필드:
- name: ipAddress
유형: 문자열
description: 요청을 시작한 IP 주소
지표:
- ip
- 이름: username
필수: 예
description: 계정의 사용자 이름
지표:
- username
유형: 문자열
설명: 소스(즉, 출발지) IP 포트(네트워크 연결의)
필수: 예
유형: 문자열
description: 로그인 요청의 상태
- name: entryPoint
필수: 예
유형: 문자열
description: 로그인에 사용된 방법. Single Sign On, Universal API 또는 Unknown 중 하나
- 이름: timestamp
필수: 예
유형: 타임스탬프
description: 로그인 타임스탬프
isEventTime: true
timeFormat: '%Y-%m-%dT%H:%M:%S,%f'
필드:
- name: _event_score
필수: 예
description: 이벤트의 점수입니다.
유형: bigint
- name: app_metric_info
description: 애플리케이션 메트릭 정보입니다. 앱 메트릭 이벤트에만 존재합니다.
유형: 객체
필드:
- name: cpu_percentage
description: 애플리케이션이 사용한 CPU 백분율입니다.
유형: 부동(실수)
- name: cpu_time_seconds
description: 애플리케이션이 사용한 CPU 시간(초)입니다.
유형: 부동(실수)
- name: interrupt_wakeups
description: 인터럽트 웨이크업 수입니다.
유형: bigint
- name: platform_idle_wakeups
description: 플랫폼 유휴 웨이크업 수입니다.
유형: bigint
- name: resident_memory_size_mb
description: 상주 메모리 크기(MB)입니다.
유형: 부동(실수)
- name: virtual_memory_size_mb
description: 가상 메모리 크기(MB)입니다.
유형: 부동(실수)
- name: arguments
description: 이벤트에 전달된 인수들입니다.
유형: json
- name: attributes
description: 이벤트와 관련된 속성 또는 메타데이터
유형: json
- name: audio_video_device_info
유형: 객체
필드:
- name: audio_device_creator
description: 오디오 장치의 생성자입니다.
유형: 문자열
- name: audio_device_hog_mode
description: 오디오 장치가 호그 모드인지 여부입니다.
유형: bigint
- name: audio_device_id
description: 오디오 장치의 ID입니다.
유형: 문자열
- name: audio_device_manufacturer
description: 오디오 장치의 제조업체입니다.
유형: 문자열
- name: audio_device_running
description: 오디오 장치가 실행 중인지 여부입니다.
유형: bigint
- name: audio_device_uuid
description: 오디오 장치의 UUID입니다.
유형: 문자열
- name: device_status
description: 장치의 상태. "On" 또는 "Off".
유형: 문자열
- name: audit_class_verification_info
description: 감사 클래스 검증 정보입니다. AUDIT_CLASS_VERIFICATION_EVENT 이벤트에만 존재합니다.
유형: 객체
필드:
- name: contents
description: 파일의 내용입니다.
유형: 문자열
- name: osversion
description: 운영체제의 버전입니다.
유형: 문자열
- name: restored_default
description: 파일이 기본값으로 복원되었는지 여부입니다.
유형: 불리언
설명: 소스(즉, 출발지) IP 포트(네트워크 연결의)
description: 파일의 상태입니다.
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: status_str
description: 파일 상태의 문자열 표현입니다.
유형: 문자열
- name: compliancereporter_license_info
description: Compliance Reporter 라이선스 정보입니다. LICENSE_INFO_EVENT 이벤트에만 존재합니다.
유형: 객체
필드:
- 이름: email
유형: 문자열
지표:
- 이메일
- name: expiration_date
유형: 타임스탬프
시간형식:
- '%M/%d/%Y'
설명: 소스(즉, 출발지) IP 포트(네트워크 연결의)
유형: 문자열
- name: time_seconds_epoch
유형: 타임스탬프
시간형식:
- unix
- 이름: type
유형: 문자열
- 이름: version
유형: 문자열
- name: event_attributes
description: 이벤트와 관련된 추가 속성 또는 메타데이터입니다.
유형: json
- name: exec_args
description: 이벤트에 전달된 실행 인수입니다.
유형: 객체
필드:
- 이름: args
description: 순차적으로 나열된 명령줄 인수 값들입니다.
유형: json
- name: args_compiled
description: 모든 명령줄 인수의 쉼표로 구분된 목록입니다.
유형: 문자열
- name: exec_chain
description: 동일한 원래 동작에서 시작된 이벤트들의 체인입니다.
유형: json
- name: exec_chain_child
description: 동일한 원래 동작에서 시작된 이벤트 체인 내의 자식 이벤트입니다.
유형: 객체
필드:
- name: parent_path
description: 이 이벤트를 직접 발생시킨 바이너리의 경로입니다.
유형: 문자열
- name: parent_pid
description: 이 이벤트를 직접 발생시킨 프로세스의 프로세스 ID입니다.
유형: 문자열
- name: parent_uuid
description: 실행 체인에서 직접 상위의 GUID입니다. 상위 이벤트의 exec_chain_parent.uuid 필드와 연관됩니다.
유형: 문자열
- name: exec_chain_parent
description: 동일한 원래 동작에서 시작된 이벤트 체인 내의 상위 이벤트입니다.
유형: 객체
필드:
- name: uuid
description: 이 이벤트를 직접 상위로 주장하기 위한 자식 프로세스의 GUID입니다. 상위 이벤트의 exec_chain_child.parent.uuid 필드와 연관됩니다.
유형: 문자열
- name: exec_env
description: 이벤트의 실행 환경입니다.
유형: 객체
필드:
- name: env
description: 이벤트 컨텍스트의 환경 변수에 대한 키-값 쌍입니다.
유형: json
- name: env_compiled
description: 이벤트 컨텍스트의 모든 환경 변수의 쉼표로 구분된 목록입니다.
유형: 문자열
- name: exit
description: 이벤트의 종료 정보입니다. AUE_EXIT 이벤트에만 존재합니다.
유형: 객체
필드:
- name: return_value
description: 이벤트의 반환 값입니다.
유형: bigint
설명: 소스(즉, 출발지) IP 포트(네트워크 연결의)
description: 이벤트의 상태입니다.
유형: bigint
- name: file_event_info
description: 파일 이벤트 정보입니다. COMPLIANCEREPORTER_TAMPER_EVENT 이벤트에만 존재합니다.
유형: 객체
필드:
- name: eventid_wrapped
description: 이벤트 ID가 래핑되었는지 여부입니다.
유형: 불리언
- name: hash
description: 파일의 SHA1 해시입니다.
유형: 문자열
지표:
- sha1
- name: history_done
description: 히스토리가 완료되었는지 여부입니다.
유형: 불리언
- name: item_change_owner
description: 항목의 소유자가 변경되었는지 여부입니다.
유형: 불리언
- name: item_cloned
description: 항목이 복제되었는지 여부입니다.
유형: 불리언
- name: item_created
description: 항목이 생성되었는지 여부입니다.
유형: 불리언
- name: item_extended_attribute_modified
description: 항목의 확장 속성이 변경되었는지 여부입니다.
유형: 불리언
- name: item_finder_info_modified
description: 항목의 파인더 정보가 변경되었는지 여부입니다.
유형: 불리언
- name: item_inode_metadata_modified
description: 항목의 inode 메타데이터가 변경되었는지 여부입니다.
유형: 불리언
- name: item_is_directory
description: 항목이 디렉터리인지 여부입니다.
유형: 불리언
- name: item_is_file
description: 항목이 파일인지 여부입니다.
유형: 불리언
- name: item_is_hard_link
description: 항목이 하드 링크인지 여부입니다.
유형: 불리언
- name: item_is_last_hard_link
description: 항목이 마지막 하드 링크인지 여부입니다.
유형: 불리언
- name: item_is_sym_link
description: 항목이 심볼릭 링크인지 여부입니다.
유형: 불리언
- name: item_removed
description: 항목이 제거되었는지 여부입니다.
유형: 불리언
- name: item_renamed
description: 항목의 이름이 변경되었는지 여부입니다.
유형: 불리언
- name: item_updated
description: 항목이 업데이트되었는지 여부입니다.
유형: 불리언
- name: kernel_dropped
description: 커널이 이벤트를 드롭했는지 여부입니다.
유형: 불리언
- name: mount
description: 항목이 마운트되었는지 여부입니다.
유형: 불리언
- name: must_scan_sub_dir
description: 하위 디렉터리를 스캔해야 하는지 여부입니다.
유형: 불리언
- name: none
description: 항목이 수정되지 않았는지 여부입니다.
유형: 불리언
- name: own_event
description: 이벤트가 소유되었는지 여부입니다.
유형: 불리언
- 이름: path
description: 파일의 경로입니다.
유형: 문자열
- name: root_changed
description: 루트가 변경되었는지 여부입니다.
유형: 불리언
- name: unmount
description: 항목이 언마운트되었는지 여부입니다.
유형: 불리언
- name: user_dropped
description: 사용자가 이벤트를 드롭했는지 여부입니다.
유형: 불리언
- name: hardware_event_info
description: 하드웨어 이벤트 정보입니다. HARDWARE_EVENT 이벤트에만 존재합니다.
유형: 객체
필드:
- name: device_attributes
description: 장치의 속성들입니다.
유형: json
- name: device_class
description: 장치의 클래스입니다.
유형: 문자열
- name: device_name
description: 장치의 이름입니다.
유형: 문자열
- name: device_status
description: 장치의 상태입니다.
유형: 문자열
- name: header
필수: 예
description: 이벤트의 헤더 정보입니다. 이 필드는 이벤트 이름, 타임스탬프 및 버전을 포함한 필수 메타데이터를 포함합니다.
유형: 객체
필드:
- 이름: action
description: 이벤트를 발생시킨 동작입니다. PROHIBITED_APP_BLOCKED 이벤트에만 존재합니다.
유형: 문자열
- name: event_id
description: 감사 이벤트의 유형을 식별하는 ID입니다.
유형: 문자열
- name: event_modifier
description: 이벤트의 수정자입니다. 이 필드는 사용되지 않으며 항상 0입니다.
유형: 문자열
- name: event_name
필수: 예
description: 감사 이벤트 유형의 이름입니다.
유형: 문자열
- name: time_seconds_epoch
필수: 예
description: 이벤트가 발생한 Unix epoch 시간입니다.
유형: 타임스탬프
timeFormat: unix
isEventTime: true
- name: time_milliseconds_offset
description: time_seconds_epoch 필드에 대한 밀리초 오프셋입니다.
유형: bigint
- 이름: version
description: 헤더 형식의 버전입니다.
유형: 문자열
- name: host_info
필수: 예
description: 이벤트가 발생한 호스트에 대한 정보입니다.
유형: 객체
필드:
- name: host_name
description: 컴퓨터의 네트워크 호스트 이름입니다.
유형: 문자열
- name: host_uuid
description: 로직 보드의 하드웨어 UUID입니다.
유형: 문자열
- name: osversion
description: 운영체제의 버전입니다.
유형: 문자열
- name: primary_mac_address
description: 보고하는 컴퓨터의 기본 MAC 주소입니다.
유형: 문자열
지표:
- mac
- name: serial_number
description: 보고하는 컴퓨터의 일련 번호입니다.
유형: 문자열
- name: identity
description: 이벤트의 식별 정보입니다.
유형: 객체
필드:
- name: cd_hash
description: 동작을 수행하는 애플리케이션 또는 바이너리의 Cd 번들 해시입니다.
유형: 문자열
지표:
- sha1
- name: signer_id
description: 동작을 수행하는 애플리케이션 또는 바이너리의 서명자 ID입니다.
유형: 문자열
- name: signer_id_truncated
description: 서명자 ID가 잘려졌는지 여부입니다.
유형: 불리언
- name: signer_type
description: 동작을 수행하는 애플리케이션 또는 바이너리의 서명자 유형입니다.
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: team_id
description: 동작을 수행하는 애플리케이션 또는 바이너리의 팀 ID입니다.
유형: 문자열
- name: team_id_truncated
description: 팀 ID가 잘려졌는지 여부입니다.
유형: 불리언
- 이름: path
description: 이벤트와 관련된 파일 경로들입니다.
유형: 배열
요소:
유형: 문자열
- name: process
description: 동작을 수행한 프로세스에 대한 정보입니다.
유형: 객체
필드:
- name: audit_id
description: auditd가 이벤트의 원인으로 귀속시키는 사용자의 ID입니다.
유형: 문자열
지표:
- actor_id
- name: audit_user_name
description: auditd가 이벤트의 원인으로 귀속시키는 사용자의 이름입니다.
유형: 문자열
지표:
- username
- name: effective_group_id
description: 이벤트가 실행된 그룹 권한의 ID입니다.
유형: 문자열
- name: effective_group_name
description: 이벤트가 실행된 그룹 권한의 이름입니다.
유형: 문자열
- name: effective_user_id
description: 이벤트가 실행된 사용자 권한의 ID입니다.
유형: 문자열
지표:
- actor_id
- name: effective_user_name
description: 이벤트가 실행된 사용자 권한의 이름입니다.
유형: 문자열
지표:
- username
- name: group_id
description: 이 이벤트를 발생시킨 그룹의 ID입니다.
유형: 문자열
- name: group_name
description: 이 이벤트를 발생시킨 그룹의 이름입니다.
유형: 문자열
- name: process_hash
description: 실행된 바이너리 파일의 SHA1 해시입니다.
유형: 문자열
지표:
- sha1
- name: process_id
description: 기록된 동작을 수행한 프로세스의 ID입니다.
유형: 문자열
- name: process_name
description: 기록된 동작을 수행한 프로세스의 경로입니다.
유형: 문자열
- name: process_information
description: 동작을 수행한 프로세스에 대한 정보입니다.
유형: json
- name: responsible_process_id
description: 이 이벤트를 발생시킨 프로세스의 ID입니다.
유형: 문자열
- name: responsible_process_name
description: 프로세스 체인의 시작 시 이 이벤트를 발생시킨 프로세스의 이름입니다.
유형: 문자열
- name: session_id
description: 이벤트가 발생한 세션 ID 번호입니다.
유형: 문자열
지표:
- trace_id
- name: terminal_id
description: 이벤트가 발생한 터미널에 대한 정보입니다.
유형: 객체
필드:
- name: addr
description: 터미널의 네트워크 주소 정보입니다.
유형: 배열
요소:
유형: bigint
- name: ip_address
description: 제어 컴퓨터의 IP 주소입니다.
유형: 문자열
지표:
- ip
- name: port
description: 프로세스가 연결 중인 포트 번호입니다.
유형: bigint
- 이름: type
description: 연결 유형(4 = IPv4, 6 = IPv6).
유형: bigint
- name: user_id
description: 이 이벤트를 발생시킨 사용자의 ID입니다.
유형: 문자열
지표:
- actor_id
- name: user_name
description: 이 이벤트를 발생시킨 사용자의 이름입니다.
유형: 문자열
지표:
- username
- name: return
description: 이벤트 출력 정보입니다.
유형: 객체
필드:
- 이름: description
description: 이벤트 출력에 대한 설명입니다.
유형: 문자열
- 이름: error
description: 이벤트 결과 오류 코드입니다.
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: return_value
description: 반환된 이벤트 결과 반환 값(있는 경우)입니다.
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: signal_event_info
description: 시그널 이벤트 정보입니다. SIGNAL_EVENT 이벤트에만 존재합니다.
유형: 객체
필드:
- name: signal
description: 시그널 번호입니다.
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: socket_inet
description: 인터넷 소켓 정보입니다.
유형: 객체
필드:
- name: addr
description: 소켓의 네트워크 주소 정보입니다.
유형: 배열
요소:
유형: bigint
설명: 제공자에 의해 생성된 악성코드 분류(예: 트로이목마, 랜섬웨어 등)
description: 소켓의 주소 패밀리입니다.
유형: 문자열
- 이름: id
description: 소켓의 ID입니다.
유형: 문자열
- name: ip_address
description: 소켓의 IP 주소입니다.
유형: 문자열
지표:
- ip
- name: port
description: 프로세스가 연결 중인 포트 번호입니다.
유형: bigint
- name: socket_unix
description: Unix 소켓 정보입니다.
유형: 객체
필드:
설명: 제공자에 의해 생성된 악성코드 분류(예: 트로이목마, 랜섬웨어 등)
description: 소켓의 주소 패밀리입니다.
유형: 문자열
- 이름: path
description: 소켓의 경로입니다.
유형: 문자열
- 이름: subject
description: 이벤트의 주체 정보입니다.
유형: 객체
필드:
- name: audit_id
description: auditd가 이벤트의 원인으로 귀속시키는 사용자의 ID입니다.
유형: 문자열
지표:
- actor_id
- name: audit_user_name
description: auditd가 이벤트의 원인으로 귀속시키는 사용자의 이름입니다.
유형: 문자열
지표:
- username
- name: effective_group_id
description: 이벤트가 실행된 그룹 권한의 ID입니다.
유형: 문자열
- name: effective_group_name
description: 이벤트가 실행된 그룹 권한의 이름입니다.
유형: 문자열
- name: effective_user_id
description: 이벤트가 실행된 사용자 권한의 ID입니다.
유형: 문자열
지표:
- actor_id
- name: effective_user_name
description: 이벤트가 실행된 사용자 권한의 이름입니다.
유형: 문자열
지표:
- username
- name: group_id
description: 이 이벤트를 발생시킨 그룹의 ID입니다.
유형: 문자열
- name: group_name
description: 이 이벤트를 발생시킨 그룹의 이름입니다.
유형: 문자열
- name: process_hash
description: 실행된 바이너리 파일의 SHA1 해시입니다.
유형: 문자열
지표:
- sha1
- name: process_id
description: 기록된 동작을 수행한 프로세스의 ID입니다.
유형: 문자열
- name: process_name
description: 기록된 동작을 수행한 프로세스의 경로입니다.
유형: 문자열
- name: process_information
description: 동작을 수행한 프로세스에 대한 정보입니다.
유형: json
- name: responsible_process_id
description: 이 이벤트를 발생시킨 프로세스의 ID입니다.
유형: 문자열
- name: responsible_process_name
description: 프로세스 체인의 시작 시 이 이벤트를 발생시킨 프로세스의 이름입니다.
유형: 문자열
- name: session_id
description: 이벤트가 발생한 세션 ID 번호입니다.
유형: 문자열
지표:
- trace_id
- name: terminal_id
description: 이벤트가 발생한 터미널에 대한 정보입니다.
유형: 객체
필드:
- name: addr
description: 터미널의 네트워크 주소 정보입니다.
유형: 배열
요소:
유형: bigint
- name: ip_address
description: 제어 컴퓨터의 IP 주소입니다.
유형: 문자열
지표:
- ip
- name: port
description: 프로세스가 연결 중인 포트 번호입니다.
유형: bigint
- 이름: type
description: 연결 유형(4 = IPv4, 6 = IPv6).
유형: bigint
- name: user_id
description: 이 이벤트를 발생시킨 사용자의 ID입니다.
유형: 문자열
지표:
- actor_id
- name: user_name
description: 이 이벤트를 발생시킨 사용자의 이름입니다.
유형: 문자열
지표:
- username
- name: texts
description: 이벤트에 대한 설명들입니다.
유형: 배열
요소:
유형: 문자열
