> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/sentinel-one.md). # SentinelOne 로그 ## 개요 Panther는 SentinelOne에서 다음 로그 유형의 수집을 지원합니다: * 활동 로그 * SentinelOne 활동 로그는 네트워크에서 발생하는 다양한 이벤트를 캡처하며, 다음과 같은 위협 관리 이벤트를 포함합니다 `사용자 지정 규칙 - 새 알러트` 그리고 `사용자가 애플리케이션을 위협으로 표시함`, 뿐만 아니라 다음과 같은 관리 작업도 포함합니다 `에이전트 제거 요청` 그리고 `사용자 2FA 수정됨`. * Panther는 활동 로그를 다음에서 가져옵니다: `/web/api/v2.1/activities` 라는 SentinelOne API의 엔드포인트입니다. 이 `/activities` 엔드포인트는 모든 유료 SentinelOne 플랜에서 사용할 수 있습니다. * 이 로그를 수집하려면 다음의 지침을 따르세요: [SentinelOne API 활동 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-api-activity-logs-to-panther), 아래에서. * Deep Visibility 2.0 로그 * Deep Visibility 로그는 SentinelOne EDR 및 XDR 원격 측정 데이터를 캡처합니다. * [SentinelOne Cloud Funnel](https://www.sentinelone.com/platform/singularity-cloud-funnel/) 는 로그를 클라우드 저장소 위치로 전달하는 향상된 XDR 데이터 스트리밍 서비스입니다. Panther는 이 클라우드 저장소 위치에서 Deep Visibility 로그를 가져옵니다. * 이 로그를 수집하려면 다음의 지침을 따르세요: [SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-cloud-funnel-deep-visibility-logs-to-panther), 아래에서. ## SentinelOne API 활동 로그를 Panther에 온보딩하는 방법 아래 지침은 SentinelOne API 활동 로그에 적용됩니다. SentinelOne Cloud Funnel 로그를 온보딩하는 방법은 다음 섹션을 참조하세요: [SentinelOne Deep Visibility 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-cloud-funnel-deep-visibility-logs-to-panther). ### 1단계: SentinelOne 서비스 사용자 및 API 토큰 만들기 SentinelOne 계정에서 Viewer 역할이 있는 서비스 사용자의 API 토큰이 필요합니다. 이미 서비스 사용자의 API 토큰이 있다면 이 단계를 건너뛸 수 있습니다. 1. SentinelOne 대시보드의 왼쪽 탐색 표시줄에서 다음을 클릭합니다 **설정**. 2. 설정 페이지 상단에서 다음을 클릭합니다 **Users** 탭.\\
In SentinelOne, the Settings icon is highlighted in the left sidebar menu and the "Users" tab is circled at the top.
3. Users 페이지 왼쪽에서 다음을 클릭합니다 **Service Users**. 4. 다음을 클릭합니다: **Actions** 드롭다운에서 다음을 클릭합니다 **새 서비스 사용자 만들기**.\\
On the Settings page, "Service Users" is highlighted on the left. The Actions dropdown menu is expanded, and the "Create New Service User" option is highlighted.
5. 다음에서 **새 서비스 사용자 만들기** 페이지에서 이름과 설명을 입력하고 만료 날짜를 선택한 다음 다음을 클릭합니다 **다음을 클릭합니다.**\\
6. "액세스 범위 선택" 페이지에서 다음을 구성합니다: * **접근 수준**: `계정` * **선택된 계정**: 올바른 계정을 선택했으며 역할이 다음으로 설정되어 있는지 확인하세요 `뷰어`\\
7. 다음을 클릭합니다: **사용자 만들기**. 8. API 토큰을 복사하여 안전한 위치에 저장하세요. 다음 로그 소스 온보딩 과정에서 Panther에 제공해야 하기 때문입니다.\\
### 2단계: Panther에서 새 SentinelOne API 소스 만들기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. “SentinelOne API”를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **설정 시작.**
5. SentinelOne API 소스를 구성합니다: * **이름**: 소스에 대한 설명적인 이름을 입력합니다. 예를 들어, `SentinelOne API`. * **SentinelOne API Organization**: SentinelOne 계정의 서브도메인을 입력합니다. 이 값을 찾으려면 SentinelOne 대시보드에 로그인한 후 URL에서 서브도메인을 복사하세요. * 예를 들어 대시보드 URL이 다음과 같다면 `https://example-domain.sentinelone.net/dashboard`, 서브도메인은 다음과 같습니다 `example-domain`. * **API 토큰**: 이 문서의 이전 단계에서 복사한 서비스 사용자의 토큰을 입력합니다.\\
On the Configuration page of the SentinelOne API source setup flow, there are fields for Name, SentinelOne API organization, and API Token.
6. 다음을 클릭합니다: **설정**. 성공 화면으로 이동합니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 해당 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정의 기본값은 **YES**. 일정 시간이 지나 로그 소스에서 데이터 흐름이 중지되면 알림을 받게 되므로 이 기능을 활성화한 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.\\\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 클라우드 저장소 엔터티를 만들었습니다. * AWS S3를 사용하는 경우, 다음에 있는 SentinelOne 문서에 따라 구성하세요: `[SentinelOne Domain]/docs/en/how-to-configure-your-amazon-s3-bucket.html`. ### 1단계: Panther에서 새 SentinelOne Cloud Funnel 2.0 소스 만들기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. “SentinelOne Cloud Funnel 2.0”를 검색한 다음 해당 타일을 클릭합니다. * 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단 모서리의 드롭다운에는 다음이 미리 채워집니다 **AWS S3 버킷** 옵션. 4. 슬라이드아웃 패널에서 **설정 시작.** 5. 다음 구성을 위해 Panther 문서를 따르세요 [AWS S3](/ko/data-onboarding/data-transports/aws/s3.md) 를 데이터 전송 수단으로 사용합니다. ### 2단계: Cloud Funnel 스트리밍 활성화 * 클라우드 저장소 위치로 Cloud Funnel 스트리밍을 활성화하는 방법은 다음에 있는 SentinelOne 문서를 따르세요: `[SentinelOne Domain]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming`. ## 지원되는 로그 유형 ### SentinelOne.Activity SentinelOne API의 활동 이벤트입니다. ```yaml schema: SentinelOne.Activity 파서: native: name: SentinelOne.Activity description: 필터와 일치하는 활동과 해당 데이터를 가져옵니다. 필터에 일부 값을 설정하는 것을 권장합니다. referenceURL: https://usea1-partners.sentinelone.net/api-doc/api-details?category=activities&api=get-activities fields: - 이름: accountId description: 계정 ID type: string - name: accountName description: 계정 이름 type: string - name: activityType required: true description: 활동 유형 type: string - name: activityUuid description: 활동 UUID type: string - name: agentId description: 관련 에이전트 ID type: string - name: agentUpdatedVersion description: 업데이트된 에이전트 버전 type: string - name: comments description: 댓글 type: string - 이름: createdAt description: 활동 생성 시간(UTC) type: timestamp timeFormats: - rfc3339 isEventTime: true - name: data description: 이벤트별 데이터입니다. 다음과 같은 가능한 필드를 포함할 수 있습니다 accountid, accountname, action, actoralternateid, agentipv4, alertid, alertprocessname, alertscounter, application, applicationtype, attr, bundlemessage, byuser, changedkeys, commandbatchuuid, commandid, computername, confidencelevel, createdat, createdbyusername, current, datasourcename, deactivationperiodindays, description, detectedat, direction, disabledlevel, dnsrequest, dnsresponse, downloadurl, dstip, dstport, dveventid, dveventtype, email, enabledreason, error, escapedmaliciousprocessarguments, eventcategory, eventdetails, eventexternalid, eventtime, exclusiontype, expiration, expirationmessage, expirydatestr, expirytime, externalip, externalip, externalthreatvalue, filecontenthash, filedisplayname, filename, filepath, fullscopedetails, fullscopedetailspath, group, groupid, groupname, grouptype, indicatorcategory, indicatordescription, indicatorname, initiatedbyname, ipaddress, k8sclustername, k8scontainerid, k8scontainerimage, k8scontainerlabels, k8scontainername, k8scontrollerkind, k8scontrollerlabels, k8scontrollername, k8snamespace, k8snamespacelabels, k8snode, k8spod, k8spodlabels, key, licensesdescription, localhost, localhosttype, localports, localporttype, locationnames, loginaccountdomain, loginaccountsid, loginisadministratorequivalent, loginissuccessful, loginsusername, logintype, majorversion, minorversion, modulemessage, modulepath, modulesha1, namechange, namemessage, neteventdirection, networkquarantine, newincidentstatus, newincidentstatustitle, newstatus, newvalue, noteaction, notedetails, oldaccountname, olddescription, oldincidentstatus, oldincidentstatustitle, oldkey, oldrulename, oldsitename, oldstatus, oldvalue, optionalgroups, order, origagentmachinetype, origagentmachinetype, origagentname, origagentname, origagentosfamily, origagentosfamily, origagentosname, origagentosname, origagentosrevision, origagentosrevision, origagentsiteid, origagentuuid, origagentuuid, origagentversion, origagentversion, originalstatus, osarch, osfamily, ostypes, packageid, physical, platformtype, policy, policyname, previous, protocol, reason, recoveryemail, registrykeypath, registryoldvalue, registryoldvaluetype, registrypath, registryvalue, remotehost, remotehosttype, remoteports, remoteporttype, reportlog, reportmgmt, role, rolename, rulecreationtime, ruledescription, ruleexpirationmode, ruleid, rulename, rulequerydetails, rulequerytype, rulescopeid, rulescopelevel, ruleseverity, scopeid, scopelevel, scopelevelname, scopename, setting, settingmessage, severity, siteexpiration, siteid, sitename, source, sourcename, sourceparentprocesscommandline, sourceparentprocessintegritylevel, sourceparentprocesskey, sourceparentprocessmd5, sourceparentprocessname, sourceparentprocesspath, sourceparentprocesspid, sourceparentprocesssha1, sourceparentprocesssha256, sourceparentprocesssigneridentity, sourceparentprocessstarttime, sourceparentprocessstoryline, sourceparentprocesssubsystem, sourceparentprocessusername, sourceprocesscommandline, sourceprocessfilehashmd5, sourceprocessfilehashsha1, sourceprocessfilehashsha256, sourceprocessfilepath, sourceprocessfilesigneridentity, sourceprocessintegritylevel, sourceprocesskey, sourceprocesskey, sourceprocessmd5, sourceprocessname, sourceprocesspid, sourceprocesssha1, sourceprocesssha256, sourceprocessstarttime, sourceprocessstoryline, sourceprocesssubsystem, sourceprocessusername, srcip, srcmachineip, srcport, status, storyline, system, systemuser, tagid, tagnames, tags, tgtfilecreatedat, tgtfilehashsha1, tgtfilehashsha256, tgtfileid, tgtfileissigned, tgtfilemodifiedat, tgtfileoldpath, tgtfilepath, tgtproccmdline, tgtprocessstarttime, tgtprocimagepath, tgtprocintegritylevel, tgtprocname, tgtprocpid, tgtprocsignedstatus, tgtprocstorylineid, tgtprocuid, threatalreadyexists, threatclassification, threatclassificationsource, tiindicatorcomparisonmethod, tiindicatorsource, tiindicatortype, tiindicatorvalue, treatasthreat, type, updatedescriptionmessage, updatenameanddescriptionmessage, updatenamemessage, uploadedfilename, userid, username, userscope, uuid, value, version 유형: json - 이름: description description: 이벤트 설명 type: string - 이름: groupId description: 관련 그룹 ID type: string - name: groupName description: 관련 그룹 이름 type: string - name: hash description: 위협 파일 해시 type: string - 이름: id required: true description: 활동 ID type: string 표시자: - trace_id - name: osFamily description: 에이전트의 OS 유형 type: string - name: primaryDescription description: 기본 활동 설명 type: string - name: secondaryDescription description: 보조 활동 설명 type: string - name: siteId description: 관련 사이트 ID type: string - name: siteName description: 관련 사이트 이름 type: string - name: threatId description: 관련 위협 ID type: string - 이름: updatedAt description: 활동 최종 업데이트 시간(UTC) type: timestamp timeFormats: - rfc3339 - name: userId description: 활동을 실행한 사용자 type: string ``` ### SentinelOne.DeepVisibility2 SentinelOne 서비스의 Deep Visibility 2.0 이벤트입니다. ```yaml schema: SentinelOne.DeepVisibilityV2 description: SentinelOne Cloud Funnel 2.0 서비스의 Deep Visibility 이벤트 referenceURL: https://support.sentinelone.com/hc/en-us/articles/4409020727575 fields: - 이름: timestamp description: 타임스탬프 필드 type: timestamp timeFormats: - rfc3339 - name: dataSource.category description: DataSourceCategory 필드 type: string - name: dataSource.name description: DataSourceName 필드 type: string - name: endpoint.name description: EndpointName 필드 type: string - name: endpoint.os description: EndpointOs 필드 type: string - name: endpoint.type description: EndpointType 필드 type: string - name: agent.uuid description: AgentUuid 필드 type: string - name: agent.version description: AgentVersion 필드 type: string - name: site.name description: SiteName 필드 type: string - name: site.id description: SiteId 필드 type: string - name: event.category description: EventCategory 필드 type: string - name: event.type description: EventType 필드 type: string - name: event.time required: true description: EventTime 필드 type: timestamp timeFormats: - unix_ms isEventTime: true - name: event.id description: EventId 필드 type: string - name: event.repetitionCount description: EventRepetitionCount 필드 type: bigint - name: src.process.name description: SrcProcessName 필드 type: string - name: src.process.storyline.id description: SrcProcessStorylineId 필드 type: string - name: src.process.cmdline description: SrcProcessCmdline 필드 type: string - name: src.process.user description: SrcProcessUser 필드 type: string - name: src.process.startTime description: SrcProcessStartTime 필드 type: timestamp timeFormats: - unix_ms - name: src.process.image.path description: SrcProcessImagePath 필드 type: string - name: src.process.image.extension description: SrcProcessImageExtension 필드 type: string - name: src.process.image.size description: SrcProcessImageSize 필드 type: bigint - name: src.process.userSid description: SrcProcessUserSid 필드 type: string - name: src.process.pid description: SrcProcessPid 필드 type: bigint - name: src.process.displayName description: SrcProcessDisplayName 필드 type: string - name: src.process.uid description: SrcProcessUid 필드 type: string - name: src.process.image.binaryIsExecutable description: SrcProcessImageBinaryIsExecutable 필드 유형: boolean - name: src.process.integrityLevel description: SrcProcessIntegrityLevel 필드 type: string - name: src.process.signedStatus description: SrcProcessSignedStatus 필드 type: string - name: src.process.publisher description: SrcProcessPublisher 필드 type: string - name: src.process.verifiedStatus description: SrcProcessVerifiedStatus 필드 type: string - name: src.process.reasonSignatureInvalid description: SrcProcessReasonSignatureInvalid 필드 type: string - name: src.process.image.sha1 description: SrcProcessImageSha1 필드 type: string 표시자: - sha1 - name: src.process.image.md5 description: SrcProcessImageMd5 필드 type: string 표시자: - md5 - name: src.process.image.sha256 description: SrcProcessImageSha256 필드 type: string 표시자: - sha256 - name: src.process.subsystem description: SrcProcessSubsystem 필드 type: string - name: src.process.sessionId description: SrcProcessSessionId 필드 type: bigint - name: src.process.isNative64Bit description: SrcProcessIsNative64Bit 필드 유형: boolean - name: src.process.isRedirectCmdProcessor description: SrcProcessIsRedirectCmdProcessor 필드 유형: boolean - name: src.process.isStorylineRoot description: SrcProcessIsStorylineRoot 필드 유형: boolean - name: src.process.activeContentType description: SrcProcessActiveContentType 필드 type: string - name: src.process.activeContent.id description: SrcProcessActiveContentId 필드 type: string - name: src.process.activeContent.path description: SrcProcessActiveContentPath 필드 type: string - name: src.process.activeContent.hash description: SrcProcessActiveContentHash 필드 type: string 표시자: - sha1 - name: src.process.activeContent.signedStatus description: SrcProcessActiveContentSignedStatus 필드 type: string - name: src.process.rpid description: SrcProcessRpid 필드 type: bigint - name: src.process.tid description: SrcProcessTid 필드 type: bigint - name: src.process.image.location description: SrcProcessImageLocation 필드 type: string - name: src.process.image.uid description: SrcProcessImageUid 필드 type: string - name: src.process.image.originalFileName description: SrcProcessImageOriginalFileName 필드 type: string - name: src.process.image.description description: SrcProcessImageDescription 필드 type: string - name: src.process.image.internalName description: SrcProcessImageInternalName 필드 type: string - name: src.process.image.productName description: SrcProcessImageProductName 필드 type: string - name: src.process.image.productVersion description: SrcProcessImageProductVersion 필드 type: string - name: src.process.image.type description: SrcProcessImageType 필드 type: string - name: cmdScript.content description: CmdScriptContent 필드 type: string - name: cmdScript.isComplete description: CmdScriptIsComplete 필드 유형: boolean - name: cmdScript.sha256 description: CmdScriptSha256 필드 type: string 표시자: - sha256 - name: cmdScript.originalSize description: CmdScriptOriginalSize 필드 type: bigint - name: cmdScript.applicationName description: CmdScriptApplicationName 필드 type: string - name: osSrc.process.name description: OsSrcProcessName 필드 type: string - name: osSrc.process.storyline.id description: OsSrcProcessStorylineId 필드 type: string - name: osSrc.process.cmdline description: OsSrcProcessCmdline 필드 type: string - name: osSrc.process.user description: OsSrcProcessUser 필드 type: string - name: osSrc.process.startTime description: OsSrcProcessStartTime 필드 type: timestamp timeFormats: - unix_ms - name: osSrc.process.image.path description: OsSrcProcessImagePath 필드 type: string - name: osSrc.process.pid description: OsSrcProcessPid 필드 type: bigint - name: osSrc.process.displayName description: OsSrcProcessDisplayName 필드 type: string - name: osSrc.process.uid description: OsSrcProcessUid 필드 type: string - name: osSrc.process.image.binaryIsExecutable description: OsSrcProcessImageBinaryIsExecutable 필드 유형: boolean - name: osSrc.process.integrityLevel description: OsSrcProcessIntegrityLevel 필드 type: string - name: osSrc.process.signedStatus description: OsSrcProcessSignedStatus 필드 type: string - name: osSrc.process.publisher description: OsSrcProcessPublisher 필드 type: string - name: osSrc.process.verifiedStatus description: OsSrcProcessVerifiedStatus 필드 type: string - name: osSrc.process.image.sha1 description: OsSrcProcessImageSha1 필드 type: string 표시자: - sha1 - name: osSrc.process.image.md5 description: OsSrcProcessImageMd5 필드 type: string 표시자: - md5 - name: osSrc.process.image.sha256 description: OsSrcProcessImageSha256 필드 type: string 표시자: - sha256 - name: osSrc.process.subsystem description: OsSrcProcessSubsystem 필드 type: string - name: osSrc.process.sessionId description: OsSrcProcessSessionId 필드 type: bigint - name: osSrc.process.isNative64Bit description: OsSrcProcessIsNative64Bit 필드 유형: boolean - name: osSrc.process.isRedirectCmdProcessor description: OsSrcProcessIsRedirectCmdProcessor 필드 유형: boolean - name: osSrc.process.isStorylineRoot description: OsSrcProcessIsStorylineRoot 필드 유형: boolean - name: osSrc.process.activeContentType description: OsSrcProcessActiveContentType 필드 type: string - name: osSrc.process.activeContent.id description: OsSrcProcessActiveContentId 필드 type: string - name: osSrc.process.activeContent.path description: OsSrcProcessActiveContentPath 필드 type: string - name: osSrc.process.activeContent.hash description: OsSrcProcessActiveContentHash 필드 type: string 표시자: - sha1 - name: osSrc.process.activeContent.signedStatus description: OsSrcProcessActiveContentSignedStatus 필드 type: string - name: osSrc.process.reasonSignatureInvalid description: OsSrcProcessReasonSignatureInvalid 필드 type: string - name: osSrc.process.crossProcessCount description: OsSrcProcessCrossProcessCount 필드 type: bigint - name: osSrc.process.crossProcessOutOfStorylineCount description: OsSrcProcessCrossProcessOutOfStorylineCount 필드 type: bigint - name: osSrc.process.crossProcessDupRemoteProcessHandleCount description: OsSrcProcessCrossProcessDupRemoteProcessHandleCount 필드 type: bigint - name: osSrc.process.crossProcessDupThreadHandleCount description: OsSrcProcessCrossProcessDupThreadHandleCount 필드 type: bigint - name: osSrc.process.crossProcessOpenProcessCount description: OsSrcProcessCrossProcessOpenProcessCount 필드 type: bigint - name: osSrc.process.crossProcessThreadCreateCount description: OsSrcProcessCrossProcessThreadCreateCount 필드 type: bigint - name: osSrc.process.netConnCount description: OsSrcProcessNetConnCount 필드 type: bigint - 이름: osSrc.process.netConnInCount 설명: OsSrcProcessNetConnInCount 필드 type: bigint - 이름: osSrc.process.netConnOutCount 설명: OsSrcProcessNetConnOutCount 필드 type: bigint - 이름: osSrc.process.dnsCount 설명: OsSrcProcessDnsCount 필드 type: bigint - 이름: osSrc.process.tgtFileModificationCount 설명: OsSrcProcessTgtFileModificationCount 필드 type: bigint - 이름: osSrc.process.tgtFileCreationCount 설명: OsSrcProcessTgtFileCreationCount 필드 type: bigint - 이름: osSrc.process.tgtFileDeletionCount 설명: OsSrcProcessTgtFileDeletionCount 필드 type: bigint - 이름: osSrc.process.registryChangeCount 설명: OsSrcProcessRegistryChangeCount 필드 type: bigint - 이름: osSrc.process.indicatorBootConfigurationUpdateCount 설명: OsSrcProcessIndicatorBootConfigurationUpdateCount 필드 type: bigint - 이름: osSrc.process.indicatorEvasionCount 설명: OsSrcProcessIndicatorEvasionCount 필드 type: bigint - 이름: osSrc.process.indicatorExploitationCount 설명: OsSrcProcessIndicatorExploitationCount 필드 type: bigint - 이름: osSrc.process.indicatorGeneral.count 설명: OsSrcProcessIndicatorGeneralCount 필드 type: bigint - 이름: osSrc.process.indicatorInfostealerCount 설명: OsSrcProcessIndicatorInfostealerCount 필드 type: bigint - 이름: osSrc.process.indicatorInjectionCount 설명: OsSrcProcessIndicatorInjectionCount 필드 type: bigint - 이름: osSrc.process.indicatorPersistenceCount 설명: OsSrcProcessIndicatorPersistenceCount 필드 type: bigint - 이름: osSrc.process.indicatorPostExploitationCount 설명: OsSrcProcessIndicatorPostExploitationCount 필드 type: bigint - 이름: osSrc.process.indicatorRansomwareCount 설명: OsSrcProcessIndicatorRansomwareCount 필드 type: bigint - 이름: osSrc.process.indicatorReconnaissanceCount 설명: OsSrcProcessIndicatorReconnaissanceCount 필드 type: bigint - 이름: osSrc.process.childProcCount 설명: OsSrcProcessChildProcCount 필드 type: bigint - 이름: osSrc.process.moduleCount 설명: OsSrcProcessModuleCount 필드 type: bigint - 이름: osSrc.process.image.type 설명: OsSrcProcessImageType 필드 type: string - 이름: osSrc.process.image.extension 설명: OsSrcProcessImageExtension 필드 type: string - 이름: osSrc.process.image.size 설명: OsSrcProcessImageSize 필드 type: bigint - 이름: osSrc.process.image.location 설명: OsSrcProcessImageLocation 필드 type: string - 이름: osSrc.process.image.uid 설명: OsSrcProcessImageUid 필드 type: string - 이름: osSrc.process.image.signature.isValid 설명: OsSrcProcessImageSignatureIsValid 필드 유형: boolean - 이름: osSrc.process.userSid 설명: OsSrcProcessUserSid 필드 type: string - 이름: src.process.parent.name 설명: SrcProcessParentName 필드 type: string - 이름: src.process.parent.storyline.id 설명: SrcProcessParentStorylineId 필드 type: string - 이름: src.process.parent.cmdline 설명: SrcProcessParentCmdline 필드 type: string - 이름: src.process.parent.user 설명: SrcProcessParentUser 필드 type: string - 이름: src.process.parent.startTime 설명: SrcProcessParentStartTime 필드 type: timestamp timeFormats: - unix_ms - 이름: src.process.parent.image.path 설명: SrcProcessParentImagePath 필드 type: string - 이름: src.process.parent.displayName 설명: SrcProcessParentDisplayName 필드 type: string - 이름: src.process.parent.uid 설명: SrcProcessParentUid 필드 type: string - 이름: src.process.parent.integrityLevel 설명: SrcProcessParentIntegrityLevel 필드 type: string - 이름: src.process.parent.signedStatus 설명: SrcProcessParentSignedStatus 필드 type: string - 이름: src.process.parent.publisher 설명: SrcProcessParentPublisher 필드 type: string - 이름: src.process.parent.image.sha1 설명: SrcProcessParentImageSha1 필드 type: string 표시자: - sha1 - 이름: src.process.parent.image.md5 설명: SrcProcessParentImageMd5 필드 type: string 표시자: - md5 - 이름: src.process.parent.image.sha256 설명: SrcProcessParentImageSha256 필드 type: string 표시자: - sha256 - 이름: src.process.parent.sessionId 설명: SrcProcessParentSessionId 필드 type: bigint - 이름: src.process.parent.isNative64Bit 설명: SrcProcessParentIsNative64Bit 필드 유형: boolean - 이름: src.process.parent.isRedirectCmdProcessor 설명: SrcProcessParentIsRedirectCmdProcessor 필드 유형: boolean - 이름: src.process.parent.isStorylineRoot 설명: SrcProcessParentIsStorylineRoot 필드 유형: boolean - 이름: src.process.parent.pid 설명: SrcProcessParentPid 필드 type: bigint - 이름: src.process.parent.image.type 설명: SrcProcessParentImageType 필드 type: string - 이름: src.process.parent.image.extension 설명: SrcProcessParentImageExtension 필드 type: string - 이름: src.process.parent.image.size 설명: SrcProcessParentImageSize 필드 type: bigint - 이름: src.process.parent.image.location 설명: SrcProcessParentImageLocation 필드 type: string - 이름: src.process.parent.image.uid 설명: SrcProcessParentImageUid 필드 type: string - 이름: src.process.parent.image.signature.isValid 설명: SrcProcessParentImageSignatureIsValid 필드 유형: boolean - 이름: src.process.parent.userSid 설명: SrcProcessParentUserSid 필드 type: string - 이름: src.process.parent.image.binaryIsExecutable 설명: SrcProcessParentImageBinaryIsExecutable 필드 유형: boolean - 이름: osSrc.process.parent.name 설명: OsSrcProcessParentName 필드 type: string - 이름: osSrc.process.parent.storyline.id 설명: OsSrcProcessParentStorylineId 필드 type: string - 이름: osSrc.process.parent.cmdline 설명: OsSrcProcessParentCmdline 필드 type: string - 이름: osSrc.process.parent.user 설명: OsSrcProcessParentUser 필드 type: string - 이름: osSrc.process.parent.startTime 설명: OsSrcProcessParentStartTime 필드 type: timestamp timeFormats: - unix_ms - 이름: osSrc.process.parent.image.path 설명: OsSrcProcessParentImagePath 필드 type: string - 이름: osSrc.process.parent.pid 설명: OsSrcProcessParentPid 필드 type: bigint - 이름: osSrc.process.parent.uid 설명: OsSrcProcessParentUid 필드 type: string - 이름: osSrc.process.parent.image.sha1 설명: OsSrcProcessParentImageSha1 필드 type: string 표시자: - sha1 - 이름: osSrc.process.parent.image.md5 설명: OsSrcProcessParentImageMd5 필드 type: string 표시자: - md5 - 이름: osSrc.process.parent.image.sha256 설명: OsSrcProcessParentImageSha256 필드 type: string 표시자: - sha256 - 이름: osSrc.process.parent.displayName 설명: OsSrcProcessParentDisplayName 필드 type: string - 이름: osSrc.process.parent.integrityLevel 설명: OsSrcProcessParentIntegrityLevel 필드 type: string - 이름: osSrc.process.parent.signedStatus 설명: OsSrcProcessParentSignedStatus 필드 type: string - 이름: osSrc.process.parent.publisher 설명: OsSrcProcessParentPublisher 필드 type: string - 이름: osSrc.process.parent.reasonSignatureInvalid 설명: OsSrcProcessParentReasonSignatureInvalid 필드 type: string - 이름: osSrc.process.parent.sessionId 설명: OsSrcProcessParentSessionId 필드 type: bigint - 이름: osSrc.process.parent.isNative64Bit 설명: OsSrcProcessParentIsNative64Bit 필드 유형: boolean - 이름: osSrc.process.parent.isRedirectCmdProcessor 설명: OsSrcProcessParentIsRedirectCmdProcessor 필드 유형: boolean - 이름: osSrc.process.parent.isStorylineRoot 설명: OsSrcProcessParentIsStorylineRoot 필드 유형: boolean - 이름: osSrc.process.parent.activeContentType 설명: OsSrcProcessParentActiveContentType 필드 type: string - 이름: osSrc.process.parent.activeContent.id 설명: OsSrcProcessParentActiveContentId 필드 type: string - 이름: osSrc.process.parent.activeContent.path 설명: OsSrcProcessParentActiveContentPath 필드 type: string - 이름: osSrc.process.parent.activeContent.hash 설명: OsSrcProcessParentActiveContentHash 필드 type: string 표시자: - sha1 - 이름: osSrc.process.parent.activeContent.signedStatus 설명: OsSrcProcessParentActiveContentSignedStatus 필드 type: string - 이름: osSrc.process.parent.image.type 설명: OsSrcProcessParentImageType 필드 type: string - 이름: osSrc.process.parent.image.extension 설명: OsSrcProcessParentImageExtension 필드 type: string - 이름: osSrc.process.parent.image.size 설명: OsSrcProcessParentImageSize 필드 type: bigint - 이름: osSrc.process.parent.image.location 설명: OsSrcProcessParentImageLocation 필드 type: string - 이름: osSrc.process.parent.image.uid 설명: OsSrcProcessParentImageUid 필드 type: string - 이름: osSrc.process.parent.image.signature.isValid 설명: OsSrcProcessParentImageSignatureIsValid 필드 유형: boolean - 이름: osSrc.process.parent.userSid 설명: OsSrcProcessParentUserSid 필드 type: string - 이름: osSrc.process.parent.image.binaryIsExecutable 설명: OsSrcProcessParentImageBinaryIsExecutable 필드 유형: boolean - 이름: osSrc.process.parent.subsystem 설명: OsSrcProcessParentSubsystem 필드 type: string - 이름: tgt.process.name 설명: TgtProcessName 필드 type: string - 이름: tgt.process.relation 설명: TgtProcessRelation 필드 type: string - 이름: tgt.process.storyline.id 설명: TgtProcessStorylineId 필드 type: string - 이름: tgt.process.cmdline 설명: TgtProcessCmdline 필드 type: string - 이름: tgt.process.user 설명: TgtProcessUser 필드 type: string - 이름: tgt.process.startTime 설명: TgtProcessStartTime 필드 type: timestamp timeFormats: - unix_ms - 이름: tgt.process.image.path 설명: TgtProcessImagePath 필드 type: string - 이름: tgt.process.pid 설명: TgtProcessPid 필드 type: bigint - 이름: tgt.process.displayName 설명: TgtProcessDisplayName 필드 type: string - 이름: tgt.process.uid 설명: TgtProcessUid 필드 type: string - 이름: tgt.process.image.binaryIsExecutable 설명: TgtProcessImageBinaryIsExecutable 필드 유형: boolean - 이름: tgt.process.integrityLevel 설명: TgtProcessIntegrityLevel 필드 type: string - 이름: tgt.process.signedStatus 설명: TgtProcessSignedStatus 필드 type: string - 이름: tgt.process.publisher 설명: TgtProcessPublisher 필드 type: string - 이름: tgt.process.verifiedStatus 설명: TgtProcessVerifiedStatus 필드 type: string - 이름: tgt.process.reasonSignatureInvalid 설명: TgtProcessReasonSignatureInvalid 필드 type: string - 이름: tgt.process.image.sha1 설명: TgtProcessImageSha1 필드 type: string 표시자: - sha1 - 이름: tgt.process.image.md5 설명: TgtProcessImageMd5 필드 type: string 표시자: - md5 - 이름: tgt.process.image.sha256 설명: TgtProcessImageSha256 필드 type: string 표시자: - sha256 - 이름: tgt.process.subsystem 설명: TgtProcessSubsystem 필드 type: string - 이름: tgt.process.sessionId 설명: TgtProcessSessionId 필드 type: bigint - 이름: tgt.process.isNative64Bit 설명: TgtProcessIsNative64Bit 필드 유형: boolean - 이름: tgt.process.isRedirectCmdProcessor 설명: TgtProcessIsRedirectCmdProcessor 필드 유형: boolean - 이름: tgt.process.isStorylineRoot 설명: TgtProcessIsStorylineRoot 필드 유형: boolean - 이름: tgt.process.activeContentType 설명: TgtProcessActiveContentType 필드 type: string - 이름: tgt.process.activeContent.id 설명: TgtProcessActiveContentId 필드 type: string - 이름: tgt.process.activeContent.path 설명: TgtProcessActiveContentPath 필드 type: string - 이름: tgt.process.activeContent.hash 설명: TgtProcessActiveContentHash 필드 type: string 표시자: - sha1 - 이름: tgt.process.activeContent.signedStatus 설명: TgtProcessActiveContentSignedStatus 필드 type: string - 이름: src.process.crossProcessCount 설명: SrcProcessCrossProcessCount 필드 type: bigint - 이름: tgt.process.accessRights 설명: TgtProcessAccessRights 필드 type: bigint - 이름: tgt.process.image.uid 설명: TgtProcessImageUid 필드 type: string - 이름: tgt.process.image.extension 설명: TgtProcessImageExtension 필드 type: string - 이름: tgt.process.image.size 설명: TgtProcessImageSize 필드 type: bigint - 이름: tgt.process.completeness.hints 설명: TgtProcessCompletenessHints 필드 type: bigint - 이름: tgt.process.userSid 설명: TgtProcessUserSid 필드 type: string - 이름: event.processtermination.exitCode 설명: EventProcessterminationExitCode 필드 type: bigint - 이름: event.processtermination.signal 설명: EventProcessterminationSignal 필드 type: string - 이름: tgt.process.parent.image.type 설명: TgtProcessParentImageType 필드 type: string - 이름: tgt.process.parent.image.location 설명: TgtProcessParentImageLocation 필드 type: string - 이름: src.process.crossProcessOutOfStorylineCount 설명: SrcProcessCrossProcessOutOfStorylineCount 필드 type: bigint - 이름: src.process.crossProcessDupRemoteProcessHandleCount 설명: SrcProcessCrossProcessDupRemoteProcessHandleCount 필드 type: bigint - 이름: src.process.crossProcessDupThreadHandleCount 설명: SrcProcessCrossProcessDupThreadHandleCount 필드 type: bigint - 이름: src.process.crossProcessOpenProcessCount 설명: SrcProcessCrossProcessOpenProcessCount 필드 type: bigint - 이름: src.process.crossProcessThreadCreateCount 설명: SrcProcessCrossProcessThreadCreateCount 필드 type: bigint - 이름: src.ip.address 설명: SrcIpAddress 필드 type: string 표시자: - ip - 이름: src.port.number 설명: SrcPortNumber 필드 type: bigint - 이름: dst.ip.address 설명: DstIpAddress 필드 type: string 표시자: - ip - 이름: dst.port.number 설명: DstPortNumber 필드 type: bigint - 이름: event.network.direction 설명: EventNetworkDirection 필드 type: string - 이름: event.network.connectionStatus 설명: EventNetworkConnectionStatus 필드 type: string - 이름: event.network.protocolName 설명: EventNetworkProtocolName 필드 type: string - 이름: src.process.netConnCount 설명: SrcProcessNetConnCount 필드 type: bigint - 이름: src.process.netConnInCount 설명: SrcProcessNetConnInCount 필드 type: bigint - 이름: src.process.netConnOutCount 설명: SrcProcessNetConnOutCount 필드 type: bigint - 이름: event.dns.request 설명: EventDnsRequest 필드 type: string 표시자: - 호스트 이름 - 이름: event.dns.response 설명: EventDnsResponse 필드 type: string 표시자: - 호스트 이름 - 이름: event.dns.status 설명: EventDnsStatus 필드 type: string - 이름: src.process.dnsCount 설명: SrcProcessDnsCount 필드 type: bigint - 이름: src.process.exeModificationCount 설명: SrcProcessExeModificationCount 필드 type: bigint - 이름: src.process.modelChildProcessCount 설명: SrcProcessModelChildProcessCount 필드 type: bigint - 이름: url.address 설명: UrlAddress 필드 type: string 표시자: - url - 이름: event.url.action 설명: EventUrlAction 필드 type: string - 이름: event.url.source 설명: EventUrlSource 필드 type: string - 이름: tgt.file.path 설명: TgtFilePath 필드 type: string - 이름: tgt.file.name 설명: TgtFileName 필드 type: string - 이름: tgt.file.oldPath 설명: TgtFileOldPath 필드 type: string - 이름: tgt.file.type 설명: TgtFileType 필드 type: string - 이름: tgt.file.size 설명: TgtFileSize 필드 type: bigint - 이름: tgt.file.extension 설명: TgtFileExtension 필드 type: string - 이름: tgt.file.id 설명: TgtFileId 필드 type: string - 이름: tgt.file.description 설명: TgtFileDescription 필드 type: string - 이름: tgt.file.internalName 설명: TgtFileInternalName 필드 type: string - 이름: tgt.file.location 설명: TgtFileLocation 필드 type: string - 이름: tgt.file.md5 설명: TgtFileMd5 필드 type: string 표시자: - md5 - 이름: tgt.file.sha1 설명: TgtFileSha1 필드 type: string 표시자: - sha1 - 이름: tgt.file.sha256 설명: TgtFileSha256 필드 type: string 표시자: - sha256 - 이름: tgt.file.convictedBy 설명: TgtFileConvictedBy 필드 type: string - 이름: src.process.tgtFileModificationCount 설명: SrcProcessTgtFileModificationCount 필드 type: bigint - 이름: src.process.tgtFileCreationCount 설명: SrcProcessTgtFileCreationCount 필드 type: bigint - 이름: src.process.tgtFileDeletionCount 설명: SrcProcessTgtFileDeletionCount 필드 type: bigint - 이름: tgt.file.isSigned 설명: TgtFileIsSigned 필드 type: string - 이름: tgt.file.isExecutable 설명: TgtFileIsExecutable 필드 유형: boolean - 이름: tgt.file.creationTime 설명: TgtFileCreationTime 필드 type: timestamp timeFormats: - unix_ms - 이름: tgt.file.modificationTime 설명: TgtFileModificationTime 필드 type: timestamp timeFormats: - unix_ms - 이름: tgt.file.oldSha1 설명: TgtFileOldSha1 필드 type: string 표시자: - sha1 - 이름: tgt.file.oldMd5 설명: TgtFileOldMd5 필드 type: string 표시자: - md5 - 이름: tgt.file.oldSha256 설명: TgtFileOldSha256 필드 type: string 표시자: - sha256 - 이름: tgt.file.isDirectory 설명: TgtFileIsDirectory 필드 유형: boolean - 이름: tgt.file.isKernelModule 설명: TgtFileIsKernelModule 필드 유형: boolean - 이름: tgt.file.owner.name 설명: TgtFileOwnerName 필드 type: string - 이름: tgt.file.owner.userSid 설명: TgtFileOwnerUserSid 필드 type: string - 이름: tgt.file.publisher 설명: TgtFilePublisher 필드 type: string - 이름: tgt.file.signatureInvalidReason 설명: TgtFileSignatureInvalidReason 필드 type: string - 이름: tgt.file.signature.isValid 설명: TgtFileSignatureIsValid 필드 유형: boolean - 이름: tgt.file.originalFileName 설명: TgtFileOriginalFileName 필드 type: string - 이름: tgt.file.productName 설명: TgtFileProductName 필드 type: string - 이름: tgt.file.productVersion 설명: TgtFileProductVersion 필드 type: string - 이름: registry.keyPath 설명: RegistryKeyPath 필드 type: string - 이름: registry.keyUid 설명: RegistryKeyUid 필드 type: string - 이름: src.process.registryChangeCount 설명: SrcProcessRegistryChangeCount 필드 type: bigint - 이름: registry.valueType 설명: RegistryValueType 필드 type: string - 이름: registry.value 설명: RegistryValue 필드 type: string - 이름: registry.valueFullSize 설명: RegistryValueFullSize 필드 type: bigint - 이름: registry.valueIsComplete 설명: RegistryValueIsComplete 필드 유형: boolean - 이름: registry.oldValueType 설명: RegistryOldValueType 필드 type: string - 이름: registry.oldValue 설명: RegistryOldValue 필드 type: string - 이름: registry.oldValueFullSize 설명: RegistryOldValueFullSize 필드 type: bigint - 이름: registry.oldValueIsComplete 설명: RegistryOldValueIsComplete 필드 유형: boolean - 이름: registry.owner.user 설명: RegistryOwnerUser 필드 type: string - 이름: registry.export.path 설명: RegistryExportPath 필드 type: string - 이름: registry.import.path 설명: RegistryImportPath 필드 type: string - 이름: registry.security.info 설명: RegistrySecurityInfo 필드 type: bigint - 이름: registry.owner.userSid 설명: RegistryOwnerUserSid 필드 type: string - 이름: task.name 설명: TaskName 필드 type: string - 이름: task.path 설명: TaskPath 필드 type: string - 이름: task.triggerType 설명: TaskTriggerType 필드 type: bigint - 이름: indicator.name 설명: IndicatorName 필드 type: string - 이름: indicator.category 설명: IndicatorCategory 필드 type: string - 이름: indicator.description 설명: IndicatorDescription 필드 type: string - 이름: indicator.metadata 설명: IndicatorMetadata 필드 type: string - 이름: indicator.identifier 설명: IndicatorIdentifier 필드 type: string - 이름: src.process.indicatorBootConfigurationUpdateCount 설명: SrcProcessIndicatorBootConfigurationUpdateCount 필드 type: bigint - 이름: src.process.indicatorEvasionCount 설명: SrcProcessIndicatorEvasionCount 필드 type: bigint - 이름: src.process.indicatorExploitationCount 설명: SrcProcessIndicatorExploitationCount 필드 type: bigint - 이름: src.process.indicatorGeneralCount 설명: SrcProcessIndicatorGeneralCount 필드 type: bigint - 이름: src.process.indicatorInfostealerCount 설명: SrcProcessIndicatorInfostealerCount 필드 type: bigint - 이름: src.process.indicatorInjectionCount 설명: SrcProcessIndicatorInjectionCount 필드 type: bigint - 이름: src.process.indicatorPersistenceCount 설명: SrcProcessIndicatorPersistenceCount 필드 type: bigint - 이름: src.process.indicatorPostExploitationCount 설명: SrcProcessIndicatorPostExploitationCount 필드 type: bigint - 이름: src.process.indicatorRansomwareCount 설명: SrcProcessIndicatorRansomwareCount 필드 type: bigint - 이름: src.process.indicatorReconnaissanceCount 설명: SrcProcessIndicatorReconnaissanceCount 필드 type: bigint - 이름: src.process.childProcCount 설명: SrcProcessChildProcCount 필드 type: bigint - 이름: module.path 설명: ModulePath 필드 type: string - 이름: module.sha1 설명: ModuleSha1 필드 type: string 표시자: - sha1 - 이름: module.md5 설명: ModuleMd5 필드 type: string 표시자: - md5 - 이름: src.process.moduleCount 설명: SrcProcessModuleCount 필드 type: bigint - 이름: event.login.userName 설명: EventLoginUserName 필드 type: string 표시자: - 사용자명 - 이름: event.login.baseType 설명: EventLoginBaseType 필드 type: string - 이름: src.endpoint.ip.address 설명: SrcEndpointIpAddress 필드 type: string 표시자: - ip - 이름: event.login.loginIsSuccessful 설명: EventLoginLoginIsSuccessful 필드 유형: boolean - 이름: event.login.accountName 설명: EventLoginAccountName 필드 type: string - 이름: event.login.type 설명: EventLoginType 필드 type: string - 이름: event.login.isAdministratorEquivalent 설명: EventLoginIsAdministratorEquivalent 필드 유형: boolean - 이름: event.login.failureReason 설명: EventLoginFailureReason 필드 type: string - 이름: event.login.accountSid 설명: EventLoginAccountSid 필드 type: string - 이름: event.login.accountDomain 설명: EventLoginAccountDomain 필드 type: string - 이름: event.login.sessionId 설명: EventLoginSessionId 필드 type: bigint - 이름: event.logout.type 설명: EventLogoutType 필드 type: string - 이름: event.login.tgt.domainName 설명: EventLoginTgtDomainName 필드 type: string 표시자: - domain - 이름: event.login.tgt.user.name 설명: EventLoginTgtUserName 필드 type: string 표시자: - 사용자명 - 이름: event.login.tgt.userSid 설명: EventLoginTgtUserSid 필드 type: string - 이름: event.logout.tgt.domainName 설명: EventLogoutTgtDomainName 필드 type: string 표시자: - domain - 이름: event.logout.tgt.user.name 설명: EventLogoutTgtUserName 필드 type: string 표시자: - 사용자명 - 이름: event.logout.tgt.userSid 설명: EventLogoutTgtUserSid 필드 type: string - 이름: k8sCluster.name 설명: K8sClusterName 필드 type: string - 이름: k8sCluster.nodeName 설명: K8sClusterNodeName 필드 type: string - 이름: k8sCluster.namespace 설명: K8sClusterNamespace 필드 type: string - 이름: k8sCluster.namespaceLabels 설명: K8sClusterNamespaceLabels 필드 type: string - 이름: k8sCluster.controllerType 설명: K8sClusterControllerType 필드 type: string - 이름: k8sCluster.controllerName 설명: K8sClusterControllerName 필드 type: string - 이름: k8sCluster.controllerLabels 설명: K8sClusterControllerLabels 필드 type: string - 이름: k8sCluster.podName 설명: K8sClusterPodName 필드 type: string - 이름: k8sCluster.podLabels 설명: K8sClusterPodLabels 필드 type: string - 이름: k8sCluster.containerName 설명: K8sClusterContainerName 필드 type: string - 이름: k8sCluster.containerId 설명: K8sClusterContainerId 필드 type: string - 이름: k8sCluster.containerLabels 설명: K8sClusterContainerLabels 필드 type: string - 이름: k8sCluster.containerImage 설명: K8sClusterContainerImage 필드 type: string - 이름: src.process.parent.reasonSignatureInvalid 설명: SrcProcessParentReasonSignatureInvalid 필드 type: string - 이름: src.process.parent.activeContentType 설명: SrcProcessParentActiveContentType 필드 type: string - 이름: src.process.parent.activeContent.id 설명: SrcProcessParentActiveContentId 필드 type: string - 이름: src.process.parent.activeContent.path 설명: SrcProcessParentActiveContentPath 필드 type: string - 이름: src.process.parent.activeContent.hash 설명: SrcProcessParentActiveContentHash 필드 type: string 표시자: - sha1 - 이름: src.process.parent.activeContent.signedStatus 설명: SrcProcessParentActiveContentSignedStatus 필드 type: string - 이름: tiIndicator.source 설명: TiIndicatorSource 필드 type: string - 이름: tiIndicator.externalId 설명: TiIndicatorExternalId 필드 type: string - 이름: tiIndicator.uid 설명: TiIndicatorUid 필드 type: string - 이름: tiIndicator.type 설명: TiIndicatorType 필드 type: string - 이름: tiIndicator.value 설명: TiIndicatorValue 필드 type: string - 이름: tiIndicator.name 설명: TiIndicatorName 필드 type: string - 이름: tiIndicator.categories 설명: TiIndicatorCategories 필드 type: string - 이름: tiIndicator.description 설명: TiIndicatorDescription 필드 type: string - 이름: tiIndicator.metadata 설명: TiIndicatorMetadata 필드 type: string - 이름: tiIndicator.validUntil 설명: TiIndicatorValidUntil 필드 type: timestamp timeFormats: - unix_ms - 이름: tiIndicator.modificationTime 설명: TiIndicatorModificationTime 필드 type: timestamp timeFormats: - unix_ms - 이름: tiIndicator.uploadTime 설명: TiIndicatorUploadTime 필드 type: timestamp timeFormats: - unix_ms - 이름: tiIndicator.creationTime 설명: TiIndicatorCreationTime 필드 type: timestamp timeFormats: - unix_ms - 이름: tiIndicator.addedBy 설명: TiIndicatorAddedBy 필드 type: string - 이름: tiIndicator.comparisonMethod 설명: TiIndicatorComparisonMethod 필드 type: string - 이름: tiIndicator.mitreTactics 설명: TiIndicatorMitreTactics 필드 type: string - 이름: tiIndicator.intrusionSets 설명: TiIndicatorIntrusionSets 필드 type: string - 이름: tiIndicator.references 설명: TiIndicatorReferences 필드 type: string - 이름: tiIndicator.threatActors 설명: TiIndicatorThreatActors 필드 type: string - 이름: namedPipe.name 설명: NamedPipeName 필드 type: string - 이름: namedPipe.accessMode 설명: NamedPipeAccessMode 필드 type: string - 이름: namedPipe.typeMode 설명: NamedPipeTypeMode 필드 type: string - 이름: namedPipe.readMode 설명: NamedPipeReadMode 필드 type: string - 이름: namedPipe.waitMode 설명: NamedPipeWaitMode 필드 type: string - 이름: namedPipe.remoteClients 설명: NamedPipeRemoteClients 필드 type: string - 이름: namedPipe.maxInstances 설명: NamedPipeMaxInstances 필드 type: bigint - 이름: namedPipe.securityOwner 설명: NamedPipeSecurityOwner 필드 type: string - 이름: namedPipe.securityGroups 설명: NamedPipeSecurityGroups 필드 type: string - 이름: namedPipe.connectionType 설명: NamedPipeConnectionType 필드 type: string - 이름: namedPipe.isFirstInstance 설명: NamedPipeIsFirstInstance 필드 유형: boolean - 이름: namedPipe.isWriteThrough 설명: NamedPipeIsWriteThrough 필드 유형: boolean - 이름: namedPipe.isOverlapped 설명: NamedPipeIsOverlapped 필드 유형: boolean - 이름: group.type 설명: GroupType 필드 type: string - 이름: group.id 설명: GroupId 필드 type: string - 이름: driver.loadVerdict 설명: DriverLoadVerdict 필드 type: string - 이름: driver.isLoadedBeforeMonitor 설명: DriverIsLoadedBeforeMonitor 필드 유형: boolean - 이름: driver.startType 설명: DriverStartType 필드 type: string - 이름: driver.certificate.thumbprint 설명: DriverCertificateThumbprint 필드 type: string - 이름: driver.certificate.thumbprintAlgorithm 설명: DriverCertificateThumbprintAlgorithm 필드 type: bigint - 이름: i.scheme 설명: IScheme 필드 type: string - 이름: i.version 설명: IVersion 필드 type: string - 이름: meta.event.name 설명: MetaEventName 필드 type: string - 이름: mgmt.id 설명: MgmtId 필드 type: string - 이름: mgmt.osRevision 설명: MgmtOsRevision 필드 type: string - 이름: mgmt.url 설명: MgmtUrl 필드 type: string 표시자: - domain - url - 이름: os.name 설명: OsName 필드 type: string - 이름: process.unique.key 설명: ProcessUniqueKey 필드 type: string - 이름: sca:atlantisIngestTime 설명: ScaAtlantisIngestTime 필드 type: timestamp timeFormats: - unix_ms - 이름: sca:ingestTime 설명: ScaIngestTime 필드 type: timestamp timeFormats: - unix_ms - 이름: src.process.parent.subsystem 설명: SrcProcessParentSubsystem 필드 type: string - 이름: trace.id 설명: TraceId 필드 type: string 표시자: - trace_id - 이름: account.id required: true 설명: AccountId 필드 type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/sentinel-one.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.