> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/carbon-black.md). # Carbon Black 로그 ## 개요 Panther는 다음과 같은 방식으로 로그를 수집할 수 있습니다 [Carbon Black](https://www.vmware.com/products/carbon-black-endpoint.html): * [Carbon Black 감사 로그 API](#how-to-onboard-carbon-black-audit-logs-to-panther): Panther는 직접 쿼리하여 Carbon Black 감사 로그를 가져올 수 있습니다 [Carbon Black API](https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/). * [Carbon Black 데이터 스트리밍](#how-to-onboard-carbon-black-data-streaming-logs-to-panther): Panther는 알림, 엔드포인트 이벤트 및 감시 목록 적중과 관련된 Carbon Black 데이터를 사용하여 수집할 수 있습니다 [Carbon Black의 데이터 스트리밍](https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-E8D33F72-BABB-4157-A908-D8BBDB5AF349.html) 기능을 AWS S3를 통해 사용할 수 있습니다. ## Panther에 Carbon Black 감사 로그를 온보딩하는 방법 Panther에서 Carbon Black를 로그 소스로 설정하려면 Carbon Black API 키를 사용하여 Panther에 새 로그 소스를 만듭니다. {% hint style="warning" %} 이 Carbon Black 감사 로그 통합은 다음만 지원합니다 [CarbonBlack.Audit](#carbonblack.audit) 로그. 다른 로그 유형을 수집하려면 다음을 참조하세요: [Panther에 Carbon Black 데이터 스트리밍 로그를 온보딩하는 방법](#how-to-onboard-carbon-black-data-streaming-logs-to-panther). {% endhint %} ### 1단계: Carbon Black API 키 생성 {% hint style="warning" %} Panther 통합에 연결된 Carbon Black API 키를 다른 애플리케이션에서 사용하지 마세요. 그렇게 하면 로그 손실이 발생할 수 있습니다. {% endhint %} 1. Carbon Black 인스턴스에서 다음을 클릭하세요 **설정** > **API 액세스**. 2. 다음을 클릭합니다: **액세스 수준** 탭. 3. 다음을 클릭합니다: **액세스 수준 추가**. 1. 필수 필드의 값을 입력합니다. 2. 다음을 선택하세요 `org.audits READ` 권한을, 다음 내에서 **Audit Logs** > **감사 보기 및 내보내기**. 3. 다음을 클릭합니다: **저장**. 4. 다음을 클릭합니다: **API 키** 탭. 5. 다음을 클릭합니다: **API 키 추가**. 1. 다음의 **이름** 필드에 설명이 포함된 이름을 입력합니다. 예: `Panther`. 2. 다음의 **액세스 수준 유형** 필드에서 `사용자 지정`. 3. 다음의 **사용자 지정 액세스 수준** 필드에서 이 과정의 앞 단계에서 만든 액세스 수준을 선택합니다. 4. (선택 사항) 다음에서 **승인된 IP 주소** 필드에 Panther의 IP 주소를 입력하여 Panther만 액세스할 수 있도록 제한합니다. * Console의 다음에서 Panther의 IP 주소를 찾으세요: [**주요 정보 및 기본 설정** 페이지](/ko/system-configuration.md#main-info-and-preferences), 다음에서 **인프라** 섹션. 5. 다음을 클릭합니다: **저장**. 6. 다음을 복사합니다 **API ID** 그리고 **API 비밀 키** 그리고 다음 단계에서 이 값들이 필요하므로 안전한 위치에 저장하세요. ### 2단계: Panther에서 새 Carbon Black 감사 로그 소스 만들기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. "Carbon Black Audit Logs"를 검색한 다음 해당 타일을 클릭하세요. 4. 슬라이드아웃 패널에서 **설정 시작**. 5. 다음 화면에서 소스에 대한 설명이 포함된 이름을 입력하세요. 예: `내 Carbon Black 감사 로그`. 6. 다음을 클릭합니다: **설정.** 7. 다음에서 **자격 증명 설정** 페이지에서 양식을 작성합니다: 1. **Carbon Black 도메인**: Carbon Black 도메인의 URL을 입력하세요. 2. **API ID**: 1단계에서 생성한 Carbon Black API ID를 입력하세요. 3. **API 비밀 키**: 1단계에서 생성한 API 비밀 키를 입력하세요. 8. 다음을 클릭합니다: **설정**. 성공 화면으로 이동됩니다:
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 해당 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정의 기본값은 **YES**. 이 옵션은 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되기 때문입니다. 이 시간은 구성 가능하며 기본값은 24시간입니다.
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## Panther에 Carbon Black 데이터 스트리밍 로그를 온보딩하는 방법 Panther에서 수집할 수 있도록 Carbon Black 로그 스트리밍을 구성하려면 먼저 Carbon Black에서 Data Forwarders를 설정한 다음 Panther에서 Carbon Black 데이터 스트리밍 소스를 만듭니다. {% hint style="warning" %} 이 Carbon Black Data Streaming 통합은 [CarbonBlack.AlertV2](#carbonblack.alertv2), [CarbonBlack.EndpointEvent](#carbonblack.endpointevent), 그리고 [CarbonBlack.WatchlistHit](#carbonblack.watchlisthit) 로그 유형을 지원합니다. 수집하려면 [CarbonBlack.Audit](#carbonblack.audit) 로그는 다음을 참조하세요 [Panther에 Carbon Black 감사 로그를 온보딩하는 방법](#how-to-onboard-carbon-black-audit-logs-to-panther). {% endhint %} ### 1단계: Carbon Black Data Forwarders를 S3 버킷에 설정하기 * 다음의 각 [Data Streaming 로그 유형](#data-streaming-source-log-types) 수집하려는 경우, 다음을 따르세요 [AWS S3 버킷으로 Data Forwarder를 설정하기 위한 Carbon Black 안내](https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-E8D33F72-BABB-4157-A908-D8BBDB5AF349.html). * 각 Data Forwarder가 S3 버킷 내의 서로 다른 폴더로 로그를 전송하도록 구성하는 것이 권장됩니다. 이렇게 하면 Panther에서 모든 데이터가 올바르게 파싱됩니다. * 알러트 Data Forwarder를 만들 때, **스키마**, 다음을 선택합니다: **2.0.0**.
A form titled "Add Forwarder" is shown, with various fields under a "Basic info" section, including Name, S3 bucket name, Schema, Type, and S3 prefix.
이 과정을 완료하면 Data Forwarder는 아래와 비슷하게 표시됩니다:
Three rows contain various information about Data Forwarders, including the status, name, type, destination, updated time, and actions.
### 2단계: Panther에서 새로운 Carbon Black Data Streaming 소스 만들기 1. Panther Console의 왼쪽 탐색 표시줄에서 **구성** **> 로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. "Carbon Black,"를 검색한 다음 **Carbon Black 데이터 스트리밍** 타일. * 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **AWS S3 버킷** 옵션.
In the search box is "carbon black streaming," and one of the results, a box titled "Carbon Black Data Streaming," is circled.
4. 다음을 클릭합니다: **설정 시작**. 5. 다음을 따르세요 [Panther의 S3 Source 구성 안내](/ko/data-onboarding/data-transports/aws/s3.md), 아래 수정 사항을 적용하여: 1. 다음에서 **기본 정보** 페이지에서 다음을 클릭합니다: **프리픽스 및 스키마 구성(선택 사항)**. 2. 에서 생성한 각 Data Forwarder에 대해 [1단계](#step-1-set-up-carbon-black-data-forwarders-to-an-s3-bucket) 이 과정의 일부로, 다음을 생성합니다 **S3 접두사** 및 스키마 쌍입니다. 세 가지 로그 유형을 모두 사용하는 경우, 다음과 같습니다:
A form titled "S3 Prefixes & Schemas" shows three pairs of "S3 Prefix" and "Schemas - Optional" fields.
3. 다음을 클릭합니다: **변경 사항 적용**. ## 감사 로그 소스 로그 유형 이는 Carbon Black 테넌트의 이벤트 감사 로그입니다. 자세한 내용은 다음을 참조하세요. [Carbon Black 감사 로그 이벤트 문서](https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/). ### CarbonBlack.Audit ```yaml 스키마: CarbonBlack.Audit 설명: CarbonBlack의 감사 로그 참조 URL: https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/ fields: - 이름: verbose 설명: 이 이벤트가 상세한지 여부 유형: boolean - name: eventId 설명: 이벤트의 ID required: true type: string - name: eventTime 설명: 이벤트가 발생한 시간 type: timestamp timeFormats: - unix_ms isEventTime: true - 이름: description 설명: 이벤트에 대한 설명 type: string - 이름: orgName 설명: 조직의 이름 type: string - 이름: clientIp 설명: 클라이언트의 IP 주소 type: string 표시자: - ip - 이름: requestUrl 설명: 요청의 URL type: string 표시자: - 호스트 이름 - 이름: loginName 설명: 로그인한 사용자의 이름 type: string 표시자: - 사용자명 - 이름: flagged 설명: 이벤트에 플래그가 지정되었는지 여부 유형: boolean ``` ## 데이터 스트리밍 소스 로그 유형 자세한 내용은 다음을 참조하세요. [Carbon Black Data Forwarder 스키마 문서](https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/). ### CarbonBlack.AlertV2 ```yaml 스키마: CarbonBlack.AlertV2 설명: Carbon Black Cloud에서 생성된 알러트 로그 참조 URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/알러트-2.0.0/ fields: - 이름: additional_events_present 설명: API 및 포워더 사용자가 이 알러트와 관련된 다른 연관 이벤트를 조회해야 함을 알리기 위한 표시자 유형: boolean - name: 알러트_notes_present description: 메모가 알러트 ID에 있는 경우 True입니다. 메모가 없는 경우 False입니다. 유형: boolean - name: 알러트_url description: 이 알러트를 위한 알러트 페이지 링크입니다. 알러트 유형에 따라 달라지지 않습니다 type: string required: true 표시자: - url - name: backend_timestamp description: Carbon Black Cloud가 알러트를 검색 가능하도록 처리하고 활성화한 시점의 타임스탬프입니다. 알러트 페이지의 Created 열에 해당합니다. type: timestamp timeFormat: rfc3339 - name: backend_update_timestamp description: Carbon Black Cloud가 알러트에 대한 업데이트를 시작하고 처리한 시점의 타임스탬프입니다. 알러트 페이지의 Updated 열에 해당합니다. type: timestamp timeFormat: rfc3339 - name: blocked_effective_reputation description: 차단된 파일 또는 프로세스의 유효 평판입니다. 차단이 발생했을 때 센서가 적용했습니다 type: string - name: blocked_md5 description: 자식 프로세스 바이너리의 MD5 해시입니다. 센서에 의해 종료된 모든 프로세스에 대해 해당합니다 type: string 표시자: - md5 - name: blocked_name description: 센서 동작으로 차단된 파일의 토큰화된 파일 경로입니다 type: string - name: blocked_sha256 description: 자식 프로세스 바이너리의 SHA-256 해시입니다. 센서에 의해 종료된 모든 프로세스에 대해 해당합니다 type: string 표시자: - sha256 - name: childproc_cmdline description: 자식 프로세스의 명령줄입니다 type: string - name: childproc_effective_reputation description: 이벤트가 발생했을 때 센서가 적용한 자식 프로세스의 유효 평판입니다 type: string - name: childproc_guid description: 자식 프로세스에 할당된 고유 프로세스 식별자입니다 type: string - name: childproc_md5 description: 자식 프로세스의 바이너리 해시입니다(Enterprise EDR) type: string 표시자: - md5 - name: childproc_name description: 자식 프로세스 바이너리의 파일 시스템 경로입니다 type: string - name: childproc_sha256 description: 자식 프로세스의 바이너리 해시입니다(Endpoint Standard) type: string 표시자: - sha256 - name: childproc_username description: 자식 프로세스가 실행된 사용자 컨텍스트입니다 type: string 표시자: - 사용자명 - name: 디택션_timestamp description: 알러트가 처음 탐지된 시점의 타임스탬프입니다. 센서에서 전송된 알러트의 경우 센서에서 이벤트가 발생한 시점입니다. 백엔드에서 생성된 알러트의 경우 백엔드 시스템이 알러트를 트리거한 시점입니다. type: timestamp timeFormat: rfc3339 required: true isEventTime: true - name: determination description: 사용자가 업데이트할 수 있는 알러트 판정입니다 type: object fields: - name: change_timestamp description: 판정이 업데이트된 시점의 타임스탬프입니다 type: timestamp timeFormat: rfc3339 - name: changed_by description: 판정을 변경한 사용자입니다 type: string 표시자: - 사용자명 - name: changed_by_type description: 판정을 변경한 사용자의 유형입니다 type: string - 이름: value description: 사용자가 설정한 알러트 판정 값입니다 type: string - name: device_external_ip description: Carbon Black Cloud 기준 엔드포인트의 IP 주소입니다. 네트워크 프록시 또는 NAT로 인해 device_internal_ip와 다를 수 있습니다. IPv4(점 표기법) 또는 IPv6(독점 형식)일 수 있습니다 type: string 표시자: - ip - name: device_id description: 장치 ID입니다 type: string - name: device_internal_ip description: 센서가 보고한 엔드포인트의 IP 주소입니다. IPv4(점 표기법) 또는 IPv6(독점 형식)일 수 있습니다 type: string 표시자: - ip - name: device_location description: 현재 IP 주소와 장치의 등록된 DNS 도메인 접미사를 기준으로 알러트가 시작될 때 장치가 온프레미스였는지 오프프레미스였는지 여부입니다 type: string - name: device_name description: 장치 이름 type: string - 이름: device_os 설명: 디바이스 운영 체제 type: string - 이름: device_os_version 설명: 엔드포인트의 운영 체제와 버전입니다. Windows CBC 센서 버전 3.5 이상이 필요합니다. type: string - 이름: device_policy 설명: 디바이스 정책 type: string - 이름: device_policy_id 설명: 디바이스 정책 ID type: string - 이름: device_target_value 설명: 정책에서 설정된 디바이스에 할당된 대상 값 type: string - 이름: device_uem_id 설명: WS1/EUC와의 디바이스 상관관계이며, Workspace ONE Intelligence 통합이 작동하는 데 필요합니다 type: string - 이름: device_username 설명: 알러트의 사용자 또는 디바이스 소유자 type: string 표시자: - 사용자명 - 이름: first_event_timestamp 설명: 알러트에서 첫 번째 이벤트가 발생한 시각의 타임스탬프 type: timestamp timeFormat: rfc3339 - 이름: id 설명: 알러트의 고유 ID type: string required: true - 이름: is_updated 설명: Carbon Black Cloud 백엔드에서 시작된 알러트의 업데이트된 복사본이면 true로 설정합니다. 메모 추가와 같은 사용자 워크플로 업데이트는 알러트의 새 복사본을 생성하지만 is_updated는 false로 설정됩니다. 유형: boolean - 이름: last_event_timestamp 설명: 알러트에서 마지막 이벤트가 발생한 시각의 타임스탬프 type: timestamp timeFormat: rfc3339 - 이름: netconn_local_ip 설명: 네트워크 연결의 원격 측 IP 주소; 점으로 구분된 십진수 형식으로 저장됨 type: string 표시자: - ip - 이름: netconn_local_ipv4 설명: 네트워크 연결의 로컬 측 IPv4 주소; 점으로 구분된 십진수 형식으로 저장됩니다. ipv4 및 ipv6 필드 중 하나만 채워집니다. type: string 표시자: - ip - 이름: netconn_local_ipv6 설명: 네트워크 연결의 로컬 측 IPv6 주소; 옥텟을 구분하는 콜론 문자 없이 문자열로 저장됩니다. ipv4 및 ipv6 필드 중 하나만 채워집니다. type: string 표시자: - ip - 이름: netconn_local_port 설명: 네트워크 연결의 로컬 측에서 사용된 TCP 또는 UDP 포트 유형: int - 이름: netconn_protocol 설명: 네트워크 연결의 네트워크 프로토콜 type: string - 이름: netconn_remote_domain 설명: 사용 가능한 경우 네트워크 연결의 원격 끝과 연결된 도메인 이름(FQDN) type: string 표시자: - domain - 이름: netconn_remote_ip 설명: 네트워크 연결의 로컬 측 IP 주소; 점으로 구분된 십진수 형식으로 저장됨 type: string 표시자: - ip - 이름: netconn_remote_ipv4 설명: 네트워크 연결의 원격 측 IPv4 주소; 점으로 구분된 십진수 형식으로 저장됩니다. ipv4 및 ipv6 필드 중 하나만 채워집니다. type: string 표시자: - ip - 이름: netconn_remote_ipv6 설명: 네트워크 연결의 원격 측 IPv6 주소; 옥텟을 구분하는 콜론 문자 없이 문자열로 저장됩니다. ipv4 및 ipv6 필드 중 하나만 채워집니다. type: string 표시자: - ip - 이름: netconn_remote_port 설명: 네트워크 연결의 원격 측에서 사용된 TCP 또는 UDP 포트; netconn_port 및 event_network_remote_port와 동일함 유형: int - 이름: org_key 설명: Carbon Black Cloud에서 귀하의 조직을 식별하는 고유한 영숫자 문자열 type: string - 이름: parent_cmdline 설명: 부모 프로세스의 명령줄 type: string - 이름: parent_effective_reputation 설명: 부모 프로세스의 유효 평판; 이벤트가 발생했을 때 센서에 의해 적용됨 type: string - 이름: parent_guid 설명: 부모 프로세스에 할당된 고유 프로세스 식별자 type: string - 이름: parent_md5 설명: 상위 프로세스 바이너리의 MD5 해시 type: string 표시자: - md5 - 이름: parent_name 설명: 상위 프로세스 바이너리의 파일 시스템 경로 type: string - 이름: parent_pid 설명: 운영 체제가 상위 프로세스에 할당한 식별자 type: string - 이름: parent_reputation 설명: 상위 프로세스의 평판; 이벤트가 처음 처리될 때 Carbon Black Cloud에 의해 적용됨 type: string - 이름: parent_sha256 설명: 상위 프로세스 바이너리의 SHA-256 해시 type: string 표시자: - sha256 - 이름: parent_username 설명: 상위 프로세스가 실행된 사용자 컨텍스트 type: string 표시자: - 사용자명 - 이름: policy_applied 설명: 이 알러트와 연관된 모든 이벤트에 정책이 적용되었는지 여부를 나타냄 type: string - 이름: primary_event_id 설명: 알러트의 기본 이벤트 ID type: string - 이름: process_cmdline 설명: 행위자 프로세스가 실행한 명령줄 type: string - 이름: process_effective_reputation 설명: 행위자 해시의 유효 평판 type: string - 이름: process_guid 설명: 알러트를 발생시킨 프로세스의 GUID(선택 사항) type: string - 이름: process_issuer 설명: 프로세스 인증서와 연결된 인증 기관 type: array element: type: string - 이름: process_md5 설명: 행위자 프로세스 바이너리의 MD5 해시 type: string 표시자: - md5 - 이름: process_name 설명: 알러트의 프로세스 이름 type: string - 이름: process_pid 설명: 알러트를 발생시킨 프로세스의 PID(선택 사항) type: string - 이름: process_publisher 설명: Windows 또는 macOS 프로세스 바이너리에 서명하는 데 사용된 인증서의 게시자 이름 type: array element: type: string - 이름: process_reputation 설명: 행위자 프로세스의 평판; 이벤트가 Carbon Black Cloud에 의해 처리될 때 적용됨 type: string - 이름: process_sha256 설명: 행위자 프로세스 바이너리의 SHA-256 해시 type: string 표시자: - sha256 - 이름: process_username 설명: 행위자 프로세스가 실행된 사용자 컨텍스트. MacOS - fork() 및 exec() 전환에 대해 PID의 모든 사용자. Linux - exec() 이벤트의 프로세스 사용자이지만, 향후 센서 릴리스에서는 setuid()로 인해 다중 값이 될 수 있음 type: string 표시자: - 사용자명 - 이름: reason 설명: 알러트가 발생한 이유와 무엇이 왜 발생했는지, 그리고 취해진 조치에 대한 구어체로 작성된 설명으로, 보통 1~3문장으로 구성됨. type: string - 이름: reason_code 설명: 특정 알러트 사유를 식별하는 고유한 축약 코드 또는 GUID type: string - 이름: run_state 설명: 알러트의 위협이 실제로 실행되었는지 여부 type: string - 이름: sensor_action 설명: 정책 규칙에 따라 센서가 수행한 작업 type: string - 이름: severity 설명: 참양성일 경우 알러트 영향의 정수 표현 유형: int - 이름: threat_id 설명: 알러트 유형을 기반으로, 공통 기준을 가진 알러트 그룹에 할당된 ID type: string - 이름: type 설명: 생성된 알러트의 유형 type: string required: true - 이름: user_update_timestamp 설명: 사용자에 의해 변경된 알러트의 마지막 속성의 타임스탬프(예: 알러트 워크플로 또는 판단) type: timestamp timeFormat: rfc3339 - 이름: version 설명: 출력되는 스키마의 버전입니다. 예: 2.0.0 type: string - 이름: workflow 설명: 알러트의 현재 워크플로 상태입니다. 워크플로는 OPEN에서 IN_PROGRESS를 거쳐 CLOSED로 가는 흐름을 나타내며, 알러트를 현재 상태로 옮긴 주체를 기록합니다. 이 상태 전환의 이력은 알러트 이력 경로를 통해 확인할 수 있습니다. type: object fields: - name: change_timestamp 설명: 마지막 상태 변경이 발생한 시점 type: timestamp timeFormat: rfc3339 - name: changed_by 설명: 마지막 상태 변경을 수행한 사람(또는 대상) type: string - name: changed_by_type 설명: 마지막 상태 변경을 수행한 사용자 또는 시스템의 유형 type: string - 이름: changed_by_autoclose_룰_id 설명: 알러트를 닫은 자동 닫기 룰의 ID type: string - 이름: closure_reason 설명: 알러트가 해결된 이유에 대한 더 자세한 설명 type: string - 이름: status type: string - 이름: attack_tactic 설명: MITRE ATT&CK 프레임워크의 전술로, 자격 증명 접근을 달성하는 것과 같은 공격자의 행동 이유를 정의합니다 type: string - 이름: attack_technique 설명: MITRE ATT&CK 프레임워크의 기법으로, 공격자가 자격 증명 접근을 달성하기 위해 자격 증명을 덤프하는 것처럼 목표를 달성하기 위해 취하는 행동을 정의합니다 type: string - 이름: 룰_category_id 설명: 특정 알러트 유형에 대한 룰_id의 범주를 나타내는 ID type: string - 이름: 룰_id 설명: 알러트를 트리거한 룰의 ID; 침입 디택션 시스템, 호스트 기반 방화벽, TAU Intelligence 및 USB 장치 제어 알러트에 적용됩니다 type: string - 이름: threat_category 설명: 조치를 취할 수 있었던 위협의 범주 type: string - 이름: ttps 설명: 위협에 관련된 기타 잠재적 악성 활동 type: array element: type: string - 이름: connection_type 설명: 연결 유형 type: string - 이름: egress_group_id 설명: egress 그룹의 고유 식별자 type: string - 이름: egress_group_name 설명: egress 그룹 이름 type: string - 이름: ip_reputation 설명: 원격 IP에 대해 허용할 평판 범위 유형: int - 이름: k8s_cluster 설명: K8s 클러스터 이름 type: string - 이름: k8s_kind 설명: K8s 워크로드 종류 type: string - 이름: k8s_namespace 설명: K8s 네임스페이스 type: string - 이름: k8s_pod_name 설명: 워크로드 내의 Pod 이름 type: string - 이름: k8s_policy 설명: K8s 정책 이름 type: string - 이름: k8s_policy_id 설명: K8s 정책의 고유 식별자 type: string - 이름: k8s_룰 설명: K8s 정책 룰 이름 type: string - 이름: k8s_룰_id 설명: K8s 정책 룰의 고유 식별자 type: string - 이름: k8s_workload_name 설명: K8s 워크로드 이름 type: string - 이름: remote_is_private 설명: 원격 정보가 비공개인지 true 또는 false 유형: boolean - 이름: remote_k8s_kind 설명: 원격 워크로드의 종류이며, 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됩니다 type: string - 이름: remote_k8s_namespace 설명: 원격 워크로드 클러스터 내 네임스페이스이며, 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됩니다 type: string - 이름: remote_k8s_pod_name 설명: 원격 워크로드 pod 이름이며, 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됩니다 type: string - 이름: remote_k8s_workload_name 설명: 원격 워크로드의 이름이며, 원격 측이 동일 클러스터의 다른 워크로드인 경우 설정됩니다 type: string - 이름: external_device_friendly_name 설명: 사람이 읽을 수 있는 외부 장치 이름 type: string - 이름: product_id 설명: USB 장치를 식별하는 제품의 ID type: string - 이름: product_name 설명: USB 장치를 식별하는 제품의 이름 type: string - 이름: serial_number 설명: USB 장치의 일련번호 type: string - 이름: vendor_id 설명: USB 장치를 식별하는 공급업체의 ID type: string - 이름: vendor_name 설명: 장치를 제조한 공급업체의 이름 type: string - 이름: threat_name 설명: 위협의 이름 type: string - 이름: tms_룰_id 설명: 디택션 ID type: string - 이름: ioc_field 설명: indicator of comprise (IOC) 적중이 포함하는 필드 type: string - 이름: ioc_hit 설명: 일치하는 IOC 필드 값 또는 IOC 쿼리 type: string - 이름: ioc_id 설명: watchlist 적중을 생성한 IOC의 고유 식별자 type: string - 이름: ml_classification_final_verdict 설명: 예측에 사용된 ML 모델을 기반으로 한 알러트의 최종 판정입니다. type: string - 이름: ml_classification_global_prevalence 설명: 모든 지역 조직 전반의 알러트 발생 빈도를 설명하는 데 사용되는 범주(낮음/중간/높음)입니다. type: string - 이름: ml_classification_org_prevalence 설명: 조직 내 알러트 발생 빈도를 설명하는 데 사용되는 범주(낮음/중간/높음)입니다. type: string - 이름: report_description 설명: 보고서 설명 type: string - 이름: report_id 설명: 적중을 유발한 IOC가 포함된 보고서 ID type: string - 이름: report_link 설명: 적중을 유발한 IOC가 포함된 보고서의 링크 type: string 표시자: - url - 이름: report_name 설명: watchlist 보고서의 이름 type: string - 이름: report_tags 설명: watchlist 보고서와 연결된 태그 type: array element: type: string - 이름: watchlists 설명: 알러트와 연결된 watchlist 목록입니다. 알러트는 매시간 일괄 처리됩니다 type: array element: type: object fields: - 이름: id 설명: watchlist의 고유 식별자 type: string - 이름: name 설명: watchlist의 이름 type: string - 이름: mdr_알러트 설명: 알러트가 Carbon Black MDR 분석가의 검토 대상이 될 수 있습니까? 유형: boolean - 이름: mdr_알러트_notes_present 설명: MDR 분석가가 추가한, 고객에게 표시되는 알러트 수준 메모 유형: boolean - 이름: mdr_determination 설명: 알러트의 MDR 업데이트 가능 분류 type: object fields: - name: change_timestamp 설명: MDR 판정이 마지막으로 변경된 시점 type: timestamp timeFormat: rfc3339 - 이름: value 설명: 알러트가 가능성 높은 위협 또는 가능성 낮은 위협을 나타내는 것으로 판정되었는지 식별하는 기록입니다. type: string - 이름: mdr_workflow 설명: 알러트의 MDR 업데이트 가능 워크플로 type: object fields: - name: change_timestamp 설명: MDR 워크플로가 마지막으로 변경된 시점 type: timestamp timeFormat: rfc3339 - 이름: status type: string 설명: MD 분석가의 알러트 트리아지 중 상태 변경을 캡처하는 데 사용되는 기본 값 - 이름: is_assigned 유형: boolean 설명: 알러트가 할당되었는지 여부를 나타냅니다 ``` ### CarbonBlack.EndpointEvent ```yaml 스키마: CarbonBlack.EndpointEvent 설명: CarbonBlack의 엔드포인트 이벤트 참조 URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/endpoint.event-1.0.0/ fields: - 이름: action 설명: 이 이벤트 동안 sensor가 관찰한 특정 엔드포인트 작업입니다. type: string required: true - name: backend_timestamp 설명: Carbon Black Cloud 백엔드의 시계를 기준으로, 백엔드가 이벤트 배치를 수신한 시간입니다. UTC 기준 RFC 3339 형식의 초 단위 시간 문자열이며, 비동기 처리로 인해 device_timestamp와 몇 분 차이날 수 있습니다 type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S %z %Z' - 이름: device_group 설명: sensor가 이벤트 데이터를 기록했을 때 엔드포인트가 할당되어 있던 sensor 그룹 type: string - name: device_id 설명: 이 이벤트를 생성한 장치의 ID type: string - name: device_name 설명: 이 이벤트를 생성한 장치의 호스트명 type: string - 이름: device_os 설명: 장치의 OS 유형(Windows/OSX/Linux) type: string - 이름: device_timestamp 설명: sensor 시계를 기준으로 sensor에서 확인된 시간이며, 초 단위 RFC 3339 UTC 형식입니다 type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S.%N %z %Z' - '%Y-%m-%d %H:%M:%S %z %Z' required: true isEventTime: true - 이름: event_origin 설명: 이벤트가 어느 제품에서 왔는지 나타냅니다. type: string - 이름: org_key 설명: 콘솔 인스턴스와 연결된 조직 키입니다. 서로 다른 Carbon Black Cloud 테넌트 조직의 이벤트를 구분하는 데 사용할 수 있습니다. type: string - 이름: parent_guid 설명: 부모 프로세스의 고유 ID. type: string - 이름: parent_hash 설명: 부모 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됩니다 type: array element: type: string 표시자: - md5 - sha256 - 이름: parent_path 설명: 장치 파일 시스템에서 부모 프로세스를 뒷받침하는 실행 파일의 전체 경로 type: string - 이름: parent_pid 설명: 부모 프로세스의 OS 보고 프로세스 ID type: string - 이름: parent_reputation 설명: 부모 프로세스의 평판이며, 이벤트가 Carbon Black Cloud에 의해 처리될 때, 즉 sensor가 이벤트를 클라우드에 전달한 후 적용됩니다 type: string - 이름: process_cmdline 설명: 행위자 프로세스가 실행한 명령줄 type: string - 이름: process_fork_pid 설명: *nix 시스템에서 actor로부터 포크된 프로세스의 PID입니다. process_pid != process_fork_pid이면 현재 프로세스는 원래 process_pid에서 포크된 것입니다. type: string - 이름: process_guid 설명: 프로세스의 고유 ID. type: string - 이름: process_hash 설명: 이 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됩니다 type: array element: type: string 표시자: - md5 - sha256 - 이름: process_path 설명: 장치 파일 시스템에서 이 프로세스를 뒷받침하는 실행 파일의 전체 경로 type: string - 이름: process_pid 설명: 현재 프로세스의 OS 보고 프로세스 ID type: string - 이름: process_reputation 설명: actor 프로세스의 평판이며, 이벤트가 Carbon Black Cloud에 의해 처리될 때, 즉 sensor가 이벤트를 클라우드에 전달한 후 적용됩니다 type: string - 이름: process_username 설명: 이 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름 type: string 표시자: - 사용자명 - 이름: schema 설명: 스키마 버전입니다. 현재 스키마 버전은 1입니다. type: string - 이름: sensor_action 설명: sensor가 보안 정책으로 인해 이벤트를 차단했거나 애플리케이션을 종료한 경우 포함됩니다 type: string - 이름: target_cmdline 설명: 대상 프로세스와 연결된 프로세스 명령줄 type: string - 이름: type 설명: 이벤트 유형입니다. 아래 사양에 따라 어떤 필드가 예상되어야 하는지 확인하려면 이 필드를 사용하십시오. type: string required: true - 이름: 알러트_id 설명: 이 이벤트와 연결된 알러트의 ID type: string - name: device_external_ip 설명: 백엔드에서 본 호스트의 IP 주소(Carbon Black Cloud에 연결하는 데 사용된 공용 IPv4 또는 IPv6 주소) type: string 표시자: - ip - 이름: event_description 설명: Carbon Black Cloud 웹 콘솔에 표시되는 이벤트의 긴 텍스트 설명 type: string - 이름: event_id 설명: 이 특정 이벤트와 연결된 내부 Endpoint Standard 이벤트 ID이며, 이 이벤트 ID는 Carbon Black Cloud 웹 콘솔에서 해당 이벤트를 찾는 데 사용할 수 있습니다 type: string - 이름: process_terminated 설명: 프로세스가 종료된 경우 True입니다. Endpoint Standard 이벤트에서는 항상 FALSE입니다 유형: boolean - 이름: parent_cmdline 설명: 부모 프로세스와 연결된 프로세스 명령줄 type: string - 이름: process_duration 설명: 프로세스 시작 이벤트와 프로세스 종료 이벤트 사이의 시간 차이(초) type: float - 이름: process_publisher 설명: 'name'과 'state' 두 키를 가진 객체의 배열입니다. 각 배열 항목은 엔드포인트에서 보고한 프로세스의 서명 항목입니다 type: array element: type: object fields: - 이름: name 설명: 게시자의 이름 type: string - name: state 설명: 게시자의 상태 type: string - 이름: crossproc_api 설명: actor 프로세스가 호출한 운영 체제 API의 이름입니다. 해당 호출이 다른 프로세스를 대상으로 하는 경우 그 프로세스는 crossproc_name으로 보고됩니다. 대상 프로세스가 없는 경우 이 필드는 시스템 API 호출을 나타냅니다. type: string - 이름: crossproc_action 설명: actor 프로세스가 호출한 운영 체제 API가 수행한 작업 type: string - 이름: crossproc_guid 설명: 교차 프로세스의 고유 ID type: string - 이름: crossproc_hash 설명: crossproc 이벤트 대상의 암호화 해시이며, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됩니다 type: array element: type: string 표시자: - md5 - sha256 - 이름: crossproc_name 설명: 장치의 로컬 파일 시스템에서 crossproc 이벤트 대상의 전체 경로 type: string - 이름: crossproc_publisher 설명: 각 배열 항목은 엔드포인트에서 보고한 crossproc의 서명 항목입니다 type: array element: type: object fields: - 이름: name 설명: 게시자의 이름 type: string - name: state 설명: 게시자의 상태 type: string - 이름: crossproc_reputation 설명: crossproc에 대한 Carbon Black Cloud Reputation 문자열입니다. type: string - 이름: crossproc_target 설명: 프로세스가 교차 프로세스 이벤트의 대상인 경우 True이고, 프로세스가 actor인 경우 false입니다 유형: boolean - 이름: filemod_hash 설명: 수정된 파일의 암호화 해시이며, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됩니다 type: array element: type: string 표시자: - md5 - sha256 - 이름: filemod_name 설명: 장치 파일 시스템에서 수정 중인 파일의 전체 경로 type: string - 이름: fileless_scriptload_cmdline 설명: 행위자 프로세스가 실행한 명령줄 type: string - 이름: fileless_scriptload_cmdline_length 설명: 파일리스 컨텍스트에서 실행된 난독화 해제 스크립트 콘텐츠의 문자 수 type: bigint - 이름: fileless_scriptload_hash 설명: 파일리스 컨텍스트에서 프로세스가 실행한 난독화 해제 스크립트 콘텐츠의 SHA-256 해시 유형: json - 이름: modload_count 설명: 마지막 초기화 이후 sensor가 보고한 modload 이벤트 수 type: bigint - 이름: modload_effective_reputation 설명: 로드된 모듈의 유효 평판이며, 이벤트 발생 시 sensor에 의해 적용됩니다 유형: json - 이름: modload_hash 설명: 프로세스가 로드한 모듈의 MD5 또는 SHA-256 해시 유형: json - 이름: modload_md5 설명: 프로세스가 로드한 모듈의 MD5 해시 type: string 표시자: - md5 - 이름: modload_name 설명: 장치 파일 시스템에서 로드 중인 모듈의 전체 경로 type: string - 이름: modload_publisher 설명: 각 배열 항목은 엔드포인트에서 보고한 moduleload의 서명 항목입니다 type: array element: type: object fields: - 이름: name 설명: 게시자의 이름 type: string - name: state 설명: 게시자의 상태 type: string - 이름: modload_sha256 설명: 프로세스가 로드한 모듈의 SHA-256 해시 type: string 표시자: - sha256 - 이름: local_ip 설명: 이 네트워크 연결의 'local' 끝점과 연결된 문자열 형식의 IPv4 또는 IPv6 주소 type: string 표시자: - ip - 이름: local_port 설명: 이 네트워크 연결의 'local' 끝점과 연결된 UDP/TCP 포트 번호 유형: int - 이름: netconn_domain 설명: 이 네트워크 연결의 'remote' 끝점과 연결된 DNS 이름 type: string 표시자: - 호스트 이름 - 이름: netconn_inbound 설명: netconn이 인바운드이면 true로 설정됩니다 유형: boolean - 이름: netconn_protocol 설명: 문자열 UDP 또는 TCP 프로토콜 식별자 type: string - name: remote_ip 설명: 이 네트워크 연결의 'remote' 끝점과 연결된 문자열 형식의 IPv4 또는 IPv6 주소 type: string 표시자: - ip - 이름: remote_port 설명: 이 네트워크 연결의 'remote' 끝점과 연결된 UDP/TCP 포트 번호 유형: int - 이름: netconn_proxy_domain 설명: 이 네트워크 연결의 'proxy' 끝점과 연결된 DNS 이름 type: string 표시자: - 호스트 이름 - 이름: netconn_proxy_ip 설명: 이 네트워크 연결의 'proxy' 끝점과 연결된 문자열 형식의 IPv4 또는 IPv6 주소 type: string 표시자: - ip - 이름: netconn_proxy_port 설명: 이 네트워크 연결의 'proxy' 끝점과 연결된 UDP/TCP 포트 번호 유형: int - name: childproc_guid 설명: 자식 프로세스의 고유 ID. type: string - 이름: childproc_hash 설명: 자식 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됩니다 type: array element: type: string 표시자: - md5 - sha256 - name: childproc_name 설명: 장치의 로컬 파일 시스템에서 자식 프로세스의 대상 애플리케이션 전체 경로 type: string - 이름: childproc_pid 설명: 자식 프로세스의 OS 보고 프로세스 ID type: string - 이름: childproc_publisher 설명: 각 배열 항목은 엔드포인트에서 보고한 childproc의 서명 항목입니다 type: array element: type: object fields: - 이름: name 설명: childproc 게시자의 이름 type: string - name: state 설명: childproc 게시자의 상태 type: string - 이름: childproc_reputation 설명: childproc에 대한 Carbon Black Cloud Reputation 문자열 type: string - name: childproc_username 설명: 자식 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름 type: string 표시자: - 사용자명 - 이름: regmod_name 설명: Windows 장치 레지스트리에서 수정 중인 하이브를 포함한 레지스트리 키의 전체 경로 type: string - 이름: scriptload_effective_reputation 설명: 로드된 스크립트의 유효 평판이며, 이벤트 발생 시 sensor에 의해 적용됩니다 유형: json - 이름: scriptload_hash 설명: 프로세스 시작 시 로드된 파일 시스템 스크립트 파일의 MD5 및/또는 SHA-256 해시 유형: json - 이름: scriptload_name 설명: 프로세스 시작 시 로드된 스크립트 파일의 파일 시스템 경로 type: string - 이름: scriptload_publisher 설명: 각 배열 항목은 엔드포인트에서 보고한 scriptload의 서명 항목입니다 type: array element: type: object fields: - 이름: name 설명: scriptload 게시자의 이름 type: string - name: state 설명: scriptload 게시자의 상태 type: string - 이름: scriptload_reputation 설명: 로드된 스크립트의 평판(들); 이벤트가 Carbon Black Cloud에서 처리될 때, 즉 센서가 이벤트를 클라우드로 전달한 후에 적용됨 유형: json - 이름: process_loaded_script_hash 설명: 프로세스 기간 동안 파일 시스템에서 로드된 모든 스크립트의 SHA-256 해시(들); fileless_scriptload_hash와 비교 유형: json - 이름: process_loaded_script_name 설명: 프로세스 기간 동안 파일 시스템에서 로드된 모든 스크립트 콘텐츠의 파일 시스템 경로(들); fileless_scriptload_cmdline, scriptload_content와 비교 type: string - 이름: scriptload_content 설명: 프로세스 시작 시 파일 시스템에서 로드된 난독화 해제된 스크립트 콘텐츠(문자열, 바이너리 또는 원시 실행 이미지); fileless_scriptload_cmdline, process_loaded_script_name와 비교 type: string - 이름: scriptload_count 설명: 마지막 초기화 이후 센서가 보고한 모든 프로세스에 걸친 scriptload 이벤트 수 type: bigint - 이름: scriptload_content_length 설명: 난독화 해제된 파일 시스템 스크립트의 문자 수; fileless_scriptload_cmdline_length와 비교 type: bigint ``` ### CarbonBlack.WatchlistHit ```yaml 스키마: CarbonBlack.WatchlistHit 설명: CarbonBlack의 감시 목록 적중 참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/watchlist.hit-1.0.0/ fields: - 이름: 알러트_id 설명: 이 감시 목록 적중이 연결된 알러트의 ID type: string - 이름: create_time 설명: 감시 목록 적중이 생성된 시간으로, ISO 8601 UTC 타임스탬프 형식의 밀리초 단위 type: timestamp timeFormats: - rfc3339 isEventTime: true required: true - name: device_external_ip 설명: Carbon Black Cloud 관점에서 본 엔드포인트의 IP 주소. 네트워크 프록시 또는 NAT로 인해 device_internal_ip와 다를 수 있습니다. IPv4 또는 IPv6일 수 있습니다. type: string 표시자: - ip - name: device_id 설명: 이 감시 목록 적중을 생성한 장치의 정수 ID type: string required: true - name: device_internal_ip 설명: 센서가 보고한 엔드포인트의 IP 주소. IPv4 또는 IPv6일 수 있습니다. type: string 표시자: - ip - name: device_name 설명: 이 감시 목록 적중을 생성한 장치의 호스트 이름 type: string - 이름: device_os 설명: 장치의 OS 유형(Windows/OSX/Linux) type: string - 이름: device_uem_id 설명: VMware Workspace ONE Intelligence에서 할당한 Unified Endpoint Management 식별자이며, Workspace ONE 통합이 구성된 경우에만 채워집니다. type: string - 이름: ioc_field 설명: IOC 적중이 포함하는 필드 type: string - 이름: ioc_hit 설명: IOC 필드 값 또는 일치하는 IOC 쿼리 type: string - 이름: ioc_id 설명: 적중을 유발한 IOC의 ID type: string required: true - 이름: schema 설명: 스키마 버전입니다. 현재 스키마 버전은 1입니다. type: string - 이름: org_key 설명: 콘솔 인스턴스와 연결된 조직 키입니다. 서로 다른 고객/조직의 알러트를 구분하는 데 사용할 수 있습니다. type: string - 이름: parent_cmdline 설명: 부모 프로세스에 의해 실행된 명령줄 type: string - 이름: parent_guid 설명: 부모 프로세스의 고유 ID. type: string - 이름: parent_hash 설명: 부모 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됩니다 type: array element: type: string 표시자: - md5 - sha256 - 이름: parent_path 설명: 장치 파일 시스템에서 부모 프로세스를 뒷받침하는 실행 파일의 전체 경로 type: string - 이름: parent_pid 설명: 부모 프로세스의 OS 보고 프로세스 ID type: string - 이름: parent_publisher 설명: 배열의 각 항목은 엔드포인트가 보고한 부모 프로세스의 서명 항목입니다. type: array element: type: object fields: - 이름: name 설명: 게시자의 이름 type: string - name: state 설명: 게시자의 상태 type: string - 이름: parent_reputation 설명: 부모 프로세스의 평판이며, 이벤트가 Carbon Black Cloud에 의해 처리될 때, 즉 sensor가 이벤트를 클라우드에 전달한 후 적용됩니다 type: string - 이름: parent_username 설명: 부모 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름 type: string 표시자: - 사용자명 - 이름: process_cmdline 설명: 행위자 프로세스가 실행한 명령줄 type: string - 이름: process_guid 설명: 프로세스의 고유 ID. type: string - 이름: process_hash 설명: 이 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됩니다 type: array element: type: string 표시자: - md5 - sha256 - 이름: process_path 설명: 장치 파일 시스템에서 이 프로세스를 뒷받침하는 실행 파일의 전체 경로 type: string - 이름: process_pid 설명: 현재 프로세스의 OS 보고 프로세스 ID type: string - 이름: process_publisher 설명: 배열의 각 항목은 엔드포인트가 보고한 행위자 프로세스의 서명 항목입니다. type: array element: type: object fields: - 이름: name 설명: 게시자의 이름 type: string - name: state 설명: 게시자의 상태 type: string - 이름: process_reputation 설명: actor 프로세스의 평판이며, 이벤트가 Carbon Black Cloud에 의해 처리될 때, 즉 sensor가 이벤트를 클라우드에 전달한 후 적용됩니다 type: string - 이름: process_username 설명: 이 프로세스가 시작된 사용자 컨텍스트와 연결된 사용자 이름 type: string 표시자: - 사용자명 - 이름: report_id 설명: 프로세스에 대한 적중을 탐지한 감시 목록 보고서(들)의 ID type: string - 이름: report_name 설명: 프로세스에 대한 적중을 탐지한 감시 목록 보고서(들)의 이름 type: string - 이름: report_tags 설명: 프로세스에 대한 적중을 탐지한 보고서(들)과 연결된 태그 목록 type: array element: type: string - 이름: severity 설명: 감시 목록 적중의 심각도 유형: int - 이름: type 설명: 감시 목록 적중 유형 type: string - 이름: watchlists 설명: IOC 적중 보고서를 포함하는 감시 목록의 목록 type: array element: type: object fields: - 이름: id 설명: 감시 목록의 ID type: string - 이름: name 설명: watchlist의 이름 type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/carbon-black.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.