와 같이 반환할 수 있습니다(스타일 취향에 따라). 이벤트가 처리되지 않을 때 경고 트리거 설정은 기본값으로 예로 설정됩니다. 데이터가 일정 기간 후에 로그 소스에서 흐르지 않으면 경고를 받으므로 이 설정을 그대로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\
Carbon Black 데이터 스트리밍 로그를 Panther에 온보딩하는 방법
Panther에서 수집을 위해 Carbon Black 로그 스트리밍을 구성하려면 먼저 Carbon Black에서 데이터 포워더(Data Forwarder)를 설정한 다음 Panther에서 Carbon Black 데이터 스트리밍 소스를 생성합니다.
스키마: CarbonBlack.Audit
설명: CarbonBlack의 감사 로그
참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/cb-defense/latest/rest-api/
필드:
- 이름: verbose
설명: 이벤트가 자세한지 여부
유형: boolean
- 이름: eventId
설명: 이벤트의 ID
필수: 예
유형: 문자열
- name: eventTime
설명: 이벤트가 발생한 시간
유형: 타임스탬프
시간 형식:
- unix_ms
isEventTime: true
- 이름: description
설명: 이벤트에 대한 설명
유형: 문자열
- 이름: orgName
설명: 조직의 이름
유형: 문자열
- 이름: clientIp
설명: 클라이언트의 IP 주소
유형: 문자열
지표:
- ip
- 이름: requestUrl
설명: 요청의 URL
유형: 문자열
지표:
- hostname
- 이름: loginName
설명: 로그인한 사용자의 이름
유형: 문자열
지표:
- username
- 이름: flagged
설명: 이벤트가 플래그되었는지 여부
유형: boolean
스키마: CarbonBlack.AlertV2
설명: Carbon Black Cloud에서 생성된 경고 로그
참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/alert-2.0.0/
필드:
- 이름: additional_events_present
설명: API 및 포워더 사용자에게 이 경고와 관련된 다른 연관 이벤트를 조회해야 함을 알리는 지표
유형: boolean
- 이름: alert_notes_present
설명: 경고 ID에 메모가 있으면 true. 메모가 없으면 false.
유형: boolean
- 이름: alert_url
설명: 이 경고의 경고 페이지 링크. 경고 유형에 따라 달라지지 않음
유형: 문자열
필수: 예
지표:
- url
- 이름: backend_timestamp
설명: Carbon Black Cloud가 경고를 처리하여 검색 가능하도록 만든 시간의 타임스탬프. 경고 페이지의 생성(Created) 열에 해당.
유형: 타임스탬프
시간형식: rfc3339
- 이름: backend_update_timestamp
설명: Carbon Black Cloud가 경고에 대한 업데이트를 시작하고 처리한 시간의 타임스탬프. 경고 페이지의 업데이트(Updated) 열에 해당.
유형: 타임스탬프
시간형식: rfc3339
- 이름: blocked_effective_reputation
설명: 차단이 발생한 시점에 센서가 적용한 차단된 파일 또는 프로세스의 유효 평판
유형: 문자열
- 이름: blocked_md5
설명: 센서에 의해 종료된 모든 프로세스의 자식 프로세스 바이너리의 MD5 해시
유형: 문자열
지표:
- md5
- 이름: blocked_name
설명: 센서 조치로 차단된 파일의 토큰화된 파일 경로
유형: 문자열
- 이름: blocked_sha256
설명: 센서에 의해 종료된 모든 프로세스의 자식 프로세스 바이너리의 SHA-256 해시
유형: 문자열
지표:
- sha256
- 이름: childproc_cmdline
설명: 자식 프로세스의 명령줄
유형: 문자열
- 이름: childproc_effective_reputation
설명: 이벤트가 발생한 시점에 센서가 적용한 자식 프로세스의 유효 평판
유형: 문자열
- 이름: childproc_guid
설명: 자식 프로세스에 할당된 고유 프로세스 식별자
유형: 문자열
- 이름: childproc_md5
설명: 자식 프로세스 바이너리의 해시(Enterprise EDR)
유형: 문자열
지표:
- md5
- 이름: childproc_name
설명: 자식 프로세스 바이너리의 파일시스템 경로
유형: 문자열
- 이름: childproc_sha256
설명: 자식 프로세스 바이너리의 해시(Endpoint Standard)
유형: 문자열
지표:
- sha256
- 이름: childproc_username
설명: 자식 프로세스가 실행된 사용자 컨텍스트
유형: 문자열
지표:
- username
- 이름: detection_timestamp
설명: 경고가 처음 감지된 시간의 타임스탬프. 센서가 보낸 경고의 경우 센서에서의 이벤트 시간입니다. 백엔드에서 생성된 경고의 경우 백엔드 시스템이 경고를 트리거한 시간입니다.
유형: 타임스탬프
시간형식: rfc3339
필수: 예
isEventTime: true
- 이름: determination
설명: 사용자가 업데이트할 수 있는 경고의 판정
유형: 객체
필드:
- 이름: change_timestamp
설명: 판정이 업데이트된 시간의 타임스탬프
유형: 타임스탬프
시간형식: rfc3339
- 이름: changed_by
설명: 판정을 변경한 사용자
유형: 문자열
지표:
- username
- 이름: changed_by_type
설명: 판정을 변경한 사용자의 유형
유형: 문자열
- 이름: value
설명: 사용자가 설정한 경고의 판정 값
유형: 문자열
- 이름: device_external_ip
설명: Carbon Black Cloud에 따른 엔드포인트의 IP 주소; 네트워크 프록시나 NAT로 인해 device_internal_ip와 다를 수 있음; IPv4(점 표기) 또는 IPv6(전용 형식)
유형: 문자열
지표:
- ip
- 이름: device_id
설명: 장치의 ID
유형: 문자열
- 이름: device_internal_ip
설명: 센서가 보고한 엔드포인트의 IP 주소; IPv4(점 표기) 또는 IPv6(전용 형식)
유형: 문자열
지표:
- ip
- 이름: device_location
설명: 현재 IP 주소 및 장치에 등록된 DNS 도메인 접미사를 기준으로 경고 시작 시 장치가 온프레미스였는지 여부
유형: 문자열
- 이름: device_name
설명: 장치 이름
유형: 문자열
- 이름: device_os
설명: 장치 운영 체제
유형: 문자열
- 이름: device_os_version
설명: 엔드포인트의 운영 체제 및 버전. Windows CBC 센서 버전 3.5 이상 필요.
유형: 문자열
- 이름: device_policy
설명: 장치 정책
유형: 문자열
- 이름: device_policy_id
설명: 장치 정책 ID
유형: 문자열
- 이름: device_target_value
설명: 정책에서 설정된 장치에 할당된 대상 값
유형: 문자열
- 이름: device_uem_id
설명: WS1/EUC와의 장치 상관관계로, Workspace ONE Intelligence 통합이 작동하려면 필요
유형: 문자열
- 이름: device_username
설명: 경고와 관련된 사용자 또는 장치 소유자
유형: 문자열
지표:
- username
- 이름: first_event_timestamp
설명: 경고에서 첫 번째 이벤트가 발생한 시간의 타임스탬프
유형: 타임스탬프
시간형식: rfc3339
- 이름: id
설명: 경고의 고유 ID
유형: 문자열
필수: 예
- 이름: is_updated
설명: Carbon Black Cloud 백엔드에서 시작한 업데이트된 복사본인 경우 true로 설정됩니다. 사용자 워크플로 업데이트(예: 메모 추가)는 경고의 새 복사본을 생성하지만 is_updated는 false로 설정됩니다.
유형: boolean
- 이름: last_event_timestamp
설명: 경고에서 마지막 이벤트가 발생한 시간의 타임스탬프
유형: 타임스탬프
시간형식: rfc3339
- 이름: netconn_local_ip
설명: 네트워크 연결의 원격 쪽 IP 주소; 점 표기법으로 저장
유형: 문자열
지표:
- ip
- 이름: netconn_local_ipv4
설명: 네트워크 연결의 로컬 쪽 IPv4 주소; 점 표기법으로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_local_ipv6
설명: 네트워크 연결의 로컬 쪽 IPv6 주소; 옥텟 구분 콜론 문자가 없는 문자열로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_local_port
설명: 네트워크 연결의 로컬 쪽에서 사용된 TCP 또는 UDP 포트
유형: int
- 이름: netconn_protocol
설명: 네트워크 연결의 프로토콜
유형: 문자열
- 이름: netconn_remote_domain
설명: 사용 가능한 경우 네트워크 연결 원격 쪽과 연관된 도메인 이름(FQDN)
유형: 문자열
지표:
- domain
- 이름: netconn_remote_ip
설명: 네트워크 연결의 로컬 쪽 IP 주소; 점 표기법으로 저장
유형: 문자열
지표:
- ip
- 이름: netconn_remote_ipv4
설명: 네트워크 연결의 원격 쪽 IPv4 주소; 점 표기법으로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_remote_ipv6
설명: 네트워크 연결의 원격 쪽 IPv6 주소; 옥텟 구분 콜론 문자가 없는 문자열로 저장. ipv4와 ipv6 필드 중 하나만 채워집니다.
유형: 문자열
지표:
- ip
- 이름: netconn_remote_port
설명: 네트워크 연결 원격 쪽에서 사용된 TCP 또는 UDP 포트; netconn_port 및 event_network_remote_port와 동일
유형: int
- 이름: org_key
설명: Carbon Black Cloud에서 귀하의 조직을 식별하는 고유한 영숫자 문자열
유형: 문자열
- 이름: parent_cmdline
설명: 부모 프로세스의 명령줄
유형: 문자열
- 이름: parent_effective_reputation
설명: 이벤트가 발생했을 때 센서가 적용한 부모 프로세스의 유효 평판
유형: 문자열
- 이름: parent_guid
설명: 부모 프로세스에 할당된 고유 프로세스 식별자
유형: 문자열
- 이름: parent_md5
설명: 부모 프로세스 바이너리의 MD5 해시
유형: 문자열
지표:
- md5
- 이름: parent_name
설명: 부모 프로세스 바이너리의 파일시스템 경로
유형: 문자열
- 이름: parent_pid
설명: 운영 체제가 부모 프로세스에 할당한 식별자
유형: 문자열
- 이름: parent_reputation
설명: 이벤트가 처음 처리될 때 Carbon Black Cloud가 적용한 부모 프로세스의 평판
유형: 문자열
- 이름: parent_sha256
설명: 부모 프로세스 바이너리의 SHA-256 해시
유형: 문자열
지표:
- sha256
- 이름: parent_username
설명: 부모 프로세스가 실행된 사용자 컨텍스트
유형: 문자열
지표:
- username
- 이름: policy_applied
설명: 이 경고와 연관된 이벤트에 정책이 적용되었는지 여부
유형: 문자열
- 이름: primary_event_id
설명: 경고에서 기본 이벤트의 ID
유형: 문자열
- 이름: process_cmdline
설명: 액터 프로세스가 실행한 명령줄
유형: 문자열
- 이름: process_effective_reputation
설명: 액터 해시의 유효 평판
유형: 문자열
- 이름: process_guid
설명: 경고를 발생시킨 프로세스의 GUID(선택 사항)
유형: 문자열
- 이름: process_issuer
설명: 프로세스의 인증서와 연관된 인증 기관
유형: 배열
요소:
유형: 문자열
- 이름: process_md5
설명: 액터 프로세스 바이너리의 MD5 해시
유형: 문자열
지표:
- md5
- 이름: process_name
설명: 경고의 프로세스 이름
유형: 문자열
- 이름: process_pid
설명: 경고를 발생시킨 프로세스의 PID(선택 사항)
유형: 문자열
- 이름: process_publisher
설명: Windows 또는 macOS 프로세스 바이너리를 서명하는 데 사용된 인증서의 발행자 이름
유형: 배열
요소:
유형: 문자열
- 이름: process_reputation
설명: 액터 프로세스의 평판; 이벤트가 Carbon Black Cloud에서 처리될 때 적용됨
유형: 문자열
- 이름: process_sha256
설명: 액터 프로세스 바이너리의 SHA-256 해시
유형: 문자열
지표:
- sha256
- 이름: process_username
설명: 액터 프로세스가 실행된 사용자 컨텍스트. MacOS - fork() 및 exec() 전환에 대한 PID의 모든 사용자. Linux - exec() 이벤트의 경우 프로세스 사용자, 향후 센서 릴리스에서는 setuid()로 인해 다중 값이 될 수 있음
유형: 문자열
지표:
- username
- 이름: reason
설명: 경고가 발생한 이유와 수행된 조치에 대한 문장(보통 1~3문장)의 서술형 설명
유형: 문자열
- 이름: reason_code
설명: 특정 경고 이유를 식별하는 고유한 축약 코드 또는 GUID
유형: 문자열
- 이름: run_state
설명: 경고의 위협이 실제로 실행되었는지 여부
유형: 문자열
- 이름: sensor_action
설명: 정책 규칙에 따라 센서가 수행한 조치
유형: 문자열
- 이름: severity
설명: 경고가 진짜 양성인 경우 영향의 정수 표현
유형: int
- 이름: threat_id
설명: 경고 유형을 기반으로 공통 기준을 가진 경고 그룹에 할당된 ID
유형: 문자열
- 이름: type
설명: 생성된 경고의 유형
유형: 문자열
필수: 예
- 이름: user_update_timestamp
설명: 경고의 워크플로 또는 판정과 같은 사용자에 의해 변경된 마지막 속성의 타임스탬프
유형: 타임스탬프
시간형식: rfc3339
- 이름: version
설명: 방출되는 스키마의 버전 예: 2.0.0
유형: 문자열
- 이름: workflow
설명: 경고의 현재 워크플로 상태. 워크플로는 OPEN에서 IN_PROGRESS를 거쳐 CLOSED로 이동하는 흐름을 나타내며 누가 경고를 현재 상태로 옮겼는지를 캡처합니다. 이러한 상태 전환의 기록은 경고 기록 경로를 통해 확인할 수 있습니다.
유형: 객체
필드:
- 이름: change_timestamp
설명: 마지막 상태 변경이 발생한 시점
유형: 타임스탬프
시간형식: rfc3339
- 이름: changed_by
설명: 마지막 상태 변경을 수행한 주체(또는 무엇)
유형: 문자열
- 이름: changed_by_type
설명: 마지막 상태 변경을 수행한 사용자 또는 시스템의 유형
유형: 문자열
- 이름: changed_by_autoclose_rule_id
설명: 경고를 닫은 자동 닫기 규칙의 ID
유형: 문자열
- 이름: closure_reason
설명: 경고가 해결된 이유에 대한 보다 상세한 설명
유형: 문자열
- 이름: status
유형: 문자열
- 이름: attack_tactic
설명: MITRE ATT&CK 프레임워크의 전술; 자격 증명 접근 획득과 같은 적대자의 행동 이유를 정의
유형: 문자열
- 이름: attack_technique
설명: MITRE ATT&CK 프레임워크의 기법; 예를 들어 자격 증명 접근을 달성하기 위해 자격 증명 덤프와 같은 적대자가 수행하는 행동을 정의
유형: 문자열
- 이름: rule_category_id
설명: 특정 경고 유형에 대한 rule_id의 카테고리를 나타내는 ID
유형: 문자열
- 이름: rule_id
설명: 경고를 트리거한 규칙의 ID; 침입 탐지 시스템, 호스트 기반 방화벽, TAU 인텔리전스 및 USB 장치 제어 경고에 적용
유형: 문자열
- 이름: threat_category
설명: 우리가 조치를 취할 수 있었던 위협의 카테고리
유형: 문자열
- 이름: ttps
설명: 위협에 관련된 다른 잠재적 악의적 활동
유형: 배열
요소:
유형: 문자열
- 이름: connection_type
설명: 연결 유형
유형: 문자열
- 이름: egress_group_id
설명: 이그레스 그룹의 고유 식별자
유형: 문자열
- 이름: egress_group_name
설명: 이그레스 그룹의 이름
유형: 문자열
- 이름: ip_reputation
설명: 원격 IP에 대해 허용할 평판 범위
유형: int
- 이름: k8s_cluster
설명: K8s 클러스터 이름
유형: 문자열
- 이름: k8s_kind
설명: K8s 워크로드 종류
유형: 문자열
- 이름: k8s_namespace
설명: K8s 네임스페이스
유형: 문자열
- 이름: k8s_pod_name
설명: 워크로드 내의 파드 이름
유형: 문자열
- 이름: k8s_policy
설명: K8s 정책 이름
유형: 문자열
- 이름: k8s_policy_id
설명: K8s 정책의 고유 식별자
유형: 문자열
- 이름: k8s_rule
설명: K8s 정책 규칙 이름
유형: 문자열
- 이름: k8s_rule_id
설명: K8s 정책 규칙의 고유 식별자
유형: 문자열
- 이름: k8s_workload_name
설명: K8s 워크로드 이름
유형: 문자열
- 이름: remote_is_private
설명: 원격 정보가 비공개인지(true/false)
유형: boolean
- 이름: remote_k8s_kind
설명: 원격 워크로드의 종류; 원격 쪽이 동일 클러스터의 다른 워크로드인 경우 설정됨
유형: 문자열
- 이름: remote_k8s_namespace
설명: 원격 워크로드의 클러스터 내 네임스페이스; 원격 쪽이 동일 클러스터의 다른 워크로드인 경우 설정됨
유형: 문자열
- 이름: remote_k8s_pod_name
설명: 원격 워크로드 파드 이름; 원격 쪽이 동일 클러스터의 다른 워크로드인 경우 설정됨
유형: 문자열
- 이름: remote_k8s_workload_name
설명: 원격 워크로드의 이름; 원격 쪽이 동일 클러스터의 다른 워크로드인 경우 설정됨
유형: 문자열
- 이름: external_device_friendly_name
설명: 사람이 읽을 수 있는 외부 장치 이름
유형: 문자열
- 이름: product_id
설명: USB 장치를 식별하는 제품의 ID
유형: 문자열
- 이름: product_name
설명: USB 장치를 식별하는 제품의 이름
유형: 문자열
- 이름: serial_number
설명: USB 장치의 일련 번호
유형: 문자열
- 이름: vendor_id
설명: USB 장치를 식별하는 공급업체의 ID
유형: 문자열
- 이름: vendor_name
설명: 장치를 생산한 공급업체의 이름
유형: 문자열
- 이름: threat_name
설명: 위협의 이름
유형: 문자열
- 이름: tms_rule_id
설명: 탐지 ID
유형: 문자열
- 이름: ioc_field
설명: 지표(IOC) 적중이 포함된 필드
유형: 문자열
- 이름: ioc_hit
설명: 일치하는 IOC 필드 값 또는 IOC 쿼리
유형: 문자열
- 이름: ioc_id
설명: 워치리스트 적중을 생성한 IOC의 고유 식별자
유형: 문자열
- 이름: ml_classification_final_verdict
설명: 예측을 수행하는 데 사용된 ML 모델을 기반으로 한 경고의 최종 평결
유형: 문자열
- 이름: ml_classification_global_prevalence
설명: 지역 조직 전체에 걸친 경고의 유병률을 설명하는 범주(낮음/중간/높음)
유형: 문자열
- 이름: ml_classification_org_prevalence
설명: 조직 내 경고의 유병률을 설명하는 범주(낮음/중간/높음)
유형: 문자열
- 이름: report_description
설명: 보고서 설명
유형: 문자열
- 이름: report_id
설명: 적중을 유발한 IOC를 포함한 보고서의 ID
유형: 문자열
- 이름: report_link
설명: 적중을 유발한 IOC를 포함한 보고서의 링크
유형: 문자열
지표:
- url
- 이름: report_name
설명: 워치리스트 보고서의 이름
유형: 문자열
- 이름: report_tags
설명: 워치리스트 보고서와 연관된 태그
유형: 배열
요소:
유형: 문자열
- 이름: watchlists
설명: 경고와 연관된 워치리스트 목록. 경고는 시간별로 배치됨
유형: 배열
요소:
유형: 객체
필드:
- 이름: id
설명: 워치리스트의 고유 식별자
유형: 문자열
- 이름: name
설명: 워치리스트의 이름
유형: 문자열
- 이름: mdr_alert
설명: 해당 경고가 Carbon Black MDR 분석가의 검토 대상인지 여부
유형: boolean
- 이름: mdr_alert_notes_present
설명: MDR 분석가가 경고 수준에서 추가한 고객에게 보이는 메모
유형: boolean
- 이름: mdr_determination
설명: MDR이 업데이트할 수 있는 경고의 분류
유형: 객체
필드:
- 이름: change_timestamp
설명: MDR 판정이 마지막으로 변경된 시점
유형: 타임스탬프
시간형식: rfc3339
- 이름: value
설명: 경고가 잠재적이거나 그렇지 않은 위협으로 판단되었는지 식별하는 기록
유형: 문자열
- 이름: mdr_workflow
설명: MDR이 업데이트할 수 있는 경고 워크플로
유형: 객체
필드:
- 이름: change_timestamp
설명: MDR 워크플로가 마지막으로 변경된 시점
유형: 타임스탬프
시간형식: rfc3339
- 이름: status
유형: 문자열
설명: MD 분석가의 경고 분류 중 상태 변경을 캡처하는 데 사용되는 주요 값
- 이름: is_assigned
유형: boolean
설명: 경고가 할당되었는지 여부를 나타냄
스키마: CarbonBlack.EndpointEvent
설명: CarbonBlack의 엔드포인트 이벤트
참조URL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/endpoint.event-1.0.0/
필드:
- 이름: action
설명: 이 이벤트 동안 센서가 관찰한 특정 엔드포인트 동작.
유형: 문자열
필수: 예
- 이름: backend_timestamp
설명: Carbon Black Cloud 백엔드의 시계를 기반으로 이벤트 배치를 백엔드가 수신한 시간(RFC 3339 형식의 UTC 초 단위 문자열). 비동기 처리로 인해 device_timestamp와 몇 분 차이가 날 수 있음
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S %z %Z'
- 이름: device_group
설명: 센서가 이벤트 데이터를 기록할 때 엔드포인트에 할당된 센서 그룹
유형: 문자열
- 이름: device_id
설명: 이 이벤트를 생성한 장치의 ID
유형: 문자열
- 이름: device_name
설명: 이 이벤트를 생성한 장치의 호스트명
유형: 문자열
- 이름: device_os
설명: 장치의 운영 체제 유형(Windows/OSX/Linux)
유형: 문자열
- 이름: device_timestamp
설명: 센서의 시계를 기반으로 센서에서 본 시간(RFC 3339 UTC 형식 초 단위)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%N %z %Z'
- '%Y-%m-%d %H:%M:%S %z %Z'
필수: 예
isEventTime: true
- 이름: event_origin
설명: 이벤트가 어떤 제품에서 왔는지 나타냄.
유형: 문자열
- 이름: org_key
설명: 콘솔 인스턴스와 연관된 조직 키. 서로 다른 Carbon Black Cloud 테넌트 조직의 이벤트를 구분하는 데 사용될 수 있음.
유형: 문자열
- 이름: parent_guid
설명: 부모 프로세스의 고유 ID.
유형: 문자열
- 이름: parent_hash
설명: 부모 프로세스를 뒷받침하는 실행 파일의 암호화 해시들로, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됨
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- 이름: parent_path
설명: 장치 파일 시스템에서 부모 프로세스를 뒷받침하는 실행 파일의 전체 경로
유형: 문자열
- 이름: parent_pid
설명: 부모 프로세스의 OS가 보고한 프로세스 ID
유형: 문자열
- 이름: parent_reputation
설명: 부모 프로세스의 평판; 센서가 이벤트를 클라우드에 전달한 후 즉, 이벤트가 Carbon Black Cloud에서 처리될 때 적용됨
유형: 문자열
- 이름: process_cmdline
설명: 액터 프로세스가 실행한 명령줄
유형: 문자열
- name: process_fork_pid
description: *nix 시스템에서 액터로부터 포크된 프로세스의 PID. process_pid != process_fork_pid인 경우 현재 프로세스는 원래의 process_pid에서 포크된 것입니다.
유형: 문자열
- 이름: process_guid
description: 프로세스의 고유 ID.
유형: 문자열
- name: process_hash
description: 이 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)로 구성된 배열로 표현됩니다.
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: process_path
description: 장치의 파일 시스템에서 이 프로세스를 뒷받침하는 실행 파일의 전체 경로
유형: 문자열
- 이름: process_pid
description: 현재 프로세스의 OS가 보고한 프로세스 ID
유형: 문자열
- 이름: process_reputation
description: 액터 프로세스의 평판; 센서가 이벤트를 클라우드로 전달한 후 즉, 이벤트가 Carbon Black Cloud에서 처리될 때 적용됨
유형: 문자열
- 이름: process_username
description: 이 프로세스가 시작된 사용자 컨텍스트와 연관된 사용자 이름
유형: 문자열
지표:
- username
- name: schema
description: 스키마 버전. 현재 스키마 버전은 1입니다.
유형: 문자열
- 이름: sensor_action
description: 센서가 보안 정책으로 인해 이벤트를 차단하거나 애플리케이션을 종료한 경우 포함됩니다
유형: 문자열
- name: target_cmdline
description: 대상 프로세스와 연관된 프로세스 명령줄
유형: 문자열
- 이름: type
description: 이벤트 유형. 아래 명세에 따라 어떤 필드를 예상해야 하는지 결정하는 데 이 필드를 사용하십시오.
유형: 문자열
필수: 예
- name: alert_id
description: 이 이벤트와 연관된 경고(Alert)의 ID
유형: 문자열
- 이름: device_external_ip
description: 백엔드에서 본 호스트의 IP 주소( Carbon Black Cloud에 연결하는 데 사용되는 공개 IPv4 또는 IPv6 주소)
유형: 문자열
지표:
- ip
- name: event_description
description: Carbon Black Cloud 웹 콘솔에서 보는 이벤트의 긴 텍스트 설명
유형: 문자열
- name: event_id
description: 이 특정 이벤트와 연관된 내부 Endpoint Standard 이벤트 ID — 이 이벤트 ID를 사용하여 Carbon Black Cloud 웹 콘솔에서 해당 이벤트를 찾을 수 있습니다
유형: 문자열
- name: process_terminated
description: 프로세스가 종료된 경우 True. Endpoint Standard 이벤트의 경우 항상 FALSE입니다
유형: boolean
- 이름: parent_cmdline
description: 부모 프로세스와 연관된 프로세스 명령줄
유형: 문자열
- name: process_duration
description: 프로세스 시작 이벤트와 프로세스 종료 이벤트 간의 시간 차이(초)
유형: float
- 이름: process_publisher
description: “name”과 “state”라는 두 키를 가진 객체들의 배열. 각 배열 항목은 엔드포인트가 보고한 프로세스의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- name: crossproc_api
description: 액터 프로세스가 호출한 운영 체제 API의 이름. 호출이 다른 프로세스를 대상으로 하는 경우 해당 프로세스는 crossproc_name으로 보고됩니다. 대상 프로세스가 없는 경우 이 필드는 시스템 API 호출을 나타냅니다.
유형: 문자열
- name: crossproc_action
description: 액터 프로세스가 호출한 운영 체제 API가 수행한 작업
유형: 문자열
- name: crossproc_guid
description: 교차 프로세스의 고유 ID
유형: 문자열
- name: crossproc_hash
description: crossproc 이벤트 대상의 암호화 해시 — MD5 및 SHA-256 해시의 두 요소 배열로 표현됩니다
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: crossproc_name
description: 장치의 로컬 파일 시스템에서 crossproc 이벤트 대상의 전체 경로
유형: 문자열
- name: crossproc_publisher
description: 각 배열 항목은 엔드포인트가 보고한 crossproc의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- name: crossproc_reputation
description: crossproc에 대한 Carbon Black Cloud 평판 문자열.
유형: 문자열
- name: crossproc_target
description: 프로세스가 교차 프로세스 이벤트의 대상이었던 경우 True; 프로세스가 액터였던 경우 False
유형: boolean
- name: filemod_hash
description: 수정된 파일의 암호화 해시 — MD5 및 SHA-256 해시의 두 요소 배열로 표현됩니다
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: filemod_name
description: 장치의 파일 시스템에서 수정되는 파일의 전체 경로
유형: 문자열
- name: fileless_scriptload_cmdline
설명: 액터 프로세스가 실행한 명령줄
유형: 문자열
- name: fileless_scriptload_cmdline_length
description: 파일리스(fileless) 환경에서 실행된 디오보퍼스케이티드(deobfuscated) 스크립트 내용의 문자 수
유형: 정수(빅인트)
- name: fileless_scriptload_hash
description: 프로세스가 파일리스 환경에서 실행한 디오보퍼스케이티드 스크립트 내용의 SHA-256 해시(들)
유형: json
- name: modload_count
description: 마지막 초기화 이후 센서가 보고한 modload 이벤트의 수
유형: 정수(빅인트)
- name: modload_effective_reputation
description: 로드된 모듈의 유효 평판; 이벤트 발생 시 센서에 의해 적용됨
유형: json
- name: modload_hash
description: 프로세스가 로드한 모듈의 MD5 또는 SHA-256 해시(들)
유형: json
- name: modload_md5
description: 프로세스가 로드한 모듈의 MD5 해시
유형: 문자열
지표:
- md5
- name: modload_name
description: 장치의 파일 시스템에서 로드되는 모듈의 전체 경로
유형: 문자열
- name: modload_publisher
description: 각 배열 항목은 엔드포인트가 보고한 moduleload의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- name: modload_sha256
description: 프로세스가 로드한 모듈의 SHA-256 해시
유형: 문자열
지표:
- sha256
- name: local_ip
description: 이 네트워크 연결의 “로컬” 쪽과 연관된 문자열 형식의 IPv4 또는 IPv6 주소
유형: 문자열
지표:
- ip
- name: local_port
description: 이 네트워크 연결의 “로컬” 쪽과 연관된 UDP/TCP 포트 번호
유형: int
- name: netconn_domain
description: 이 네트워크 연결의 “원격” 쪽과 연관된 DNS 이름
유형: 문자열
지표:
- hostname
- name: netconn_inbound
description: netconn이 인바운드인 경우 true로 설정
유형: boolean
- 이름: netconn_protocol
description: 문자열 형식의 UDP 또는 TCP 프로토콜 식별자
유형: 문자열
- name: method
description: 이 네트워크 연결의 “원격” 쪽과 연관된 문자열 형식의 IPv4 또는 IPv6 주소
유형: 문자열
지표:
- ip
- name: remote_port
description: 이 네트워크 연결의 “원격” 쪽과 연관된 UDP/TCP 포트 번호
유형: int
- name: netconn_proxy_domain
description: 이 네트워크 연결의 “프록시” 쪽과 연관된 DNS 이름
유형: 문자열
지표:
- hostname
- name: netconn_proxy_ip
description: 이 네트워크 연결의 “프록시” 쪽과 연관된 문자열 형식의 IPv4 또는 IPv6 주소
유형: 문자열
지표:
- ip
- name: netconn_proxy_port
description: 이 네트워크 연결의 “프록시” 쪽과 연관된 UDP/TCP 포트 번호
유형: int
- 이름: childproc_guid
description: 자식 프로세스의 고유 ID.
유형: 문자열
- name: childproc_hash
description: 자식 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)로 구성된 배열로 표현됩니다.
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- 이름: childproc_name
description: 장치의 로컬 파일 시스템에서 자식 프로세스의 대상 애플리케이션에 대한 전체 경로
유형: 문자열
- name: childproc_pid
description: 자식 프로세스의 OS가 보고한 프로세스 ID
유형: 문자열
- name: childproc_publisher
description: 각 배열 항목은 엔드포인트가 보고한 childproc의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: childproc 게시자의 이름
유형: 문자열
- name: state
description: childproc 게시자의 상태
유형: 문자열
- name: childproc_reputation
description: childproc에 대한 Carbon Black Cloud 평판 문자열
유형: 문자열
- 이름: childproc_username
description: 자식 프로세스가 시작된 사용자 컨텍스트와 연관된 사용자 이름
유형: 문자열
지표:
- username
- name: regmod_name
description: Windows 장치 레지스트리에서 수정되는 하이브를 포함한 레지스트리 키의 전체 경로
유형: 문자열
- name: scriptload_effective_reputation
description: 로드된 스크립트의 유효 평판; 이벤트 발생 시 센서에 의해 적용됨
유형: json
- name: scriptload_hash
description: 프로세스 시작 시 로드된 파일 시스템 스크립트 파일의 MD5 및/또는 SHA-256 해시(들)
유형: json
- name: scriptload_name
description: 프로세스 시작 시 로드된 스크립트 파일의 파일 시스템 경로
유형: 문자열
- name: scriptload_publisher
description: 각 배열 항목은 엔드포인트가 보고한 scriptload의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: scriptload 게시자의 이름
유형: 문자열
- name: state
description: scriptload 게시자의 상태
유형: 문자열
- name: scriptload_reputation
description: 로드된 스크립트의 평판; 센서가 이벤트를 클라우드로 전달한 후 즉, 이벤트가 Carbon Black Cloud에서 처리될 때 적용됩니다
유형: json
- name: process_loaded_script_hash
description: 프로세스 기간 동안 파일 시스템에서 로드된 모든 스크립트의 SHA-256 해시(들); fileless_scriptload_hash와 비교하십시오
유형: json
- name: process_loaded_script_name
description: 프로세스 기간 동안 파일 시스템에서 로드된 모든 스크립트 콘텐츠의 파일 시스템 경로들; fileless_scriptload_cmdline, scriptload_content와 비교하십시오
유형: 문자열
- name: scriptload_content
description: 프로세스 시작 시 파일 시스템에서 로드된 디오보퍼스케이티드된 스크립트 내용(문자열, 바이너리 또는 원시 실행 이미지); fileless_scriptload_cmdline, process_loaded_script_name과 비교하십시오
유형: 문자열
- name: scriptload_count
description: 마지막 초기화 이후 센서가 보고한 모든 프로세스에 대한 scriptload 이벤트 수
유형: 정수(빅인트)
- name: scriptload_content_length
description: 디오보퍼스케이티드된 파일 시스템 스크립트의 문자 수; fileless_scriptload_cmdline_length와 비교하십시오
유형: 정수(빅인트)
schema: CarbonBlack.WatchlistHit
description: CarbonBlack의 워치리스트 적중(Watchlist hits)
referenceURL: https://developer.carbonblack.com/reference/carbon-black-cloud/data-forwarder/schema/latest/watchlist.hit-1.0.0/
필드:
- name: alert_id
description: 이 워치리스트 적중이 연관된 경고(Alert)의 ID
유형: 문자열
- name: create_time
description: 워치리스트 적중이 생성된 시간(밀리초 단위의 ISO 8601 UTC 타임스탬프 형식)
유형: 타임스탬프
시간 형식:
- rfc3339
isEventTime: true
필수: 예
- 이름: device_external_ip
description: Carbon Black Cloud 관점에서 본 엔드포인트의 IP 주소. 네트워크 프록시 또는 NAT로 인해 device_internal_ip와 다를 수 있습니다. IPv4 또는 IPv6일 수 있습니다.
유형: 문자열
지표:
- ip
- 이름: device_id
description: 이 워치리스트 적중을 생성한 장치의 정수형 ID
유형: 문자열
필수: 예
- 이름: device_internal_ip
description: 센서가 보고한 엔드포인트의 IP 주소. IPv4 또는 IPv6일 수 있습니다.
유형: 문자열
지표:
- ip
- 이름: device_name
description: 이 워치리스트 적중을 생성한 장치의 호스트 이름
유형: 문자열
- 이름: device_os
설명: 장치의 운영 체제 유형(Windows/OSX/Linux)
유형: 문자열
- 이름: device_uem_id
description: VMware Workspace ONE Intelligence에서 할당한 통합 엔드포인트 관리 식별자(Workspace ONE 통합이 구성된 경우에만 채워짐).
유형: 문자열
- 이름: ioc_field
description: IOC 적중이 포함하는 필드
유형: 문자열
- 이름: ioc_hit
description: IOC 필드 값 또는 일치하는 IOC 쿼리
유형: 문자열
- 이름: ioc_id
description: 적중을 발생시킨 IOC의 ID
유형: 문자열
필수: 예
- name: schema
description: 스키마 버전. 현재 스키마 버전은 1입니다.
유형: 문자열
- 이름: org_key
description: 콘솔 인스턴스와 연관된 조직 키. 서로 다른 고객/조직의 경고를 구별하는 데 사용할 수 있습니다.
유형: 문자열
- 이름: parent_cmdline
description: 부모 프로세스가 실행한 명령줄
유형: 문자열
- 이름: parent_guid
설명: 부모 프로세스의 고유 ID.
유형: 문자열
- 이름: parent_hash
설명: 부모 프로세스를 뒷받침하는 실행 파일의 암호화 해시들로, 두 요소(MD5 및 SHA-256 해시)의 배열로 표현됨
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- 이름: parent_path
설명: 장치 파일 시스템에서 부모 프로세스를 뒷받침하는 실행 파일의 전체 경로
유형: 문자열
- 이름: parent_pid
설명: 부모 프로세스의 OS가 보고한 프로세스 ID
유형: 문자열
- name: parent_publisher
description: 각 배열 항목은 엔드포인트가 보고한 부모 프로세스의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- 이름: parent_reputation
설명: 부모 프로세스의 평판; 센서가 이벤트를 클라우드에 전달한 후 즉, 이벤트가 Carbon Black Cloud에서 처리될 때 적용됨
유형: 문자열
- 이름: parent_username
description: 부모 프로세스가 시작된 사용자 컨텍스트와 연관된 사용자 이름
유형: 문자열
지표:
- username
- 이름: process_cmdline
설명: 액터 프로세스가 실행한 명령줄
유형: 문자열
- 이름: process_guid
description: 프로세스의 고유 ID.
유형: 문자열
- name: process_hash
description: 이 프로세스를 뒷받침하는 실행 파일의 암호화 해시로, 두 요소(MD5 및 SHA-256 해시)로 구성된 배열로 표현됩니다.
유형: 배열
요소:
유형: 문자열
지표:
- md5
- sha256
- name: process_path
description: 장치의 파일 시스템에서 이 프로세스를 뒷받침하는 실행 파일의 전체 경로
유형: 문자열
- 이름: process_pid
description: 현재 프로세스의 OS가 보고한 프로세스 ID
유형: 문자열
- 이름: process_publisher
description: 각 배열 항목은 엔드포인트가 보고한 액터 프로세스의 서명 항목입니다
유형: 배열
요소:
유형: 객체
필드:
- 이름: name
description: 게시자 이름
유형: 문자열
- name: state
description: 게시자의 상태
유형: 문자열
- 이름: process_reputation
description: 액터 프로세스의 평판; 센서가 이벤트를 클라우드로 전달한 후 즉, 이벤트가 Carbon Black Cloud에서 처리될 때 적용됨
유형: 문자열
- 이름: process_username
description: 이 프로세스가 시작된 사용자 컨텍스트와 연관된 사용자 이름
유형: 문자열
지표:
- username
- 이름: report_id
description: 프로세스에서 적중을 탐지한 워치리스트 리포트의 ID(들)
유형: 문자열
- 이름: report_name
description: 프로세스에서 적중을 탐지한 워치리스트 리포트의 이름(들)
유형: 문자열
- 이름: report_tags
description: 프로세스에서 적중을 탐지한 리포트와 연관된 태그 목록
유형: 배열
요소:
유형: 문자열
- 이름: severity
description: 워치리스트 적중의 심각도
유형: int
- 이름: type
description: 워치리스트 적중 유형
유형: 문자열
- 이름: watchlists
description: IOC 적중 리포트를 포함하는 워치리스트 목록
유형: 배열
요소:
유형: 객체
필드:
- 이름: id
description: 워치리스트의 ID
유형: 문자열
- 이름: name
설명: 워치리스트의 이름
유형: 문자열
