# CrowdStrike Falcon Data Replicator ## 개요 Panther는 다음과의 통합을 통해 CrowdStrike 이벤트에서 직접 로그를 가져오는 것을 지원합니다. [CrowdStrike Falcon Data Replicator](https://www.crowdstrike.com/en-us/resources/data-sheets/falcon-data-replicator/) (FDR). CrowdStrike 로그를 Panther로 수집하려면, [FDR](https://dash.readme.com/to/crowdstrike-enterprise?redirect=%2Fcrowdstrike%2Fdocs%2Ffalcon-data-replicator-guide#section-overview-of-falcon-data-replicator)에 대한 활성 구독이 필요하며, CrowdStrike에서 활성화되어 있어야 합니다. Panther 버전 1.52부터, 모든 새 CrowdStrike 로그 소스 구성은 [CrowdStrike.FDREvent 스키마](#crowdstrike.fdrevent). {% hint style="info" %} 에 대한 정보는 Panther의 KB를 참조하세요. [CrowdStrike 디택션 및 쿼리(1.52 버전 이전에 생성됨)를 CrowdStrike.FDREvent 로그 유형에서 작동하도록 조정하는 방법](https://help.panther.com/Data_Sources/Supported_Logs/How_can_I_adapt_Panther_CrowdStrike_detections_and_queries_to_work_with_the_Crowdstrike.FDREvent_log_type%3F). {% endhint %} ### CrowdStrike Falcon Data Replicator 로그 비디오 안내 {% embed url="" %} ## CrowdStrike Falcon Data Replicator 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 다음에 대한 활성 구독이 있어야 합니다. [FDR](https://dash.readme.com/to/crowdstrike-enterprise?redirect=%2Fcrowdstrike%2Fdocs%2Ffalcon-data-replicator-guide#section-overview-of-falcon-data-replicator)에 대한 활성 구독이 필요하며, CrowdStrike에서 활성화되어 있어야 합니다. * 필요한 FDR의 최소 버전은 없습니다. ### 1단계: FDR API 키 생성 1. CrowdStrike Falcon 콘솔에서 인스턴스의 FDR 개요로 이동합니다. * 이 URL은 다음과 같아야 합니다. `falcon..crowdstrike.com/fdr` 2. 을 클릭한 다음 **피드 생성**.\ ![In the Falcon Data Replicator console, an arrow is drawn to a Create feed button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-eb4e881dce3e81ea6917785ce9a944384afa2a72%2Fimage%20\(9\).png?alt=media) 3. 을 클릭합니다 **피드 이름** 그리고 원하는 대로 추가 설정을 구성합니다.\ ![The title is "Create feed" and under "Enter feed name" there is a text field. In the bottom-right corner there is a Next button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-585e668d106b2a5cda416a709d5116c03c6b5090%2Fimage%20\(10\).png?alt=media) * 을 클릭한 다음 **다음**. 4. 검토 페이지에서 **피드 생성**. 5. 자격 증명이 표시됩니다. 다음 단계에서 필요하므로 이 값들을 복사하여 안전한 위치에 저장하세요.\ ![The top of the page reads "Create feed: Copy feed credentials" and various credential values, including Storage location, have been redacted.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c2799053a6f9b0f65e50415a77578a09edaa55d6%2Fimage%20\(12\).png?alt=media) ### 2단계: Panther에 새 CrowdStrike Falcon Data Replicator 소스 생성 1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그 소스**. 2. 을 클릭한 다음 **새로 만들기 를 클릭합니다.** 3. "CrowdStrike Falcon Data Replicator"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **설정 시작**. 5. 구성 페이지에서 양식을 작성합니다: * **이름**: 소스에 대한 설명이 포함된 이름을 입력합니다. 예: `CrowdStrike FDR`. * **SQS URL**: 이전에 복사한 CrowdStrike 관리 SQS 큐의 URL을 입력합니다. * **AWS 액세스 키**: 이전 단계에서 복사한 AWS 액세스 키를 입력합니다. * **AWS 비밀 키**: 이전 단계에서 복사한 AWS 비밀을 입력합니다.\\
The image shows the configuration fields for the CrowdStrike integration in the Panther Console. There are fields for Name, SQS URL, AWS Access Key, and AWS Secret Key.
6. 을 클릭한 다음 **설정**. 성공 화면으로 이동합니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 Packs](https://docs.panther.com/detections/panther-managed/packs). * 그 **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **예**. 이 옵션은 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지나 로그 소스에서 데이터가 더 이상 유입되지 않으면 알림을 받게 되기 때문입니다. 기간은 구성할 수 있으며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## Panther에서 관리하는 탐지 규칙 참조하세요 [Panther에서 관리하는](https://docs.panther.com/ko/detections/panther-managed) 다음의 CrowdStrike용 규칙 [panther-analysis GitHub 저장소에 있습니다](https://github.com/panther-labs/panther-analysis/tree/main/rules/crowdstrike_rules). ## 지원되는 로그 유형 ### Crowdstrike.FDREvent `Crowdstrike.FDREvent` 는 FDR에서 생성된 모든 이벤트 유형을 포함합니다. 모든 유형의 이벤트를 하나의 로그 유형에 포함하면 다음과 같은 이점이 있습니다. * 지속적인 수집 유연성을 제공하고 유지보수 노력을 줄입니다. * 예를 들어 CrowdStrike가 새로운 이벤트 유형을 추가하더라도, 기존 디택션 로직과 데이터 쿼리를 다시 작성할 필요가 없을 수 있습니다. * 모든 로그를 다음과 같은 자주 참조되는 필드로 보강하여 CrowdStrike 로그 쿼리를 단순화합니다. `Crowdstrike.FDREvent` 로그를 다음과 같은 자주 참조되는 필드로 보강하여 `event_simpleName`. * 각 FDR 이벤트 유형에서 추출되어 다음에 저장된 인디케이터를 활용하여 조사를 신속하게 진행합니다.`Crowdstrike.FDREvent`. #### FDR 이벤트 FDR 데이터 스트림은 다음 두 가지 유형의 이벤트를 전송합니다. * 기본 이벤트 * 이 이벤트에는 위협 헌팅, 데이터 아카이빙, 데이터 웨어하우징 및 SIEM 활동과 관련된 정보가 포함됩니다. * 다음에서 지원하는 기본 이벤트 유형의 전체 목록은 `Crowdstrike.FDREvent` 에서 확인할 수 있습니다. [CrowdStrike의 스트리밍 API 이벤트 문서](https://falcon.us-2.crowdstrike.com/documentation/62/streaming-api-event-dictionary). * 보조 이벤트 * 이 이벤트에는 추가 환경 정보가 포함됩니다. * 다음에서 지원하는 보조 이벤트 유형의 전체 목록은 `Crowdstrike.FDREvent` 에서 확인할 수 있습니다. [추가 환경 정보를 확인하기 위한 CrowdStrike의 데이터 문서](https://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator#data-for-seeing-additional-environment-infohttps://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator#data-for-seeing-additional-environment-info). #### 설정 방법 `fdr_event_type` 가 설정되는 방식 모든 FDR 이벤트가 동일한 필드를 포함하는 것은 아닙니다. 이를 수용하기 위해 `fdr_event_type` 의 값은 다음 규칙에 따라 동적으로 할당됩니다(우선순위 순). 1. 만약 `event_simpleName` 이 존재하면, `fdr_event_type` = `event_simpleName` 2. 만약 `event_type` 이 존재하면, `fdr_event_type` = `event.event_type` 3. 만약 `ExternalApiType` 이 존재하면, `fdr_event_type` = `event.ExternalApiType` * `Crowdstrike.DetectionSummary` 및 `Crowdstrike.ActivityAudit` 로그 유형이 이를 정의합니다 `ExternalApiType` 필드에 붙여넣습니다. 4. FDR 이벤트가 보조 이벤트인 경우, `fdr_event_type` = 에 설명된 이벤트 유형 [추가 환경 정보를 확인하기 위한 CrowdStrike의 문서](https://falcon.us-2.crowdstrike.com/login/?next=%2Fdocumentation%2F9%2Ffalcon-data-replicator#data-for-seeing-additional-environment-info). * 이 경우에도 결과 로그 유형은 여전히 `Crowdstrike.FDREvent`. 5. 위 조건에 해당하지 않으면, `fdr_event_type` = `unknown` 자세한 내용은 [CrowdStrike의 FDR 설정 문서](https://developer.crowdstrike.com/#data-for-seeing-additional-environment-info). ```yaml schema: Crowdstrike.FDREvent parser: native: name: Crowdstrike.FDREvent description: 모든 Crowdstrike Falcon Data Replicator 이벤트를 포함합니다 referenceURL: https://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator fields: - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormats: - unix isEventTime: true - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormats: - unix_ms - rfc3339 isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormats: - '%m/%d/%Y %H:%M:%S.%f' - unix isEventTime: true - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormats: - unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: event_simpleName description: 이벤트 이름 type: string - name: fdr_event_type description: CrowdStrike 이벤트 유형(Panther에서 채움) type: string - name: TargetProcessId description: 대상 프로세스의 고유 ID입니다. 이 필드는 거의 모든 이벤트에 존재하며, 현재 집중 중인 이벤트의 활동을 담당하는 프로세스의 ID를 나타냅니다. 예를 들어 InjectedThread 이벤트에서 스레드 인젝션을 수행한 프로세스의 TargetProcessId입니다. type: string - name: TargetProcessId_decimal description: 대상 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). 이 필드는 거의 모든 이벤트에 존재하며, 현재 집중 중인 이벤트의 활동을 담당하는 프로세스의 ID를 나타냅니다. 예를 들어 InjectedThread 이벤트에서 스레드 인젝션을 수행한 프로세스의 TargetProcessId입니다. type: string - name: FileName description: 파일 이름입니다. type: string - name: FilePath description: 파일 이름을 포함한 파일의 전체 경로입니다. type: string - 이름: event description: 이벤트의 전체 JSON 페이로드 type: json ``` ## 기존 로그 유형 Panther 버전 1.52 이전에 설정된 기존 CrowdStrike 로그 소스 구성은 다음의 기존 로그 유형을 사용하여 계속 작동하며, 이를 다음으로 전환할 때까지 유지됩니다. [Crowdstrike.FDREvent](#crowdstrike.fdrevent)입니다. 이 전환에 도움이 필요하면 Panther 지원 팀에 문의하세요. ### Crowdstrike.AIDMaster Falcon Insight가 제공하는 센서 및 호스트 정보입니다. 참조: [Falcon Data Replicator에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide) ```yaml schema: Crowdstrike.AIDMaster parser: native: name: Crowdstrike.AIDMaster description: Falcon Insight가 제공하는 센서 및 호스트 정보 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-aid-master fields: - name: Time required: true description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. 이는 시스템에서 로컬로 생성된 이벤트 시간(_timeevent)과 혼동해서는 안 됩니다. 이것은 클라우드 관점에서 본 이벤트의 타임스탬프입니다. 이 값은 모든 시간 형식으로 변환할 수 있으며 계산에 사용할 수 있습니다. type: timestamp timeFormat: unix isEventTime: true - name: AgentLoadFlags required: true description: '센서가 Windows 호스트의 부팅 과정 중 또는 이후에 로드되었는지 여부입니다. 예시 값: 0, 1' 유형: int - name: AgentLocalTime required: true description: epoch 형식의 센서 로컬 시간입니다. type: timestamp timeFormat: unix - name: AgentTimeOffset required: true description: epoch 형식의 마지막 재부팅 이후 경과 시간입니다. type: float - name: AgentVersion required: true description: 호스트에서 실행 중인 센서의 버전입니다. type: string - name: aid required: true description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: cid required: true description: 고객 ID입니다. type: string indicators: - trace_id - name: aip required: true description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: BiosManufacturer description: 호스트 BIOS의 제조업체입니다. type: string - name: BiosVersion description: 호스트 BIOS의 버전입니다. type: string - name: ChassisType description: SMBIOS 표준에 정의된 시스템 섀시 유형입니다. type: string - name: City description: 시스템의 원산지 도시입니다. type: string - name: Country description: 시스템의 원산지 국가입니다. type: string - name: Continent description: CrowdStrike 클라우드에서 보이는 센서의 대륙입니다. type: string - name: ComputerName description: 호스트 이름입니다. type: string - name: ConfigBuild description: ConfigBuild 필드 type: string - name: ConfigIDBuild description: ConfigID의 일부로 사용된 빌드 번호입니다. type: string - name: event_platform description: '센서가 실행 중인 플랫폼입니다. 예시 값: ''Win'', ''Lin'', ''Mac''.' type: string - name: FalconGroupingTags description: FalconGroupingTags 필드 type: string - name: FirstSeen description: CrowdStrike 클라우드에서 센서가 처음 발견된 시각의 epoch 형식입니다. type: timestamp timeFormat: unix - name: MachineDomain description: 호스트가 현재 가입되어 있는 Windows 도메인 이름입니다. type: string - name: OU description: 센서가 확인한 호스트의 조직 단위입니다(시스템 관리자 정의). type: string - name: PointerSize description: '프로세서 아키텍처(10진수, 16진수 형식 아님): 32비트는 ''4'', 64비트는 ''8'', 알 수 없으면 ''none''.' type: string - name: ProductType description: '제품 유형(10진수, 16진수 형식 아님)입니다. 예시 값: ''1''(워크스테이션), ''2''(도메인 컨트롤러), ''3''(서버).' type: string - name: SensorGroupingTags description: SensorGroupingTags 필드 type: string - name: ServicePackMajor description: 'OS 서비스 팩의 주 버전 번호(10진수, 16진수 형식 아님)입니다.' type: string - name: SiteName description: 호스트가 가입된 도메인의 사이트 이름입니다(시스템 관리자 정의). type: string - name: SystemManufacturer description: 호스트의 시스템 제조업체입니다. type: string - name: SystemProductName description: 호스트의 제품 이름입니다. type: string - name: Timezone description: CrowdStrike 클라우드에서 보이는 센서의 시간대입니다. type: string - name: Version description: 호스트의 시스템 버전입니다. type: string - name: HostHiddenStatus description: 호스트가 표시되는지 여부입니다. type: string ``` ### Crowdstrike.ActivityAudit 활동 감사 정보를 포함합니다. 참조: [스트리밍 API 이벤트 인증에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-authentication) ```yaml schema: Crowdstrike.ActivityAudit parser: native: name: Crowdstrike.ActivityAudit description: 활동 감사 정보를 포함합니다 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-authentication fields: - name: AgentIdString description: 에이전트 ID type: string - name: cid description: 고객 ID. CrowdStrike 클라우드의 32자(16진수) 식별자. type: string indicators: - trace_id - name: ExternalApiType required: true description: 외부 API 유형 type: string - name: Nonce description: nonce type: bigint - name: ServiceName description: 서비스 이름 type: string - name: UserId description: 작업을 수행한 사용자, 예: 새 사용자 계정을 생성하는 작업을 수행한 사람. type: string indicators: - 이메일 - name: UserIp description: 작업을 수행하는 사용자의 IP 주소. type: string indicators: - ip - name: CustomerIdString description: 각 고객에게 CS가 할당한 고유 ID. type: string - name: EventType required: true description: Event_ExternalApiEvent가 됩니다 type: string - name: OperationName description: 작업 이름 type: string - name: UTCTimestamp description: 타임스탬프 type: timestamp timeFormat: unix_ms - name: timestamp required: true description: 타임스탬프 type: timestamp timeFormat: rfc3339 isEventTime: true - name: AuditKeyValues description: AuditKeyValues type: array element: type: object fields: - name: Key description: 키 type: string - name: ValueString description: 문자열로 된 값 type: string - name: eid description: EID type: bigint - name: Success description: 작업이 성공했는지 여부 type: boolean - name: EventUUID description: EventUUID type: string ``` ### Crowdstrike.AppInfo Falcon Discover에서 제공한 감지된 애플리케이션 정보. 참조: [CrowdStrike의 Falcon Data Replicator AppInfo 관련 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-appinfo) ```yaml schema: Crowdstrike.AppInfo parser: native: name: Crowdstrike.AppInfo description: Falcon Discover에서 제공한 감지된 애플리케이션 정보 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-appinfo fields: - name: _time required: true description: 에포크 형식의 호스트 로컬 시간. type: timestamp timeFormat: unix isEventTime: true - name: cid required: true description: 고객 ID입니다. type: string indicators: - trace_id - name: CompanyName required: true description: 회사 이름. type: string - name: detectioncount required: true description: 탐지 수. type: bigint - name: FileName required: true description: 파일 이름입니다. type: string - name: SHA256HashData required: true description: SHA-256 기반 파일 해시. type: string indicators: - sha256 - name: FileDescription description: 파일 설명, 있는 경우. type: string - name: FileVersion description: 파일 버전. type: string - 이름: ProductName 설명: 제품의 이름입니다. type: string - 이름: ProductVersion 설명: 제품의 버전입니다. type: string ``` ### Crowdstrike.CriticalFile 이 이벤트는 중요 파일에 접근하거나 수정할 때마다 생성됩니다. 참조: [CriticalFile에 대한 CrowdStrike 설명서.](https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary) ```yaml 스키마: Crowdstrike.CriticalFile parser: native: 이름: Crowdstrike.CriticalFile 설명: 이 이벤트는 중요 파일에 접근하거나 수정할 때마다 생성됩니다. referenceURL: https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - 이름: EffectiveTransmissionClass 설명: 유효한 전송 클래스 type: bigint - 이름: GID 설명: 사용자 그룹 ID type: bigint - 이름: TargetFileName 설명: 접근된 파일 type: string - 이름: UID 설명: 사용자 ID type: bigint - 이름: UnixMode 설명: Unix 파일 권한 type: string - 이름: FileIdentifier 설명: 파일 식별자 type: string - 이름: USN 설명: USN type: bigint ``` ### Crowdstrike.DNSRequest 이 이벤트는 호스트에서 시도된 모든 DNS 이름 확인에 대해 생성됩니다. 참조: [DNSRequest에 대한 CrowdStrike 설명서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-DnsRequest) ```yaml 스키마: Crowdstrike.DNSRequest parser: native: 이름: Crowdstrike.DNSRequest 설명: 이 이벤트는 호스트에서 시도된 모든 DNS 이름 확인에 대해 생성됩니다. fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - 이름: EffectiveTransmissionClass 설명: 유효한 전송 클래스 type: bigint - 이름: DomainName 설명: 요청된 도메인 이름 type: string indicators: - 도메인 - 이름: InterfaceIndex 설명: 네트워크 인터페이스 인덱스(Windows 전용) type: bigint - 이름: DualRequest 설명: 이벤트가 이중 요청인지 여부(Windows 전용) type: bigint - 이름: DnsRequestCount 설명: DNS 요청 수(Windows 전용) type: bigint - 이름: AppIdentifier 설명: 요청을 수행한 앱의 식별자(Android, iOS) type: string - 이름: IpAddress 설명: 장치 IP 주소(Android, iOS) type: string indicators: - ip - 이름: RequestType 설명: DNS 요청 유형 type: string ``` ### Crowdstrike.DetectionSummary 디택션 Summary 이벤트에는 여러 악성 행위가 감지될 때 여러 디택션이 포함됩니다. 참조: [Streaming API 디택션 Summary에 대한 CrowdStrike 설명서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-detection-summary) ```yaml 스키마: Crowdstrike.DetectionSummary parser: native: 이름: Crowdstrike.DetectionSummary 설명: 디택션 요약 이벤트는 여러 악성 행위가 디택션될 때 여러 디택션을 포함합니다. referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-디택션-summary fields: - name: cid description: 고객 ID type: string indicators: - trace_id - 이름: 기법 설명: 동작과 관련된 기술의 이름. type: string - 이름: ProcessId 설명: 프로세스 ID. type: bigint - name: AgentIdString 설명: 에이전트 ID. type: string - 이름: DetectName 설명: '참고: DetectName 필드는 MITRE의 ATT&CK에 맞추면서 Objective, Tactic, Technique으로 대체되었습니다. DetectName은 2019년 1월 16일에 사용 중단될 예정입니다 - 자세한 정보' type: string - name: ComputerName 설명: 호스트 이름. type: string - 이름: ProcessStartTime 설명: 프로세스가 시작된 시점의 타임스탬프. type: timestamp timeFormat: unix - 이름: GrandparentCommandLine 설명: 유효한 전송 클래스 type: string - 이름: MACAddress 설명: MAC 주소 type: string - 이름: CommandLine 설명: 프로세스의 명령줄 실행. type: string - 이름: Objective 설명: 동작과 관련된 목표의 이름. type: string - name: Nonce 설명: 논스. type: bigint - 이름: SHA256String 설명: SHA256 해시. type: string indicators: - sha256 - name: ExternalApiType required: true 설명: 외부 API의 유형 type: string - 이름: PatternDispositionValue 설명: 패턴 배치 값. type: bigint - 이름: DetectId description: '디택션의 디텍션 ID입니다. Detection Resolution 및 ThreatGraph와 같은 다른 API에서 사용할 수 있습니다. 예: ldt:05c0273d48f2432271b2f1d1b49264b5:4297692922' type: string - 이름: 심각도 설명: 심각도 type: bigint - name: PatternDispositionDescription 설명: 동작에 대해 취해진 조치와 관련된 패턴의 설명. type: string - 이름: SeverityName 설명: 심각도 이름. type: string - 이름: MD5String 설명: MD5 해시 type: string indicators: - md5 - name: EventUUID 설명: 이벤트 UUID type: string - 이름: UserName 설명: 사용자 이름. type: string indicators: - username - name: FilePath 설명: 파일 이름을 제외한 파일의 전체 경로. type: string - name: timestamp description: 타임스탬프 type: timestamp timeFormat: rfc3339 isEventTime: true - 이름: ParentCommandLine 설명: 상위 프로세스의 명령줄. type: string - 이름: DetectDescription 설명: '공격자가 환경에서 무엇을 하려고 했는지에 대한 설명과 조사를 시작하는 방법에 대한 안내입니다. 참고: 이러한 설명은 견고하고 유용한 콘솔 경험을 제공하지만, 값이 정기적으로 업데이트되고 추가되므로 이 필드를 워크플로를 구동하는 데 사용하지 않기를 권장합니다.' type: string - 이름: LocalIP 설명: 로컬 IP. type: string indicators: - ip - 이름: ProcessEndTime 설명: 프로세스가 종료된 시점의 UNIX EPOCH 시간 타임스탬프. type: timestamp timeFormat: unix - 이름: SHA1String 설명: SHA1 해시 type: string indicators: - sha1 - 이름: OriginSourceIpAddress 설명: OriginSourceIpAddress. type: string indicators: - ip - 이름: GrandparentImageFileName 설명: GrandparentImageFileName type: string - name: MachineDomain 설명: 현재 머신이 조인되어 있는 Windows 도메인 이름. type: string - 이름: ParentImageFileName 설명: ParentImageFileName type: string - 이름: FalconHostLink 설명: Falcon 콘솔에서 디택션 이벤트를 보는 링크. type: string - name: UTCTimestamp 설명: UTC 타임스탬프. type: timestamp timeFormat: unix_ms - name: FileName 설명: 파일이 디택션에 포함된 경우 파일 이름. type: string - 이름: ParentProcessId 설명: 부모 프로세스 ID. type: bigint - name: EventType required: true 설명: EventType. type: string - name: CustomerIdString description: 각 고객에게 CS가 할당한 고유 ID. type: string - 이름: Tactic 설명: 동작과 연관된 전술의 이름. type: string - 이름: SensorId 설명: Falcon 센서 에이전트 ID. type: string - name: eid 설명: EID. type: bigint - 이름: PatternDispositionFlags 설명: 패턴 처리 플래그 type: json ``` ### Crowdstrike.GroupIdentity GID, AuthenticationId, UserPrincipal, UserSid 간의 센서 부팅 시 고유 매핑을 제공합니다. Mac 플랫폼에서만 사용할 수 있습니다. 참조: [그룹 ID 이벤트에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-GroupIdentity) ```yaml schema: Crowdstrike.GroupIdentity parser: native: name: Crowdstrike.GroupIdentity description: GID, AuthenticationId, UserPrincipal, UserSid 간의 센서 부팅 시 고유 매핑을 제공합니다. Mac 플랫폼에서만 사용할 수 있습니다. referenceURL: https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-GroupIdentity fields: - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: GID required: true 설명: 사용자 그룹 ID. type: bigint - 이름: AuthenticationUuid required: true 설명: AuthenticationUUID 필드 type: string - 이름: AuthenticationUuidAsString required: true 설명: AuthenticationUUIDAsString 필드 type: string - 이름: AuthenticationId required: true 설명: '값: INVALID_LUID (0), NETWORK_SERVICE (996), LOCAL_SERVICE (997), SYSTEM (999), RESERVED_LUID_MAX (1000)' 유형: int - 이름: UserPrincipal required: true 설명: UserPrincipal 필드 type: string - 이름: UserSid required: true 설명: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. type: string ``` ### Crowdstrike.ManagedAssets Falcon Insight에서 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/이더넷 인터페이스, 게이트웨이 주소, MAC 주소). 참조: [Falcon Data Replicator Managed Assets에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-managedassets) ```yaml schema: Crowdstrike.ManagedAssets parser: native: name: Crowdstrike.ManagedAssets description: 'Falcon Insight에서 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/이더넷 인터페이스, 게이트웨이 주소, MAC 주소)' referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-managedassets fields: - name: _time required: true description: 에포크 형식의 호스트 로컬 시간. type: timestamp timeFormat: unix isEventTime: true - name: aid required: true description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: cid required: true description: 고객 ID입니다. type: string indicators: - trace_id - 이름: GatewayIP 설명: 센서가 설치된 시스템의 게이트웨이. type: string indicators: - ip - 이름: GatewayMAC 설명: 게이트웨이의 MAC 주소. type: string - name: MACPrefix required: true description: 조직 고유의 식별자. type: string - 이름: MAC required: true description: 시스템의 MAC 주소. type: string - name: LocalAddressIP4 required: true description: IPv4 형식의 장치 로컬 IP 주소. type: string indicators: - ip - name: InterfaceAlias description: IP 인터페이스의 사용자 친화적 이름. type: string - name: InterfaceDescription description: IP 인터페이스에 사용되는 네트워크 어댑터. type: string ``` ### Crowdstrike.NetworkConnect 이 이벤트는 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성됩니다. 참조: [NetworkConnect에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-NetworkConnectIP4) ```yaml schema: Crowdstrike.NetworkConnect parser: native: name: Crowdstrike.NetworkConnect description: 이 이벤트는 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성됩니다 fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: LocalAddressIP4 description: 연결의 로컬 IPv4 주소 type: string indicators: - ip - name: LocalAddressIP6 description: 연결의 로컬 IPv6 주소 type: string indicators: - ip - name: RemoteAddressIP4 description: 연결의 원격 IPv4 주소 type: string indicators: - ip - name: RemoteAddressIP6 description: 연결의 원격 IPv6 주소 type: string indicators: - ip - name: ConnectionFlags description: 연결 플래그 (PROMISCUOUS_MODE_SIO_RCVALL = 2, RAW_SOCKET = 1, PROMISCUOUS_MODE_SIO_RCVALL_IGMPMCAST = 4, PROMISCUOUS_MODE_SIO_RCVALL_MCAST = 8) 유형: int - name: Protocol description: IP 프로토콜 (ICMP = 1, TCP = 6, UDP = 17) 유형: int - name: LocalPort description: 연결의 로컬 포트 유형: int - name: RemotePort description: 연결의 원격 포트 유형: int - name: ConnectionDirection description: 연결의 방향 (OUTBOUND = 0, INBOUND = 1, NEITHER = 2, BOTH = 3) 유형: int - name: IcmpType description: ICMP 유형 (iOS에서는 해당 없음) type: string - name: IcmpCode description: ICMP 코드 (iOS에서는 해당 없음) type: string ``` ### Crowdstrike.NetworkListen 이 이벤트는 애플리케이션이 수신 대기 모드에서 소켓을 설정할 때 생성됩니다. 참조: [NetworkListen에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-NetworkListenIP4) ```yaml schema: Crowdstrike.NetworkListen parser: native: name: Crowdstrike.NetworkListen description: 이 이벤트는 애플리케이션이 수신 대기 모드에서 소켓을 설정할 때 생성됩니다 fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: LocalAddressIP4 description: 연결의 로컬 IPv4 주소 type: string indicators: - ip - name: LocalAddressIP6 description: 연결의 로컬 IPv6 주소 type: string indicators: - ip - name: RemoteAddressIP4 description: 연결의 원격 IPv4 주소 type: string indicators: - ip - name: RemoteAddressIP6 description: 연결의 원격 IPv6 주소 type: string indicators: - ip - name: ConnectionFlags description: 연결 플래그 (PROMISCUOUS_MODE_SIO_RCVALL = 2, RAW_SOCKET = 1, PROMISCUOUS_MODE_SIO_RCVALL_IGMPMCAST = 4, PROMISCUOUS_MODE_SIO_RCVALL_MCAST = 8) 유형: int - name: Protocol description: IP 프로토콜 (ICMP = 1, TCP = 6, UDP = 17) 유형: int - name: LocalPort description: 연결의 로컬 포트 유형: int - name: RemotePort description: 연결의 원격 포트 유형: int - name: ConnectionDirection description: 연결의 방향 (OUTBOUND = 0, INBOUND = 1, NEITHER = 2, BOTH = 3) 유형: int ``` ### Crowdstrike.NotManagedAssets Falcon Insight가 제공한 관리되지 않는 호스트 검색 정보. 참조: [Falcon Data Replicator Notmanaged Assets에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-notmanaged) ```yaml schema: Crowdstrike.NotManagedAssets parser: native: name: Crowdstrike.NotManagedAssets description: Falcon Insight가 제공한 관리되지 않는 호스트 검색 정보 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-notmanaged fields: - name: _time required: true description: 에포크 형식의 호스트 로컬 시간. type: timestamp timeFormat: unix isEventTime: true - name: aip required: true description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: aipCount required: true description: 외부에 노출된 IP 주소 수. type: bigint - name: localipCount required: true description: 로컬 IP 주소 수. type: bigint - name: cid required: true description: 고객 ID입니다. type: string indicators: - trace_id - name: CurrentLocalIP required: true description: IPv4 네트워크 검색 프로토콜을 통해 찾은 컴퓨터의 현재 로컬 IP 주소. type: string indicators: - ip - name: subnet description: 시스템의 서브넷. type: string - 이름: MAC required: true description: 시스템의 MAC 주소. type: string - name: MACPrefix required: true description: 조직 고유의 식별자. type: string - name: discovererCount required: true description: 이 시스템을 발견한 aid의 수. type: bigint - name: discoverer_aid description: 이 시스템을 발견한 에이전트 ID. type: array element: type: string - name: discoverer_devicetype description: 이 시스템을 발견한 장치 유형('VM' 또는 'Server'). type: string - name: FirstDiscoveredDate description: 시스템이 처음 발견된 시각(에포크 형식). type: timestamp timeFormat: unix - name: LastDiscoveredBy description: 이 장치를 가장 최근에 발견한 호스트의 호스트 ID. type: string - name: LocalAddressIP4 description: IPv4 형식의 장치 로컬 IP 주소. type: string indicators: - ip - name: ComputerName description: 이웃을 발견한 호스트의 이름. type: string - name: NeighborName description: 이웃의 호스트 이름. type: string ``` ### Crowdstrike.ProcessRollup2 이 이벤트는 일반적으로 'PR2'라고 줄여 부르며, 호스트에서 실행 중이거나 실행이 완료된 프로세스에 대해 생성되고 해당 프로세스에 대한 정보를 포함합니다. 참조: [ProcessRollup2에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-ProcessRollup2) ```yaml schema: Crowdstrike.ProcessRollup2 parser: native: name: Crowdstrike.ProcessRollup2 description: 이 이벤트는 일반적으로 'PR2'라고 줄여 부르며, 호스트에서 실행 중이거나 실행이 완료된 프로세스에 대해 생성되고 해당 프로세스에 대한 정보를 포함합니다. fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: TargetProcessId description: 대상 프로세스의 고유 ID type: string - name: SourceProcessId description: 생성 프로세스의 고유 ID. type: string - name: SourceThreadId description: 생성 프로세스의 스레드 고유 ID. type: string - 이름: ParentProcessId description: 부모 프로세스의 고유 ID. type: string - name: ImageFileName description: 실행 파일(PE) 파일의 전체 경로. 이 필드의 맥락이 의미를 더 잘 보여줍니다. ProcessRollup2 이벤트의 경우, 생성된 프로세스의 मुख्य 실행 파일의 전체 경로입니다 type: string - 이름: CommandLine description: 이 프로세스를 생성하는 데 사용된 명령줄. 일부 상황에서는 비어 있을 수 있습니다 type: string - name: RawProcessId description: 운영 체제의 내부 PID입니다. 매칭에는 고유한 프로세스 식별자를 보장하는 UPID 필드를 사용하세요 type: bigint - 이름: ProcessStartTime description: 프로세스가 시작된 시간(UNIX 에포크 시간, 10진수, 16진수 아님). type: timestamp timeFormat: unix - 이름: ProcessEndTime description: 프로세스가 종료된 시간(10진수, 16진수 아님). type: timestamp timeFormat: unix - name: SHA256HashData description: 파일의 SHA256 해시. 대부분의 경우 ImageFileName 필드가 가리키는 파일의 해시입니다. type: string indicators: - sha256 - name: SHA1HashData description: 파일의 SHA1 해시 type: string indicators: - sha1 - name: MD5HashData description: 파일의 MD5 해시 type: string indicators: - md5 - name: ImageSubsystem description: 이미지 파일 이름의 서브시스템(Windows 전용) type: string - 이름: UserSid description: 명령을 실행한 사용자의 User Security Identifier(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. (Windows 전용) type: string - 이름: UserName description: 사용자 이름 필드 type: string indicators: - username - 이름: AuthenticationId description: 인증 식별자(Windows 전용) type: string - name: IntegrityLevel description: 무결성 수준(Windows 전용) type: string - name: ProcessCreateFlags description: 원래 프로세스 생성에서 캡처된 플래그입니다. 비트필드입니다. (Windows 전용) type: string - name: ProcessParameterFlags description: 'NtCreateUserProcess' API의 플래그입니다. 이 비트필드에는 DLL 리디렉션 활성화 여부와 같은 데이터가 포함됩니다. (Windows 전용) type: string - name: ProcessSxsFlags description: Windows Subsystem Process와의 통신 경로의 플래그입니다. 이 비트필드에는 매니페스트가 있는지, 로컬인지 여부와 같은 데이터가 포함됩니다. (Windows 전용) type: string - name: ParentAuthenticationId description: 부모 프로세스의 인증 식별자(Windows 전용) type: string - name: TokenType description: 토큰 유형(Windows 전용) type: string - name: SessionId description: 세션 ID(Windows 전용) type: string - name: WindowFlags description: 창 플래그(Windows 전용) type: string - name: ShowWindowFlags description: 창 표시 여부 플래그(Windows 전용) type: string - name: WindowStartingPositionHorizontal description: 프로세스 창의 시작 가로 위치(Windows 전용) type: bigint - name: WindowStartingPositionVertical description: 프로세스 창의 시작 세로 위치(Windows 전용) type: bigint - name: WindowStartingWidth description: 프로세스 창의 시작 너비(Windows 전용) type: bigint - name: WindowStartingHeight description: 프로세스 창의 시작 높이(Windows 전용) type: bigint - name: Desktop description: 프로세스 창의 데스크톱(Windows 전용) type: string - name: WindowStation description: 프로세스 창 스테이션(Windows 전용) type: string - name: WindowTitle description: 프로세스 창의 제목(WindowsOnly) type: string - name: LinkName description: 링크 이름(Windows 전용) type: string - name: ApplicationUserModelId description: 애플리케이션 사용자 모델 ID(WindowsOnly) type: string - name: CallStackModuleNames description: 호출 스택 모듈 이름(Windows 전용) type: string - name: CallStackModuleNamesVersion description: 호출 스택 모듈 이름 버전(Windows 전용) type: string - name: RpcClientProcessId description: RPC 클라이언트 프로세스 ID(Windows 전용) type: string - name: CsaProcessDataCollectionInstanceId description: CSA 프로세스 데이터 수집 인스턴스 ID(Windows 전용) type: string - name: OriginalCommandLine description: 이 프로세스를 생성하는 데 사용된 원래 명령줄(Windows 전용) type: string - name: CreateProcessType description: 프로세스 생성 유형(Windows 전용) type: string - name: ZoneIdentifier description: 영역 식별자(Windows 전용) type: string - name: HostUrl description: 호스트 URL(Windows 전용) type: string - name: ReferrerUrl description: 리퍼러 URL(Windows 전용) type: string indicators: - url - name: GrandParent description: 증조부모 프로세스(Windows 전용) type: string - name: BaseFileName description: 기본 파일 이름(Windows 전용) type: string - name: Tags description: 쉼표로 구분된 프로세스 태그 목록(Windows, Mac) type: string - name: ParentBaseFileName description: 부모 프로세스의 기본 파일 이름(Windows, Mac) type: string - name: ProcessGroupId description: 프로세스 그룹 ID(Windows, Mac) type: bigint - 이름: UID description: UID(Mac, Linux, Android) type: bigint - name: RUID description: RUID(Mac, Linux, Android) type: bigint - name: SVUID description: SVUID(Mac, Linux, Android) type: bigint - 이름: GID description: GID(Mac, Linux, Android) type: bigint - name: RGID description: RGID(Mac, Linux, Android) type: bigint - name: SVGID description: SVGID(Mac, Linux, Android) type: bigint - name: SessionProcessId description: 세션 프로세스 ID(Mac, Linux) type: bigint - name: MachOSubType description: MachOSubType(Mac 전용) type: string - name: TtyName description: TTY 이름(Linux 전용) type: string - name: OciContainerId description: OCI 컨테이너 ID(Linux 전용) type: string - name: SourceAndroidComponentName description: 원본 컴포넌트 이름(Android 전용) type: string - name: TargetAndroidComponentName description: 대상 컴포넌트 이름(Android 전용) type: string - name: TargetAndroidComponentType description: 대상 컴포넌트 유형(Android 전용) type: string ``` ### Crowdstrike.ProcessRollup2Stats 프로세스가 실행을 마치면 센서는 ProcessRollup2 이벤트를 생성하여 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트를 전송하므로(대략 20배 더 많음), 이러한 호스트의 모든 프로세스에 대해 이벤트를 보내는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 다음 10분 후에 SHA256 해시와 지난 10분 동안 해시가 실행된 횟수를 포함한 ProcessRollup2Stats 이벤트를 전송합니다. 참조: [ProcessRollup2Stats에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-ProcessRollup2Stats) ```yaml schema: Crowdstrike.ProcessRollup2Stats parser: native: name: Crowdstrike.ProcessRollup2Stats description: 프로세스가 실행을 마치면 센서는 ProcessRollup2 이벤트를 생성하여 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트를 전송하므로(대략 20배 더 많음), 이러한 호스트의 모든 프로세스에 대해 이벤트를 보내는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 다음 10분 후에 SHA256 해시와 지난 10분 동안 해시가 실행된 횟수를 포함한 ProcessRollup2Stats 이벤트를 전송합니다. fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - 이름: EffectiveTransmissionClass 설명: 유효한 전송 클래스 type: bigint - name: SHA256HashData description: 파일의 SHA256 해시. 대부분의 경우 ImageFileName 필드가 가리키는 파일의 해시입니다. type: string indicators: - sha256 - 이름: CommandLine description: 이 프로세스를 생성하는 데 사용된 명령줄. 일부 상황에서는 비어 있을 수 있습니다 type: string - 이름: UID description: UID(Mac) type: bigint - name: ProcessCount description: 프로세스 수. type: bigint - name: Timeout description: 시간 초과 type: bigint - 이름: ParentProcessId description: 부모 프로세스의 고유 ID. type: bigint - name: SuppressType description: '값: GLOBAL (0) PARENT (1) UID (2) UIDNORMALIZED (3) PREFILTER (4) TIMEOUT_CHECK (5)' type: bigint - name: BoundedCount description: 제한된 개수 type: bigint ``` ### Crowdstrike.SyntheticProcessRollup2 프로세스 롤업(PR2) 이벤트의 합성 버전. 참조: [SyntheticProcessRollup2에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-SyntheticProcessRollup2) ```yaml schema: Crowdstrike.SyntheticProcessRollup2 parser: native: name: Crowdstrike.SyntheticProcessRollup2 description: 프로세스 롤업(PR2) 이벤트의 합성 버전 fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: TargetProcessId description: 대상 프로세스의 고유 ID type: string - name: SourceProcessId description: 생성 프로세스의 고유 ID. type: string - name: SourceThreadId description: 생성 프로세스의 스레드 고유 ID. type: string - 이름: ParentProcessId description: 부모 프로세스의 고유 ID. type: string - name: ImageFileName description: 실행 파일(PE) 파일의 전체 경로. 이 필드의 맥락이 의미를 더 잘 보여줍니다. ProcessRollup2 이벤트의 경우, 생성된 프로세스의 मुख्य 실행 파일의 전체 경로입니다 type: string - 이름: CommandLine description: 이 프로세스를 생성하는 데 사용된 명령줄. 일부 상황에서는 비어 있을 수 있습니다 type: string - name: RawProcessId description: 운영 체제의 내부 PID입니다. 매칭에는 고유한 프로세스 식별자를 보장하는 UPID 필드를 사용하세요 type: String - 이름: ProcessStartTime description: 프로세스가 시작된 시간(UNIX 에포크 시간, 10진수, 16진수 아님). type: timestamp timeFormat: unix - 이름: ProcessEndTime description: 프로세스가 종료된 시간(10진수, 16진수 아님). type: timestamp timeFormat: unix - name: SHA256HashData description: 파일의 SHA256 해시. 대부분의 경우 ImageFileName 필드가 가리키는 파일의 해시입니다. type: string indicators: - sha256 - name: SHA1HashData description: 파일의 SHA1 해시 type: string indicators: - sha1 - name: MD5HashData description: 파일의 MD5 해시 type: string indicators: - md5 - name: SyntheticPR2Flags description: PR2 플래그 (PROCESS_RUNDOWN = 0, PROCESS_HOLLOWED = 1, IMAGEHASH_FAILURE = 4, FILE_PATH_EXCLUDED = 8, PROCESS_FORK_FOLDING = 16, APP_MONITORING = 2) 유형: int - name: ImageSubsystem description: 이미지 파일 이름의 서브시스템(Windows 전용) type: string - 이름: UserSid description: 명령을 실행한 사용자의 User Security Identifier(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. (Windows 전용) type: string - 이름: AuthenticationId description: 인증 식별자(Windows 전용) type: string - name: IntegrityLevel description: 무결성 수준(Windows 전용) type: string - name: ProcessGroupId description: 프로세스 그룹 ID(Mac) type: String - 이름: UID description: UID(Mac) type: String - name: RUID description: RUID(Mac) type: String - name: SVUID description: SVUID(Mac) type: String - 이름: GID description: GID(Mac) type: String - name: RGID description: RGID(Mac) type: String - name: SVGID description: SVGID(Mac) type: String - name: SessionProcessId description: 세션 프로세스 ID(Mac) type: String ``` ### Crowdstrike.Unknown 이 스키마에는 등록된 어떤 유형에도 일치하지 않는 모든 Crowdstrike 이벤트가 포함됩니다. 참조: [API 이벤트 유형에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events) ```yaml schema: Crowdstrike.Unknown parser: native: name: Crowdstrike.Unknown description: 이 표에는 등록된 어떤 유형에도 일치하지 않는 모든 Crowdstrike 이벤트가 포함됩니다 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events fields: - name: event_simpleName description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: unknown_payload required: true description: 이벤트의 전체 JSON 페이로드 type: json ``` ### Crowdstrike.UserIdentity UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 이 이벤트는 사용자 이름과 같은 사용자와 관련된 중요한 보안 관련 특성을 CrowdStrike 클라우드에 전달합니다. 일반적으로 보안 주체당 한 번 생성되므로 그 자체만으로는 의심스러운 활동의 징후가 아닙니다. Mac 및 Windows 플랫폼에서 사용 가능합니다. 참조: [User Identity 이벤트에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-UserIdentity) ```yaml schema: Crowdstrike.UserIdentity parser: native: name: Crowdstrike.UserIdentity description: UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 이 이벤트는 사용자 이름과 같은 사용자와 관련된 중요한 보안 관련 특성을 CrowdStrike 클라우드에 전달합니다. 일반적으로 보안 주체당 한 번 생성되므로 그 자체만으로는 의심스러운 활동의 징후가 아닙니다. Mac 및 Windows 플랫폼에서 사용 가능합니다. referenceURL: https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-UserIdentity fields: - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: AuthenticationId required: true 설명: '값: INVALID_LUID (0), NETWORK_SERVICE (996), LOCAL_SERVICE (997), SYSTEM (999), RESERVED_LUID_MAX (1000)' 유형: int - 이름: UserPrincipal required: true 설명: UserPrincipal 필드 type: string - 이름: UserSid required: true 설명: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. type: string - 이름: AuthenticationUuid 설명: AuthenticationUUID 필드 type: string - 이름: AuthenticationUuidAsString 설명: AuthenticationUUIDAsString 필드 type: string - 이름: UID description: 사용자 ID. type: bigint - 이름: UserName description: UserName 필드 type: string indicators: - username - name: UserCanonical description: UserCanonical 필드 type: string - name: LogonId description: LogonID 필드 type: string - name: LogonDomain description: LogonDomain 필드 type: string - name: AuthenticationPackage description: AuthenticationPackage 필드 type: string - name: LogonType description: '값: INTERACTIVE (2), NETWORK (3), BATCH (4), SERVICE (5), PROXY (6), UNLOCK (7), NETWORK_CLEARTEXT (8), CACHED_UNLOCK (13), NEW_CREDENTIALS (9), REMOTE_INTERACTIVE (10), CACHED_INTERACTIVE (11), CACHED_REMOTE_INTERACTIVE (12)' 유형: int - name: LogonTime description: LogonTime 필드 type: timestamp timeFormat: unix - name: LogonServer description: LogonServer 필드 type: string - name: UserFlags description: '값: LOGON_OPTIMIZED (0x4000), LOGON_WINLOGON (0x8000), LOGON_PKINIT (0x10000), LOGON_NOT_OPTIMIZED (0x20000)' type: bigint - name: PasswordLastSet description: PasswordLastSet 필드 type: timestamp timeFormat: unix - name: RemoteAccount description: RemoteAccount 필드 유형: int - name: UserIsAdmin description: UserIsAdmin 필드 유형: int - name: SessionId description: SessionID 필드 type: string indicators: - trace_id - name: UserLogonFlags description: '값: LOGON_IS_SYNTHETIC (0x00000001), USER_IS_ADMIN (0x00000002), USER_IS_LOCAL (0x00000004), USER_IS_BUILT_IN (0x00000008), USER_IDENTITY_MISSING (0x00000010)' 유형: int ``` ### Crowdstrike.UserInfo Falcon Discover가 제공하는 사용자 계정 및 로그인 정보. 참조: [Falcon Data Replicator UserInfo에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-userinfo) ```yaml schema: Crowdstrike.UserInfo parser: native: name: Crowdstrike.UserInfo description: Falcon Discover가 제공하는 사용자 계정 및 로그인 정보 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-userinfo fields: - name: _time required: true description: 에포크 형식의 호스트 로컬 시간. type: timestamp timeFormat: unix isEventTime: true - name: cid required: true description: 고객 ID입니다. type: string indicators: - trace_id - name: AccountType required: true description: '사용자에 대해 설정된 계정 유형: ''Domain User'', ''Domain Administrator'', ''Local User''.' type: string - name: DomainUser required: true description: '사용자 자격 증명이 도메인 컨트롤러의 일부인지 여부: ''Yes'', ''No''.' type: string - 이름: UserName required: true description: 시스템의 사용자 이름. type: string indicators: - username - name: UserSid_readable required: true description: 이 프로세스와 연결된 사용자 SID. type: string - name: LastLoggedOnHost description: 시스템에 마지막으로 로그인한 호스트. type: string - name: LocalAdminAccess description: '로컬 사용자가 관리자 여부를 나타냄: ''Yes'', ''No''.' type: string - name: LoggedOnHostCount description: _time에 로그인한 호스트 수. 유형: int - name: LogonInfo description: 로그인 정보. type: string - name: LogonTime description: 이 사용자의 마지막 로그인 시간(에포크 형식). type: timestamp timeFormat: unix - name: LogonType description: '값은 다음과 같이 정의됩니다. INTERACTIVE: 보안 주체가 대화형으로 로그인, NETWORK: 보안 주체가 네트워크를 사용하여 로그인, TERMINAL SERVER: 보안 주체가 터미널 서버를 통해 로그인.' type: string - name: monthsincereset description: 이 사용자의 암호가 마지막으로 재설정된 후 경과한 개월 수. 유형: int - name: PasswordLastSet description: 시스템에서 이 사용자의 암호가 설정된 마지막 시간(에포크 형식). type: timestamp timeFormat: unix - name: User description: 도메인이 포함된 시스템 사용자 이름. type: string - name: UserIsAdmin description: 사용자 계정에 관리자 권한이 있는지 여부를 나타냄. type: smallint - name: UserLogonFlags_decimal description: 다양한 UserLogon 또는 실패한 사용자 로그온에 대한 비트필드. 유형: int ``` ### Crowdstrike.UserLogonLogoff UserLogon 및 UserLogoff 이벤트를 포함합니다. 참조: [User Logon Logoff에 대한 CrowdStrike 문서.](https://falcon.us-2.crowdstrike.com/login/?next=%2Fdocumentation%2F26%2Fevents-data-dictionary) ```yaml schema: Crowdstrike.UserLogonLogoff parser: native: name: Crowdstrike.UserLogonLogoff description: UserLogon 및 UserLogoff 이벤트를 포함합니다 referenceURL: https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary fields: - name: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true description: 이벤트 이름 type: string - name: aid description: 센서 ID입니다. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string indicators: - trace_id - name: aip description: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공인 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string indicators: - ip - name: cid description: CID type: string indicators: - trace_id - name: id description: ID type: string - name: event_platform description: 센서가 실행 중이던 플랫폼 type: string - name: timestamp description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다. type: timestamp timeFormat: unix_ms isEventTime: true - name: _time description: 이벤트가 CrowdStrike 클라우드에서 수신된 시각의 타임스탬프입니다(사람이 읽을 수 있는 형식). type: timestamp timeFormat: layout=01/02/2006 15:04:05.999 - name: ComputerName description: 호스트 이름입니다. type: string indicators: - hostname - name: ConfigBuild description: 구성 빌드 type: string - name: ConfigStateHash description: 구성 상태 해시 type: string - name: Entitlements description: 엔타이틀먼트 type: string - name: TreeId description: 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다 type: string indicators: - trace_id - name: TreeId_decimal description: '[DEPRECATED] 이 이벤트가 디텍션 트리의 일부인 경우, 해당 트리의 ID입니다. (10진수, 16진수 형식 아님)' type: bigint - name: ContextThreadId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextThreadId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: ContextTimeStamp description: 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다. type: timestamp timeFormat: unix - name: ContextTimeStamp_decimal description: '[DEPRECATED] 센서가 확인한 시스템에서 이벤트가 발생한 시각입니다(10진수, 16진수 형식 아님). ' type: timestamp timeFormat: unix_ms - name: ContextProcessId description: 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다. type: string - name: ContextProcessId_decimal description: '[DEPRECATED] 다른 프로세스에 의해 생성된 프로세스의 고유 ID입니다(10진수, 16진수 형식 아님). ' type: bigint - name: InContext description: 컨텍스트 내(N/A on iOS) type: string - name: UserIsAdmin description: 사용자 계정에 관리자 권한이 있는지 여부를 나타냄 유형: int - name: UserLogonFlags description: '값: LOGON_IS_SYNTHETIC (0x00000001), USER_IS_ADMIN (0x00000002), USER_IS_LOCAL (0x00000004), USER_IS_BUILT_IN (0x00000008), USER_IDENTITY_MISSING (0x00000010)' type: bigint - 이름: UserName description: 사용자 이름 type: string indicators: - username - 이름: UserPrincipal description: 사용자 주체 type: string - 이름: UserSid description: 명령을 실행한 사용자의 User Security Identifier(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다 type: string - name: LogonTime description: 로그인 시간 type: timestamp timeFormat: unix - name: LogonType description: '값: INTERACTIVE (2) NETWORK (3) BATCH (4) SERVICE (5) PROXY (6) UNLOCK (7) NETWORK_CLEARTEXT (8) CACHED_UNLOCK (13) REMOTE_INTERACTIVE (10) NEW_CREDENTIALS (9) CACHED_INTERACTIVE (11) CACHED_REMOTE_INTERACTIVE (12)' type: bigint - name: PasswordLastSet description: 암호가 마지막으로 설정된 시간 type: timestamp timeFormat: unix - name: RawProcessId description: 운영 체제의 내부 PID입니다. 매칭에는 고유한 프로세스 식별자를 보장하는 UPID 필드를 사용하세요 type: bigint - 이름: UID 설명: 사용자 ID type: bigint - name: UserGroupsBitmask description: 사용자 그룹 비트마스크 type: bigint - 이름: EffectiveTransmissionClass description: 사용자 주체 type: bigint - 이름: AuthenticationId description: 인증 식별자 type: string - name: LogoffTime description: 로그오프 시간 type: timestamp timeFormat: unix - name: UserLogoffType description: '값: LOGOFF_EVENT_SOURCE (0x01) LOGOFF_PROFILE_UNLOAD (0x02) ETW (0x03) SYNTHETIC (0x04)' type: bigint ```