> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/crowdstrike/falcon-data-replicator.md). # CrowdStrike Falcon Data Replicator ## 개요 Panther는 다음과 통합하여 CrowdStrike 이벤트에서 로그를 직접 가져오는 것을 지원합니다 [CrowdStrike Falcon Data Replicator](https://www.crowdstrike.com/en-us/resources/data-sheets/falcon-data-replicator/) (FDR). CrowdStrike 로그를 Panther에 수집하려면 FDR에 대한 활성 구독이 있어야 합니다 [FDR](https://dash.readme.com/to/crowdstrike-enterprise?redirect=%2Fcrowdstrike%2Fdocs%2Ffalcon-data-replicator-guide#section-overview-of-falcon-data-replicator)가 필요하며, CrowdStrike에서 활성화되어 있어야 합니다. Panther 버전 1.52부터는 모든 새 CrowdStrike 로그 소스 구성이 다음을 사용합니다 [Crowdstrike.FDREvent 스키마](#crowdstrike.fdrevent). {% hint style="info" %} 다음에 대한 정보는 Panther의 KB를 참조하세요 [CrowdStrike 디택션과 쿼리(버전 1.52 이전에 생성됨)를 Crowdstrike.FDREvent 로그 유형과 함께 작동하도록 조정하는 방법](https://help.panther.com/Data_Sources/Supported_Logs/How_can_I_adapt_Panther_CrowdStrike_detections_and_queries_to_work_with_the_Crowdstrike.FDREvent_log_type%3F). {% endhint %} ### CrowdStrike Falcon Data Replicator 로그 비디오 안내 {% embed url="" %} ## CrowdStrike Falcon Data Replicator 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 다음에 대한 활성 구독이 있어야 합니다 [FDR](https://dash.readme.com/to/crowdstrike-enterprise?redirect=%2Fcrowdstrike%2Fdocs%2Ffalcon-data-replicator-guide#section-overview-of-falcon-data-replicator)가 필요하며, CrowdStrike에서 활성화되어 있어야 합니다. * 필요한 FDR의 최소 버전은 없습니다. ### 1단계: FDR API 키 생성 1. CrowdStrike Falcon 콘솔에서 인스턴스의 FDR 개요로 이동합니다. * 이 URL은 다음과 같아야 합니다 `falcon..crowdstrike.com/fdr` 2. 다음을 클릭합니다: **피드 생성**.\ ![In the Falcon Data Replicator console, an arrow is drawn to a Create feed button.](/files/302e677686af5c1edbc21727ab147df776b4aa0a) 3. 다음을 입력하세요 **피드 이름** 및 원하는 대로 추가 설정을 구성합니다.\ ![The title is "Create feed" and under "Enter feed name" there is a text field. In the bottom-right corner there is a Next button.](/files/b802817c7002af655341662054981c1724a07137) * 다음을 클릭합니다: **다음**. 4. 검토 페이지에서 **피드 생성**. 5. 자격 증명이 표시됩니다. 다음 단계에서 필요하므로 이 값들을 복사하여 안전한 위치에 저장하세요.\ ![The top of the page reads "Create feed: Copy feed credentials" and various credential values, including Storage location, have been redacted.](/files/bc1e1e455082c672d7d59ae1a12b5b74f26f2179) ### 2단계: Panther에 새 CrowdStrike Falcon Data Replicator 소스 생성 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기.** 3. "CrowdStrike Falcon Data Replicator"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **설정 시작**. 5. 구성 페이지에서 양식을 작성합니다: * **이름**: 소스에 대한 설명적인 이름을 입력합니다. 예: `CrowdStrike FDR`. * **SQS URL**: 이전에 복사한 CrowdStrike에서 관리하는 SQS 큐의 URL을 입력합니다. * **AWS 액세스 키**: 이전 단계에서 복사한 AWS 액세스 키를 입력합니다. * **AWS 비밀 키**: 이전 단계에서 복사한 AWS 비밀 키를 입력합니다.\\
The image shows the configuration fields for the CrowdStrike integration in the Panther Console. There are fields for Name, SQS URL, AWS Access Key, and AWS Secret Key.
6. 다음을 클릭합니다: **설정**. 성공 화면으로 이동합니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 해당 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정의 기본값은 **YES**. 일정 시간이 지나 로그 소스에서 데이터 흐름이 중지되면 알림을 받게 되므로 이 기능을 활성화한 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.\\\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## Panther가 관리하는 탐지 참조 [Panther에서 관리하는](/ko/detections/panther-managed.md) CrowdStrike에 대한 규칙은 다음에 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/main/rules/crowdstrike_rules). ## 지원되는 로그 유형 ### Crowdstrike.FDREvent `Crowdstrike.FDREvent` 는 FDR에서 생성되는 모든 이벤트 유형을 포함합니다. 모든 이벤트 유형을 하나의 로그 유형에 포함하면 다음에 도움이 됩니다: * 지속적인 수집 유연성을 제공하고 유지 관리 노력을 줄입니다. * 예를 들어 CrowdStrike가 새 이벤트 유형을 추가하더라도 기존 디택션 로직과 데이터 쿼리를 다시 작성할 필요가 없을 수 있습니다. * 모든 항목을 풍부하게 만들어 CrowdStrike 로그 쿼리를 간소화합니다 `Crowdstrike.FDREvent` 로그에 다음과 같은 일반적으로 참조되는 필드를 추가하여 `event_simpleName`. * 각 FDR 이벤트 유형에서 추출되어 다음에 저장된 지표를 활용하여 조사를 신속하게 진행합니다`Crowdstrike.FDREvent`. #### FDR 이벤트 FDR 데이터 스트림은 다음 두 가지 유형의 이벤트를 전송합니다: * 주요 이벤트 * 이러한 이벤트에는 위협 헌팅, 데이터 보관, 데이터 웨어하우징 및 SIEM 활동과 관련된 정보가 포함됩니다. * 가 지원하는 주요 이벤트 유형의 전체 목록은 `Crowdstrike.FDREvent` 에서 볼 수 있습니다 [CrowdStrike의 스트리밍 API 이벤트 문서](https://falcon.us-2.crowdstrike.com/documentation/62/streaming-api-event-dictionary). * 보조 이벤트 * 이러한 이벤트에는 추가 환경 정보가 포함됩니다. * 가 지원하는 보조 이벤트 유형의 전체 목록은 `Crowdstrike.FDREvent` 에서 볼 수 있습니다 [추가 환경 정보를 확인하기 위한 CrowdStrike의 데이터 문서](https://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator#data-for-seeing-additional-environment-infohttps://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator#data-for-seeing-additional-environment-info). #### 방법 `fdr_event_type` 이 설정되는지 모든 FDR 이벤트가 동일한 필드를 포함하는 것은 아닙니다. 이를 수용하기 위해 `fdr_event_type` 의 값은 다음 규칙에 따라 동적으로 할당됩니다(우선순위 순): 1. 만약 `event_simpleName` 가 존재하면, `fdr_event_type` = `event_simpleName` 2. 만약 `event_type` 가 존재하면, `fdr_event_type` = `event.event_type` 3. 만약 `ExternalApiType` 가 존재하면, `fdr_event_type` = `event.ExternalApiType` * `Crowdstrike.디택션요약` 그리고 `Crowdstrike.ActivityAudit` 로그 유형은 이를 정의합니다 `ExternalApiType` 필드에 붙여넣습니다. 4. FDR 이벤트가 보조 이벤트인 경우, `fdr_event_type` = 다음에 설명된 이벤트 유형 [CrowdStrike의 추가 환경 정보 확인 문서](https://falcon.us-2.crowdstrike.com/login/?next=%2Fdocumentation%2F9%2Ffalcon-data-replicator#data-for-seeing-additional-environment-info). * 이 경우 결과 로그 유형은 여전히 `Crowdstrike.FDREvent`. 5. 위 조건 중 어느 것도 충족되지 않으면, `fdr_event_type` = `알 수 없음` 자세한 내용은 다음을 참조하세요 [CrowdStrike의 FDR 설정 문서](https://developer.crowdstrike.com/#data-for-seeing-additional-environment-info). ```yaml 스키마: Crowdstrike.FDREvent 파서: native: 이름: Crowdstrike.FDREvent 설명: 모든 Crowdstrike Falcon Data Replicator 이벤트를 포함합니다 참조 URL: https://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator fields: - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp timeFormats: - unix isEventTime: true - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp timeFormats: - unix_ms - rfc3339 isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp timeFormats: - '%m/%d/%Y %H:%M:%S.%f' - unix isEventTime: true - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp timeFormats: - unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: event_simpleName 설명: 이벤트 이름 type: string - 이름: fdr_event_type 설명: Crowdstrike 이벤트 유형(Panther가 채움) type: string - 이름: TargetProcessId 설명: 대상 프로세스의 고유 ID. 이 필드는 거의 모든 이벤트에 존재하며, 현재 초점이 맞춰진 이벤트의 활동을 담당하는 프로세스의 ID를 나타냅니다. 예를 들어 InjectedThread 이벤트에서 스레드 인젝션을 수행한 프로세스의 TargetProcessId입니다. type: string - 이름: TargetProcessId_decimal 설명: 대상 프로세스의 고유 ID(10진수, 16진수 아님). 이 필드는 거의 모든 이벤트에 존재하며, 현재 초점이 맞춰진 이벤트의 활동을 담당하는 프로세스의 ID를 나타냅니다. 예를 들어 InjectedThread 이벤트에서 스레드 인젝션을 수행한 프로세스의 TargetProcessId입니다. type: string - 이름: FileName 설명: 파일 이름. type: string - 이름: FilePath 설명: 파일 이름을 포함한 파일의 전체 경로. type: string - 이름: event 설명: 이벤트의 전체 JSON 페이로드 유형: json ``` ## 레거시 로그 유형 Panther 버전 1.52 이전에 설정된 기존 CrowdStrike 로그 소스 구성은 이를 다음으로 전환할 때까지 아래의 레거시 로그 유형을 사용하여 계속 작동합니다 [Crowdstrike.FDREvent](#crowdstrike.fdrevent). 이 전환에 대한 도움이 필요하시면 Panther 지원팀에 문의하세요. ### Crowdstrike.AIDMaster Falcon Insight에서 제공하는 센서 및 호스트 정보. 참조: [Falcon Data Replicator에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide) ```yaml 스키마: Crowdstrike.AIDMaster 파서: native: 이름: Crowdstrike.AIDMaster 설명: Falcon Insight에서 제공하는 센서 및 호스트 정보 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-aid-master fields: - 이름: Time required: true 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프입니다. 이는 시스템에서 로컬로 생성된 이벤트 시간(_timeevent)과 혼동해서는 안 됩니다. 이는 클라우드 관점에서 본 이벤트의 타임스탬프입니다. 이 값은 어떤 시간 형식으로도 변환할 수 있으며 계산에 사용할 수 있습니다. type: timestamp 시간 형식: unix isEventTime: true - 이름: AgentLoadFlags required: true 설명: 센서가 Windows 호스트의 부팅 과정 중 또는 이후에 로드되었는지 여부. 예시 값: 0, 1 유형: int - 이름: AgentLocalTime required: true 설명: 에포크 형식의 센서 로컬 시간. type: timestamp 시간 형식: unix - 이름: AgentTimeOffset required: true 설명: 마지막 재부팅 이후의 시간을 에포크 형식으로 나타낸 값. type: float - 이름: AgentVersion required: true 설명: 호스트에서 실행 중인 센서의 버전. type: string - 이름: aid required: true 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: cid required: true 설명: 고객 ID. type: string 표시자: - trace_id - 이름: aip required: true 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: BiosManufacturer 설명: 호스트 BIOS 제조업체. type: string - 이름: BiosVersion 설명: 호스트 BIOS 버전. type: string - 이름: ChassisType 설명: SMBIOS 표준에 정의된 시스템 섀시 유형. type: string - 이름: City 설명: 시스템의 출신 도시. type: string - 이름: Country 설명: 시스템의 출신 국가. type: string - 이름: Continent 설명: CrowdStrike 클라우드에서 보이는 센서의 대륙. type: string - 이름: ComputerName 설명: 호스트 이름. type: string - 이름: ConfigBuild 설명: ConfigBuild 필드 type: string - 이름: ConfigIDBuild 설명: ConfigID의 일부로 사용된 빌드 번호. type: string - 이름: event_platform 설명: '센서가 실행 중인 플랫폼. 예시 값: ''Win'', ''Lin'', ''Mac''.' type: string - 이름: FalconGroupingTags 설명: FalconGroupingTags 필드 type: string - 이름: FirstSeen 설명: 에포크 형식으로 CrowdStrike 클라우드가 센서를 처음 본 시각. type: timestamp 시간 형식: unix - 이름: MachineDomain 설명: 호스트가 현재 가입된 Windows 도메인 이름. type: string - 이름: OU 설명: 센서가 본 호스트의 조직 단위(시스템 관리자 정의). type: string - 이름: PointerSize 설명: '프로세서 아키텍처(10진수, 16진수 아님): 32비트는 ''4'', 64비트는 ''8'', 알 수 없으면 ''none''.' type: string - 이름: ProductType 설명: '제품 유형(10진수, 16진수 아님). 예시 값: ''1''(워크스테이션), ''2''(도메인 컨트롤러), ''3''(서버).' type: string - 이름: SensorGroupingTags 설명: SensorGroupingTags 필드 type: string - 이름: ServicePackMajor 설명: 'OS 서비스 팩의 주요 버전 번호(10진수, 16진수 아님).' type: string - 이름: SiteName 설명: 호스트가 가입된 도메인의 사이트 이름(시스템 관리자 정의). type: string - 이름: SystemManufacturer 설명: 호스트의 시스템 제조업체. type: string - 이름: SystemProductName 설명: 호스트의 제품 이름. type: string - 이름: Timezone 설명: CrowdStrike 클라우드에서 보이는 센서의 시간대. type: string - name: Version 설명: 호스트의 시스템 버전. type: string - 이름: HostHiddenStatus 설명: 호스트가 표시되는지 여부. type: string ``` ### Crowdstrike.ActivityAudit 활동 감사 정보를 포함합니다. 참조: [스트리밍 API 이벤트 인증에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-authentication) ```yaml 스키마: Crowdstrike.ActivityAudit 파서: native: 이름: Crowdstrike.ActivityAudit 설명: 활동 감사 정보를 포함합니다 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-authentication fields: - 이름: AgentIdString 설명: Agent ID type: string - 이름: cid 설명: 고객 ID. CrowdStrike 클라우드에서의 32자(16진수) 식별자. type: string 표시자: - trace_id - 이름: ExternalApiType required: true 설명: 외부 API 유형 type: string - 이름: Nonce 설명: nonce type: bigint - 이름: ServiceName 설명: 서비스 이름 type: string - 이름: UserId 설명: 작업을 수행한 사용자, 예: 새 사용자 계정을 생성한 작업을 수행한 사람. type: string 표시자: - 이메일 - 이름: UserIp 설명: 작업을 수행하는 사용자의 IP 주소. type: string 표시자: - ip - 이름: CustomerIdString 설명: 각 고객에 대해 CS가 할당한 고유 ID. type: string - 이름: EventType required: true 설명: Event_ExternalApiEvent가 됩니다 type: string - 이름: OperationName 설명: 작업 이름 type: string - 이름: UTCTimestamp 설명: 타임스탬프 type: timestamp 시간 형식: unix_ms - 이름: timestamp required: true 설명: 타임스탬프 type: timestamp timeFormat: rfc3339 isEventTime: true - 이름: AuditKeyValues 설명: AuditKeyValues type: array element: type: object fields: - 이름: Key 설명: 키 type: string - 이름: ValueString 설명: 문자열로 된 값 type: string - 이름: eid 설명: EID type: bigint - 이름: Success 설명: 작업이 성공했는지 여부 유형: boolean - 이름: EventUUID 설명: EventUUID type: string ``` ### Crowdstrike.AppInfo Falcon Discover에서 제공하는 탐지된 애플리케이션 정보. 참조: [CrowdStrike의 Falcon Data Replicator AppInfo 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-appinfo) ```yaml 스키마: Crowdstrike.AppInfo 파서: native: 이름: Crowdstrike.AppInfo 설명: Falcon Discover에서 제공하는 탐지된 애플리케이션 정보 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-appinfo fields: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간 형식: unix isEventTime: true - 이름: cid required: true 설명: 고객 ID. type: string 표시자: - trace_id - 이름: CompanyName required: true 설명: 회사 이름. type: string - 이름: 디택션count required: true 설명: 디택션 수. type: bigint - 이름: FileName required: true 설명: 파일 이름. type: string - 이름: SHA256HashData required: true 설명: SHA-256을 기반으로 한 파일 해시. type: string 표시자: - sha256 - 이름: FileDescription 설명: 파일 설명(있는 경우). type: string - 이름: FileVersion 설명: 파일 버전. type: string - 이름: ProductName 설명: 제품 이름. type: string - 이름: ProductVersion 설명: 제품 버전. type: string ``` ### Crowdstrike.CriticalFile 이 이벤트는 중요한 파일이 액세스되거나 수정될 때마다 생성됩니다. 참조: [CriticalFile에 대한 CrowdStrike 문서.](https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary) ```yaml 스키마: Crowdstrike.CriticalFile 파서: native: 이름: Crowdstrike.CriticalFile 설명: 이 이벤트는 중요한 파일이 액세스되거나 수정될 때마다 생성됩니다 참조 URL: https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: EffectiveTransmissionClass 설명: 유효 전송 클래스 type: bigint - 이름: GID 설명: 사용자 그룹 ID type: bigint - 이름: TargetFileName 설명: 액세스된 파일 type: string - 이름: UID 설명: 사용자 ID type: bigint - 이름: UnixMode 설명: Unix 파일 권한 type: string - 이름: FileIdentifier 설명: 파일 식별자 type: string - 이름: USN 설명: USN type: bigint ``` ### Crowdstrike.DNSRequest 이 이벤트는 호스트에서 수행된 모든 DNS 이름 확인 시도에 대해 생성됩니다. 참조: [DNSRequest에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-DnsRequest) ```yaml 스키마: Crowdstrike.DNSRequest 파서: native: 이름: Crowdstrike.DNSRequest 설명: 이 이벤트는 호스트에서 수행된 모든 DNS 이름 확인 시도에 대해 생성됩니다. fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: EffectiveTransmissionClass 설명: 유효 전송 클래스 type: bigint - 이름: DomainName 설명: 요청된 도메인 이름 type: string 표시자: - domain - 이름: InterfaceIndex 설명: 네트워크 인터페이스 인덱스(Windows 전용) type: bigint - 이름: DualRequest 설명: 이벤트가 이중 요청인지 여부(Windows 전용) type: bigint - 이름: DnsRequestCount 설명: DNS 요청 수(Windows 전용) type: bigint - 이름: AppIdentifier 설명: 요청을 보낸 앱의 식별자(Android, iOS) type: string - 이름: IpAddress 설명: 기기 IP 주소(Android, iOS) type: string 표시자: - ip - 이름: RequestType 설명: DNS 요청 유형 type: string ``` ### Crowdstrike.디택션요약 디택션 요약 이벤트는 여러 악성 행위가 감지될 때 여러 디택션을 포함합니다. 참조: [스트리밍 API 디택션 요약.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-detection-summary) ```yaml 스키마: Crowdstrike.디택션요약 파서: native: 이름: Crowdstrike.디택션요약 설명: 여러 악성 행위가 감지되면 디택션 요약 이벤트에는 여러 디택션이 포함됩니다. 참조URL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-디택션-summary fields: - 이름: cid 설명: 고객 ID type: string 표시자: - trace_id - 이름: Technique 설명: 해당 동작과 연관된 기법의 이름입니다. type: string - 이름: ProcessId 설명: 프로세스 ID. type: bigint - 이름: AgentIdString 설명: 에이전트 ID. type: string - 이름: DetectName 설명: '참고: MITRE의 ATT&CK에 맞추어 조정함에 따라 DetectName 필드는 Objective, Tactic 및 Technique로 대체되었습니다. DetectName은 2019년 1월 16일부로 더 이상 사용되지 않을 예정입니다 - 자세한 정보' type: string - 이름: ComputerName 설명: 호스트 이름. type: string - 이름: ProcessStartTime 설명: 프로세스가 시작된 시점의 타임스탬프. type: timestamp 시간 형식: unix - 이름: GrandparentCommandLine 설명: 유효 전송 클래스 type: string - 이름: MACAddress 설명: MAC 주소 type: string - 이름: CommandLine 설명: 프로세스의 명령줄 실행. type: string - 이름: Objective 설명: 해당 동작과 연결된 목표의 이름. type: string - 이름: Nonce 설명: 논스. type: bigint - 이름: SHA256String 설명: SHA256 해시. type: string 표시자: - sha256 - 이름: ExternalApiType required: true 설명: External API의 유형 type: string - 이름: PatternDispositionValue 설명: 패턴 배치 값. type: bigint - 이름: DetectId 설명: '이 디택션의 디택션 ID입니다. 디택션 Resolution 및 ThreatGraph와 같은 다른 API에서 사용할 수 있습니다. 예: ldt:05c0273d48f2432271b2f1d1b49264b5:4297692922' type: string - 이름: Severity 설명: 심각도 type: bigint - 이름: PatternDispositionDescription 설명: 행동에 대해 취한 조치와 관련된 패턴의 설명. type: string - 이름: SeverityName 설명: 심각도 이름. type: string - 이름: MD5String 설명: MD5 해시 type: string 표시자: - md5 - 이름: EventUUID 설명: 이벤트 UUID type: string - 이름: UserName 설명: 사용자 이름. type: string 표시자: - 사용자명 - 이름: FilePath 설명: 파일 이름을 제외한 파일의 전체 경로. type: string - 이름: timestamp 설명: 타임스탬프 type: timestamp timeFormat: rfc3339 isEventTime: true - 이름: ParentCommandLine 설명: 상위 프로세스의 명령줄. type: string - 이름: DetectDescription 설명: '환경에서 적대자가 무엇을 하려 했는지에 대한 설명과 조사를 시작하는 방법에 대한 지침입니다. 참고: 이러한 설명은 견고하고 유용한 콘솔 경험을 제공하지만, 값이 정기적으로 업데이트되고 추가되므로 이 필드를 워크플로를 구동하는 데 사용하지 않기를 권장합니다.' type: string - 이름: LocalIP 설명: 로컬 IP. type: string 표시자: - ip - 이름: ProcessEndTime 설명: 프로세스가 종료된 시점의 UNIX EPOCH 시간 타임스탬프. type: timestamp 시간 형식: unix - 이름: SHA1String 설명: SHA1 해시 type: string 표시자: - sha1 - 이름: OriginSourceIpAddress 설명: OriginSourceIpAddress입니다. type: string 표시자: - ip - 이름: GrandparentImageFileName 설명: GrandparentImageFileName입니다. type: string - 이름: MachineDomain 설명: 현재 머신이 연결된 Windows 도메인 이름입니다. type: string - 이름: ParentImageFileName 설명: ParentImageFileName입니다. type: string - 이름: FalconHostLink 설명: Falcon 콘솔에서 디택션 이벤트를 볼 수 있는 링크입니다. type: string - 이름: UTCTimestamp 설명: UTC 타임스탬프입니다. type: timestamp 시간 형식: unix_ms - 이름: FileName 설명: 디택션에 파일이 관련된 경우의 파일 이름입니다. type: string - 이름: ParentProcessId 설명: 부모 프로세스 ID입니다. type: bigint - 이름: EventType required: true 설명: EventType입니다. type: string - 이름: CustomerIdString 설명: 각 고객에 대해 CS가 할당한 고유 ID. type: string - 이름: Tactic 설명: 동작과 연관된 전술의 이름입니다. type: string - 이름: SensorId 설명: Falcon 센서 Agent ID입니다. type: string - 이름: eid 설명: EID입니다. type: bigint - 이름: PatternDispositionFlags 설명: 패턴 배치 플래그입니다. 유형: json ``` ### Crowdstrike.GroupIdentity GID, AuthenticationId, UserPrincipal, UserSid 간의 센서 부팅 고유 매핑을 제공합니다. Mac 플랫폼에서만 사용할 수 있습니다. 참조: [Group Identity 이벤트에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-GroupIdentity) ```yaml 스키마: Crowdstrike.GroupIdentity 파서: native: 이름: Crowdstrike.GroupIdentity 설명: GID, AuthenticationId, UserPrincipal, UserSid 간의 센서 부팅 고유 매핑을 제공합니다. Mac 플랫폼에서만 사용할 수 있습니다. 참조 URL: https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-GroupIdentity fields: - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: GID required: true 설명: 사용자 그룹 ID입니다. type: bigint - 이름: AuthenticationUuid required: true 설명: AuthenticationUUID 필드 type: string - 이름: AuthenticationUuidAsString required: true 설명: AuthenticationUUIDAsString 필드 type: string - 이름: AuthenticationId required: true 설명: '값: INVALID_LUID (0), NETWORK_SERVICE (996), LOCAL_SERVICE (997), SYSTEM (999), RESERVED_LUID_MAX (1000)' 유형: int - 이름: UserPrincipal required: true 설명: UserPrincipal 필드 type: string - 이름: UserSid required: true 설명: 명령을 실행한 사용자의 User Security Identifier(UserSID)입니다. UserSID는 시스템에서 사용자를 고유하게 식별합니다. type: string ``` ### Crowdstrike.ManagedAssets Falcon Insight에서 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/Ethernet 인터페이스, 게이트웨이 주소, MAC 주소). 참조: [Falcon Data Replicator Managed Assets에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-managedassets) ```yaml 스키마: Crowdstrike.ManagedAssets 파서: native: 이름: Crowdstrike.ManagedAssets 설명: Falcon Insight에서 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/Ethernet 인터페이스, 게이트웨이 주소, MAC 주소) 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-managedassets fields: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간 형식: unix isEventTime: true - 이름: aid required: true 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: cid required: true 설명: 고객 ID. type: string 표시자: - trace_id - 이름: GatewayIP 설명: 센서가 설치된 시스템의 게이트웨이입니다. type: string 표시자: - ip - 이름: GatewayMAC 설명: 게이트웨이의 MAC 주소입니다. type: string - 이름: MACPrefix required: true 설명: 조직에 고유한 식별자입니다. type: string - 이름: MAC required: true 설명: 시스템의 MAC 주소입니다. type: string - 이름: LocalAddressIP4 required: true 설명: 장치의 로컬 IP 주소(IPv4 형식)입니다. type: string 표시자: - ip - 이름: InterfaceAlias 설명: IP 인터페이스의 사용자 친화적인 이름입니다. type: string - 이름: InterfaceDescription 설명: IP 인터페이스에 사용되는 네트워크 어댑터입니다. type: string ``` ### Crowdstrike.NetworkConnect 이 이벤트는 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성됩니다. 참조: [NetworkConnect에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-NetworkConnectIP4) ```yaml 스키마: Crowdstrike.NetworkConnect 파서: native: 이름: Crowdstrike.NetworkConnect 설명: 이 이벤트는 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성됩니다 fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: LocalAddressIP4 설명: 연결의 로컬 IPv4 주소 type: string 표시자: - ip - 이름: LocalAddressIP6 설명: 연결의 로컬 IPv6 주소 type: string 표시자: - ip - 이름: RemoteAddressIP4 설명: 연결의 원격 IPv4 주소 type: string 표시자: - ip - 이름: RemoteAddressIP6 설명: 연결의 원격 IPv6 주소 type: string 표시자: - ip - 이름: ConnectionFlags 설명: 연결 플래그 (PROMISCUOUS_MODE_SIO_RCVALL = 2, RAW_SOCKET = 1, PROMISCUOUS_MODE_SIO_RCVALL_IGMPMCAST = 4, PROMISCUOUS_MODE_SIO_RCVALL_MCAST = 8) 유형: int - 이름: Protocol 설명: IP 프로토콜 (ICMP = 1, TCP = 6, UDP = 17) 유형: int - 이름: LocalPort 설명: 연결의 로컬 포트 유형: int - 이름: RemotePort 설명: 연결의 원격 포트 유형: int - 이름: ConnectionDirection 설명: 연결 방향 (OUTBOUND = 0, INBOUND = 1, NEITHER = 2, BOTH = 3) 유형: int - 이름: IcmpType 설명: ICMP 유형(iOS에서는 해당 없음) type: string - 이름: IcmpCode 설명: ICMP 코드(iOS에서는 해당 없음) type: string ``` ### Crowdstrike.NetworkListen 이 이벤트는 애플리케이션이 수신 대기 모드의 소켓을 설정할 때 생성됩니다. 참조: [NetworkListen에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-NetworkListenIP4) ```yaml 스키마: Crowdstrike.NetworkListen 파서: native: 이름: Crowdstrike.NetworkListen 설명: 이 이벤트는 애플리케이션이 수신 대기 모드의 소켓을 설정할 때 생성됩니다 fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: LocalAddressIP4 설명: 연결의 로컬 IPv4 주소 type: string 표시자: - ip - 이름: LocalAddressIP6 설명: 연결의 로컬 IPv6 주소 type: string 표시자: - ip - 이름: RemoteAddressIP4 설명: 연결의 원격 IPv4 주소 type: string 표시자: - ip - 이름: RemoteAddressIP6 설명: 연결의 원격 IPv6 주소 type: string 표시자: - ip - 이름: ConnectionFlags 설명: 연결 플래그 (PROMISCUOUS_MODE_SIO_RCVALL = 2, RAW_SOCKET = 1, PROMISCUOUS_MODE_SIO_RCVALL_IGMPMCAST = 4, PROMISCUOUS_MODE_SIO_RCVALL_MCAST = 8) 유형: int - 이름: Protocol 설명: IP 프로토콜 (ICMP = 1, TCP = 6, UDP = 17) 유형: int - 이름: LocalPort 설명: 연결의 로컬 포트 유형: int - 이름: RemotePort 설명: 연결의 원격 포트 유형: int - 이름: ConnectionDirection 설명: 연결 방향 (OUTBOUND = 0, INBOUND = 1, NEITHER = 2, BOTH = 3) 유형: int ``` ### Crowdstrike.NotManagedAssets Falcon Insight가 제공하는 비관리 호스트 검색 정보. 참조: [Falcon Data Replicator Notmanaged Assets에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-notmanaged) ```yaml 스키마: Crowdstrike.NotManagedAssets 파서: native: 이름: Crowdstrike.NotManagedAssets 설명: Falcon Insight가 제공하는 비관리 호스트 검색 정보 참조URL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-notmanaged fields: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간 형식: unix isEventTime: true - 이름: aip required: true 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: aipCount required: true 설명: 외부에 공개된 IP 주소의 수. type: bigint - 이름: localipCount required: true 설명: 로컬 IP 주소의 수. type: bigint - 이름: cid required: true 설명: 고객 ID. type: string 표시자: - trace_id - 이름: CurrentLocalIP required: true 설명: IPv4 네트워크 검색 프로토콜을 통해 찾은 이 머신의 현재 로컬 IP 주소. type: string 표시자: - ip - 이름: subnet 설명: 시스템의 서브넷. type: string - 이름: MAC required: true 설명: 시스템의 MAC 주소입니다. type: string - 이름: MACPrefix required: true 설명: 조직에 고유한 식별자입니다. type: string - 이름: discovererCount required: true 설명: 이 시스템을 발견한 aid의 수. type: bigint - 이름: discoverer_aid 설명: 이 시스템을 발견한 에이전트 ID. type: array element: type: string - 이름: discoverer_devicetype 설명: 이 시스템을 발견한 장치 유형('VM' 또는 'Server'). type: string - 이름: FirstDiscoveredDate 설명: 시스템이 처음 발견된 시각을 에포크 형식으로 표시. type: timestamp 시간 형식: unix - 이름: LastDiscoveredBy 설명: 이 장치를 가장 최근에 발견한 호스트의 호스트 ID. type: string - 이름: LocalAddressIP4 설명: 장치의 로컬 IP 주소(IPv4 형식)입니다. type: string 표시자: - ip - 이름: ComputerName 설명: 이웃을 발견한 호스트의 이름. type: string - 이름: NeighborName 설명: 이웃의 호스트 이름. type: string ``` ### Crowdstrike.ProcessRollup2 이 이벤트(흔히 줄여서 "PR2"라고 함)는 호스트에서 실행 중이거나 실행을 마친 프로세스에 대해 생성되며, 해당 프로세스에 대한 정보를 포함합니다. 참조: [ProcessRollup2에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-ProcessRollup2) ```yaml 스키마: Crowdstrike.ProcessRollup2 파서: native: 이름: Crowdstrike.ProcessRollup2 설명: 이 이벤트(흔히 줄여서 "PR2"라고 함)는 호스트에서 실행 중이거나 실행을 마친 프로세스에 대해 생성되며, 해당 프로세스에 대한 정보를 포함합니다. fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: TargetProcessId 설명: 대상 프로세스의 고유 ID type: string - 이름: SourceProcessId 설명: 생성 프로세스의 고유 ID. type: string - 이름: SourceThreadId 설명: 생성 프로세스의 스레드 고유 ID. type: string - 이름: ParentProcessId 설명: 부모 프로세스의 고유 ID. type: string - 이름: ImageFileName 설명: 실행 파일(PE) 파일의 전체 경로입니다. 이 필드의 맥락은 그 의미에 대한 추가 정보를 제공합니다. ProcessRollup2 이벤트의 경우, 이는 생성된 프로세스의 주 실행 파일의 전체 경로입니다 type: string - 이름: CommandLine 설명: 이 프로세스를 생성하는 데 사용된 명령줄입니다. 일부 상황에서는 비어 있을 수 있습니다 type: string - 이름: RawProcessId 설명: 운영체제 내부 PID입니다. 일치 비교에는 고유한 프로세스 식별자를 보장하는 UPID 필드를 사용하세요. type: bigint - 이름: ProcessStartTime 설명: 프로세스가 시작된 UNIX 에포크 시간(10진수, 16진수 형식 아님)입니다. type: timestamp 시간 형식: unix - 이름: ProcessEndTime 설명: 프로세스가 종료된 시간(10진수, 16진수 형식 아님)입니다. type: timestamp 시간 형식: unix - 이름: SHA256HashData 설명: 파일의 SHA256 해시입니다. 대부분의 경우 ImageFileName 필드가 가리키는 파일의 해시입니다. type: string 표시자: - sha256 - 이름: SHA1HashData 설명: 파일의 SHA1 해시 type: string 표시자: - sha1 - 이름: MD5HashData 설명: 파일의 MD5 해시 type: string 표시자: - md5 - 이름: ImageSubsystem 설명: 이미지 파일 이름의 서브시스템(Windows 전용) type: string - 이름: UserSid 설명: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID)입니다. UserSID는 시스템에서 사용자를 고유하게 식별합니다. (Windows 전용) type: string - 이름: UserName 설명: 사용자 이름 필드 type: string 표시자: - 사용자명 - 이름: AuthenticationId 설명: 인증 식별자(Windows 전용) type: string - 이름: IntegrityLevel 설명: 무결성 수준 (Windows 전용) type: string - 이름: ProcessCreateFlags 설명: 원래 프로세스 생성에서 캡처된 플래그입니다. 비트필드입니다. (Windows 전용) type: string - 이름: ProcessParameterFlags 설명: ‘NtCreateUserProcess’ API의 플래그입니다. 이 비트필드에는 DLL 리디렉션이 활성화되어 있는지와 같은 데이터가 포함됩니다. (Windows 전용) type: string - 이름: ProcessSxsFlags 설명: Windows Subsystem Process와의 통신 경로에서 가져온 플래그입니다. 이 비트필드에는 매니페스트가 있는지, 로컬인지 여부와 같은 데이터가 포함됩니다. (Windows 전용) type: string - 이름: ParentAuthenticationId 설명: 부모 프로세스의 인증 식별자 (Windows 전용) type: string - 이름: TokenType 설명: 토큰 유형 (Windows 전용) type: string - 이름: SessionId 설명: 세션의 ID (Windows 전용) type: string - 이름: WindowFlags 설명: 창의 플래그 (Windows 전용) type: string - 이름: ShowWindowFlags 설명: 창 표시 플래그 (Windows 전용) type: string - 이름: WindowStartingPositionHorizontal 설명: 프로세스 창의 시작 가로 위치 (Windows 전용) type: bigint - 이름: WindowStartingPositionVertical 설명: 프로세스 창의 시작 세로 위치 (Windows 전용) type: bigint - 이름: WindowStartingWidth 설명: 프로세스 창의 시작 너비 (Windows 전용) type: bigint - 이름: WindowStartingHeight 설명: 프로세스 창의 시작 높이 (Windows 전용) type: bigint - 이름: Desktop 설명: 프로세스 창의 데스크톱 (Windows 전용) type: string - 이름: WindowStation 설명: 프로세스 창 스테이션 (Windows 전용) type: string - 이름: WindowTitle 설명: 프로세스 창의 제목 (Windows 전용) type: string - 이름: LinkName 설명: 링크 이름 (Windows 전용) type: string - 이름: ApplicationUserModelId 설명: 애플리케이션 사용자 모델 ID (Windows 전용) type: string - 이름: CallStackModuleNames 설명: 호출 스택 모듈 이름 (Windows 전용) type: string - 이름: CallStackModuleNamesVersion 설명: 호출 스택 모듈 이름 버전 (Windows 전용) type: string - 이름: RpcClientProcessId 설명: RPC 클라이언트 프로세스 ID (Windows 전용) type: string - 이름: CsaProcessDataCollectionInstanceId 설명: CSA 프로세스 데이터 수집 인스턴스 ID (Windows 전용) type: string - 이름: OriginalCommandLine 설명: 이 프로세스를 생성하는 데 사용된 원래 명령줄 (Windows 전용) type: string - 이름: CreateProcessType 설명: 프로세스 생성 유형 (Windows 전용) type: string - 이름: ZoneIdentifier 설명: 영역 식별자 (Windows 전용) type: string - 이름: HostUrl 설명: 호스트 URL (Windows 전용) type: string - 이름: ReferrerUrl 설명: 리퍼러 URL (Windows 전용) type: string 표시자: - url - 이름: GrandParent 설명: 상위의 상위 프로세스 (Windows 전용) type: string - 이름: BaseFileName 설명: 기본 파일 이름 (Windows 전용) type: string - 이름: Tags 설명: 프로세스 태그의 쉼표로 구분된 목록 (Windows, Mac) type: string - 이름: ParentBaseFileName 설명: 부모 프로세스의 기본 파일 이름 (Windows, Mac) type: string - 이름: ProcessGroupId 설명: 프로세스 그룹 ID (Windows, Mac) type: bigint - 이름: UID 설명: UID (Mac, Linux, Android) type: bigint - 이름: RUID 설명: RUID (Mac, Linux, Android) type: bigint - 이름: SVUID 설명: SVUID (Mac, Linux, Android) type: bigint - 이름: GID 설명: GID (Mac, Linux, Android) type: bigint - 이름: RGID 설명: RGID (Mac, Linux, Android) type: bigint - 이름: SVGID 설명: SVGID (Mac, Linux, Android) type: bigint - 이름: SessionProcessId 설명: 세션 프로세스 ID (Mac, Linux) type: bigint - 이름: MachOSubType 설명: MachOSubType (Mac 전용) type: string - 이름: TtyName 설명: TTY 이름 (Linux 전용) type: string - 이름: OciContainerId 설명: OCI 컨테이너 ID (Linux 전용) type: string - 이름: SourceAndroidComponentName 설명: 소스 컴포넌트 이름 (Android 전용) type: string - 이름: TargetAndroidComponentName 설명: 대상 컴포넌트 이름 (Android 전용) type: string - 이름: TargetAndroidComponentType 설명: 대상 컴포넌트 유형 (Android 전용) type: string ``` ### Crowdstrike.ProcessRollup2Stats 프로세스 실행이 끝나면 센서는 ProcessRollup2 이벤트를 생성하고 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트를 전송하므로(대략 20배), 해당 호스트의 모든 프로세스에 대해 이벤트를 보내는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 다음 10분 후 SHA256 해시와 지난 10분 동안 해당 해시가 실행된 횟수가 포함된 ProcessRollup2Stats 이벤트를 전송합니다. 참조: [ProcessRollup2Stats에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-ProcessRollup2Stats) ```yaml 스키마: Crowdstrike.ProcessRollup2Stats 파서: native: 이름: Crowdstrike.ProcessRollup2Stats 설명: 프로세스 실행이 끝나면 센서는 ProcessRollup2 이벤트를 생성하고 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트를 전송하므로(대략 20배), 해당 호스트의 모든 프로세스에 대해 이벤트를 보내는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 다음 10분 후 SHA256 해시와 지난 10분 동안 해당 해시가 실행된 횟수가 포함된 ProcessRollup2Stats 이벤트를 전송합니다. fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: EffectiveTransmissionClass 설명: 유효 전송 클래스 type: bigint - 이름: SHA256HashData 설명: 파일의 SHA256 해시입니다. 대부분의 경우 ImageFileName 필드가 가리키는 파일의 해시입니다. type: string 표시자: - sha256 - 이름: CommandLine 설명: 이 프로세스를 생성하는 데 사용된 명령줄입니다. 일부 상황에서는 비어 있을 수 있습니다 type: string - 이름: UID 설명: UID (Mac) type: bigint - 이름: ProcessCount 설명: ProcessCount. type: bigint - 이름: Timeout 설명: 타임아웃 type: bigint - 이름: ParentProcessId 설명: 부모 프로세스의 고유 ID. type: bigint - 이름: SuppressType 설명: '값: GLOBAL (0) PARENT (1) UID (2) UIDNORMALIZED (3) PREFILTER (4) TIMEOUT_CHECK (5)' type: bigint - 이름: BoundedCount 설명: 제한된 개수 type: bigint ``` ### Crowdstrike.SyntheticProcessRollup2 프로세스 롤업(PR2) 이벤트의 합성 버전입니다. 참조: [SyntheticProcessRollup2에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-SyntheticProcessRollup2) ```yaml 스키마: Crowdstrike.SyntheticProcessRollup2 파서: native: 이름: Crowdstrike.SyntheticProcessRollup2 설명: 프로세스 롤업(PR2) 이벤트의 합성 버전 fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: TargetProcessId 설명: 대상 프로세스의 고유 ID type: string - 이름: SourceProcessId 설명: 생성 프로세스의 고유 ID. type: string - 이름: SourceThreadId 설명: 생성 프로세스의 스레드 고유 ID. type: string - 이름: ParentProcessId 설명: 부모 프로세스의 고유 ID. type: string - 이름: ImageFileName 설명: 실행 파일(PE) 파일의 전체 경로입니다. 이 필드의 맥락은 그 의미에 대한 추가 정보를 제공합니다. ProcessRollup2 이벤트의 경우, 이는 생성된 프로세스의 주 실행 파일의 전체 경로입니다 type: string - 이름: CommandLine 설명: 이 프로세스를 생성하는 데 사용된 명령줄입니다. 일부 상황에서는 비어 있을 수 있습니다 type: string - 이름: RawProcessId 설명: 운영체제 내부 PID입니다. 일치 비교에는 고유한 프로세스 식별자를 보장하는 UPID 필드를 사용하세요. 유형: String - 이름: ProcessStartTime 설명: 프로세스가 시작된 UNIX 에포크 시간(10진수, 16진수 형식 아님)입니다. type: timestamp 시간 형식: unix - 이름: ProcessEndTime 설명: 프로세스가 종료된 시간(10진수, 16진수 형식 아님)입니다. type: timestamp 시간 형식: unix - 이름: SHA256HashData 설명: 파일의 SHA256 해시입니다. 대부분의 경우 ImageFileName 필드가 가리키는 파일의 해시입니다. type: string 표시자: - sha256 - 이름: SHA1HashData 설명: 파일의 SHA1 해시 type: string 표시자: - sha1 - 이름: MD5HashData 설명: 파일의 MD5 해시 type: string 표시자: - md5 - 이름: SyntheticPR2Flags 설명: PR2 플래그 (PROCESS_RUNDOWN = 0, PROCESS_HOLLOWED = 1, IMAGEHASH_FAILURE = 4, FILE_PATH_EXCLUDED = 8, PROCESS_FORK_FOLDING = 16, APP_MONITORING = 2) 유형: int - 이름: ImageSubsystem 설명: 이미지 파일 이름의 서브시스템(Windows 전용) type: string - 이름: UserSid 설명: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID)입니다. UserSID는 시스템에서 사용자를 고유하게 식별합니다. (Windows 전용) type: string - 이름: AuthenticationId 설명: 인증 식별자(Windows 전용) type: string - 이름: IntegrityLevel 설명: 무결성 수준 (Windows 전용) type: string - 이름: ProcessGroupId 설명: 프로세스 그룹 ID (Mac) 유형: String - 이름: UID 설명: UID (Mac) 유형: String - 이름: RUID 설명: RUID (Mac) 유형: String - 이름: SVUID 설명: SVUID (Mac) 유형: String - 이름: GID 설명: GID (Mac) 유형: String - 이름: RGID 설명: RGID (Mac) 유형: String - 이름: SVGID 설명: SVGID (Mac) 유형: String - 이름: SessionProcessId 설명: 세션 프로세스 ID (Mac) 유형: String ``` ### Crowdstrike.Unknown 이 스키마에는 등록된 유형과 일치하지 않는 모든 Crowdstrike 이벤트가 포함됩니다. 참조: [API 이벤트 유형에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events) ```yaml 스키마: Crowdstrike.Unknown 파서: native: 이름: Crowdstrike.Unknown 설명: 이 테이블에는 등록된 유형과 일치하지 않는 모든 Crowdstrike 이벤트가 포함됩니다 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events fields: - 이름: event_simpleName 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: unknown_payload required: true 설명: 이벤트의 전체 JSON 페이로드 유형: json ``` ### Crowdstrike.UserIdentity UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 이는 사용자 이름과 같은 사용자와 관련된 중요한 보안 특성을 CrowdStrike 클라우드에 전달합니다. 일반적으로 보안 주체당 한 번 생성되므로, 그 자체만으로는 의심스러운 활동의 징후가 아닙니다. Mac 및 Windows 플랫폼에서 사용할 수 있습니다. 참조: [User Identity 이벤트에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-UserIdentity) ```yaml 스키마: Crowdstrike.UserIdentity 파서: native: 이름: Crowdstrike.UserIdentity 설명: UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 이는 사용자 이름과 같은 사용자와 관련된 중요한 보안 특성을 CrowdStrike 클라우드에 전달합니다. 일반적으로 보안 주체당 한 번 생성되므로, 그 자체만으로는 의심스러운 활동의 징후가 아닙니다. Mac 및 Windows 플랫폼에서 사용할 수 있습니다. referenceURL: https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-UserIdentity fields: - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: AuthenticationId required: true 설명: '값: INVALID_LUID (0), NETWORK_SERVICE (996), LOCAL_SERVICE (997), SYSTEM (999), RESERVED_LUID_MAX (1000)' 유형: int - 이름: UserPrincipal required: true 설명: UserPrincipal 필드 type: string - 이름: UserSid required: true 설명: 명령을 실행한 사용자의 User Security Identifier(UserSID)입니다. UserSID는 시스템에서 사용자를 고유하게 식별합니다. type: string - 이름: AuthenticationUuid 설명: AuthenticationUUID 필드 type: string - 이름: AuthenticationUuidAsString 설명: AuthenticationUUIDAsString 필드 type: string - 이름: UID 설명: 사용자 ID. type: bigint - 이름: UserName 설명: UserName 필드 type: string 표시자: - 사용자명 - 이름: UserCanonical 설명: UserCanonical 필드 type: string - 이름: LogonId 설명: LogonID 필드 type: string - 이름: LogonDomain 설명: LogonDomain 필드 type: string - 이름: AuthenticationPackage 설명: AuthenticationPackage 필드 type: string - 이름: LogonType 설명: '값: INTERACTIVE (2), NETWORK (3), BATCH (4), SERVICE (5), PROXY (6), UNLOCK (7), NETWORK_CLEARTEXT (8), CACHED_UNLOCK (13), NEW_CREDENTIALS (9), REMOTE_INTERACTIVE (10), CACHED_INTERACTIVE (11), CACHED_REMOTE_INTERACTIVE (12)' 유형: int - 이름: LogonTime 설명: LogonTime 필드 type: timestamp 시간 형식: unix - 이름: LogonServer 설명: LogonServer 필드 type: string - 이름: UserFlags 설명: '값: LOGON_OPTIMIZED (0x4000), LOGON_WINLOGON (0x8000), LOGON_PKINIT (0x10000), LOGON_NOT_OPTIMIZED (0x20000)' type: bigint - 이름: PasswordLastSet 설명: PasswordLastSet 필드 type: timestamp 시간 형식: unix - 이름: RemoteAccount 설명: RemoteAccount 필드 유형: int - 이름: UserIsAdmin 설명: UserIsAdmin 필드 유형: int - 이름: SessionId 설명: SessionID 필드 type: string 표시자: - trace_id - 이름: UserLogonFlags 설명: '값: LOGON_IS_SYNTHETIC (0x00000001), USER_IS_ADMIN (0x00000002), USER_IS_LOCAL (0x00000004), USER_IS_BUILT_IN (0x00000008), USER_IDENTITY_MISSING (0x00000010)' 유형: int ``` ### Crowdstrike.UserInfo Falcon Discover에서 제공하는 사용자 계정 및 로그온 정보. 참조: [Falcon Data Replicator UserInfo에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-userinfo) ```yaml 스키마: Crowdstrike.UserInfo 파서: native: 이름: Crowdstrike.UserInfo 설명: Falcon Discover에서 제공하는 사용자 계정 및 로그온 정보 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-userinfo fields: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간 형식: unix isEventTime: true - 이름: cid required: true 설명: 고객 ID. type: string 표시자: - trace_id - 이름: AccountType required: true 설명: '사용자에 대해 설정된 계정 유형: ''Domain User'', ''Domain Administrator'', ''Local User''.' type: string - 이름: DomainUser required: true 설명: '사용자의 자격 증명이 도메인 컨트롤러의 일부인지 여부를 나타냅니다: ''Yes'', ''No''.' type: string - 이름: UserName required: true 설명: 시스템의 사용자 이름. type: string 표시자: - 사용자명 - 이름: UserSid_readable required: true 설명: 이 프로세스와 연결된 사용자 SID. type: string - 이름: LastLoggedOnHost 설명: 시스템에 마지막으로 로그인한 호스트. type: string - 이름: LocalAdminAccess 설명: '로컬 사용자가 관리자 권한이 있는지 여부를 나타냅니다: ''Yes'', ''No''.' type: string - 이름: LoggedOnHostCount 설명: _time에 로그인한 호스트 수. 유형: int - 이름: LogonInfo 설명: 로그인 정보. type: string - 이름: LogonTime 설명: 이 사용자의 마지막 로그인 시간을 epoch 형식으로 표시한 값. type: timestamp 시간 형식: unix - 이름: LogonType 설명: 다음과 같이 정의된 값: INTERACTIVE: 보안 주체가 대화형으로 로그인 중입니다, NETWORK: 보안 주체가 네트워크를 사용하여 로그인 중입니다, TERMINAL SERVER: 보안 주체가 터미널 서버를 통해 로그인했습니다. type: string - 이름: monthsincereset 설명: 이 사용자의 암호가 마지막으로 재설정된 이후의 개월 수. 유형: int - 이름: PasswordLastSet 설명: 이 사용자의 시스템 암호가 마지막으로 설정된 시점을 epoch 형식으로 표시한 값. type: timestamp 시간 형식: unix - 이름: User 설명: 도메인을 포함한 시스템 사용자 이름. type: string - 이름: UserIsAdmin 설명: 사용자 계정에 관리자 권한이 있는지 여부를 나타냅니다. 유형: smallint - 이름: UserLogonFlags_decimal 설명: UserLogon 또는 실패한 사용자 로그온의 여러 비트에 대한 비트필드. 유형: int ``` ### Crowdstrike.UserLogonLogoff UserLogon 및 UserLogoff 이벤트를 포함합니다. 참조: [사용자 로그온/로그오프에 대한 CrowdStrike 문서.](https://falcon.us-2.crowdstrike.com/login/?next=%2Fdocumentation%2F26%2Fevents-data-dictionary) ```yaml 스키마: Crowdstrike.UserLogonLogoff 파서: native: 이름: Crowdstrike.UserLogonLogoff 설명: UserLogon 및 UserLogoff 이벤트를 포함합니다 참조 URL: https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary fields: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 다시 설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지나면서 여러 aid 값을 가질 수 있습니다. type: string 표시자: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 보이는 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 이는 네트워크에 따라 컴퓨터의 위치를 파악하는 데 도움이 됩니다. type: string 표시자: - ip - 이름: cid 설명: CID type: string 표시자: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 시각의 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트 이름. type: string 표시자: - 호스트 이름 - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 type: string - 이름: TreeId 설명: 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID type: string 표시자: - trace_id - 이름: TreeId_decimal 설명: '[사용 중단됨] 이 이벤트가 디택션 트리의 일부인 경우, 해당 트리 ID(10진수, 16진수 아님). type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: ContextTimeStamp 설명: 센서가 시스템에서 이벤트가 발생한 시점. type: timestamp 시간 형식: unix - 이름: ContextTimeStamp_decimal 설명: '[사용 중단됨] 센서에서 본 시스템에서 이벤트가 발생한 시각(10진수, 16진수 아님). type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[사용 중단됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 16진수 아님). type: bigint - 이름: InContext 설명: 컨텍스트 내(iOS에서는 N/A) type: string - 이름: UserIsAdmin 설명: 사용자 계정에 관리자 권한이 있는지 여부를 나타냅니다 유형: int - 이름: UserLogonFlags 설명: '값: LOGON_IS_SYNTHETIC (0x00000001), USER_IS_ADMIN (0x00000002), USER_IS_LOCAL (0x00000004), USER_IS_BUILT_IN (0x00000008), USER_IDENTITY_MISSING (0x00000010)' type: bigint - 이름: UserName 설명: 사용자 이름 type: string 표시자: - 사용자명 - 이름: UserPrincipal 설명: 사용자 주체 type: string - 이름: UserSid 설명: 명령을 실행한 사용자의 User Security Identifier(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다 type: string - 이름: LogonTime 설명: 로그온 시간 type: timestamp 시간 형식: unix - 이름: LogonType 설명: '값: INTERACTIVE (2) NETWORK (3) BATCH (4) SERVICE (5) PROXY (6) UNLOCK (7) NETWORK_CLEARTEXT (8) CACHED_UNLOCK (13) REMOTE_INTERACTIVE (10) NEW_CREDENTIALS (9) CACHED_INTERACTIVE (11) CACHED_REMOTE_INTERACTIVE (12)' type: bigint - 이름: PasswordLastSet 설명: 암호가 마지막으로 설정된 시간 type: timestamp 시간 형식: unix - 이름: RawProcessId 설명: 운영체제 내부 PID입니다. 일치 비교에는 고유한 프로세스 식별자를 보장하는 UPID 필드를 사용하세요. type: bigint - 이름: UID 설명: 사용자 ID type: bigint - 이름: UserGroupsBitmask 설명: 사용자 그룹 비트마스크 type: bigint - 이름: EffectiveTransmissionClass 설명: 사용자 주체 type: bigint - 이름: AuthenticationId 설명: 인증 식별자 type: string - 이름: LogoffTime 설명: 로그오프 시간 type: timestamp 시간 형식: unix - 이름: UserLogoffType 설명: '값: LOGOFF_EVENT_SOURCE (0x01) LOGOFF_PROFILE_UNLOAD (0x02) ETW (0x03) SYNTHETIC (0x04)' type: bigint ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/crowdstrike/falcon-data-replicator.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.