- name: EVENT_CATEGORY
필수: 예
description: 이벤트가 속하는 카테고리
유형: 문자열
- name: EVENT_DETAILS
필수: 예
description: 이벤트 세부 정보
유형: 객체
필드:
- name: data
description: 이벤트 데이터 배열
type: 배열
element:
유형: 객체
필드:
- name: START_TIME
description: 이벤트 시작 시간.
유형: 타임스탬프
시간형식: rfc3339
- name: END_TIME
description: 이벤트 종료 시간.
유형: 타임스탬프
시간형식: rfc3339
- name: EVENT_TYPE
description: 이벤트 유형 설명 예 - 새로운 바이너리 실행됨.
유형: 문자열
- name: EVENT_ID
description: 이벤트 경고 ID.
유형: 문자열
- name: EVENT_ACTOR
description: 이벤트의 출처 예 - AWS, 사용자.
유형: 문자열
- name: EVENT_MODEL
description: 알림을 트리거한 모델.
유형: 문자열
- name: ENTITY_MAP
description: 탐지 알림과 관련된 필드들의 맵.
유형: 객체
필드:
- name: User
description: 알림에 관련된 사용자 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: MACHINE_HOSTNAME
description: 호스트명 필드
유형: 문자열
- name: USERNAME
description: 사용자 이름 필드
유형: 문자열
지표:
- username
- name: Application
description: 알림에 관련된 애플리케이션 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: APPLICATION
description: 애플리케이션 필드
유형: 문자열
- name: HAS_EXTERNAL_CONNS
description: HasExternalConns 필드
유형: 정수(빅인트)
- name: IS_CLIENT
description: IsClient 필드
유형: 정수(빅인트)
- name: IS_SERVER
description: IsServer 필드
유형: 정수(빅인트)
- name: EARLIEST_KNOWN_TIME
description: EarliestKnownTime 필드
유형: 타임스탬프
시간형식: rfc3339
- name: Machine
description: 알림에 관련된 머신 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: HOSTNAME
description: 호스트명 필드
유형: 문자열
- name: EXTERNAL_IP
description: ExternalIP 필드
유형: 문자열
지표:
- ip
- name: INSTANCE_ID
description: InstanceID 필드
유형: 문자열
- name: INSTANCE_NAME
description: InstanceName 필드
유형: 문자열
- name: CPU_PERCENTAGE
description: CPUPercentage 필드
type: 부동소수점
- name: INTERNAL_IP_ADDR
description: InternalIPAddress 필드
유형: 문자열
지표:
- ip
- name: IS_EXTERNAL
description: IsExternal 필드
유형: 정수(빅인트)
- name: Container
description: 알림에 관련된 컨테이너 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: IMAGE_REPO
description: ImageRepo 필드
유형: 문자열
- name: IMAGE_TAG
description: ImageTag 필드
유형: 문자열
- name: HAS_EXTERNAL_CONNS
description: HasExternalConns 필드
유형: 정수(빅인트)
- name: IS_CLIENT
description: IsClient 필드
유형: 정수(빅인트)
- name: IS_SERVER
description: IsServer 필드
유형: 정수(빅인트)
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: 타임스탬프
시간형식: rfc3339
- name: POD_NAMESPACE
description: PodNamespace 필드
유형: 문자열
- name: POD_IP_ADDR
description: PodIPAddress 필드
유형: 문자열
지표:
- ip
- name: DnsName
description: 알림에 관련된 DNS 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: HOSTNAME
description: 호스트명 필드
유형: 문자열
- name: PORT_LIST
description: PortList 필드
type: 배열
element:
type: 정수
- name: TOTAL_IN_BYTES
description: TotalINBytes 필드
type: 부동소수점
- name: TOTAL_OUT_BYTES
description: TotalOUTBytes 필드
type: 부동소수점
- name: IpAddress
description: 알림에 관련된 IP 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: IP_ADDRESS
description: SourceIPAddress 필드
유형: 문자열
지표:
- ip
- name: TOTAL_IN_BYTES
description: TotalINBytes 필드
type: 부동소수점
- name: TOTAL_OUT_BYTES
description: TotalOUTBytes 필드
type: 부동소수점
- name: THREAT_TAGS
description: ThreatTags 필드
type: 배열
element:
유형: 문자열
- name: THREAT_SOURCE
description: ThreatSource 필드
유형: json
- name: COUNTRY
description: Country 필드
유형: 문자열
- name: REGION
description: Region 필드
유형: 문자열
- name: PORT_LIST
description: PortList 필드
type: 배열
element:
type: 정수
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: 문자열
- name: Process
description: 알림에 관련된 프로세스 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: HOSTNAME
description: 호스트명 필드
유형: 문자열
- name: PROCESS_ID
description: ProcessID 필드
유형: 정수(빅인트)
- name: PROCESS_START_TIME
description: ProcessStartTime 필드
유형: 타임스탬프
시간형식: rfc3339
- name: CMDLINE
description: CommandLine 필드
유형: 문자열
- name: CPU_PERCENTAGE
description: CPUPercentage 필드
type: 부동소수점
- name: FileDataHash
description: 알림에 관련된 파일 해시 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: FILEDATA_HASH
description: FiledataHash 필드
유형: 문자열
- name: MACHINE_COUNT
description: MachineCount 필드
유형: 정수(빅인트)
- name: EXE_PATH_LIST
description: EXEPathList 필드
type: 배열
element:
유형: 문자열
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: 타임스탬프
시간형식: rfc3339
- name: IS_KNOWN_BAD
description: ISKnownBad 필드
유형: 정수(빅인트)
- name: FileExePath
description: 실행 파일 경로 정보.
type: 배열
element:
유형: 객체
필드:
- name: EXE_PATH
description: EXEPath 필드
유형: 문자열
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: 타임스탬프
시간형식: rfc3339
- name: LAST_FILEDATA_HASH
description: LastFileDataHash 필드
유형: 문자열
- name: LAST_PACKAGE_NAME
description: LastPackageName 필드
유형: 문자열
- name: LAST_VERSION
description: LastVersion 필드
유형: 문자열
- name: LAST_FILE_OWNER
description: LastFileOwner 필드
유형: 문자열
- name: SourceIpAddress
description: 출처 IP 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: IP_ADDRESS
description: SourceIPAddress 필드
유형: 문자열
지표:
- ip
- name: REGION
description: Region 필드
유형: 문자열
- name: COUNTRY
description: Country 필드
유형: 문자열
- name: API
description: 서비스 및 엔드포인트.
type: 배열
element:
유형: 객체
필드:
- name: SERVICE
description: EventSource 필드
유형: 문자열
- name: API
description: EventName 필드
유형: 문자열
- name: Region
description: 지역 기반 정보.
type: 배열
element:
유형: 객체
필드:
- name: REGION
description: Region 필드
유형: 문자열
- name: ACCOUNT_LIST
description: RecipientAccountID 필드
type: 배열
element:
유형: 문자열
- name: CT_User
description: CloudTrail 사용자 정보.
type: 배열
element:
유형: 객체
필드:
- name: USERNAME
description: 사용자 이름 필드
유형: 문자열
지표:
- username
- name: ACCOUNT_ID
description: AccountID 필드
유형: 문자열
- name: MFA
description: MFA 필드
유형: 정수(빅인트)
- name: API_LIST
description: APIList 필드
type: 배열
element:
유형: 문자열
- name: REGION_LIST
description: RegionList 필드
type: 배열
element:
유형: 문자열
- name: PRINCIPAL_ID
description: AccessKeyID 필드
유형: 문자열
- name: Resource
description: 리소스 값들.
type: 배열
element:
유형: 객체
필드:
- name: NAME
description: 이름 필드
유형: 문자열
- name: VALUE
description: 값 필드
유형: 문자열
- name: RecId
description: 수신자 계정 정보.
type: 배열
element:
유형: 객체
필드:
- name: REC_ID
description: RECID 필드
유형: 문자열
- name: ACCOUNT_ID
description: RecipientAccountID 필드
유형: 문자열
- name: ACCOUNT_ALIAS
description: AccountAlias 필드
유형: 문자열
- name: TITLE
description: 제목 필드
유형: 문자열
- name: STATUS
description: 상태 필드
유형: 문자열
- name: EVAL_TYPE
description: EVALType 필드
유형: 문자열
- name: EVAL_GUID
description: EVALGUID 필드
유형: 문자열
- name: CustomRule
description: 사용자 정의 규칙 정보.
type: 배열
element:
유형: 객체
필드:
- name: LAST_UPDATED_TIME
description: LastUpdatedTime 필드
유형: 타임스탬프
시간형식: rfc3339
- name: LAST_UPDATED_USER
description: LastUpdatedUser 필드
유형: 문자열
- name: DISPLAY_FILTER
description: DisplayFilter 필드
유형: 문자열
- name: RULE_GUID
description: RuleGUID 필드
유형: 문자열
- name: NewViolation
description: 위반 참조.
type: 배열
element:
유형: 객체
필드:
- name: REC_ID
description: RECID 필드
유형: 문자열
- name: REASON
description: 원인(Reason) 필드
유형: 문자열
- name: RESOURCE
description: 리소스 필드
유형: 문자열
- name: ViolationReason
description: 위반에 대한 이유.
type: 배열
element:
유형: 객체
필드:
- name: REC_ID
description: RECID 필드
유형: 문자열
- name: REASON
description: 원인(Reason) 필드
유형: 문자열
- name: SEVERITY
필수: 예
description: 경고의 심각도 수준
유형: 정수(빅인트)
- name: START_TIME
필수: 예
description: 이벤트 시작 시간.
유형: 타임스탬프
timeFormat: strftime=%d %b %Y %H:%M %Z
isEventTime: true
- name: SUMMARY
필수: 예
description: 경고 제목 및 빠른 요약
유형: 문자열
- name: EVENT_TYPE
필수: 예
description: 이벤트 유형
유형: 문자열
- name: EVENT_NAME
필수: 예
description: 이벤트 이름
유형: 문자열
- name: LINK
필수: 예
description: 이벤트에 대한 Lacework 대시보드 링크
유형: 문자열
- name: EVENT_ID
필수: 예
description: 이벤트ID 참조
유형: 정수(빅인트)
- name: ACCOUNT
필수: 예
description: 이벤트를 생성한 Lacework 테넌트
유형: 문자열
- name: SOURCE
필수: 예
description: 이벤트가 트리거된 데이터 소스
유형: 문자열
