에서 양식을 작성하세요:
   1. **Carbon Black 도메인**: Carbon Black 도메인의 URL을 입력하십시오.
   2. **API ID**: 1단계에서 생성된 Carbon Black API ID를 입력하십시오.
   3. **API 비밀 키**: 1단계에서 생성된 API 비밀 키를 입력하십시오.
8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동합니다:

   <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-e55cedf82c6a6adc66ec5c14ebdcb164c3b1dcca%2FScreenshot%202023-08-03%20at%204.33.30%20PM.png?alt=media" alt="The success screen reads, &#x22;Everything looks good! Panther will now automatically pull &#x26; process logs from your account&#x22;" width="281"><figcaption></figcaption></figure>

   * 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs).
   * 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**예

     <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c48119abd559990173004bde99ff4907fdd2ded2%2FScreenshot%202023-08-03%20at%204.26.54%20PM.png?alt=media" alt="The &#x22;Trigger an alert when no events are processed&#x22; toggle is set to YES. The &#x22;How long should Panther wait before it sends you an alert that no events have been processed&#x22; setting is set to 1 Day" width="320"><figcaption></figcaption></figure>

## Carbon Black 데이터 스트리밍 로그를 Panther에 온보딩하는 방법

Panther에서 수집을 위해 Carbon Black 로그 스트리밍을 구성하려면 먼저 Carbon Black에서 데이터 포워더(Data Forwarder)를 설정한 다음 Panther에서 Carbon Black 데이터 스트리밍 소스를 생성합니다.

{% hint style="warning" %}
이 Carbon Black 데이터 스트리밍 통합은 다음을 지원합니다 [CarbonBlack.AlertV2](#carbonblack.alertv2), [CarbonBlack.EndpointEvent](#carbonblack.endpointevent)및 [CarbonBlack.WatchlistHit](#carbonblack.watchlisthit) 로그 유형. 을(를) 수집하려면 [CarbonBlack.Audit](#carbonblack.audit) 로그는 다음을 참조하십시오 [Carbon Black 감사 로그를 Panther에 온보딩하는 방법](#how-to-onboard-carbon-black-audit-logs-to-panther).
{% endhint %}

### 1단계: S3 버킷으로의 Carbon Black 데이터 포워더 설정

* 각 [데이터 스트리밍 로그 유형](#data-streaming-source-log-types) 수집하려는 경우, 다음을 따르십시오 [Carbon Black 지침에 따라 AWS S3 버킷으로 데이터 포워더를 설정하십시오](https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-E8D33F72-BABB-4157-A908-D8BBDB5AF349.html).

  * 각 데이터 포워더가 S3 버킷의 다른 폴더로 로그를 보내도록 구성하는 것이 권장됩니다. 이렇게 하면 모든 데이터가 Panther에서 올바르게 파싱됩니다.
  * 알러트 데이터 포워더를 생성할 때, **필요한 경우**SNS 주제 **2.0.0**.

  <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-197e1cfa4d629cb9856e7c469ba8499108b714d5%2Fimage.png?alt=media" alt="A form titled &#x22;Add Forwarder&#x22; is shown, with various fields under a &#x22;Basic info&#x22; section, including Name, S3 bucket name, Schema, Type, and S3 prefix." width="563"><figcaption></figcaption></figure>

이 프로세스를 완료하면 데이터 포워더는 아래와 유사하게 보입니다:

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-6c9fc75712039490f7c651dae0da2f171ee1d6ba%2Fimage%20(1)%20(1)%20(2).png?alt=media" alt="Three rows contain various information about Data Forwarders, including the status, name, type, destination, updated time, and actions." width="563"><figcaption></figcaption></figure>

### 2단계: Panther에서 새 Carbon Black 데이터 스트리밍 소스 생성

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 클릭하십시오 **구성** **> 로그 소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**.
3. "Carbon Black"을 검색한 다음 **Carbon Black 데이터 스트리밍** 타일을 클릭합니다.
   * 슬라이드 아웃 패널에서 **전송 메커니즘** 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 **AWS S3 버킷** 옵션.

     <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-9ce436e92acca2fd9fe7b832307ce08955786238%2Fimage.png?alt=media" alt="In the search box is &#x22;carbon black streaming,&#x22; and one of the results, a box titled &#x22;Carbon Black Data Streaming,&#x22; is circled." width="563"><figcaption></figcaption></figure>
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**.
5. 다음을 따르세요 [Panther의 S3 소스 구성 지침](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3)을(를) 클릭하십시오. 다음과 같은 수정 사항 적용:
   1. 페이지에서 **기본 정보** 페이지에서 **접두사 및 스키마 구성(선택 사항)**.
   2. 이 프로세스에서 생성한 각 데이터 포워더에 대해, [1단계](#step-1-set-up-carbon-black-data-forwarders-to-an-s3-bucket) 생성하십시오 **S3 접두사** 및 스키마 쌍. 세 가지 로그 유형 모두를 사용하는 경우 다음과 같이 보일 것입니다:

      <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-d88ce73b06527c865e4a5ef2b921ff05c02ecedb%2Fimage.png?alt=media" alt="A form titled &#x22;S3 Prefixes &#x26; Schemas&#x22; shows three pairs of &#x22;S3 Prefix&#x22; and &#x22;Schemas - Optional&#x22; fields." width="563"><figcaption></figcaption></figure>
   3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **변경 사항 적용**.

## 감사 로그 소스 로그 유형

이들은 Carbon Black 테넌트의 이벤트 감사 로그입니다. 자세한 내용은 [Carbon Black 감사 로그 이벤트 문서](https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/).

### CarbonBlack.Audit

```yaml
스키마: CarbonBlack.Audit
설명: CarbonBlack의 감사 로그
참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/
필드:
  - 이름: verbose
    설명: 이벤트가 상세한지 여부
    유형: boolean
  - 이름: eventId
    설명: 이벤트의 ID
    required: true
    type: string
  - 이름: eventTime
    설명: 이벤트가 발생한 시간
    type: timestamp
    timeFormats:
      - unix_ms
    isEventTime: true
  - 이름: description
    설명: 이벤트에 대한 설명
    type: string
  - 이름: orgName
    설명: 조직의 이름
    type: string
  - 이름: clientIp
    설명: 클라이언트의 IP 주소
    type: string
    지표:
      - ip
  - 이름: requestUrl
    설명: 요청의 URL
    type: string
    지표:
      - hostname
  - name: loginName
    설명: 로그인한 사용자의 이름
    type: string
    지표:
      - username
  - 이름: flagged
    설명: 이벤트가 플래그된 여부
    유형: boolean
```

## 데이터 스트리밍 소스 로그 유형

자세한 내용은 [Carbon Black 데이터 포워더 스키마 문서](https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/).

### CarbonBlack.AlertV2

```yaml
스키마: CarbonBlack.AlertV2
설명: Carbon Black Cloud에서 생성된 알러트 로그
참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/alert-2.0.0/
필드:
  - 이름: additional_events_present
    설명: API 및 포워더 사용자가 이 알러트와 관련된 다른 연관 이벤트를 조회해야 함을 알리는 표시기
    유형: boolean
  - 이름: alert_notes_present
    설명: 알러트 ID에 노트가 있으면 True. 노트가 없으면 False.
    유형: boolean
  - 이름: alert_url
    설명: 이 알러트의 알러트 페이지로 연결되는 링크. 알러트 유형에 따라 달라지지 않음
    type: string
    required: true
    지표:
      - url
  - 이름: backend_timestamp
    설명: Carbon Black Cloud가 알러트를 처리하고 검색 가능하도록 활성화한 타임스탬프. 알러트 페이지의 Created 열에 해당.
    type: timestamp
    시간 형식: rfc3339
  - 이름: backend_update_timestamp
    설명: Carbon Black Cloud가 알러트에 대한 업데이트를 시작하고 처리한 타임스탬프. 알러트 페이지의 Updated 열에 해당.
    type: timestamp
    시간 형식: rfc3339
  - 이름: blocked_effective_reputation
    설명: 차단이 발생했을 때 센서에 의해 적용된 차단된 파일 또는 프로세스의 유효 평판
    type: string
  - 이름: blocked_md5
    설명: 센서에 의해 종료된 모든 프로세스의 자식 프로세스 바이너리의 MD5 해시
    type: string
    지표:
      - md5
  - 이름: blocked_name
    설명: 센서 동작에 의해 차단된 파일의 토큰화된 파일 경로
    type: string
  - 이름: blocked_sha256
    설명: 센서에 의해 종료된 모든 프로세스의 자식 프로세스 바이너리의 SHA-256 해시
    type: string
    지표:
      - sha256
  - 이름: childproc_cmdline
    설명: 자식 프로세스의 명령줄
    type: string
  - 이름: childproc_effective_reputation
    설명: 이벤트가 발생했을 때 센서에 의해 적용된 자식 프로세스의 유효 평판
    type: string
  - 이름: childproc_guid
    설명: 자식 프로세스에 할당된 고유 프로세스 식별자
    type: string
  - 이름: childproc_md5
    설명: 자식 프로세스 바이너리의 해시(Enterprise EDR)
    type: string
    지표:
      - md5
  - 이름: childproc_name
    설명: 자식 프로세스 바이너리의 파일 시스템 경로
    type: string
  - 이름: childproc_sha256
    설명: 자식 프로세스 바이너리의 해시(Endpoint Standard)
    type: string
    지표:
      - sha256
  - 이름: childproc_username
    설명: 자식 프로세스가 실행된 사용자 컨텍스트
    type: string
    지표:
      - username
  - 이름: detection_timestamp
    설명: 알러트가 처음 탐지된 타임스탬프. 센서에서 전송된 알러트의 경우 센서에서의 이벤트 시간입니다. 백엔드에서 생성된 알러트의 경우 백엔드 시스템이 알러트를 트리거한 시간입니다.
    type: timestamp
    시간 형식: rfc3339
    required: true
    isEventTime: true
  - 이름: determination
    설명: 사용자가 업데이트할 수 있는 알러트의 판정
    type: object
    필드:
      - 이름: change_timestamp
        설명: 판정이 업데이트된 타임스탬프
        type: timestamp
        시간 형식: rfc3339
      - 이름: changed_by
        설명: 판정을 변경한 사용자
        type: string
        지표:
          - username
      - 이름: changed_by_type
        설명: 판정을 변경한 사용자의 유형
        type: string
      - 이름: value
        설명: 사용자가 설정한 알러트의 판정 값
        type: string
  - 이름: device_external_ip
    설명: Carbon Black Cloud에 따른 엔드포인트의 IP 주소; 네트워크 프록시 또는 NAT로 인해 device_internal_ip와 다를 수 있음; IPv4(점으로 구분된 10진 표기) 또는 IPv6(독자적 형식) 중 하나
    type: string
    지표:
      - ip
  - 이름: device_id
    설명: 장치의 ID
    type: string
  - 이름: device_internal_ip
    설명: 센서가 보고한 엔드포인트의 IP 주소; IPv4(점으로 구분된 10진 표기) 또는 IPv6(독자적 형식) 중 하나
    type: string
    지표:
      - ip
  - 이름: device_location
    설명: 현재 IP 주소와 장치에 등록된 DNS 도메인 접미사를 기반으로 알러트가 시작될 때 장치가 온프레미스였는지 여부
    type: string
  - 이름: device_name
    설명: 장치 이름
    type: string
  - 이름: device_os
    설명: 장치 운영 체제
    type: string
  - 이름: device_os_version
    설명: 엔드포인트의 운영 체제 및 버전. Windows CBC 센서 버전 3.5 이상 필요.
    type: string
  - 이름: device_policy
    설명: 장치 정책
    type: string
  - 이름: device_policy_id
    설명: 장치 정책 ID
    type: string
  - 이름: device_target_value
    설명: 정책에서 설정된 장치에 할당된 목표 값
    type: string
  - 이름: device_uem_id
    설명: WS1/EUC와의 장치 연관성; Workspace ONE Intelligence 통합 기능을 위해 필요
    type: string
  - 이름: device_username
    설명: 알러트의 사용자 또는 장치 소유자
    type: string
    지표:
      - username
  - 이름: first_event_timestamp
    설명: 알러트에서 첫 번째 이벤트가 발생한 타임스탬프
    type: timestamp
    시간 형식: rfc3339
  - 이름: id
    설명: 알러트의 고유 ID
    type: string
    required: true
  - 이름: is_updated
    설명: Carbon Black Cloud 백엔드에서 시작한 알러트의 업데이트된 복사본인 경우 true로 설정됩니다. 노트 추가와 같은 사용자 워크플로 업데이트는 알러트의 새 복사본을 생성하지만 is_updated는 false로 설정됩니다.
    유형: boolean
  - 이름: last_event_timestamp
    설명: 알러트에서 마지막 이벤트가 발생한 타임스탬프
    type: timestamp
    시간 형식: rfc3339
  - 이름: netconn_local_ip
    설명: 네트워크 연결의 원격 측의 IP 주소; 점으로 구분된 10진수로 저장
    type: string
    지표:
      - ip
  - 이름: netconn_local_ipv4
    설명: 네트워크 연결의 로컬 측의 IPv4 주소; 점으로 구분된 10진수로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
    type: string
    지표:
      - ip
  - 이름: netconn_local_ipv6
    설명: 네트워크 연결의 로컬 측의 IPv6 주소; 옥텟 구분 콜론 문자가 없는 문자열로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
    type: string
    지표:
      - ip
  - 이름: netconn_local_port
    설명: 네트워크 연결의 로컬 측에서 사용되는 TCP 또는 UDP 포트
    유형: int
  - 이름: netconn_protocol
    설명: 네트워크 연결의 네트워크 프로토콜
    type: string
  - 이름: netconn_remote_domain
    설명: 사용 가능한 경우 네트워크 연결 원격 끝과 연결된 도메인 이름(FQDN)
    type: string
    지표:
      - 도메인
  - 이름: netconn_remote_ip
    설명: 네트워크 연결의 로컬 측의 IP 주소; 점으로 구분된 10진수로 저장
    type: string
    지표:
      - ip
  - 이름: netconn_remote_ipv4
    설명: 네트워크 연결의 원격 측의 IPv4 주소; 점으로 구분된 10진수로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
    type: string
    지표:
      - ip
  - 이름: netconn_remote_ipv6
    설명: 네트워크 연결의 원격 측의 IPv6 주소; 옥텟 구분 콜론 문자가 없는 문자열로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
    type: string
    지표:
      - ip
  - 이름: netconn_remote_port
    설명: 네트워크 연결의 원격 측에서 사용되는 TCP 또는 UDP 포트; netconn_port 및 event_network_remote_port와 동일
    유형: int
  - 이름: org_key
    설명: Carbon Black Cloud에서 조직을 식별하는 고유한 영숫자 문자열
    type: string
  - 이름: parent_cmdline
    설명: 부모 프로세스의 명령줄
    type: string
  - 이름: parent_effective_reputation
    설명: 이벤트가 발생했을 때 센서에 의해 적용된 부모 프로세스의 유효 평판
    type: string
  - 이름: parent_guid
    설명: 부모 프로세스에 할당된 고유 프로세스 식별자
    type: string
  - 이름: parent_md5
    설명: 부모 프로세스 바이너리의 MD5 해시
    type: string
    지표:
      - md5
  - 이름: parent_name
    설명: 부모 프로세스 바이너리의 파일 시스템 경로
    type: string
  - 이름: parent_pid
    설명: 운영 체제가 부모 프로세스에 할당한 식별자
    type: string
  - 이름: parent_reputation
    설명: 이벤트가 처음 처리될 때 Carbon Black Cloud에서 적용한 부모 프로세스의 평판
    type: string
  - 이름: parent_sha256
    설명: 부모 프로세스 바이너리의 SHA-256 해시
    type: string
    지표:
      - sha256
  - 이름: parent_username
    설명: 부모 프로세스가 실행된 사용자 컨텍스트
    type: string
    지표:
      - username
  - 이름: policy_applied
    설명: 이 알러트와 관련된 이벤트에 정책이 적용되었는지 여부를 나타냄
    type: string
  - 이름: primary_event_id
    설명: 알러트의 주요 이벤트 ID
    type: string
  - 이름: process_cmdline
    설명: 액터 프로세스가 실행한 명령줄
    type: string
  - 이름: process_effective_reputation
    설명: 액터 해시의 유효 평판
    type: string
  - 이름: process_guid
    설명: 알러트를 발생시킨 프로세스의 GUID(선택 사항)
    type: string
  - 이름: process_issuer
    설명: 프로세스의 인증서와 연결된 인증 기관
    type: array
    element:
      type: string
  - 이름: process_md5
    설명: 액터 프로세스 바이너리의 MD5 해시
    type: string
    지표:
      - md5
  - 이름: process_name
    설명: 알러트의 프로세스 이름들
    type: string
  - 이름: process_pid
    설명: 알러트를 발생시킨 프로세스의 PID(선택 사항)
    type: string
  - 이름: process_publisher
    설명: Windows 또는 macOS 프로세스 바이너리를 서명하는 데 사용된 인증서의 게시자 이름
    type: array
    element:
      type: string
  - 이름: process_reputation
    설명: Carbon Black Cloud가 이벤트를 처리할 때 적용되는 액터 프로세스의 평판
    type: string
  - 이름: process_sha256
    설명: 액터 프로세스 바이너리의 SHA-256 해시
    type: string
    지표:
      - sha256
  - 이름: process_username
    설명: 액터 프로세스가 실행된 사용자 컨텍스트. MacOS - fork() 및 exec() 전환에 대해 PID의 모든 사용자. Linux - exec() 이벤트의 프로세스 사용자, 향후 센서 릴리스에서는 setuid()로 인해 다중 값이 될 수 있음
    type: string
    지표:
      - username
  - 이름: reason
    설명: 알러트가 발생한 이유와 이유 및 수행된 조치에 대한 구어체 설명으로 보통 1~3문장으로 구성됩니다.
    type: string
  - 이름: reason_code
    설명: 특정 알러트 이유를 식별하는 고유한 단축 코드 또는 GUID
    type: string
  - 이름: run_state
    설명: 알러트의 위협이 실제로 실행되었는지 여부
    type: string
  - 이름: sensor_action
    설명: 정책 규칙에 따라 센서가 수행한 작업
    type: string
  - 이름: severity
    설명: 양성일 경우 알러트의 영향에 대한 정수 표현
    유형: int
  - 이름: threat_id
    설명: 알러트 유형을 기준으로 공통 기준을 가진 알러트 그룹에 할당된 ID
    type: string
  - 이름: type
    설명: 생성된 알러트의 유형
    type: string
    required: true
  - 이름: user_update_timestamp
    설명: 알러트의 워크플로나 판정과 같이 사용자가 변경한 마지막 속성의 타임스탬프
    type: timestamp
    시간 형식: rfc3339
  - name: version
    설명: 내보내지는 스키마의 버전 예: 2.0.0
    type: string
  - 이름: workflow
    설명: 알러트의 현재 워크플로 상태. 워크플로는 OPEN에서 IN_PROGRESS를 거쳐 CLOSED로 이동하는 흐름을 나타내며 누가 알러트를 현재 상태로 이동시켰는지 캡처합니다. 이러한 상태 전환의 기록은 알러트 히스토리 경로를 통해 확인할 수 있습니다.
    type: object
    필드:
      - 이름: change_timestamp
        설명: 마지막 상태 변경이 발생한 시점
        type: timestamp
        시간 형식: rfc3339
      - 이름: changed_by
        설명: 마지막 상태 변경을 수행한 사람(또는 무엇)
        type: string
      - 이름: changed_by_type
        설명: 마지막 상태 변경을 수행한 사용자 또는 시스템의 유형
        type: string
      - 이름: changed_by_autoclose_rule_id
        설명: 알러트를 자동으로 종료한 autoclose 룰의 ID
        type: string
      - 이름: closure_reason
        설명: 알러트가 해결된 이유에 대한 보다 상세한 설명
        type: string
      - 이름: status
        type: string
  - 이름: attack_tactic
    설명: MITRE ATT&CK 프레임워크의 전술; 예: 자격 증명 접근 달성 등 적대자의 행동 이유를 정의함
    type: string
  - 이름: attack_technique
    설명: MITRE ATT&CK 프레임워크의 기법; 예: 자격 증명 접근을 달성하기 위해 자격 증명을 덤프하는 것과 같이 적대자가 목표를 달성하기 위해 취하는 동작을 정의함
    type: string
  - 이름: rule_category_id
    설명: 특정 알러트 유형에 대해 rule_id의 범주를 나타내는 ID
    type: string
  - 이름: rule_id
    설명: 알러트를 트리거한 룰의 ID; 침입 탐지 시스템, 호스트 기반 방화벽, TAU 인텔리전스 및 USB 장치 제어 알러트에 적용
    type: string
  - 이름: threat_category
    설명: 우리가 조치를 취할 수 있었던 위협의 카테고리
    type: string
  - 이름: ttps
    설명: 위협에 관련된 다른 잠재적 악성 활동
    type: array
    element:
      type: string
  - 이름: connection_type
    설명: 연결 유형
    type: string
  - 이름: egress_group_id
    설명: 이그레스 그룹의 고유 식별자
    type: string
  - 이름: egress_group_name
    설명: 이그레스 그룹의 이름
    type: string
  - 이름: ip_reputation
    설명: 원격 IP에 대해 허용할 평판 범위
    유형: int
  - 이름: k8s_cluster
    설명: K8s 클러스터 이름
    type: string
  - 이름: k8s_kind
    설명: K8s 워크로드 종류
    type: string
  - 이름: k8s_namespace
    설명: K8s 네임스페이스
    type: string
  - 이름: k8s_pod_name
    설명: 워크로드 내의 파드 이름
    type: string
  - 이름: k8s_policy
    설명: K8s 정책 이름
    type: string
  - 이름: k8s_policy_id
    설명: K8s 정책의 고유 식별자
    type: string
  - 이름: k8s_rule
    설명: K8s 정책 규칙 이름
    type: string
  - 이름: k8s_rule_id
    설명: K8s 정책 규칙의 고유 식별자
    type: string
  - 이름: k8s_workload_name
    설명: K8s 워크로드 이름
    type: string
  - 이름: remote_is_private
    설명: 원격 정보가 비공개인지 여부(true 또는 false)
    유형: boolean
  - 이름: remote_k8s_kind
    설명: 원격 워크로드의 종류; 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됨
    type: string
  - 이름: remote_k8s_namespace
    설명: 원격 워크로드 클러스터 내의 네임스페이스; 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됨
    type: string
  - 이름: remote_k8s_pod_name
    설명: 원격 워크로드 파드 이름; 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됨
    type: string
  - 이름: remote_k8s_workload_name
    설명: 원격 워크로드의 이름; 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됨
    type: string
  - 이름: external_device_friendly_name
    설명: 사람이 읽을 수 있는 외부 장치 이름
    type: string
  - 이름: product_id
    설명: USB 장치를 식별하는 제품의 ID
    type: string
  - 이름: product_name
    설명: USB 장치를 식별하는 제품의 이름
    type: string
  - 이름: serial_number
    설명: USB 장치의 일련 번호
    type: string
  - 이름: vendor_id
    설명: USB 장치를 식별하는 공급업체의 ID
    type: string
  - 이름: vendor_name
    설명: 장치를 생산한 공급업체의 이름
    type: string
  - 이름: threat_name
    설명: 위협의 이름
    type: string
  - 이름: tms_rule_id
    설명: 디텍션 id
    type: string
  - 이름: ioc_field
    설명: 위협 지표(IOC) 적중이 포함된 필드
    type: string
  - 이름: ioc_hit
    설명: 일치하는 IOC 필드 값 또는 IOC 쿼리
    type: string
  - 이름: ioc_id
    설명: 워치리스트 적중을 생성한 IOC의 고유 식별자
    type: string
  - 이름: ml_classification_final_verdict
    설명: 예측에 사용된 ML 모델을 기반으로 한 알러트의 최종 평결
    type: string
  - 이름: ml_classification_global_prevalence
    설명: 지역 조직 전체에서 알러트의 유병률을 설명하는 데 사용되는 분류(낮음/중간/높음)
    type: string
  - 이름: ml_classification_org_prevalence
    설명: 조직 내에서 알러트의 유병률을 설명하는 데 사용되는 분류(낮음/중간/높음)
    type: string
  - 이름: report_description
    설명: 보고서 설명
    type: string
  - 이름: report_id
    설명: 적중을 유발한 IOC를 포함한 보고서의 ID
    type: string
  - 이름: report_link
    설명: 적중을 유발한 IOC를 포함한 보고서의 링크
    type: string
    지표:
      - url
  - 이름: report_name
    설명: 워치리스트 보고서 이름
    type: string
  - 이름: report_tags
    설명: 워치리스트 보고서와 연결된 태그
    type: array
    element:
      type: string
  - 이름: watchlists
    설명: 알러트와 연관된 워치리스트의 목록. 알러트는 시간별로 배치됩니다
    type: array
    element:
      type: object
      필드:
        - 이름: id
          설명: 워치리스트의 고유 식별자
          type: string
        - 이름: name
          설명: 워치리스트 이름
          type: string
  - 이름: mdr_alert
    설명: 알러트가 Carbon Black MDR 분석가의 검토 대상인지 여부
    유형: boolean
  - 이름: mdr_alert_notes_present
    설명: MDR 분석가가 추가한 알러트 수준의 고객에게 보이는 노트
    유형: boolean
  - 이름: mdr_determination
    설명: MDR이 업데이트할 수 있는 알러트 분류
    type: object
    필드:
      - 이름: change_timestamp
        설명: MDR 판정이 마지막으로 변경된 시점
        type: timestamp
        시간 형식: rfc3339
      - 이름: value
        설명: 알러트가 가능성이 높은 위협인지 아닌지를 식별하는 기록
        type: string
  - 이름: mdr_workflow
    설명: MDR이 업데이트할 수 있는 알러트의 워크플로
    type: object
    필드:
      - 이름: change_timestamp
        설명: MDR 워크플로가 마지막으로 변경된 시점
        type: timestamp
        시간 형식: rfc3339
      - 이름: status
        type: string
        설명: MD 분석가의 알러트 분류 중 상태 변경을 캡처하는 데 사용되는 주요 값
      - 이름: is_assigned
        유형: boolean
        설명: 알러트가 할당되었는지 여부를 나타냄
```

### CarbonBlack.EndpointEvent

```yaml
스키마: CarbonBlack.EndpointEvent
설명: CarbonBlack의 엔드포인트 이벤트
참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/endpoint.event-1.0.0/
필드:
  - 이름: action
    설명: 이 이벤트 동안 센서가 관찰한 특정 엔드포인트 동작.
    type: string
    required: true
  - 이름: backend_timestamp
    설명: Carbon Black Cloud 백엔드의 시계를 기준으로 RFC 3339 형식의 UTC 초 단위 문자열로 일괄 이벤트를 백엔드가 수신한 시간; 비동기 처리로 인해 device_timestamp와 몇 분 차이가 날 수 있음
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S %z %Z'
  - 이름: device_group
    설명: 센서가 이벤트 데이터를 기록할 때 엔드포인트에 할당된 센서 그룹
    type: string
  - 이름: device_id
    설명: 이 이벤트를 생성한 장치의 ID
    type: string
  - 이름: device_name
    설명: 이 이벤트를 생성한 장치의 호스트명
    type: string
  - 이름: device_os
    설명: 장치의 OS 유형(Windows/OSX/Linux)
    type: string
  - 이름: device_timestamp
    설명: 센서에서 본 시간, 센서의 시계를 기준으로 RFC 3339 UTC 형식의 초 단위
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%N %z %Z'
      - '%Y-%m-%d %H:%M:%S %z %Z'
    required: true
    isEventTime: true
  - 이름: event_origin
    설명: 이벤트가 어떤 제품에서 왔는지를 나타냄.
    type: string
  - 이름: org_key
    설명: 콘솔 인스턴스와 연결된 조직 키. 서로 다른 Carbon Black Cloud 테넌트 조직의 이벤트를 구분하는 데 사용할 수 있음.
    type: string
  - 이름: parent_guid
    설명: 부모 프로세스의 고유 ID.
    type: string
  - 이름: parent_hash
    설명: 부모 프로세스를 지원하는 실행 파일의 암호학적 해시들로, MD5와 SHA-256의 두 요소 배열로 표현됨
    type: array
    element:
      type: string
      지표:
        - md5
        - sha256
  - 이름: parent_path
    설명: 장치 파일 시스템에서 부모 프로세스를 지원하는 실행 파일의 전체 경로
    type: string
  - 이름: parent_pid
    설명: 부모 프로세스의 OS에서 보고된 프로세스 ID
    type: string
  - 이름: parent_reputation
    설명: 이벤트가 Carbon Black Cloud에서 처리될 때 적용된 부모 프로세스의 평판(즉, 센서가 이벤트를 클라우드로 전송한 후)
    type: string
  - 이름: process_cmdline
    설명: 액터 프로세스가 실행한 명령줄
    type: string
  - 이름: process_fork_pid
    설명: *nix 시스템에서 액터로부터 포크된 프로세스의 PID. process_pid != process_fork_pid인 경우 현재 프로세스는 원래 process_pid에서 포크된 것임.
    type: string
  - 이름: process_guid
    설명: 프로세스의 고유 ID.
    type: string
  - 이름: process_hash
    설명: 이 프로세스를 지원하는 실행 파일의 암호학적 해시들로, MD5와 SHA-256의 두 요소 배열로 표현됨
    type: array
    element:
      type: string
      지표:
        - md5
        - sha256
  - 이름: process_path
    설명: 장치 파일 시스템에서 이 프로세스를 지원하는 실행 파일의 전체 경로
    type: string
  - 이름: process_pid
    설명: 현재 프로세스의 OS에서 보고된 프로세스 ID
    type: string
  - 이름: process_reputation
    설명: 이벤트가 Carbon Black Cloud에서 처리될 때 적용되는 액터 프로세스의 평판(즉, 센서가 이벤트를 클라우드로 전송한 후)
    type: string
  - 이름: process_username
    설명: 이 프로세스가 시작된 사용자 컨텍스트와 연관된 사용자 이름
    type: string
    지표:
      - username
  - 이름: schema
    description: 스키마 버전입니다. 현재 스키마 버전은 1입니다.
    type: string
  - 이름: sensor_action
    description: 센서가 보안 정책으로 인해 이벤트를 차단했거나 애플리케이션을 종료한 경우 포함됩니다
    type: string
  - name: target_cmdline
    description: 대상 프로세스와 연결된 프로세스 명령줄
    type: string
  - 이름: type
    description: 이벤트 유형입니다. 아래 사양에 따라 어떤 필드를 예상해야 하는지 결정하려면 이 필드를 사용하세요.
    type: string
    required: true
  - name: alert_id
    description: 이 이벤트와 연결된 Alert의 ID
    type: string
  - 이름: device_external_ip
    description: 백엔드에서 본 호스트의 IP 주소(Carbon Black Cloud에 연결하는 데 사용되는 공용 IPv4 또는 IPv6 주소)
    type: string
    지표:
      - ip
  - name: event_description
    description: Carbon Black Cloud 웹 콘솔에서 표시되는 이벤트의 상세 텍스트 설명
    type: string
  - name: event_id
    description: 이 특정 이벤트와 연결된 내부 Endpoint Standard 이벤트 ID — 이 이벤트 ID는 Carbon Black Cloud 웹 콘솔에서 특정 이벤트를 찾는 데 사용할 수 있습니다
    type: string
  - name: process_terminated
    description: 프로세스가 종료된 경우 True입니다. Endpoint Standard 이벤트에는 항상 FALSE입니다
    유형: boolean
  - 이름: parent_cmdline
    description: 부모 프로세스와 연결된 프로세스 명령줄
    type: string
  - name: process_duration
    description: 프로세스 시작과 프로세스 종료 이벤트 간의 시간 차(초)
    type: float
  - 이름: process_publisher
    description: “name”과 “state”라는 두 키를 가진 객체들의 배열입니다. 각 배열 항목은 엔드포인트가 보고한 프로세스에 대한 서명 항목입니다
    type: array
    element:
      type: object
      필드:
        - 이름: name
          description: 게시자 이름
          type: string
        - 이름: state
          description: 게시자의 상태
          type: string
  - name: crossproc_api
    description: 액터 프로세스가 호출한 운영체제 API의 이름입니다. 해당 호출이 다른 프로세스를 대상으로 하는 경우 그 프로세스는 crossproc_name으로 보고됩니다. 대상 프로세스가 없는 경우 이 필드는 시스템 API 호출을 나타냅니다.
    type: string
  - name: crossproc_action
    description: 액터 프로세스가 호출한 운영체제 API에 의해 수행된 동작
    type: string
  - name: crossproc_guid
    description: 교차 프로세스의 고유 ID
    type: string
  - name: crossproc_hash
    description: 교차 프로세스 이벤트의 대상에 대한 암호학적 해시 — MD5 및 SHA-256 해시의 두 요소 배열로 표현됩니다
    type: array
    element:
      type: string
      지표:
        - md5
        - sha256
  - name: crossproc_name
    description: 장치 로컬 파일 시스템에서 교차 프로세스 이벤트의 대상에 대한 전체 경로
    type: string
  - name: crossproc_publisher
    description: 각 배열 항목은 엔드포인트가 보고한 crossproc에 대한 서명 항목입니다
    type: array
    element:
      type: object
      필드:
        - 이름: name
          description: 게시자 이름
          type: string
        - 이름: state
          description: 게시자의 상태
          type: string
  - name: crossproc_reputation
    description: crossproc에 대한 Carbon Black Cloud 평판 문자열
    type: string
  - name: crossproc_target
    description: 프로세스가 교차 프로세스 이벤트의 대상이면 True; 액터이면 False
    유형: boolean
  - name: filemod_hash
    description: 수정된 파일의 암호학적 해시 — MD5 및 SHA-256 해시의 두 요소 배열로 표현됩니다
    type: array
    element:
      type: string
      지표:
        - md5
        - sha256
  - name: filemod_name
    description: 장치의 파일 시스템에서 수정 중인 파일의 전체 경로
    type: string
  - name: fileless_scriptload_cmdline
    설명: 액터 프로세스가 실행한 명령줄
    type: string
  - name: fileless_scriptload_cmdline_length
    description: 파일리스 환경에서 실행된 난독 해제된 스크립트 내용의 문자 수
    type: bigint
  - name: fileless_scriptload_hash
    description: 프로세스가 파일리스 환경에서 실행한 난독 해제된 스크립트 내용의 SHA-256 해시(들)
    유형: json
  - name: modload_count
    description: 마지막 초기화 이후 센서가 보고한 modload 이벤트의 수
    type: bigint
  - name: modload_effective_reputation
    description: 이벤트 발생 시 센서가 적용한 로드된 모듈의 유효 평판
    유형: json
  - name: modload_hash
    description: 프로세스가 로드한 모듈의 MD5 또는 SHA-256 해시(들)
    유형: json
  - name: modload_md5
    description: 프로세스가 로드한 모듈의 MD5 해시
    type: string
    지표:
      - md5
  - name: modload_name
    description: 장치의 파일 시스템에서 로드되는 모듈의 전체 경로
    type: string
  - name: modload_publisher
    description: 각 배열 항목은 엔드포인트가 보고한 moduleload에 대한 서명 항목입니다
    type: array
    element:
      type: object
      필드:
        - 이름: name
          description: 게시자 이름
          type: string
        - 이름: state
          description: 게시자의 상태
          type: string
  - name: modload_sha256
    description: 프로세스가 로드한 모듈의 SHA-256 해시
    type: string
    지표:
      - sha256
  - name: local_ip
    description: 이 네트워크 연결의 “로컬” 쪽과 연관된 문자열 형식의 IPv4 또는 IPv6 주소
    type: string
    지표:
      - ip
  - name: local_port
    description: 이 네트워크 연결의 “로컬” 쪽과 연관된 UDP/TCP 포트 번호
    유형: int
  - name: netconn_domain
    description: 이 네트워크 연결의 “원격” 쪽과 연관된 DNS 이름
    type: string
    지표:
      - hostname
  - name: netconn_inbound
    description: netconn이 인바운드인 경우 true로 설정됩니다
    유형: boolean
  - 이름: netconn_protocol
    description: 문자열 UDP 또는 TCP 프로토콜 식별자
    type: string
  - name: remote_ip
    description: 이 네트워크 연결의 “원격” 쪽과 연관된 문자열 형식의 IPv4 또는 IPv6 주소
    type: string
    지표:
      - ip
  - name: remote_port
    description: 이 네트워크 연결의 “원격” 쪽과 연관된 UDP/TCP 포트 번호
    유형: int
  - name: netconn_proxy_domain
    description: 이 네트워크 연결의 “프록시” 쪽과 연관된 DNS 이름
    type: string
    지표:
      - hostname
  - name: netconn_proxy_ip
    description: 이 네트워크 연결의 “프록시” 쪽과 연관된 문자열 형식의 IPv4 또는 IPv6 주소
    type: string
    지표:
      - ip
  - name: netconn_proxy_port
    description: 이 네트워크 연결의 “프록시” 쪽과 연관된 UDP/TCP 포트 번호
    유형: int
  - 이름: childproc_guid
    description: 자식 프로세스의 고유 ID입니다.
    type: string
  - name: childproc_hash
    description: 자식 프로세스를 뒷받침하는 실행 파일의 암호학적 해시로, MD5 및 SHA-256 해시의 두 요소 배열로 표현됩니다
    type: array
    element:
      type: string
      지표:
        - md5
        - sha256
  - 이름: childproc_name
    description: 장치의 로컬 파일 시스템에서 자식 프로세스 대상 애플리케이션의 전체 경로
    type: string
  - name: childproc_pid
    description: 자식 프로세스의 OS 보고 프로세스 ID
    type: string
  - name: childproc_publisher
    description: 각 배열 항목은 엔드포인트가 보고한 childproc에 대한 서명 항목입니다
    type: array
    element:
      type: object
      필드:
        - 이름: name
          description: childproc 게시자의 이름
          type: string
        - 이름: state
          description: childproc 게시자의 상태
          type: string
  - name: childproc_reputation
    description: childproc에 대한 Carbon Black Cloud 평판 문자열
    type: string
  - 이름: childproc_username
    description: 자식 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름
    type: string
    지표:
      - username
  - name: regmod_name
    description: Windows 장치 레지스트리에서 수정되는 하이브를 포함한 레지스트리 키의 전체 경로
    type: string
  - name: scriptload_effective_reputation
    description: 이벤트 발생 시 센서가 적용한 로드된 스크립트의 유효 평판
    유형: json
  - name: scriptload_hash
    description: 프로세스 실행 시 로드된 파일시스템 스크립트 파일의 MD5 및/또는 SHA-256 해시(들)
    유형: json
  - name: scriptload_name
    description: 프로세스 실행 시 로드된 스크립트 파일의 파일시스템 경로
    type: string
  - name: scriptload_publisher
    description: 각 배열 항목은 엔드포인트가 보고한 scriptload에 대한 서명 항목입니다
    type: array
    element:
      type: object
      필드:
        - 이름: name
          description: scriptload 게시자의 이름
          type: string
        - 이름: state
          description: scriptload 게시자의 상태
          type: string
  - name: scriptload_reputation
    description: 이벤트가 Carbon Black Cloud에 의해 처리될 때 적용되는 로드된 스크립트의 평판(즉, 센서가 이벤트를 클라우드로 전달한 이후에 적용됨)
    유형: json
  - name: process_loaded_script_hash
    description: 프로세스 기간 동안 파일시스템에서 로드된 모든 스크립트의 SHA-256 해시(들); fileless_scriptload_hash와 비교하세요
    유형: json
  - name: process_loaded_script_name
    description: 프로세스 기간 동안 파일시스템에서 로드된 모든 스크립트 내용의 파일시스템 경로(들); fileless_scriptload_cmdline, scriptload_content와 비교하세요
    type: string
  - name: scriptload_content
    description: 프로세스 실행 시 파일시스템에서 로드된 난독 해제된 스크립트 내용(문자열, 이진 또는 원시 실행 이미지); fileless_scriptload_cmdline, process_loaded_script_name과 비교하세요
    type: string
  - name: scriptload_count
    description: 마지막 초기화 이후 센서가 보고한 모든 프로세스에 대한 scriptload 이벤트 수
    type: bigint
  - name: scriptload_content_length
    description: 난독 해제된 파일시스템 스크립트의 문자 수; fileless_scriptload_cmdline_length와 비교하세요
    type: bigint
```

### CarbonBlack.WatchlistHit

```yaml
schema: CarbonBlack.WatchlistHit
description: CarbonBlack의 워치리스트 적중
referenceURL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/watchlist.hit-1.0.0/
필드:
  - name: alert_id
    description: 이 워치리스트 적중과 연결된 Alert의 ID
    type: string
  - name: create_time
    description: 워치리스트 적중이 생성된 시간(밀리초 단위 ISO 8601 UTC 타임스탬프 형식)
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
    required: true
  - 이름: device_external_ip
    description: Carbon Black Cloud 관점에서의 엔드포인트 IP 주소입니다. 네트워크 프록시 또는 NAT로 인해 device_internal_ip와 다를 수 있습니다. IPv4 또는 IPv6일 수 있습니다.
    type: string
    지표:
      - ip
  - 이름: device_id
    description: 이 워치리스트 적중을 생성한 장치의 정수 ID
    type: string
    required: true
  - 이름: device_internal_ip
    description: 센서가 보고한 엔드포인트의 IP 주소. IPv4 또는 IPv6일 수 있습니다.
    type: string
    지표:
      - ip
  - 이름: device_name
    description: 이 워치리스트 적중을 생성한 장치의 호스트 이름
    type: string
  - 이름: device_os
    설명: 장치의 OS 유형(Windows/OSX/Linux)
    type: string
  - 이름: device_uem_id
    description: VMware Workspace ONE Intelligence가 할당한 통합 엔드포인트 관리 식별자로, Workspace ONE 통합이 구성된 경우에만 채워집니다.
    type: string
  - 이름: ioc_field
    description: IOC 적중이 포함하는 필드
    type: string
  - 이름: ioc_hit
    description: IOC 필드 값 또는 일치하는 IOC 쿼리
    type: string
  - 이름: ioc_id
    description: 적중을 발생시킨 IOC의 ID
    type: string
    required: true
  - 이름: schema
    description: 스키마 버전입니다. 현재 스키마 버전은 1입니다.
    type: string
  - 이름: org_key
    description: 콘솔 인스턴스와 연결된 조직 키입니다. 서로 다른 고객/조직의 경보를 구분하는 데 사용할 수 있습니다.
    type: string
  - 이름: parent_cmdline
    description: 부모 프로세스가 실행한 명령줄
    type: string
  - 이름: parent_guid
    설명: 부모 프로세스의 고유 ID.
    type: string
  - 이름: parent_hash
    설명: 부모 프로세스를 지원하는 실행 파일의 암호학적 해시들로, MD5와 SHA-256의 두 요소 배열로 표현됨
    type: array
    element:
      type: string
      지표:
        - md5
        - sha256
  - 이름: parent_path
    설명: 장치 파일 시스템에서 부모 프로세스를 지원하는 실행 파일의 전체 경로
    type: string
  - 이름: parent_pid
    설명: 부모 프로세스의 OS에서 보고된 프로세스 ID
    type: string
  - name: parent_publisher
    description: 각 배열 항목은 엔드포인트가 보고한 부모 프로세스에 대한 서명 항목입니다
    type: array
    element:
      type: object
      필드:
        - 이름: name
          description: 게시자 이름
          type: string
        - 이름: state
          description: 게시자의 상태
          type: string
  - 이름: parent_reputation
    설명: 이벤트가 Carbon Black Cloud에서 처리될 때 적용된 부모 프로세스의 평판(즉, 센서가 이벤트를 클라우드로 전송한 후)
    type: string
  - 이름: parent_username
    description: 부모 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름
    type: string
    지표:
      - username
  - 이름: process_cmdline
    설명: 액터 프로세스가 실행한 명령줄
    type: string
  - 이름: process_guid
    설명: 프로세스의 고유 ID.
    type: string
  - 이름: process_hash
    설명: 이 프로세스를 지원하는 실행 파일의 암호학적 해시들로, MD5와 SHA-256의 두 요소 배열로 표현됨
    type: array
    element:
      type: string
      지표:
        - md5
        - sha256
  - 이름: process_path
    설명: 장치 파일 시스템에서 이 프로세스를 지원하는 실행 파일의 전체 경로
    type: string
  - 이름: process_pid
    설명: 현재 프로세스의 OS에서 보고된 프로세스 ID
    type: string
  - 이름: process_publisher
    description: 각 배열 항목은 엔드포인트가 보고한 액터 프로세스에 대한 서명 항목입니다
    type: array
    element:
      type: object
      필드:
        - 이름: name
          description: 게시자 이름
          type: string
        - 이름: state
          description: 게시자의 상태
          type: string
  - 이름: process_reputation
    설명: 이벤트가 Carbon Black Cloud에서 처리될 때 적용되는 액터 프로세스의 평판(즉, 센서가 이벤트를 클라우드로 전송한 후)
    type: string
  - 이름: process_username
    설명: 이 프로세스가 시작된 사용자 컨텍스트와 연관된 사용자 이름
    type: string
    지표:
      - username
  - 이름: report_id
    description: 프로세스에서 적중을 탐지한 워치리스트 보고서의 ID 목록
    type: string
  - 이름: report_name
    description: 프로세스에서 적중을 탐지한 워치리스트 보고서의 이름
    type: string
  - 이름: report_tags
    description: 프로세스에서 적중을 탐지한 보고서와 연결된 태그 목록
    type: array
    element:
      type: string
  - 이름: severity
    description: 워치리스트 적중의 심각도
    유형: int
  - 이름: type
    description: 워치리스트 적중 유형
    type: string
  - 이름: watchlists
    description: IOC 적중 보고서를 포함하는 워치리스트 목록
    type: array
    element:
      type: object
      필드:
        - 이름: id
          description: 워치리스트의 ID
          type: string
        - 이름: name
          설명: 워치리스트 이름
          type: string
```