# CrowdStrike Falcon 데이터 복제기 ## 개요 Panther는 다음과 통합하여 CrowdStrike 이벤트에서 로그를 직접 가져오는 것을 지원합니다. [CrowdStrike Falcon Data Replicator](https://www.crowdstrike.com/en-us/resources/data-sheets/falcon-data-replicator/) (FDR). CrowdStrike 로그를 Panther에 수집하려면 활성화된 구독이 있어야 합니다 [FDR](https://dash.readme.com/to/crowdstrike-enterprise?redirect=%2Fcrowdstrike%2Fdocs%2Ffalcon-data-replicator-guide#section-overview-of-falcon-data-replicator), 그리고 CrowdStrike에서 활성화되어 있어야 합니다. Panther 버전 1.52부터 모든 새로운 CrowdStrike 로그 소스 구성은 [Crowdstrike.FDREvent 스키마](#crowdstrike.fdrevent). {% hint style="info" %} CrowdStrike 디텍션 및 쿼리(버전 1.52 이전에 생성된)를 [Crowdstrike.FDREvent 로그 유형과 호환되도록 조정하는 방법에 대한 정보는 Panther의 지식 기반을 참조하세요.](https://help.panther.com/Data_Sources/Supported_Logs/How_can_I_adapt_Panther_CrowdStrike_detections_and_queries_to_work_with_the_Crowdstrike.FDREvent_log_type%3F). {% endhint %} ### CrowdStrike Falcon Data Replicator 로그 비디오 안내 {% embed url="" %} ## CrowdStrike Falcon Data Replicator 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 활성화된 구독이 있어야 합니다 [FDR](https://dash.readme.com/to/crowdstrike-enterprise?redirect=%2Fcrowdstrike%2Fdocs%2Ffalcon-data-replicator-guide#section-overview-of-falcon-data-replicator), 그리고 CrowdStrike에서 활성화되어 있어야 합니다. * FDR의 최소 요구 버전은 없습니다. ### 1단계: FDR API 키 생성 1. CrowdStrike Falcon 콘솔에서 인스턴스의 FDR 개요로 이동합니다. * 이 URL은 다음이어야 합니다 `falcon..crowdstrike.com/fdr` 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **피드 생성**.\ ![In the Falcon Data Replicator console, an arrow is drawn to a Create feed button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-eb4e881dce3e81ea6917785ce9a944384afa2a72%2Fimage%20\(9\).png?alt=media) 3. 시작하려면 다음 단계를 따르세요: **피드 이름** 및 원하는 경우 추가 설정을 구성합니다.\ ![The title is "Create feed" and under "Enter feed name" there is a text field. In the bottom-right corner there is a Next button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-585e668d106b2a5cda416a709d5116c03c6b5090%2Fimage%20\(10\).png?alt=media) * 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **다음**. 4. 검토 페이지에서 클릭하세요 **피드 생성**. 5. 자격 증명이 표시됩니다. 다음 단계에서 필요하니 이 값을 복사하여 안전한 위치에 보관하세요.\ ![The top of the page reads "Create feed: Copy feed credentials" and various credential values, including Storage location, have been redacted.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c2799053a6f9b0f65e50415a77578a09edaa55d6%2Fimage%20\(12\).png?alt=media) ### 2단계: Panther에서 새 CrowdStrike Falcon Data Replicator 소스 생성 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기.** 3. "CrowdStrike Falcon Data Replicator"를 검색한 다음 해당 타일을 클릭하세요. 4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**. 5. 구성 페이지에서 양식을 작성하세요: * **이름**: 소스에 대한 설명 이름을 입력하세요. 예: `CrowdStrike FDR`. * **SQS URL**: 이전에 복사한 CrowdStrike에서 관리하는 SQS 큐의 URL을 입력하세요. * **AWS 액세스 키**: 이전 단계에서 복사한 AWS 액세스 키를 입력하세요. * **AWS 비밀 키**: 이전 단계에서 복사한 AWS 비밀 키를 입력하세요.
The image shows the configuration fields for the CrowdStrike integration in the Panther Console. There are fields for Name, SQS URL, AWS Access Key, and AWS Secret Key.
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동됩니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs). * 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## Panther 관리 디텍션 참조 [Panther 관리](https://docs.panther.com/ko/detections/panther-managed) CrowdStrike용 룰은 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/rules/crowdstrike_rules). ## 지원되는 로그 유형 ### Crowdstrike.FDREvent `Crowdstrike.FDREvent` FDR에서 생성된 모든 이벤트 유형을 포함합니다. 모든 유형의 이벤트를 단일 로그 유형에 포함하면 다음과 같은 도움이 됩니다: * 지속적인 수집 유연성을 제공하고 유지 관리 노력을 줄입니다. * 예를 들어 CrowdStrike가 새로운 이벤트 유형을 추가하더라도 기존 디텍션 로직과 데이터 쿼리를 다시 작성할 필요가 없을 수 있습니다. * 일반적으로 참조되는 필드(예: `Crowdstrike.FDREvent` )로 모든 로그를 보강하여 CrowdStrike 로그 쿼리를 단순화합니다. `event_simpleName`. * 각 FDR 이벤트 유형에서 추출되어`Crowdstrike.FDREvent`. #### FDR 이벤트 에 저장된 인디케이터를 활용하여 조사 속도를 높입니다. * FDR 데이터 스트림은 다음 두 가지 유형의 이벤트를 전송합니다: * 주요 이벤트 * 이 이벤트에는 위협 헌팅, 데이터 보관, 데이터 웨어하우징 및 SIEM 활동과 관련된 정보가 포함됩니다. `Crowdstrike.FDREvent` 지원되는 주요 이벤트 유형의 전체 목록은 [에서 볼 수 있습니다](https://falcon.us-2.crowdstrike.com/documentation/62/streaming-api-event-dictionary). * 보조 이벤트 * 이 이벤트에는 추가 환경 정보가 포함됩니다. * 지원되는 보조 이벤트 유형의 전체 목록은 `Crowdstrike.FDREvent` 지원되는 주요 이벤트 유형의 전체 목록은 [추가 환경 정보를 확인하기 위한 CrowdStrike 문서를 참조하세요](https://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator#data-for-seeing-additional-environment-infohttps://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator#data-for-seeing-additional-environment-info). #### 이 값이 `fdr_event_type` 가 설정되는 방법 모든 FDR 이벤트가 동일한 필드를 포함하지는 않습니다. 이를 수용하기 위해 `fdr_event_type` 값은 다음 규칙(우선순위 순) 에 따라 동적으로 할당됩니다: 1. 만약 `event_simpleName` 가 존재하면, `fdr_event_type` = `event_simpleName` 2. 만약 `event_type` 가 존재하면, `fdr_event_type` = `event.event_type` 3. 만약 `ExternalApiType` 가 존재하면, `fdr_event_type` = `event.ExternalApiType` * `Crowdstrike.DetectionSummary` 와 `Crowdstrike.ActivityAudit` 로그 유형이 이를 정의합니다 `ExternalApiType` 필드에 붙여넣으세요. 4. FDR 이벤트가 보조 이벤트인 경우, `fdr_event_type` = 문서에 설명된 이벤트 유형과 같습니다 [추가 환경 정보를 확인하기 위한 CrowdStrike 문서](https://falcon.us-2.crowdstrike.com/login/?next=%2Fdocumentation%2F9%2Ffalcon-data-replicator#data-for-seeing-additional-environment-info). * 이 경우 결과 로그 유형은 여전히 `Crowdstrike.FDREvent`. 5. 위의 조건이 어느 것도 충족되지 않으면, `fdr_event_type` = `unknown` 자세한 내용은 [CrowdStrike의 FDR 설정 문서](https://developer.crowdstrike.com/#data-for-seeing-additional-environment-info). ```yaml 스키마: Crowdstrike.FDREvent 파서: 네이티브: 이름: Crowdstrike.FDREvent 설명: 모든 Crowdstrike Falcon Data Replicator 이벤트를 포함합니다 참조 URL: https://falcon.us-2.crowdstrike.com/documentation/9/falcon-data-replicator 필드: - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp timeFormats: - unix isEventTime: true - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP입니다. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터의 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp timeFormats: - unix_ms - rfc3339 isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp timeFormats: - '%m/%d/%Y %H:%M:%S.%f' - unix isEventTime: true - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp timeFormats: - unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - 이름: event_simpleName 설명: 이벤트 이름 type: string - 이름: fdr_event_type 설명: Crowdstrike 이벤트 유형 (Panther에 의해 채워짐) type: string - 이름: TargetProcessId 설명: 대상 프로세스의 고유 ID. 이 필드는 거의 모든 이벤트에 존재하며, 해당 이벤트의 활동에 책임이 있는 프로세스의 ID를 나타냅니다. 예: InjectedThread 이벤트에서 스레드 인젝션을 수행한 프로세스의 TargetProcessId. type: string - 이름: TargetProcessId_decimal 설명: 대상 프로세스의 고유 ID(10진수, 비16진수 형식). 이 필드는 거의 모든 이벤트에 존재하며, 해당 이벤트의 활동에 책임이 있는 프로세스의 ID를 나타냅니다. 예: InjectedThread 이벤트에서 스레드 인젝션을 수행한 프로세스의 TargetProcessId. type: string - 이름: FileName 설명: 파일 이름. type: string - 이름: FilePath 설명: 파일 이름을 포함한 파일의 전체 경로. type: string - name: event 설명: 이벤트의 전체 JSON 페이로드 유형: json ``` ## 레거시 로그 유형 Panther 버전 1.52 이전에 설정된 기존 CrowdStrike 로그 소스 구성은 전환할 때까지 아래 레거시 로그 유형을 사용하여 계속 작동합니다. [Crowdstrike.FDREvent](#crowdstrike.fdrevent)전환에 대한 도움이 필요하면 Panther 지원팀에 문의하세요. ### Crowdstrike.AIDMaster Falcon Insight에서 제공하는 센서 및 호스트 정보. 참고: [Falcon Data Replicator에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide) ```yaml 스키마: Crowdstrike.AIDMaster 파서: 네이티브: 이름: Crowdstrike.AIDMaster 설명: Falcon Insight에서 제공하는 센서 및 호스트 정보 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-aid-master 필드: - 이름: Time required: true 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. 이는 시스템에서 이벤트가 로컬로 생성된 시간(_timeevent)과 혼동해서는 안 됩니다. 이것은 클라우드 관점의 이벤트 타임스탬프입니다. 이 값은 다른 시간 형식으로 변환하거나 계산에 사용할 수 있습니다. type: timestamp 시간형식: unix isEventTime: true - 이름: AgentLoadFlags required: true 설명: '센서가 Windows 호스트의 부팅 과정 중 또는 부팅 이후에 로드되었는지 여부. 예시 값: 0, 1' 유형: int - 이름: AgentLocalTime required: true 설명: 센서의 로컬 시간(에포크 형식). type: timestamp 시간형식: unix - 이름: AgentTimeOffset required: true 설명: 마지막 재부팅 이후 경과 시간(에포크 형식). type: float - 이름: AgentVersion required: true 설명: 호스트에서 실행 중인 센서의 버전. type: string - 이름: aid required: true 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: cid required: true 설명: 고객 ID. type: string 지표: - trace_id - 이름: aip required: true 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: BiosManufacturer 설명: 호스트 BIOS의 제조업체. type: string - 이름: BiosVersion 설명: 호스트 BIOS의 버전. type: string - 이름: ChassisType 설명: SMBIOS 표준에서 정의한 시스템 섀시 유형. type: string - 이름: City 설명: 시스템의 도시 출처. type: string - 이름: Country 설명: 시스템의 국가 출처. type: string - 이름: Continent 설명: CrowdStrike 클라우드에서 본 센서의 대륙. type: string - 이름: ComputerName 설명: 호스트의 이름. type: string - 이름: ConfigBuild 설명: ConfigBuild 필드 type: string - 이름: ConfigIDBuild 설명: ConfigID의 일부로 사용되는 빌드 번호. type: string - 이름: event_platform 설명: '센서가 실행 중인 플랫폼. 예시 값: ''Win'', ''Lin'', ''Mac''.' type: string - 이름: FalconGroupingTags 설명: FalconGroupingTags 필드 type: string - 이름: FirstSeen 설명: 센서가 처음으로 CrowdStrike 클라우드에 의해 관찰된 시간(에포크 형식). type: timestamp 시간형식: unix - 이름: MachineDomain 설명: 호스트가 현재 조인된 Windows 도메인 이름. type: string - 이름: OU 설명: 센서가 본 호스트의 조직 단위(시스템 관리자에 의해 정의됨). type: string - 이름: PointerSize 설명: '프로세서 아키텍처(10진수, 비16진수 형식): 32비트는 ''4'', 64비트는 ''8'', 알 수 없음은 ''none''.' type: string - 이름: ProductType 설명: '제품 유형(10진수, 비16진수 형식). 예시 값: ''1'' (워크스테이션), ''2'' (도메인 컨트롤러), ''3'' (서버).' type: string - 이름: SensorGroupingTags 설명: SensorGroupingTags 필드 type: string - 이름: ServicePackMajor 설명: 'OS 서비스 팩의 주요 버전 번호(10진수, 비16진수 형식).' type: string - 이름: SiteName 설명: 호스트가 조인된 도메인의 사이트 이름(시스템 관리자에 의해 정의됨). type: string - 이름: SystemManufacturer 설명: 호스트의 시스템 제조업체. type: string - 이름: SystemProductName 설명: 호스트의 제품 이름. type: string - 이름: Timezone 설명: CrowdStrike 클라우드에서 본 센서의 시간대. type: string - name: Version 설명: 호스트의 시스템 버전. type: string - 이름: HostHiddenStatus 설명: 호스트가 표시되는지 여부. type: string ``` ### Crowdstrike.ActivityAudit 활동 감사 정보를 포함합니다. 참고: [Streaming API 이벤트 인증에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-authentication) ```yaml 스키마: Crowdstrike.ActivityAudit 파서: 네이티브: 이름: Crowdstrike.ActivityAudit 설명: 활동 감사 정보를 포함합니다 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-authentication 필드: - 이름: AgentIdString 설명: 에이전트 ID type: string - 이름: cid 설명: 고객 ID. CrowdStrike 클라우드에서의 32자(16진수) 식별자. type: string 지표: - trace_id - 이름: ExternalApiType required: true 설명: 외부 API 유형 type: string - 이름: Nonce 설명: 논스(Nonce) type: bigint - 이름: ServiceName 설명: 서비스 이름 type: string - 이름: UserId 설명: 작업을 수행한 사용자, 예: 새 사용자 계정을 생성한 사람. type: string 지표: - 이메일 - 이름: UserIp 설명: 작업을 수행한 사용자의 IP 주소. type: string 지표: - ip - 이름: CustomerIdString 설명: CS가 각 고객에게 할당한 고유 ID. type: string - 이름: EventType required: true 설명: Event_ExternalApiEvent가 됩니다 type: string - 이름: OperationName 설명: 작업 이름 type: string - 이름: UTCTimestamp 설명: 타임스탬프 type: timestamp 시간 형식: unix_ms - 이름: timestamp required: true 설명: 타임스탬프 type: timestamp 시간 형식: rfc3339 isEventTime: true - 이름: AuditKeyValues 설명: AuditKeyValues type: array element: type: object 필드: - 이름: Key 설명: 키 type: string - 이름: ValueString 설명: 문자열로서의 값 type: string - 이름: eid 설명: EID type: bigint - 이름: Success 설명: 작업이 성공했는지 여부 유형: boolean - 이름: EventUUID 설명: EventUUID type: string ``` ### Crowdstrike.AppInfo Falcon Discover에서 제공한 탐지된 애플리케이션 정보. 참고: [Falcon Data Replicator AppInfo에 관한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-appinfo) ```yaml 스키마: Crowdstrike.AppInfo 파서: 네이티브: 이름: Crowdstrike.AppInfo 설명: Falcon Discover에서 제공한 탐지된 애플리케이션 정보 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-appinfo 필드: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간형식: unix isEventTime: true - 이름: cid required: true 설명: 고객 ID. type: string 지표: - trace_id - 이름: CompanyName required: true 설명: 회사 이름. type: string - 이름: detectioncount required: true 설명: 탐지 수. type: bigint - 이름: FileName required: true 설명: 파일 이름. type: string - 이름: SHA256HashData required: true 설명: SHA-256을 기반으로 한 파일 해시. type: string 지표: - sha256 - 이름: FileDescription 설명: 파일의 설명(있는 경우). type: string - 이름: FileVersion 설명: 파일의 버전. type: string - 이름: ProductName 설명: 제품 이름. type: string - 이름: ProductVersion 설명: 제품 버전. type: string ``` ### Crowdstrike.CriticalFile 중요 파일에 접근하거나 수정할 때마다 이 이벤트가 생성됩니다. 참고: [CriticalFile에 관한 CrowdStrike 문서.](https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary) ```yaml 스키마: Crowdstrike.CriticalFile 파서: 네이티브: 이름: Crowdstrike.CriticalFile 설명: 중요 파일에 접근하거나 수정할 때마다 이 이벤트가 생성됩니다 참조 URL: https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary 필드: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - 이름: EffectiveTransmissionClass 설명: 유효 전송 클래스 type: bigint - 이름: GID 설명: 사용자 그룹 ID type: bigint - 이름: TargetFileName 설명: 접근된 파일 type: string - 이름: UID 설명: 사용자 ID type: bigint - 이름: UnixMode 설명: 유닉스 파일 권한 type: string - 이름: FileIdentifier 설명: 파일 식별자 type: string - 이름: USN 설명: USN type: bigint ``` ### Crowdstrike.DNSRequest 이 이벤트는 호스트에서 시도된 모든 DNS 이름 해석에 대해 생성됩니다. 참고: [DNSRequest에 관한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-DnsRequest) ```yaml 스키마: Crowdstrike.DNSRequest 파서: 네이티브: 이름: Crowdstrike.DNSRequest 설명: 이 이벤트는 호스트에서 시도된 모든 DNS 이름 해석에 대해 생성됩니다. 필드: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - 이름: EffectiveTransmissionClass 설명: 유효 전송 클래스 type: bigint - 이름: DomainName 설명: 요청된 도메인 이름 type: string 지표: - 도메인 - 이름: InterfaceIndex 설명: 네트워크 인터페이스 인덱스 (Windows 전용) type: bigint - 이름: DualRequest 설명: 이벤트가 이중 요청인지 여부 (Windows 전용) type: bigint - 이름: DnsRequestCount 설명: DNS 요청 수 (Windows 전용) type: bigint - 이름: AppIdentifier 설명: 요청을 생성한 앱의 식별자 (Android, iOS) type: string - 이름: IpAddress 설명: 디바이스 IP 주소 (Android, iOS) type: string 지표: - ip - 이름: RequestType 설명: DNS 요청 유형 type: string ``` ### Crowdstrike.DetectionSummary Detection Summary 이벤트는 여러 악성 동작이 탐지될 때 다중 탐지를 포함합니다. 참고: [Streaming API Detection Summary에 관한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-detection-summary) ```yaml 스키마: Crowdstrike.DetectionSummary 파서: 네이티브: 이름: Crowdstrike.DetectionSummary 설명: Detection Summary 이벤트는 여러 악성 동작이 탐지될 때 다중 탐지를 포함합니다. 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events#section-detection-summary 필드: - 이름: cid description: 고객 ID type: string 지표: - trace_id - 이름: Technique 설명: 동작과 관련된 기법의 이름. type: string - 이름: ProcessId 설명: 프로세스 ID. type: bigint - 이름: AgentIdString 설명: 에이전트 ID. type: string - 이름: DetectName 설명: '참고: DetectName 필드는 MITRE ATT&CK에 맞추어 Objective, Tactic 및 Technique로 대체되었습니다. DetectName은 2019년 1월 16일에 폐기될 예정입니다 - 자세한 정보' type: string - 이름: ComputerName 설명: 호스트 이름. type: string - 이름: ProcessStartTime 설명: 프로세스가 시작된 타임스탬프. type: timestamp 시간형식: unix - 이름: GrandparentCommandLine 설명: 유효 전송 클래스 type: string - 이름: MACAddress 설명: MAC 주소 type: string - 이름: CommandLine 설명: 프로세스의 명령줄 실행. type: string - 이름: Objective 설명: 동작과 관련된 목표의 이름. type: string - 이름: Nonce 설명: 논스(Nonce). type: bigint - 이름: SHA256String 설명: SHA256 해시. type: string 지표: - sha256 - 이름: ExternalApiType required: true 설명: 외부 API의 유형 type: string - 이름: PatternDispositionValue 설명: 패턴 처분 값. type: bigint - 이름: DetectId 설명: '탐지의 Detection ID. Detection Resolution 및 ThreatGraph와 같은 다른 API에서 사용할 수 있습니다. 예: ldt:05c0273d48f2432271b2f1d1b49264b5:4297692922' type: string - 이름: Severity 설명: 심각도 type: bigint - 이름: PatternDispositionDescription 설명: 동작에 대해 취해진 조치와 관련된 패턴의 설명. type: string - 이름: SeverityName 설명: 심각도 이름. type: string - 이름: MD5String 설명: MD5 해시 type: string 지표: - md5 - 이름: EventUUID 설명: 이벤트 UUID type: string - 이름: UserName 설명: 사용자 이름. type: string 지표: - username - 이름: FilePath 설명: 파일 이름을 제외한 파일의 전체 경로. type: string - 이름: timestamp 설명: 타임스탬프 type: timestamp 시간 형식: rfc3339 isEventTime: true - 이름: ParentCommandLine 설명: 부모 프로세스의 명령줄. type: string - 이름: DetectDescription 설명: '환경에서 적대자가 시도하려던 작업에 대한 설명 및 조사 시작에 대한 안내. 참고: 이 설명들은 풍부하고 유용한 콘솔 경험을 제공하지만, 값이 정기적으로 업데이트되고 추가되므로 워크플로우를 구동하는 데 이 필드를 사용하지 않는 것을 권장합니다.' type: string - 이름: LocalIP 설명: 로컬 IP. type: string 지표: - ip - 이름: ProcessEndTime 설명: 프로세스가 종료된 타임스탬프(UNIX EPOCH 시간). type: timestamp 시간형식: unix - 이름: SHA1String 설명: SHA1 해시 type: string 지표: - sha1 - 이름: OriginSourceIpAddress 설명: OriginSourceIpAddress. type: string 지표: - ip - 이름: GrandparentImageFileName 설명: GrandparentImageFileName type: string - 이름: MachineDomain 설명: 머신이 현재 조인된 Windows 도메인 이름. type: string - 이름: ParentImageFileName 설명: ParentImageFileName type: string - 이름: FalconHostLink 설명: Falcon 콘솔에서 디텍션 이벤트를 보기 위한 링크. type: string - 이름: UTCTimestamp 설명: UTC 타임스탬프. type: timestamp 시간 형식: unix_ms - 이름: FileName 설명: 감지에 파일이 관련된 경우 파일 이름. type: string - 이름: ParentProcessId 설명: 부모 프로세스 ID. type: bigint - 이름: EventType required: true 설명: EventType. type: string - 이름: CustomerIdString 설명: CS가 각 고객에게 할당한 고유 ID. type: string - 이름: Tactic 설명: 동작과 관련된 전술의 이름. type: string - 이름: SensorId 설명: Falcon 센서 에이전트 ID. type: string - 이름: eid 설명: EID. type: bigint - 이름: PatternDispositionFlags 설명: 패턴 처분 플래그 유형: json ``` ### Crowdstrike.GroupIdentity GID, AuthenticationId, UserPrincipal 및 UserSid 간의 센서 부팅 고유 매핑을 제공합니다. Mac 플랫폼에서만 사용 가능합니다. 참고: [Group Identity 이벤트에 관한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-GroupIdentity) ```yaml 스키마: Crowdstrike.GroupIdentity 파서: 네이티브: 이름: Crowdstrike.GroupIdentity 설명: GID, AuthenticationId, UserPrincipal 및 UserSid 간의 센서 부팅 고유 매핑을 제공합니다. Mac 플랫폼에서만 사용 가능합니다. 참조 URL: https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-GroupIdentity 필드: - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: GID required: true 설명: 사용자 그룹 ID. type: bigint - 이름: AuthenticationUuid required: true 설명: AuthenticationUUID 필드 type: string - 이름: AuthenticationUuidAsString required: true 설명: AuthenticationUUIDAsString 필드 type: string - 이름: AuthenticationId required: true 설명: '값: INVALID_LUID (0), NETWORK_SERVICE (996), LOCAL_SERVICE (997), SYSTEM (999), RESERVED_LUID_MAX (1000)' 유형: int - 이름: UserPrincipal required: true 설명: UserPrincipal 필드 type: string - 이름: UserSid required: true 설명: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. type: string ``` ### Crowdstrike.ManagedAssets Falcon Insight에서 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/이더넷 인터페이스, 게이트웨이 주소, MAC 주소). 참고: [Managed Assets에 관한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-managedassets) ```yaml 스키마: Crowdstrike.ManagedAssets 파서: 네이티브: 이름: Crowdstrike.ManagedAssets 설명: 'Falcon Insight에서 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/이더넷 인터페이스, 게이트웨이 주소, MAC 주소)' 참조 URL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-managedassets 필드: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간형식: unix isEventTime: true - 이름: aid required: true 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: cid required: true 설명: 고객 ID. type: string 지표: - trace_id - 이름: GatewayIP 설명: 센서가 설치된 시스템의 게이트웨이. type: string 지표: - ip - 이름: GatewayMAC 설명: 게이트웨이의 MAC 주소. type: string - name: MACPrefix required: true description: 조직에 고유한 식별자. type: string - 이름: MAC required: true description: 시스템의 MAC 주소. type: string - name: LocalAddressIP4 required: true description: 장치의 IPv4 형식 로컬 IP 주소. type: string 지표: - ip - name: InterfaceAlias description: IP 인터페이스의 사용자 친화적 이름. type: string - name: InterfaceDescription description: IP 인터페이스에 사용된 네트워크 어댑터. type: string ``` ### Crowdstrike.NetworkConnect 이 이벤트는 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성됩니다. 참고: [NetworkConnect에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-NetworkConnectIP4) ```yaml schema: Crowdstrike.NetworkConnect 파서: 네이티브: name: Crowdstrike.NetworkConnect description: 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성되는 이벤트 필드: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - name: LocalAddressIP4 description: 연결의 로컬 IPv4 주소 type: string 지표: - ip - name: LocalAddressIP6 description: 연결의 로컬 IPv6 주소 type: string 지표: - ip - name: RemoteAddressIP4 description: 연결의 원격 IPv4 주소 type: string 지표: - ip - name: RemoteAddressIP6 description: 연결의 원격 IPv6 주소 type: string 지표: - ip - name: ConnectionFlags description: 연결 플래그 (PROMISCUOUS_MODE_SIO_RCVALL = 2, RAW_SOCKET = 1, PROMISCUOUS_MODE_SIO_RCVALL_IGMPMCAST = 4, PROMISCUOUS_MODE_SIO_RCVALL_MCAST = 8) 유형: int - name: Protocol description: IP 프로토콜 (ICMP = 1, TCP = 6, UDP = 17) 유형: int - name: LocalPort description: 연결의 로컬 포트 유형: int - name: RemotePort description: 연결의 원격 포트 유형: int - name: ConnectionDirection description: 연결 방향 (OUTBOUND = 0, INBOUND = 1, NEITHER = 2, BOTH = 3) 유형: int - name: IcmpType description: ICMP 유형 (iOS에서는 해당 없음) type: string - name: IcmpCode description: ICMP 코드 (iOS에서는 해당 없음) type: string ``` ### Crowdstrike.NetworkListen 이 이벤트는 애플리케이션이 수신(listen) 모드로 소켓을 설정할 때 생성됩니다. 참고: [NetworkListen에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-NetworkListenIP4) ```yaml schema: Crowdstrike.NetworkListen 파서: 네이티브: name: Crowdstrike.NetworkListen description: 애플리케이션이 수신(listen) 모드로 소켓을 설정할 때 생성되는 이벤트 필드: - 이름: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - name: LocalAddressIP4 description: 연결의 로컬 IPv4 주소 type: string 지표: - ip - name: LocalAddressIP6 description: 연결의 로컬 IPv6 주소 type: string 지표: - ip - name: RemoteAddressIP4 description: 연결의 원격 IPv4 주소 type: string 지표: - ip - name: RemoteAddressIP6 description: 연결의 원격 IPv6 주소 type: string 지표: - ip - name: ConnectionFlags description: 연결 플래그 (PROMISCUOUS_MODE_SIO_RCVALL = 2, RAW_SOCKET = 1, PROMISCUOUS_MODE_SIO_RCVALL_IGMPMCAST = 4, PROMISCUOUS_MODE_SIO_RCVALL_MCAST = 8) 유형: int - name: Protocol description: IP 프로토콜 (ICMP = 1, TCP = 6, UDP = 17) 유형: int - name: LocalPort description: 연결의 로컬 포트 유형: int - name: RemotePort description: 연결의 원격 포트 유형: int - name: ConnectionDirection description: 연결 방향 (OUTBOUND = 0, INBOUND = 1, NEITHER = 2, BOTH = 3) 유형: int ``` ### Crowdstrike.NotManagedAssets Falcon Insight에서 제공하는 관리되지 않는 호스트 검색 정보. 참고: [Falcon Data Replicator의 Notmanaged Assets에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-notmanaged) ```yaml schema: Crowdstrike.NotManagedAssets 파서: 네이티브: name: Crowdstrike.NotManagedAssets description: Falcon Insight에서 제공하는 관리되지 않는 호스트 검색 정보 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-notmanaged 필드: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간형식: unix isEventTime: true - 이름: aip required: true 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - name: aipCount required: true description: 공개적으로 노출된 IP 주소의 수. type: bigint - name: localipCount required: true description: 로컬 IP 주소의 수. type: bigint - 이름: cid required: true 설명: 고객 ID. type: string 지표: - trace_id - name: CurrentLocalIP required: true description: IPv4 네트워크 검색 프로토콜을 통해 찾은 기계의 현재 로컬 IP 주소. type: string 지표: - ip - name: subnet description: 시스템의 서브넷. type: string - 이름: MAC required: true description: 시스템의 MAC 주소. type: string - name: MACPrefix required: true description: 조직에 고유한 식별자. type: string - name: discovererCount required: true description: 이 시스템을 발견한 에이전트 수. type: bigint - name: discoverer_aid description: 이 시스템을 발견한 에이전트 ID들. type: array element: type: string - name: discoverer_devicetype description: 이 시스템을 발견한 장치의 유형 ('VM' 또는 'Server'). type: string - name: FirstDiscoveredDate description: 시스템이 처음 발견된 시간(에포크 형식). type: timestamp 시간형식: unix - name: LastDiscoveredBy description: 이 장치를 가장 최근에 발견한 호스트의 호스트 ID. type: string - name: LocalAddressIP4 description: 장치의 IPv4 형식 로컬 IP 주소. type: string 지표: - ip - 이름: ComputerName description: 이웃을 발견한 호스트의 이름. type: string - name: NeighborName description: 이웃의 호스트 이름. type: string ``` ### Crowdstrike.ProcessRollup2 이 이벤트(종종 약어로 "PR2")는 호스트에서 실행 중이거나 실행을 마친 프로세스에 대해 생성되며 해당 프로세스에 대한 정보를 포함합니다. 참고: [ProcessRollup2에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-ProcessRollup2) ```yaml schema: Crowdstrike.ProcessRollup2 파서: 네이티브: name: Crowdstrike.ProcessRollup2 description: 이 이벤트(종종 약어로 "PR2")는 호스트에서 실행 중이거나 실행을 마친 프로세스에 대해 생성되며 해당 프로세스에 대한 정보를 포함합니다. 필드: - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: TargetProcessId description: 대상 프로세스의 고유 ID type: string - name: SourceProcessId description: 생성 프로세스의 고유 ID. type: string - name: SourceThreadId description: 생성 프로세스의 스레드의 고유 ID. type: string - 이름: ParentProcessId description: 부모 프로세스의 고유 ID. type: string - name: ImageFileName description: 실행 파일(PE) 파일의 전체 경로. 이 필드의 컨텍스트는 그 의미에 대한 추가 정보를 제공합니다. ProcessRollup2 이벤트의 경우, 이는 생성된 프로세스의 주요 실행 파일의 전체 경로입니다 type: string - 이름: CommandLine description: 이 프로세스를 생성할 때 사용된 명령줄. 일부 상황에서는 비어 있을 수 있습니다 type: string - name: RawProcessId description: 운영 체제의 내부 PID. 매칭할 때는 고유 프로세스 식별자를 보장하는 UPID 필드를 사용하세요 type: bigint - 이름: ProcessStartTime description: 프로세스가 시작된 시간(UNIX 에포크 시간, 십진수, 16진수 아님). type: timestamp 시간형식: unix - 이름: ProcessEndTime description: 프로세스가 종료된 시간(십진수, 16진수 아님). type: timestamp 시간형식: unix - 이름: SHA256HashData description: 파일의 SHA256 해시. 대부분의 경우 ImageFileName 필드로 참조된 파일의 해시입니다. type: string 지표: - sha256 - name: SHA1HashData description: 파일의 SHA1 해시 type: string 지표: - sha1 - name: MD5HashData description: 파일의 MD5 해시 type: string 지표: - md5 - name: ImageSubsystem description: 이미지 파일명의 서브시스템 (Windows 전용) type: string - 이름: UserSid description: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. (Windows 전용) type: string - 이름: UserName description: 사용자 이름 필드 type: string 지표: - username - 이름: AuthenticationId description: 인증 식별자 (Windows 전용) type: string - name: IntegrityLevel description: 무결성 수준 (Windows 전용) type: string - name: ProcessCreateFlags description: 원래 프로세스 생성에서 캡처된 플래그. 이는 비트필드입니다. (Windows 전용) type: string - name: ProcessParameterFlags description: ‘NtCreateUserProcess’ API의 플래그. 이 비트필드에는 DLL 리디렉션이 활성화되었는지와 같은 데이터가 포함됩니다. (Windows 전용) type: string - name: ProcessSxsFlags description: Windows 서브시스템 프로세스와의 통신 경로에서 온 플래그. 이 비트필드에는 매니페스트가 있는지 및 로컬인지 여부와 같은 데이터가 포함됩니다. (Windows 전용) type: string - name: ParentAuthenticationId description: 부모 프로세스의 인증 식별자 (Windows 전용) type: string - name: TokenType description: 토큰 유형 (Windows 전용) type: string - name: SessionId description: 세션의 ID (Windows 전용) type: string - name: WindowFlags description: 창의 플래그 (Windows 전용) type: string - name: ShowWindowFlags description: 창 표시 여부 플래그 (Windows 전용) type: string - name: WindowStartingPositionHorizontal description: 프로세스 창의 시작 수평 위치 (Windows 전용) type: bigint - name: WindowStartingPositionVertical description: 프로세스 창의 시작 수직 위치 (Windows 전용) type: bigint - name: WindowStartingWidth description: 프로세스 창의 시작 너비 (Windows 전용) type: bigint - name: WindowStartingHeight description: 프로세스 창의 시작 높이 (Windows 전용) type: bigint - name: Desktop description: 프로세스 창의 데스크탑 (Windows 전용) type: string - name: WindowStation description: 프로세스 창 스테이션 (Windows 전용) type: string - name: WindowTitle description: 프로세스 창의 제목 (Windows 전용) type: string - name: LinkName description: 링크 이름 (Windows 전용) type: string - name: ApplicationUserModelId description: 애플리케이션 사용자 모델 ID (Windows 전용) type: string - name: CallStackModuleNames description: 호출 스택 모듈 이름들 (Windows 전용) type: string - name: CallStackModuleNamesVersion description: 호출 스택 모듈 이름 버전 (Windows 전용) type: string - name: RpcClientProcessId description: RPC 클라이언트 프로세스 ID (Windows 전용) type: string - name: CsaProcessDataCollectionInstanceId description: CSA 프로세스 데이터 수집 인스턴스 ID (Windows 전용) type: string - name: OriginalCommandLine description: 이 프로세스를 생성할 때 사용된 원래 명령줄 (Windows 전용) type: string - name: CreateProcessType description: 프로세스 생성 유형 (Windows 전용) type: string - name: ZoneIdentifier description: 존 식별자 (Windows 전용) type: string - name: HostUrl description: 호스트 URL (Windows 전용) type: string - name: ReferrerUrl description: 리퍼러 URL (Windows 전용) type: string 지표: - url - name: GrandParent description: 조부모 (Windows 전용) type: string - name: BaseFileName description: 기본 파일 이름 (Windows 전용) type: string - name: Tags description: 쉼표로 구분된 프로세스 태그 목록 (Windows, Mac) type: string - name: ParentBaseFileName description: 부모 프로세스의 기본 파일 이름 (Windows, Mac) type: string - name: ProcessGroupId description: 프로세스 그룹 ID (Windows, Mac) type: bigint - 이름: UID description: UID (Mac, Linux, Android) type: bigint - name: RUID description: RUID (Mac, Linux, Android) type: bigint - name: SVUID description: SVUID (Mac, Linux, Android) type: bigint - 이름: GID description: GID (Mac, Linux, Android) type: bigint - name: RGID description: RGID (Mac, Linux, Android) type: bigint - name: SVGID description: SVGID (Mac, Linux, Android) type: bigint - name: SessionProcessId description: 세션 프로세스 ID (Mac, Linux) type: bigint - name: MachOSubType description: MachOSubType (Mac 전용) type: string - name: TtyName description: TTY 이름 (Linux 전용) type: string - name: OciContainerId description: OCI 컨테이너 ID (Linux 전용) type: string - name: SourceAndroidComponentName description: 소스 컴포넌트 이름 (Android 전용) type: string - name: TargetAndroidComponentName description: 대상 컴포넌트 이름 (Android 전용) type: string - name: TargetAndroidComponentType description: 대상 컴포넌트 유형 (Android 전용) type: string ``` ### Crowdstrike.ProcessRollup2Stats 프로세스가 종료되면 센서는 ProcessRollup2 이벤트를 생성하고 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트(대략 20배)를 전송하므로, 해당 호스트의 모든 프로세스에 대해 이벤트를 전송하는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 뒤 10분 후에 SHA256 해시와 지난 10분 동안 해당 해시가 실행된 횟수를 포함한 ProcessRollup2Stats 이벤트를 전송합니다. 참고: [ProcessRollup2Stats에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-ProcessRollup2Stats) ```yaml schema: Crowdstrike.ProcessRollup2Stats 파서: 네이티브: name: Crowdstrike.ProcessRollup2Stats description: 프로세스가 종료되면 센서는 ProcessRollup2 이벤트를 생성하고 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트(대략 20배)를 전송하므로, 해당 호스트의 모든 프로세스에 대해 이벤트를 전송하는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 뒤 10분 후에 SHA256 해시와 지난 10분 동안 해당 해시가 실행된 횟수를 포함한 ProcessRollup2Stats 이벤트를 전송합니다. 필드: - 이름: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - 이름: EffectiveTransmissionClass 설명: 유효 전송 클래스 type: bigint - 이름: SHA256HashData description: 파일의 SHA256 해시. 대부분의 경우 ImageFileName 필드로 참조된 파일의 해시입니다. type: string 지표: - sha256 - 이름: CommandLine description: 이 프로세스를 생성할 때 사용된 명령줄. 일부 상황에서는 비어 있을 수 있습니다 type: string - 이름: UID description: UID (Mac) type: bigint - name: ProcessCount description: 프로세스 수. type: bigint - name: Timeout description: 타임아웃 type: bigint - 이름: ParentProcessId description: 부모 프로세스의 고유 ID. type: bigint - name: SuppressType description: '값: GLOBAL (0) PARENT (1) UID (2) UIDNORMALIZED (3) PREFILTER (4) TIMEOUT_CHECK (5)' type: bigint - name: BoundedCount description: 제한된 카운트 type: bigint ``` ### Crowdstrike.SyntheticProcessRollup2 프로세스 롤업(PR2) 이벤트의 합성 버전. 참고: [SyntheticProcessRollup2에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-SyntheticProcessRollup2) ```yaml schema: Crowdstrike.SyntheticProcessRollup2 파서: 네이티브: name: Crowdstrike.SyntheticProcessRollup2 description: 프로세스 롤업(PR2) 이벤트의 합성 버전 필드: - 이름: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - 이름: TargetProcessId description: 대상 프로세스의 고유 ID type: string - name: SourceProcessId description: 생성 프로세스의 고유 ID. type: string - name: SourceThreadId description: 생성 프로세스의 스레드의 고유 ID. type: string - 이름: ParentProcessId description: 부모 프로세스의 고유 ID. type: string - name: ImageFileName description: 실행 파일(PE) 파일의 전체 경로. 이 필드의 컨텍스트는 그 의미에 대한 추가 정보를 제공합니다. ProcessRollup2 이벤트의 경우, 이는 생성된 프로세스의 주요 실행 파일의 전체 경로입니다 type: string - 이름: CommandLine description: 이 프로세스를 생성할 때 사용된 명령줄. 일부 상황에서는 비어 있을 수 있습니다 type: string - name: RawProcessId description: 운영 체제의 내부 PID. 매칭할 때는 고유 프로세스 식별자를 보장하는 UPID 필드를 사용하세요 type: String - 이름: ProcessStartTime description: 프로세스가 시작된 시간(UNIX 에포크 시간, 십진수, 16진수 아님). type: timestamp 시간형식: unix - 이름: ProcessEndTime description: 프로세스가 종료된 시간(십진수, 16진수 아님). type: timestamp 시간형식: unix - 이름: SHA256HashData description: 파일의 SHA256 해시. 대부분의 경우 ImageFileName 필드로 참조된 파일의 해시입니다. type: string 지표: - sha256 - name: SHA1HashData description: 파일의 SHA1 해시 type: string 지표: - sha1 - name: MD5HashData description: 파일의 MD5 해시 type: string 지표: - md5 - name: SyntheticPR2Flags description: PR2 플래그 (PROCESS_RUNDOWN = 0, PROCESS_HOLLOWED = 1, IMAGEHASH_FAILURE = 4, FILE_PATH_EXCLUDED = 8, PROCESS_FORK_FOLDING = 16, APP_MONITORING = 2) 유형: int - name: ImageSubsystem description: 이미지 파일명의 서브시스템 (Windows 전용) type: string - 이름: UserSid description: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. (Windows 전용) type: string - 이름: AuthenticationId description: 인증 식별자 (Windows 전용) type: string - name: IntegrityLevel description: 무결성 수준 (Windows 전용) type: string - name: ProcessGroupId description: 프로세스 그룹 ID (Mac) type: String - 이름: UID description: UID (Mac) type: String - name: RUID description: RUID (Mac) type: String - name: SVUID description: SVUID (Mac) type: String - 이름: GID description: GID (Mac) type: String - name: RGID description: RGID (Mac) type: String - name: SVGID description: SVGID (Mac) type: String - name: SessionProcessId description: 세션 프로세스 ID (Mac) type: String ``` ### Crowdstrike.Unknown 이 스키마는 등록된 어떤 유형과도 일치하지 않는 모든 Crowdstrike 이벤트를 포함합니다. 참고: [API 이벤트 유형에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events) ```yaml schema: Crowdstrike.Unknown 파서: 네이티브: name: Crowdstrike.Unknown description: 이 테이블은 등록된 어떤 유형과도 일치하지 않는 모든 Crowdstrike 이벤트를 포함합니다 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/streaming-api-events 필드: - 이름: event_simpleName 설명: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - name: unknown_payload required: true 설명: 이벤트의 전체 JSON 페이로드 유형: json ``` ### Crowdstrike.UserIdentity UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 사용자 이름과 같은 보안 관련 중요한 특성을 CrowdStrike 클라우드에 전달합니다. 일반적으로 보안 주체당 한 번 생성되며 그 자체만으로 의심스러운 활동의 신호는 아닙니다. Mac 및 Windows 플랫폼에서 사용 가능. 참고: [User Identity 이벤트에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-UserIdentity) ```yaml schema: Crowdstrike.UserIdentity 파서: 네이티브: name: Crowdstrike.UserIdentity description: UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 사용자 이름과 같은 보안 관련 중요한 특성을 CrowdStrike 클라우드에 전달합니다. 일반적으로 보안 주체당 한 번 생성되며 그 자체만으로 의심스러운 활동의 신호는 아닙니다. Mac 및 Windows 플랫폼에서 사용 가능. referenceURL: https://developer.crowdstrike.com/crowdstrike/page/event-explorer#section-event-UserIdentity 필드: - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - 이름: event_simpleName required: true 설명: 이벤트 이름 type: string - 이름: AuthenticationId required: true 설명: '값: INVALID_LUID (0), NETWORK_SERVICE (996), LOCAL_SERVICE (997), SYSTEM (999), RESERVED_LUID_MAX (1000)' 유형: int - 이름: UserPrincipal required: true 설명: UserPrincipal 필드 type: string - 이름: UserSid required: true 설명: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다. type: string - 이름: AuthenticationUuid 설명: AuthenticationUUID 필드 type: string - 이름: AuthenticationUuidAsString 설명: AuthenticationUUIDAsString 필드 type: string - 이름: UID description: 사용자 ID. type: bigint - 이름: UserName description: 사용자 이름 필드 type: string 지표: - username - name: UserCanonical description: UserCanonical 필드 type: string - name: LogonId description: LogonID 필드 type: string - name: LogonDomain description: LogonDomain 필드 type: string - name: AuthenticationPackage description: AuthenticationPackage 필드 type: string - name: LogonType description: '값: INTERACTIVE (2), NETWORK (3), BATCH (4), SERVICE (5), PROXY (6), UNLOCK (7), NETWORK_CLEARTEXT (8), CACHED_UNLOCK (13), NEW_CREDENTIALS (9), REMOTE_INTERACTIVE (10), CACHED_INTERACTIVE (11), CACHED_REMOTE_INTERACTIVE (12)' 유형: int - name: LogonTime description: LogonTime 필드 type: timestamp 시간형식: unix - name: LogonServer description: LogonServer 필드 type: string - name: UserFlags description: '값: LOGON_OPTIMIZED (0x4000), LOGON_WINLOGON (0x8000), LOGON_PKINIT (0x10000), LOGON_NOT_OPTIMIZED (0x20000)' type: bigint - name: PasswordLastSet description: PasswordLastSet 필드 type: timestamp 시간형식: unix - name: RemoteAccount description: RemoteAccount 필드 유형: int - name: UserIsAdmin description: UserIsAdmin 필드 유형: int - name: SessionId description: SessionID 필드 type: string 지표: - trace_id - name: UserLogonFlags description: '값: LOGON_IS_SYNTHETIC (0x00000001), USER_IS_ADMIN (0x00000002), USER_IS_LOCAL (0x00000004), USER_IS_BUILT_IN (0x00000008), USER_IDENTITY_MISSING (0x00000010)' 유형: int ``` ### Crowdstrike.UserInfo Falcon Discover에서 제공하는 사용자 계정 및 로그온 정보. 참고: [Falcon Data Replicator의 UserInfo에 대한 CrowdStrike 문서.](https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-userinfo) ```yaml schema: Crowdstrike.UserInfo 파서: 네이티브: name: Crowdstrike.UserInfo description: Falcon Discover에서 제공하는 사용자 계정 및 로그온 정보 referenceURL: https://developer.crowdstrike.com/crowdstrike/docs/falcon-data-replicator-guide#section-userinfo 필드: - 이름: _time required: true 설명: 호스트의 로컬 시간(에포크 형식). type: timestamp 시간형식: unix isEventTime: true - 이름: cid required: true 설명: 고객 ID. type: string 지표: - trace_id - name: AccountType required: true description: '사용자에 대해 설정된 계정 유형: ''Domain User'', ''Domain Administrator'', ''Local User''.' type: string - name: DomainUser required: true description: '사용자의 자격 증명이 도메인 컨트롤러의 일부인지 여부: ''Yes'', ''No''.' type: string - 이름: UserName required: true description: 시스템의 사용자 이름. type: string 지표: - username - name: UserSid_readable required: true description: 이 프로세스와 연관된 사용자 SID. type: string - name: LastLoggedOnHost description: 시스템에 마지막으로 로그인한 호스트. type: string - name: LocalAdminAccess description: '로컬 사용자가 관리자 권한을 가지고 있는지 여부: ''Yes'', ''No''.' type: string - name: LoggedOnHostCount description: _time에 로그인한 호스트의 수. 유형: int - name: LogonInfo description: 로그인 정보. type: string - name: LogonTime description: 이 사용자의 마지막 로그인 시간(에포크 형식). type: timestamp 시간형식: unix - name: LogonType description: '정의된 값은 다음과 같음. INTERACTIVE: 보안 주체가 대화형으로 로그인함, NETWORK: 보안 주체가 네트워크를 통해 로그인함, TERMINAL SERVER: 보안 주체가 터미널 서버를 통해 로그인함.' type: string - name: monthsincereset description: 이 사용자의 비밀번호가 마지막으로 재설정된 이후 지난 개월 수. 유형: int - name: PasswordLastSet description: 이 사용자의 시스템 비밀번호가 마지막으로 설정된 시간(에포크 형식). type: timestamp 시간형식: unix - name: User description: 도메인이 포함된 시스템 사용자 이름. type: string - name: UserIsAdmin description: 사용자 계정이 관리자 권한을 가지고 있는지 여부. 유형: smallint - name: UserLogonFlags_decimal description: 사용자 로그온 또는 실패한 사용자 로그온의 다양한 비트를 위한 비트필드. 유형: int ``` ### Crowdstrike.UserLogonLogoff UserLogon 및 UserLogoff 이벤트를 포함합니다. 참고: [User Logon Logoff에 대한 CrowdStrike 문서.](https://falcon.us-2.crowdstrike.com/login/?next=%2Fdocumentation%2F26%2Fevents-data-dictionary) ```yaml schema: Crowdstrike.UserLogonLogoff 파서: 네이티브: name: Crowdstrike.UserLogonLogoff description: UserLogon 및 UserLogoff 이벤트를 포함합니다 참조 URL: https://falcon.us-2.crowdstrike.com/support/documentation/26/events-data-dictionary 필드: - 이름: event_simpleName required: true description: 이벤트 이름 type: string - 이름: name required: true 설명: 이벤트 이름 type: string - 이름: aid 설명: 센서 ID. 이 값은 Falcon 센서의 각 설치마다 고유합니다. 센서가 업데이트되거나 재설치되면 호스트는 새 aid를 받습니다. 이러한 상황에서는 단일 호스트가 시간이 지남에 따라 여러 aid 값을 가질 수 있습니다. type: string 지표: - trace_id - 이름: aip 설명: CrowdStrike 클라우드에서 본 센서의 IP. 일반적으로 센서의 공용 IP입니다. 네트워크에 따라 컴퓨터 위치를 판단하는 데 도움이 됩니다. type: string 지표: - ip - 이름: cid 설명: CID type: string 지표: - trace_id - 이름: id 설명: ID type: string - 이름: event_platform 설명: 센서가 실행 중이던 플랫폼 type: string - 이름: timestamp 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프입니다. type: timestamp 시간 형식: unix_ms isEventTime: true - 이름: _time 설명: 이벤트가 CrowdStrike 클라우드에 수신된 타임스탬프(사람이 읽을 수 있는 형식) type: timestamp 시간 형식: layout=01/02/2006 15:04:05.999 - 이름: ComputerName 설명: 호스트의 이름. type: string 지표: - hostname - 이름: ConfigBuild 설명: 구성 빌드 type: string - 이름: ConfigStateHash 설명: 구성 상태 해시 type: string - 이름: Entitlements 설명: 권한 정보 type: string - 이름: TreeId 설명: 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID type: string 지표: - trace_id - 이름: TreeId_decimal 설명: '[폐기됨] 이 이벤트가 디텍션 트리의 일부인 경우 해당 트리 ID(10진수, 비16진수 형식)'. type: bigint - 이름: ContextThreadId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextThreadId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: ContextTimeStamp 설명: 센서에서 본 시스템에서 이벤트가 발생한 시간입니다. type: timestamp 시간형식: unix - 이름: ContextTimeStamp_decimal 설명: '[폐기됨] 센서에서 본 시스템에서 이벤트가 발생한 시간(10진수, 비16진수 형식).' type: timestamp 시간 형식: unix_ms - 이름: ContextProcessId 설명: 다른 프로세스에 의해 생성된 프로세스의 고유 ID. type: string - 이름: ContextProcessId_decimal 설명: '[폐기됨] 다른 프로세스에 의해 생성된 프로세스의 고유 ID(10진수, 비16진수 형식).' type: bigint - 이름: InContext 설명: 문맥 내 여부 (iOS에서는 해당 없음) type: string - name: UserIsAdmin description: 사용자 계정이 관리자 권한을 가지고 있는지 여부 유형: int - name: UserLogonFlags description: '값: LOGON_IS_SYNTHETIC (0x00000001), USER_IS_ADMIN (0x00000002), USER_IS_LOCAL (0x00000004), USER_IS_BUILT_IN (0x00000008), USER_IDENTITY_MISSING (0x00000010)' type: bigint - 이름: UserName description: 사용자 이름 type: string 지표: - username - 이름: UserPrincipal description: 사용자 주체(principal) type: string - 이름: UserSid description: 명령을 실행한 사용자의 사용자 보안 식별자(UserSID). UserSID는 시스템에서 사용자를 고유하게 식별합니다 type: string - name: LogonTime description: 로그온 시간 type: timestamp 시간형식: unix - name: LogonType description: '값: INTERACTIVE (2) NETWORK (3) BATCH (4) SERVICE (5) PROXY (6) UNLOCK (7) NETWORK_CLEARTEXT (8) CACHED_UNLOCK (13) REMOTE_INTERACTIVE (10) NEW_CREDENTIALS (9) CACHED_INTERACTIVE (11) CACHED_REMOTE_INTERACTIVE (12)' type: bigint - name: PasswordLastSet description: 비밀번호가 마지막으로 설정된 시간 type: timestamp 시간형식: unix - name: RawProcessId description: 운영 체제의 내부 PID. 매칭할 때는 고유 프로세스 식별자를 보장하는 UPID 필드를 사용하세요 type: bigint - 이름: UID 설명: 사용자 ID type: bigint - name: UserGroupsBitmask description: 사용자 그룹 비트마스크 type: bigint - 이름: EffectiveTransmissionClass description: 사용자 주체(principal) type: bigint - 이름: AuthenticationId description: 인증 식별자 type: string - name: LogoffTime description: 로그오프 시간 type: timestamp 시간형식: unix - name: UserLogoffType description: '값: LOGOFF_EVENT_SOURCE (0x01) LOGOFF_PROFILE_UNLOAD (0x02) ETW (0x03) SYNTHETIC (0x04)' type: bigint ```