# SentinelOne 로그 ## 개요 Panther는 SentinelOne에서 다음 로그 유형을 수집하는 것을 지원합니다: * 활동 로그 * SentinelOne 활동 로그는 네트워크에서 발생하는 다양한 이벤트를 캡처하며, 다음과 같은 위협 관리 이벤트를 포함합니다 `사용자 지정 규칙 - 새 알러트` Run Panther AI `사용자가 애플리케이션을 위협으로 표시`뿐만 아니라 다음과 같은 관리 작업도 포함합니다 `에이전트 제거 요청` Run Panther AI `사용자 2FA 수정`. * Panther는 다음 항목에서 활동 로그를 가져옵니다 `/web/api/v2.1/activities` 엔드포인트는 SentinelOne API에 있습니다. 이 `/activities` 엔드포인트는 모든 유료 SentinelOne 플랜에서 사용할 수 있습니다. * 이 로그를 수집하려면 다음의 안내를 따르세요 [SentinelOne API 활동 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-api-activity-logs-to-panther), 아래에서. * Deep Visibility 2.0 로그 * Deep Visibility 로그는 SentinelOne EDR 및 XDR 원격 측정 데이터를 캡처합니다. * [SentinelOne Cloud Funnel](https://www.sentinelone.com/platform/singularity-cloud-funnel/) 은 클라우드 저장 위치로 로그를 전달하는 향상된 XDR 데이터 스트리밍 서비스입니다. Panther는 이 클라우드 저장 위치에서 Deep Visibility 로그를 가져옵니다. * 이 로그를 수집하려면 다음의 안내를 따르세요 [SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-cloud-funnel-deep-visibility-logs-to-panther), 아래에서. ## SentinelOne API 활동 로그를 Panther에 온보딩하는 방법 아래 안내는 SentinelOne API 활동 로그에 적용됩니다. SentinelOne Cloud Funnel 로그 온보딩 방법은 다음 섹션을 참조하세요: [SentinelOne Deep Visibility 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-cloud-funnel-deep-visibility-logs-to-panther). ### 1단계: SentinelOne 서비스 사용자 및 API 토큰 생성 SentinelOne 계정에서 Viewer 역할이 있는 서비스 사용자의 API 토큰이 필요합니다. 이미 서비스 사용자의 API 토큰이 있다면 이 단계를 건너뛸 수 있습니다. 1. SentinelOne 대시보드의 왼쪽 탐색 모음에서 **설정**. 2. 설정 페이지 상단에서 **Users** 탭을 클릭합니다.\\
In SentinelOne, the Settings icon is highlighted in the left sidebar menu and the "Users" tab is circled at the top.
3. Users 페이지의 왼쪽에서 **Service Users**. 4. 다음을 클릭하세요. **Actions** 드롭다운을 클릭한 다음 **Create New Service User**.\\
On the Settings page, "Service Users" is highlighted on the left. The Actions dropdown menu is expanded, and the "Create New Service User" option is highlighted.
5. 에서 **Create New Service User** 페이지에서 이름과 설명을 입력하고 만료 날짜를 선택한 다음 **Next.**\\
6. "Select Scope of Access" 페이지에서 다음을 구성합니다: * **Access Level**: `계정` * **선택된 계정**: 올바른 계정이 선택되었는지 확인하고 역할이 다음으로 설정되어 있는지 확인하세요 `Viewer`\\
7. 을 클릭합니다 **Create User**. 8. API 토큰을 복사하여 안전한 위치에 저장하세요. 로그 소스 온보딩 프로세스의 다음 단계에서 Panther에 제공해야 합니다.\\
### 2단계: Panther에 새 SentinelOne API 소스 생성 1. Panther Console의 왼쪽 탐색 표시줄에서 **구성** > **로그 소스**. 2. 을 클릭합니다 **새로 만들기**. 3. “SentinelOne API”를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **Start Setup.**
5. SentinelOne API 소스를 구성합니다: * **Name**: 소스에 대한 설명적인 이름을 입력합니다. 예: `SentinelOne API`. * **SentinelOne API Organization**: SentinelOne 계정의 서브도메인을 입력합니다. 이 값을 찾으려면 SentinelOne 대시보드에 로그인하여 URL에서 서브도메인을 복사하세요. * 예를 들어 대시보드 URL이 다음과 같다면 `https://example-domain.sentinelone.net/dashboard`서브도메인은 다음과 같습니다 `example-domain`. * **API Token**: 이 문서의 이전 단계에서 복사한 서비스 사용자의 토큰을 입력하세요.\\
On the Configuration page of the SentinelOne API source setup flow, there are fields for Name, SentinelOne API organization, and API Token.
6. 을 클릭합니다 **Setup**. 성공 화면으로 이동합니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * the **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **YES**입니다. 일정 시간 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되므로 이 설정을 활성화된 상태로 유지할 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 클라우드 저장소 엔터티를 생성했습니다. * AWS S3를 사용하는 경우, 다음 위치의 SentinelOne 문서에 따라 구성하세요 `[SentinelOne Domain]/docs/en/how-to-configure-your-amazon-s3-bucket.html`. ### 1단계: Panther에 새 SentinelOne Cloud Funnel 2.0 소스 생성 1. Panther Console의 왼쪽 탐색 표시줄에서 **구성** > **로그 소스**. 2. 을 클릭합니다 **새로 만들기**. 3. “SentinelOne Cloud Funnel 2.0”를 검색한 다음 해당 타일을 클릭합니다. * 슬라이드아웃 패널에서 **전송 메커니즘** 오른쪽 상단 모서리의 드롭다운은 다음으로 미리 채워집니다 **AWS S3 버킷** 옵션. 4. 슬라이드아웃 패널에서 **Start Setup.** 5. 다음을 구성하는 방법에 대한 Panther의 문서를 따르세요 [AWS S3](/ko/data-onboarding/data-transports/aws/s3.md) 를 데이터 전송 수단으로 사용합니다. ### 2단계: Cloud Funnel 스트리밍 활성화 * 클라우드 저장 위치로 Cloud Funnel 스트리밍을 활성화하는 방법에 대한 SentinelOne 문서를 따르세요. 해당 문서는 다음 위치에 있습니다 `[SentinelOne Domain]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming`. ## 지원되는 로그 유형 ### SentinelOne.Activity SentinelOne API의 활동 이벤트입니다. ```yaml schema: SentinelOne.Activity parser: native: name: SentinelOne.Activity description: 필터와 일치하는 활동과 해당 데이터를 가져옵니다. 필터에 몇 가지 값을 설정하는 것을 권장합니다. referenceURL: https://usea1-partners.sentinelone.net/api-doc/api-details?category=activities&api=get-activities 필드: - name: accountId description: 계정 ID 유형: string - name: accountName description: 계정 이름 유형: string - name: activityType 필수: true description: 활동 유형 유형: string - name: activityUuid description: 활동 UUID 유형: string - name: agentId description: 관련 에이전트 ID 유형: string - name: agentUpdatedVersion description: 업데이트된 에이전트 버전 유형: string - name: comments description: 설명 유형: string - name: createdAt description: 활동 생성 시간(UTC) 유형: timestamp timeFormats: - rfc3339 isEventTime: true - 이름: data description: 이벤트별 데이터. 다음과 같은 필드를 포함할 수 있습니다 accountid, accountname, action, actoralternateid, agentipv4, alertid, alertprocessname, alertscounter, application, applicationtype, attr, bundlemessage, byuser, changedkeys, commandbatchuuid, commandid, computername, confidencelevel, createdat, createdbyusername, current, datasourcename, deactivationperiodindays, description, detectedat, direction, disabledlevel, dnsrequest, dnsresponse, downloadurl, dstip, dstport, dveventid, dveventtype, email, enabledreason, error, escapedmaliciousprocessarguments, eventcategory, eventdetails, eventexternalid, eventtime, exclusiontype, expiration, expirationmessage, expirydatestr, expirytime, externalip, externalip, externalthreatvalue, filecontenthash, filedisplayname, filename, filepath, fullscopedetails, fullscopedetailspath, group, groupid, groupname, grouptype, indicatorcategory, indicatordescription, indicatorname, initiatedbyname, ipaddress, k8sclustername, k8scontainerid, k8scontainerimage, k8scontainerlabels, k8scontainername, k8scontrollerkind, k8scontrollerlabels, k8scontrollername, k8snamespace, k8snamespacelabels, k8snode, k8spod, k8spodlabels, key, licensesdescription, localhost, localhosttype, localports, localporttype, locationnames, loginaccountdomain, loginaccountsid, loginisadministratorequivalent, loginissuccessful, loginsusername, logintype, majorversion, minorversion, modulemessage, modulepath, modulesha1, namechange, namemessage, neteventdirection, networkquarantine, newincidentstatus, newincidentstatustitle, newstatus, newvalue, noteaction, notedetails, oldaccountname, olddescription, oldincidentstatus, oldincidentstatustitle, oldkey, oldrulename, oldsitename, oldstatus, oldvalue, optionalgroups, order, origagentmachinetype, origagentmachinetype, origagentname, origagentname, origagentosfamily, origagentosfamily, origagentosname, origagentosname, origagentosrevision, origagentosrevision, origagentsiteid, origagentuuid, origagentuuid, origagentversion, origagentversion, originalstatus, osarch, osfamily, ostypes, packageid, physical, platformtype, policy, policyname, previous, protocol, reason, recoveryemail, registrykeypath, registryoldvalue, registryoldvaluetype, registrypath, registryvalue, remotehost, remotehosttype, remoteports, remoteporttype, reportlog, reportmgmt, role, rolename, rulecreationtime, ruledescription, ruleexpirationmode, ruleid, rulename, rulequerydetails, rulequerytype, rulescopeid, rulescopelevel, ruleseverity, scopeid, scopelevel, scopelevelname, scopename, setting, settingmessage, severity, siteexpiration, siteid, sitename, source, sourcename, sourceparentprocesscommandline, sourceparentprocessintegritylevel, sourceparentprocesskey, sourceparentprocessmd5, sourceparentprocessname, sourceparentprocesspath, sourceparentprocesspid, sourceparentprocesssha1, sourceparentprocesssha256, sourceparentprocesssigneridentity, sourceparentprocessstarttime, sourceparentprocessstoryline, sourceparentprocesssubsystem, sourceparentprocessusername, sourceprocesscommandline, sourceprocessfilehashmd5, sourceprocessfilehashsha1, sourceprocessfilehashsha256, sourceprocessfilepath, sourceprocessfilesigneridentity, sourceprocessintegritylevel, sourceprocesskey, sourceprocesskey, sourceprocessmd5, sourceprocessname, sourceprocesspid, sourceprocesssha1, sourceprocesssha256, sourceprocessstarttime, sourceprocessstoryline, sourceprocesssubsystem, sourceprocessusername, srcip, srcmachineip, srcport, status, storyline, system, systemuser, tagid, tagnames, tags, tgtfilecreatedat, tgtfilehashsha1, tgtfilehashsha256, tgtfileid, tgtfileissigned, tgtfilemodifiedat, tgtfileoldpath, tgtfilepath, tgtproccmdline, tgtprocessstarttime, tgtprocimagepath, tgtprocintegritylevel, tgtprocname, tgtprocpid, tgtprocsignedstatus, tgtprocstorylineid, tgtprocuid, threatalreadyexists, threatclassification, threatclassificationsource, tiindicatorcomparisonmethod, tiindicatorsource, tiindicatortype, tiindicatorvalue, treatasthreat, type, updatedescriptionmessage, updatenameanddescriptionmessage, updatenamemessage, uploadedfilename, userid, username, userscope, uuid, value, version 유형: json - name: description description: 이벤트 설명 유형: string - name: groupId description: 관련 그룹 ID 유형: string - name: groupName description: 관련 그룹 이름 유형: string - name: hash description: 위협 파일 해시 유형: string - name: id 필수: true description: 활동 ID 유형: string indicators: - trace_id - name: osFamily description: 에이전트의 OS 유형 유형: string - name: primaryDescription description: 기본 활동 설명 유형: string - name: secondaryDescription description: 보조 활동 설명 유형: string - name: siteId description: 관련 사이트 ID 유형: string - name: siteName description: 관련 사이트 이름 유형: string - name: threatId description: 관련 위협 ID 유형: string - name: updatedAt description: 활동 마지막 업데이트 시간(UTC) 유형: timestamp timeFormats: - rfc3339 - name: userId description: 활동을 호출한 사용자 유형: string ``` ### SentinelOne.DeepVisibility2 SentinelOne 서비스의 Deep Visibility 2.0 이벤트입니다. ```yaml schema: SentinelOne.DeepVisibilityV2 description: SentinelOne Cloud Funnel 2.0 서비스의 Deep Visibility 이벤트 referenceURL: https://support.sentinelone.com/hc/en-us/articles/4409020727575 필드: - name: timestamp description: 타임스탬프 필드 유형: timestamp timeFormats: - rfc3339 - name: dataSource.category description: DataSourceCategory 필드 유형: string - name: dataSource.name description: DataSourceName 필드 유형: string - name: endpoint.name description: EndpointName 필드 유형: string - name: endpoint.os description: EndpointOs 필드 유형: string - name: endpoint.type description: EndpointType 필드 유형: string - name: agent.uuid description: AgentUuid 필드 유형: string - name: agent.version description: AgentVersion 필드 유형: string - name: site.name description: SiteName 필드 유형: string - name: site.id description: SiteId 필드 유형: string - name: event.category description: EventCategory 필드 유형: string - name: event.type description: EventType 필드 유형: string - name: event.time 필수: true description: EventTime 필드 유형: timestamp timeFormats: - unix_ms isEventTime: true - name: event.id description: EventId 필드 유형: string - name: event.repetitionCount description: EventRepetitionCount 필드 유형: bigint - name: src.process.name description: SrcProcessName 필드 유형: string - name: src.process.storyline.id description: SrcProcessStorylineId 필드 유형: string - name: src.process.cmdline description: SrcProcessCmdline 필드 유형: string - name: src.process.user description: SrcProcessUser 필드 유형: string - name: src.process.startTime description: SrcProcessStartTime 필드 유형: timestamp timeFormats: - unix_ms - name: src.process.image.path description: SrcProcessImagePath 필드 유형: string - name: src.process.image.extension description: SrcProcessImageExtension 필드 유형: string - name: src.process.image.size description: SrcProcessImageSize 필드 유형: bigint - name: src.process.userSid description: SrcProcessUserSid 필드 유형: string - name: src.process.pid description: SrcProcessPid 필드 유형: bigint - name: src.process.displayName description: SrcProcessDisplayName 필드 유형: string - name: src.process.uid description: SrcProcessUid 필드 유형: string - name: src.process.image.binaryIsExecutable description: SrcProcessImageBinaryIsExecutable 필드 유형: boolean - name: src.process.integrityLevel description: SrcProcessIntegrityLevel 필드 유형: string - name: src.process.signedStatus description: SrcProcessSignedStatus 필드 유형: string - name: src.process.publisher description: SrcProcessPublisher 필드 유형: string - name: src.process.verifiedStatus description: SrcProcessVerifiedStatus 필드 유형: string - name: src.process.reasonSignatureInvalid description: SrcProcessReasonSignatureInvalid 필드 유형: string - name: src.process.image.sha1 description: SrcProcessImageSha1 필드 유형: string indicators: - sha1 - name: src.process.image.md5 description: SrcProcessImageMd5 필드 유형: string indicators: - md5 - name: src.process.image.sha256 description: SrcProcessImageSha256 필드 유형: string indicators: - sha256 - name: src.process.subsystem description: SrcProcessSubsystem 필드 유형: string - name: src.process.sessionId description: SrcProcessSessionId 필드 유형: bigint - name: src.process.isNative64Bit description: SrcProcessIsNative64Bit 필드 유형: boolean - name: src.process.isRedirectCmdProcessor description: SrcProcessIsRedirectCmdProcessor 필드 유형: boolean - name: src.process.isStorylineRoot description: SrcProcessIsStorylineRoot 필드 유형: boolean - name: src.process.activeContentType description: SrcProcessActiveContentType 필드 유형: string - name: src.process.activeContent.id description: SrcProcessActiveContentId 필드 유형: string - name: src.process.activeContent.path description: SrcProcessActiveContentPath 필드 유형: string - name: src.process.activeContent.hash description: SrcProcessActiveContentHash 필드 유형: string indicators: - sha1 - name: src.process.activeContent.signedStatus description: SrcProcessActiveContentSignedStatus 필드 유형: string - name: src.process.rpid description: SrcProcessRpid 필드 유형: bigint - name: src.process.tid description: SrcProcessTid 필드 유형: bigint - name: src.process.image.location description: SrcProcessImageLocation 필드 유형: string - name: src.process.image.uid description: SrcProcessImageUid 필드 유형: string - name: src.process.image.originalFileName description: SrcProcessImageOriginalFileName 필드 유형: string - name: src.process.image.description description: SrcProcessImageDescription 필드 유형: string - name: src.process.image.internalName description: SrcProcessImageInternalName 필드 유형: string - name: src.process.image.productName description: SrcProcessImageProductName 필드 유형: string - name: src.process.image.productVersion description: SrcProcessImageProductVersion 필드 유형: string - name: src.process.image.type description: SrcProcessImageType 필드 유형: string - name: cmdScript.content description: CmdScriptContent 필드 유형: string - name: cmdScript.isComplete description: CmdScriptIsComplete 필드 유형: boolean - name: cmdScript.sha256 description: CmdScriptSha256 필드 유형: string indicators: - sha256 - name: cmdScript.originalSize description: CmdScriptOriginalSize 필드 유형: bigint - name: cmdScript.applicationName description: CmdScriptApplicationName 필드 유형: string - name: osSrc.process.name description: OsSrcProcessName 필드 유형: string - name: osSrc.process.storyline.id description: OsSrcProcessStorylineId 필드 유형: string - name: osSrc.process.cmdline description: OsSrcProcessCmdline 필드 유형: string - name: osSrc.process.user description: OsSrcProcessUser 필드 유형: string - name: osSrc.process.startTime description: OsSrcProcessStartTime 필드 유형: timestamp timeFormats: - unix_ms - name: osSrc.process.image.path description: OsSrcProcessImagePath 필드 유형: string - name: osSrc.process.pid description: OsSrcProcessPid 필드 유형: bigint - name: osSrc.process.displayName description: OsSrcProcessDisplayName 필드 유형: string - name: osSrc.process.uid description: OsSrcProcessUid 필드 유형: string - name: osSrc.process.image.binaryIsExecutable description: OsSrcProcessImageBinaryIsExecutable 필드 유형: boolean - name: osSrc.process.integrityLevel description: OsSrcProcessIntegrityLevel 필드 유형: string - name: osSrc.process.signedStatus description: OsSrcProcessSignedStatus 필드 유형: string - name: osSrc.process.publisher description: OsSrcProcessPublisher 필드 유형: string - name: osSrc.process.verifiedStatus description: OsSrcProcessVerifiedStatus 필드 유형: string - name: osSrc.process.image.sha1 description: OsSrcProcessImageSha1 필드 유형: string indicators: - sha1 - name: osSrc.process.image.md5 description: OsSrcProcessImageMd5 필드 유형: string indicators: - md5 - name: osSrc.process.image.sha256 description: OsSrcProcessImageSha256 필드 유형: string indicators: - sha256 - name: osSrc.process.subsystem description: OsSrcProcessSubsystem 필드 유형: string - name: osSrc.process.sessionId description: OsSrcProcessSessionId 필드 유형: bigint - name: osSrc.process.isNative64Bit description: OsSrcProcessIsNative64Bit 필드 유형: boolean - name: osSrc.process.isRedirectCmdProcessor description: OsSrcProcessIsRedirectCmdProcessor 필드 유형: boolean - name: osSrc.process.isStorylineRoot description: OsSrcProcessIsStorylineRoot 필드 유형: boolean - name: osSrc.process.activeContentType description: OsSrcProcessActiveContentType 필드 유형: string - name: osSrc.process.activeContent.id description: OsSrcProcessActiveContentId 필드 유형: string - name: osSrc.process.activeContent.path description: OsSrcProcessActiveContentPath 필드 유형: string - name: osSrc.process.activeContent.hash description: OsSrcProcessActiveContentHash 필드 유형: string indicators: - sha1 - name: osSrc.process.activeContent.signedStatus description: OsSrcProcessActiveContentSignedStatus 필드 유형: string - name: osSrc.process.reasonSignatureInvalid description: OsSrcProcessReasonSignatureInvalid 필드 유형: string - name: osSrc.process.crossProcessCount description: OsSrcProcessCrossProcessCount 필드 유형: bigint - name: osSrc.process.crossProcessOutOfStorylineCount description: OsSrcProcessCrossProcessOutOfStorylineCount 필드 유형: bigint - name: osSrc.process.crossProcessDupRemoteProcessHandleCount description: OsSrcProcessCrossProcessDupRemoteProcessHandleCount 필드 유형: bigint - name: osSrc.process.crossProcessDupThreadHandleCount description: OsSrcProcessCrossProcessDupThreadHandleCount 필드 유형: bigint - name: osSrc.process.crossProcessOpenProcessCount description: OsSrcProcessCrossProcessOpenProcessCount 필드 유형: bigint - name: osSrc.process.crossProcessThreadCreateCount description: OsSrcProcessCrossProcessThreadCreateCount 필드 유형: bigint - name: osSrc.process.netConnCount description: OsSrcProcessNetConnCount 필드 유형: bigint - name: osSrc.process.netConnInCount description: OsSrcProcessNetConnInCount 필드 유형: bigint - name: osSrc.process.netConnOutCount description: OsSrcProcessNetConnOutCount 필드 유형: bigint - name: osSrc.process.dnsCount description: OsSrcProcessDnsCount 필드 유형: bigint - name: osSrc.process.tgtFileModificationCount description: OsSrcProcessTgtFileModificationCount 필드 유형: bigint - name: osSrc.process.tgtFileCreationCount description: OsSrcProcessTgtFileCreationCount 필드 유형: bigint - name: osSrc.process.tgtFileDeletionCount description: OsSrcProcessTgtFileDeletionCount 필드 유형: bigint - name: osSrc.process.registryChangeCount description: OsSrcProcessRegistryChangeCount 필드 유형: bigint - name: osSrc.process.indicatorBootConfigurationUpdateCount description: OsSrcProcessIndicatorBootConfigurationUpdateCount 필드 유형: bigint - name: osSrc.process.indicatorEvasionCount description: OsSrcProcessIndicatorEvasionCount 필드 유형: bigint - name: osSrc.process.indicatorExploitationCount description: OsSrcProcessIndicatorExploitationCount 필드 유형: bigint - name: osSrc.process.indicatorGeneral.count description: OsSrcProcessIndicatorGeneralCount 필드 유형: bigint - name: osSrc.process.indicatorInfostealerCount description: OsSrcProcessIndicatorInfostealerCount 필드 유형: bigint - name: osSrc.process.indicatorInjectionCount description: OsSrcProcessIndicatorInjectionCount 필드 유형: bigint - name: osSrc.process.indicatorPersistenceCount description: OsSrcProcessIndicatorPersistenceCount 필드 유형: bigint - name: osSrc.process.indicatorPostExploitationCount description: OsSrcProcessIndicatorPostExploitationCount 필드 유형: bigint - name: osSrc.process.indicatorRansomwareCount description: OsSrcProcessIndicatorRansomwareCount 필드 유형: bigint - name: osSrc.process.indicatorReconnaissanceCount description: OsSrcProcessIndicatorReconnaissanceCount 필드 유형: bigint - name: osSrc.process.childProcCount description: OsSrcProcessChildProcCount 필드 유형: bigint - name: osSrc.process.moduleCount description: OsSrcProcessModuleCount 필드 유형: bigint - name: osSrc.process.image.type description: OsSrcProcessImageType 필드 유형: string - name: osSrc.process.image.extension description: OsSrcProcessImageExtension 필드 유형: string - name: osSrc.process.image.size description: OsSrcProcessImageSize 필드 유형: bigint - name: osSrc.process.image.location description: OsSrcProcessImageLocation 필드 유형: string - name: osSrc.process.image.uid description: OsSrcProcessImageUid 필드 유형: string - name: osSrc.process.image.signature.isValid description: OsSrcProcessImageSignatureIsValid 필드 유형: boolean - name: osSrc.process.userSid description: OsSrcProcessUserSid 필드 유형: string - name: src.process.parent.name description: SrcProcessParentName 필드 유형: string - name: src.process.parent.storyline.id description: SrcProcessParentStorylineId 필드 유형: string - name: src.process.parent.cmdline description: SrcProcessParentCmdline 필드 유형: string - name: src.process.parent.user description: SrcProcessParentUser 필드 유형: string - name: src.process.parent.startTime description: SrcProcessParentStartTime 필드 유형: timestamp timeFormats: - unix_ms - name: src.process.parent.image.path description: SrcProcessParentImagePath 필드 유형: string - name: src.process.parent.displayName description: SrcProcessParentDisplayName 필드 유형: string - name: src.process.parent.uid description: SrcProcessParentUid 필드 유형: string - name: src.process.parent.integrityLevel description: SrcProcessParentIntegrityLevel 필드 유형: string - name: src.process.parent.signedStatus description: SrcProcessParentSignedStatus 필드 유형: string - name: src.process.parent.publisher description: SrcProcessParentPublisher 필드 유형: string - name: src.process.parent.image.sha1 description: SrcProcessParentImageSha1 필드 유형: string indicators: - sha1 - name: src.process.parent.image.md5 description: SrcProcessParentImageMd5 필드 유형: string indicators: - md5 - name: src.process.parent.image.sha256 description: SrcProcessParentImageSha256 필드 유형: string indicators: - sha256 - name: src.process.parent.sessionId description: SrcProcessParentSessionId 필드 유형: bigint - name: src.process.parent.isNative64Bit description: SrcProcessParentIsNative64Bit 필드 유형: boolean - name: src.process.parent.isRedirectCmdProcessor description: SrcProcessParentIsRedirectCmdProcessor 필드 유형: boolean - name: src.process.parent.isStorylineRoot description: SrcProcessParentIsStorylineRoot 필드 유형: boolean - name: src.process.parent.pid description: SrcProcessParentPid 필드 유형: bigint - name: src.process.parent.image.type description: SrcProcessParentImageType 필드 유형: string - name: src.process.parent.image.extension description: SrcProcessParentImageExtension 필드 유형: string - name: src.process.parent.image.size description: SrcProcessParentImageSize 필드 유형: bigint - 이름: src.process.parent.image.location 설명: SrcProcessParentImageLocation 필드 유형: string - 이름: src.process.parent.image.uid 설명: SrcProcessParentImageUid 필드 유형: string - 이름: src.process.parent.image.signature.isValid 설명: SrcProcessParentImageSignatureIsValid 필드 유형: boolean - 이름: src.process.parent.userSid 설명: SrcProcessParentUserSid 필드 유형: string - 이름: src.process.parent.image.binaryIsExecutable 설명: SrcProcessParentImageBinaryIsExecutable 필드 유형: boolean - 이름: osSrc.process.parent.name 설명: OsSrcProcessParentName 필드 유형: string - 이름: osSrc.process.parent.storyline.id 설명: OsSrcProcessParentStorylineId 필드 유형: string - 이름: osSrc.process.parent.cmdline 설명: OsSrcProcessParentCmdline 필드 유형: string - 이름: osSrc.process.parent.user 설명: OsSrcProcessParentUser 필드 유형: string - 이름: osSrc.process.parent.startTime 설명: OsSrcProcessParentStartTime 필드 유형: timestamp timeFormats: - unix_ms - 이름: osSrc.process.parent.image.path 설명: OsSrcProcessParentImagePath 필드 유형: string - 이름: osSrc.process.parent.pid 설명: OsSrcProcessParentPid 필드 유형: bigint - 이름: osSrc.process.parent.uid 설명: OsSrcProcessParentUid 필드 유형: string - 이름: osSrc.process.parent.image.sha1 설명: OsSrcProcessParentImageSha1 필드 유형: string indicators: - sha1 - 이름: osSrc.process.parent.image.md5 설명: OsSrcProcessParentImageMd5 필드 유형: string indicators: - md5 - 이름: osSrc.process.parent.image.sha256 설명: OsSrcProcessParentImageSha256 필드 유형: string indicators: - sha256 - 이름: osSrc.process.parent.displayName 설명: OsSrcProcessParentDisplayName 필드 유형: string - 이름: osSrc.process.parent.integrityLevel 설명: OsSrcProcessParentIntegrityLevel 필드 유형: string - 이름: osSrc.process.parent.signedStatus 설명: OsSrcProcessParentSignedStatus 필드 유형: string - 이름: osSrc.process.parent.publisher 설명: OsSrcProcessParentPublisher 필드 유형: string - 이름: osSrc.process.parent.reasonSignatureInvalid 설명: OsSrcProcessParentReasonSignatureInvalid 필드 유형: string - 이름: osSrc.process.parent.sessionId 설명: OsSrcProcessParentSessionId 필드 유형: bigint - 이름: osSrc.process.parent.isNative64Bit 설명: OsSrcProcessParentIsNative64Bit 필드 유형: boolean - 이름: osSrc.process.parent.isRedirectCmdProcessor 설명: OsSrcProcessParentIsRedirectCmdProcessor 필드 유형: boolean - 이름: osSrc.process.parent.isStorylineRoot 설명: OsSrcProcessParentIsStorylineRoot 필드 유형: boolean - 이름: osSrc.process.parent.activeContentType 설명: OsSrcProcessParentActiveContentType 필드 유형: string - 이름: osSrc.process.parent.activeContent.id 설명: OsSrcProcessParentActiveContentId 필드 유형: string - 이름: osSrc.process.parent.activeContent.path 설명: OsSrcProcessParentActiveContentPath 필드 유형: string - 이름: osSrc.process.parent.activeContent.hash 설명: OsSrcProcessParentActiveContentHash 필드 유형: string indicators: - sha1 - 이름: osSrc.process.parent.activeContent.signedStatus 설명: OsSrcProcessParentActiveContentSignedStatus 필드 유형: string - 이름: osSrc.process.parent.image.type 설명: OsSrcProcessParentImageType 필드 유형: string - 이름: osSrc.process.parent.image.extension 설명: OsSrcProcessParentImageExtension 필드 유형: string - 이름: osSrc.process.parent.image.size 설명: OsSrcProcessParentImageSize 필드 유형: bigint - 이름: osSrc.process.parent.image.location 설명: OsSrcProcessParentImageLocation 필드 유형: string - 이름: osSrc.process.parent.image.uid 설명: OsSrcProcessParentImageUid 필드 유형: string - 이름: osSrc.process.parent.image.signature.isValid 설명: OsSrcProcessParentImageSignatureIsValid 필드 유형: boolean - 이름: osSrc.process.parent.userSid 설명: OsSrcProcessParentUserSid 필드 유형: string - 이름: osSrc.process.parent.image.binaryIsExecutable 설명: OsSrcProcessParentImageBinaryIsExecutable 필드 유형: boolean - 이름: osSrc.process.parent.subsystem 설명: OsSrcProcessParentSubsystem 필드 유형: string - 이름: tgt.process.name 설명: TgtProcessName 필드 유형: string - 이름: tgt.process.relation 설명: TgtProcessRelation 필드 유형: string - 이름: tgt.process.storyline.id 설명: TgtProcessStorylineId 필드 유형: string - 이름: tgt.process.cmdline 설명: TgtProcessCmdline 필드 유형: string - 이름: tgt.process.user 설명: TgtProcessUser 필드 유형: string - 이름: tgt.process.startTime 설명: TgtProcessStartTime 필드 유형: timestamp timeFormats: - unix_ms - 이름: tgt.process.image.path 설명: TgtProcessImagePath 필드 유형: string - 이름: tgt.process.pid 설명: TgtProcessPid 필드 유형: bigint - 이름: tgt.process.displayName 설명: TgtProcessDisplayName 필드 유형: string - 이름: tgt.process.uid 설명: TgtProcessUid 필드 유형: string - 이름: tgt.process.image.binaryIsExecutable 설명: TgtProcessImageBinaryIsExecutable 필드 유형: boolean - 이름: tgt.process.integrityLevel 설명: TgtProcessIntegrityLevel 필드 유형: string - 이름: tgt.process.signedStatus 설명: TgtProcessSignedStatus 필드 유형: string - 이름: tgt.process.publisher 설명: TgtProcessPublisher 필드 유형: string - 이름: tgt.process.verifiedStatus 설명: TgtProcessVerifiedStatus 필드 유형: string - 이름: tgt.process.reasonSignatureInvalid 설명: TgtProcessReasonSignatureInvalid 필드 유형: string - 이름: tgt.process.image.sha1 설명: TgtProcessImageSha1 필드 유형: string indicators: - sha1 - 이름: tgt.process.image.md5 설명: TgtProcessImageMd5 필드 유형: string indicators: - md5 - 이름: tgt.process.image.sha256 설명: TgtProcessImageSha256 필드 유형: string indicators: - sha256 - 이름: tgt.process.subsystem 설명: TgtProcessSubsystem 필드 유형: string - 이름: tgt.process.sessionId 설명: TgtProcessSessionId 필드 유형: bigint - 이름: tgt.process.isNative64Bit 설명: TgtProcessIsNative64Bit 필드 유형: boolean - 이름: tgt.process.isRedirectCmdProcessor 설명: TgtProcessIsRedirectCmdProcessor 필드 유형: boolean - 이름: tgt.process.isStorylineRoot 설명: TgtProcessIsStorylineRoot 필드 유형: boolean - 이름: tgt.process.activeContentType 설명: TgtProcessActiveContentType 필드 유형: string - 이름: tgt.process.activeContent.id 설명: TgtProcessActiveContentId 필드 유형: string - 이름: tgt.process.activeContent.path 설명: TgtProcessActiveContentPath 필드 유형: string - 이름: tgt.process.activeContent.hash 설명: TgtProcessActiveContentHash 필드 유형: string indicators: - sha1 - 이름: tgt.process.activeContent.signedStatus 설명: TgtProcessActiveContentSignedStatus 필드 유형: string - 이름: src.process.crossProcessCount 설명: SrcProcessCrossProcessCount 필드 유형: bigint - 이름: tgt.process.accessRights 설명: TgtProcessAccessRights 필드 유형: bigint - 이름: tgt.process.image.uid 설명: TgtProcessImageUid 필드 유형: string - 이름: tgt.process.image.extension 설명: TgtProcessImageExtension 필드 유형: string - 이름: tgt.process.image.size 설명: TgtProcessImageSize 필드 유형: bigint - 이름: tgt.process.completeness.hints 설명: TgtProcessCompletenessHints 필드 유형: bigint - 이름: tgt.process.userSid 설명: TgtProcessUserSid 필드 유형: string - 이름: event.processtermination.exitCode 설명: EventProcessterminationExitCode 필드 유형: bigint - 이름: event.processtermination.signal 설명: EventProcessterminationSignal 필드 유형: string - 이름: tgt.process.parent.image.type 설명: TgtProcessParentImageType 필드 유형: string - 이름: tgt.process.parent.image.location 설명: TgtProcessParentImageLocation 필드 유형: string - 이름: src.process.crossProcessOutOfStorylineCount 설명: SrcProcessCrossProcessOutOfStorylineCount 필드 유형: bigint - 이름: src.process.crossProcessDupRemoteProcessHandleCount 설명: SrcProcessCrossProcessDupRemoteProcessHandleCount 필드 유형: bigint - 이름: src.process.crossProcessDupThreadHandleCount 설명: SrcProcessCrossProcessDupThreadHandleCount 필드 유형: bigint - 이름: src.process.crossProcessOpenProcessCount 설명: SrcProcessCrossProcessOpenProcessCount 필드 유형: bigint - 이름: src.process.crossProcessThreadCreateCount 설명: SrcProcessCrossProcessThreadCreateCount 필드 유형: bigint - 이름: src.ip.address 설명: SrcIpAddress 필드 유형: string indicators: - ip - 이름: src.port.number 설명: SrcPortNumber 필드 유형: bigint - 이름: dst.ip.address 설명: DstIpAddress 필드 유형: string indicators: - ip - 이름: dst.port.number 설명: DstPortNumber 필드 유형: bigint - 이름: event.network.direction 설명: EventNetworkDirection 필드 유형: string - 이름: event.network.connectionStatus 설명: EventNetworkConnectionStatus 필드 유형: string - 이름: event.network.protocolName 설명: EventNetworkProtocolName 필드 유형: string - 이름: src.process.netConnCount 설명: SrcProcessNetConnCount 필드 유형: bigint - 이름: src.process.netConnInCount 설명: SrcProcessNetConnInCount 필드 유형: bigint - 이름: src.process.netConnOutCount 설명: SrcProcessNetConnOutCount 필드 유형: bigint - 이름: event.dns.request 설명: EventDnsRequest 필드 유형: string indicators: - hostname - 이름: event.dns.response 설명: EventDnsResponse 필드 유형: string indicators: - hostname - 이름: event.dns.status 설명: EventDnsStatus 필드 유형: string - 이름: src.process.dnsCount 설명: SrcProcessDnsCount 필드 유형: bigint - 이름: src.process.exeModificationCount 설명: SrcProcessExeModificationCount 필드 유형: bigint - 이름: src.process.modelChildProcessCount 설명: SrcProcessModelChildProcessCount 필드 유형: bigint - 이름: url.address 설명: UrlAddress 필드 유형: string indicators: - url - 이름: event.url.action 설명: EventUrlAction 필드 유형: string - 이름: event.url.source 설명: EventUrlSource 필드 유형: string - 이름: tgt.file.path 설명: TgtFilePath 필드 유형: string - 이름: tgt.file.name 설명: TgtFileName 필드 유형: string - 이름: tgt.file.oldPath 설명: TgtFileOldPath 필드 유형: string - 이름: tgt.file.type 설명: TgtFileType 필드 유형: string - 이름: tgt.file.size 설명: TgtFileSize 필드 유형: bigint - 이름: tgt.file.extension 설명: TgtFileExtension 필드 유형: string - 이름: tgt.file.id 설명: TgtFileId 필드 유형: string - 이름: tgt.file.description 설명: TgtFileDescription 필드 유형: string - 이름: tgt.file.internalName 설명: TgtFileInternalName 필드 유형: string - 이름: tgt.file.location 설명: TgtFileLocation 필드 유형: string - 이름: tgt.file.md5 설명: TgtFileMd5 필드 유형: string indicators: - md5 - 이름: tgt.file.sha1 설명: TgtFileSha1 필드 유형: string indicators: - sha1 - 이름: tgt.file.sha256 설명: TgtFileSha256 필드 유형: string indicators: - sha256 - 이름: tgt.file.convictedBy 설명: TgtFileConvictedBy 필드 유형: string - 이름: src.process.tgtFileModificationCount 설명: SrcProcessTgtFileModificationCount 필드 유형: bigint - 이름: src.process.tgtFileCreationCount 설명: SrcProcessTgtFileCreationCount 필드 유형: bigint - 이름: src.process.tgtFileDeletionCount 설명: SrcProcessTgtFileDeletionCount 필드 유형: bigint - 이름: tgt.file.isSigned 설명: TgtFileIsSigned 필드 유형: string - 이름: tgt.file.isExecutable 설명: TgtFileIsExecutable 필드 유형: boolean - 이름: tgt.file.creationTime 설명: TgtFileCreationTime 필드 유형: timestamp timeFormats: - unix_ms - 이름: tgt.file.modificationTime 설명: TgtFileModificationTime 필드 유형: timestamp timeFormats: - unix_ms - 이름: tgt.file.oldSha1 설명: TgtFileOldSha1 필드 유형: string indicators: - sha1 - 이름: tgt.file.oldMd5 설명: TgtFileOldMd5 필드 유형: string indicators: - md5 - 이름: tgt.file.oldSha256 설명: TgtFileOldSha256 필드 유형: string indicators: - sha256 - 이름: tgt.file.isDirectory 설명: TgtFileIsDirectory 필드 유형: boolean - 이름: tgt.file.isKernelModule 설명: TgtFileIsKernelModule 필드 유형: boolean - 이름: tgt.file.owner.name 설명: TgtFileOwnerName 필드 유형: string - 이름: tgt.file.owner.userSid 설명: TgtFileOwnerUserSid 필드 유형: string - 이름: tgt.file.publisher 설명: TgtFilePublisher 필드 유형: string - 이름: tgt.file.signatureInvalidReason 설명: TgtFileSignatureInvalidReason 필드 유형: string - 이름: tgt.file.signature.isValid 설명: TgtFileSignatureIsValid 필드 유형: boolean - 이름: tgt.file.originalFileName 설명: TgtFileOriginalFileName 필드 유형: string - 이름: tgt.file.productName 설명: TgtFileProductName 필드 유형: string - 이름: tgt.file.productVersion 설명: TgtFileProductVersion 필드 유형: string - 이름: registry.keyPath 설명: RegistryKeyPath 필드 유형: string - 이름: registry.keyUid 설명: RegistryKeyUid 필드 유형: string - 이름: src.process.registryChangeCount 설명: SrcProcessRegistryChangeCount 필드 유형: bigint - 이름: registry.valueType 설명: RegistryValueType 필드 유형: string - 이름: registry.value 설명: RegistryValue 필드 유형: string - 이름: registry.valueFullSize 설명: RegistryValueFullSize 필드 유형: bigint - 이름: registry.valueIsComplete 설명: RegistryValueIsComplete 필드 유형: boolean - 이름: registry.oldValueType 설명: RegistryOldValueType 필드 유형: string - 이름: registry.oldValue 설명: RegistryOldValue 필드 유형: string - 이름: registry.oldValueFullSize 설명: RegistryOldValueFullSize 필드 유형: bigint - 이름: registry.oldValueIsComplete 설명: RegistryOldValueIsComplete 필드 유형: boolean - 이름: registry.owner.user 설명: RegistryOwnerUser 필드 유형: string - 이름: registry.export.path 설명: RegistryExportPath 필드 유형: string - 이름: registry.import.path 설명: RegistryImportPath 필드 유형: string - 이름: registry.security.info 설명: RegistrySecurityInfo 필드 유형: bigint - 이름: registry.owner.userSid 설명: RegistryOwnerUserSid 필드 유형: string - 이름: task.name 설명: TaskName 필드 유형: string - 이름: task.path 설명: TaskPath 필드 유형: string - 이름: task.triggerType 설명: TaskTriggerType 필드 유형: bigint - 이름: indicator.name 설명: IndicatorName 필드 유형: string - 이름: indicator.category 설명: IndicatorCategory 필드 유형: string - 이름: indicator.description 설명: IndicatorDescription 필드 유형: string - 이름: indicator.metadata 설명: IndicatorMetadata 필드 유형: string - 이름: indicator.identifier 설명: IndicatorIdentifier 필드 유형: string - 이름: src.process.indicatorBootConfigurationUpdateCount 설명: SrcProcessIndicatorBootConfigurationUpdateCount 필드 유형: bigint - 이름: src.process.indicatorEvasionCount 설명: SrcProcessIndicatorEvasionCount 필드 유형: bigint - 이름: src.process.indicatorExploitationCount 설명: SrcProcessIndicatorExploitationCount 필드 유형: bigint - 이름: src.process.indicatorGeneralCount 설명: SrcProcessIndicatorGeneralCount 필드 유형: bigint - 이름: src.process.indicatorInfostealerCount 설명: SrcProcessIndicatorInfostealerCount 필드 유형: bigint - 이름: src.process.indicatorInjectionCount 설명: SrcProcessIndicatorInjectionCount 필드 유형: bigint - 이름: src.process.indicatorPersistenceCount 설명: SrcProcessIndicatorPersistenceCount 필드 유형: bigint - 이름: src.process.indicatorPostExploitationCount 설명: SrcProcessIndicatorPostExploitationCount 필드 유형: bigint - 이름: src.process.indicatorRansomwareCount 설명: SrcProcessIndicatorRansomwareCount 필드 유형: bigint - 이름: src.process.indicatorReconnaissanceCount 설명: SrcProcessIndicatorReconnaissanceCount 필드 유형: bigint - 이름: src.process.childProcCount 설명: SrcProcessChildProcCount 필드 유형: bigint - 이름: module.path 설명: ModulePath 필드 유형: string - 이름: module.sha1 설명: ModuleSha1 필드 유형: string indicators: - sha1 - 이름: module.md5 설명: ModuleMd5 필드 유형: string indicators: - md5 - 이름: src.process.moduleCount 설명: SrcProcessModuleCount 필드 유형: bigint - 이름: event.login.userName 설명: EventLoginUserName 필드 유형: string indicators: - username - 이름: event.login.baseType 설명: EventLoginBaseType 필드 유형: string - 이름: src.endpoint.ip.address 설명: SrcEndpointIpAddress 필드 유형: string indicators: - ip - 이름: event.login.loginIsSuccessful 설명: EventLoginLoginIsSuccessful 필드 유형: boolean - 이름: event.login.accountName 설명: EventLoginAccountName 필드 유형: string - 이름: event.login.type 설명: EventLoginType 필드 유형: string - 이름: event.login.isAdministratorEquivalent 설명: EventLoginIsAdministratorEquivalent 필드 유형: boolean - 이름: event.login.failureReason 설명: EventLoginFailureReason 필드 유형: string - 이름: event.login.accountSid 설명: EventLoginAccountSid 필드 유형: string - 이름: event.login.accountDomain 설명: EventLoginAccountDomain 필드 유형: string - 이름: event.login.sessionId 설명: EventLoginSessionId 필드 유형: bigint - 이름: event.logout.type 설명: EventLogoutType 필드 유형: string - 이름: event.login.tgt.domainName 설명: EventLoginTgtDomainName 필드 유형: string indicators: - domain - 이름: event.login.tgt.user.name 설명: EventLoginTgtUserName 필드 유형: string indicators: - username - 이름: event.login.tgt.userSid 설명: EventLoginTgtUserSid 필드 유형: string - 이름: event.logout.tgt.domainName 설명: EventLogoutTgtDomainName 필드 유형: string indicators: - domain - 이름: event.logout.tgt.user.name 설명: EventLogoutTgtUserName 필드 유형: string indicators: - username - 이름: event.logout.tgt.userSid 설명: EventLogoutTgtUserSid 필드 유형: string - 이름: k8sCluster.name 설명: K8sClusterName 필드 유형: string - 이름: k8sCluster.nodeName 설명: K8sClusterNodeName 필드 유형: string - 이름: k8sCluster.namespace 설명: K8sClusterNamespace 필드 유형: string - 이름: k8sCluster.namespaceLabels 설명: K8sClusterNamespaceLabels 필드 유형: string - 이름: k8sCluster.controllerType 설명: K8sClusterControllerType 필드 유형: string - 이름: k8sCluster.controllerName 설명: K8sClusterControllerName 필드 유형: string - name: k8sCluster.controllerLabels description: K8sClusterControllerLabels 필드 유형: string - name: k8sCluster.podName description: K8sClusterPodName 필드 유형: string - name: k8sCluster.podLabels description: K8sClusterPodLabels 필드 유형: string - name: k8sCluster.containerName description: K8sClusterContainerName 필드 유형: string - name: k8sCluster.containerId description: K8sClusterContainerId 필드 유형: string - name: k8sCluster.containerLabels description: K8sClusterContainerLabels 필드 유형: string - name: k8sCluster.containerImage description: K8sClusterContainerImage 필드 유형: string - name: src.process.parent.reasonSignatureInvalid description: SrcProcessParentReasonSignatureInvalid 필드 유형: string - name: src.process.parent.activeContentType description: SrcProcessParentActiveContentType 필드 유형: string - name: src.process.parent.activeContent.id description: SrcProcessParentActiveContentId 필드 유형: string - name: src.process.parent.activeContent.path description: SrcProcessParentActiveContentPath 필드 유형: string - name: src.process.parent.activeContent.hash description: SrcProcessParentActiveContentHash 필드 유형: string indicators: - sha1 - name: src.process.parent.activeContent.signedStatus description: SrcProcessParentActiveContentSignedStatus 필드 유형: string - name: tiIndicator.source description: TiIndicatorSource 필드 유형: string - name: tiIndicator.externalId description: TiIndicatorExternalId 필드 유형: string - name: tiIndicator.uid description: TiIndicatorUid 필드 유형: string - name: tiIndicator.type description: TiIndicatorType 필드 유형: string - name: tiIndicator.value description: TiIndicatorValue 필드 유형: string - name: tiIndicator.name description: TiIndicatorName 필드 유형: string - name: tiIndicator.categories description: TiIndicatorCategories 필드 유형: string - name: tiIndicator.description description: TiIndicatorDescription 필드 유형: string - name: tiIndicator.metadata description: TiIndicatorMetadata 필드 유형: string - name: tiIndicator.validUntil description: TiIndicatorValidUntil 필드 유형: timestamp timeFormats: - unix_ms - name: tiIndicator.modificationTime description: TiIndicatorModificationTime 필드 유형: timestamp timeFormats: - unix_ms - name: tiIndicator.uploadTime description: TiIndicatorUploadTime 필드 유형: timestamp timeFormats: - unix_ms - name: tiIndicator.creationTime description: TiIndicatorCreationTime 필드 유형: timestamp timeFormats: - unix_ms - name: tiIndicator.addedBy description: TiIndicatorAddedBy 필드 유형: string - name: tiIndicator.comparisonMethod description: TiIndicatorComparisonMethod 필드 유형: string - name: tiIndicator.mitreTactics description: TiIndicatorMitreTactics 필드 유형: string - name: tiIndicator.intrusionSets description: TiIndicatorIntrusionSets 필드 유형: string - name: tiIndicator.references description: TiIndicatorReferences 필드 유형: string - name: tiIndicator.threatActors description: TiIndicatorThreatActors 필드 유형: string - name: namedPipe.name description: NamedPipeName 필드 유형: string - name: namedPipe.accessMode description: NamedPipeAccessMode 필드 유형: string - name: namedPipe.typeMode description: NamedPipeTypeMode 필드 유형: string - name: namedPipe.readMode description: NamedPipeReadMode 필드 유형: string - name: namedPipe.waitMode description: NamedPipeWaitMode 필드 유형: string - name: namedPipe.remoteClients description: NamedPipeRemoteClients 필드 유형: string - name: namedPipe.maxInstances description: NamedPipeMaxInstances 필드 유형: bigint - name: namedPipe.securityOwner description: NamedPipeSecurityOwner 필드 유형: string - name: namedPipe.securityGroups description: NamedPipeSecurityGroups 필드 유형: string - name: namedPipe.connectionType description: NamedPipeConnectionType 필드 유형: string - name: namedPipe.isFirstInstance description: NamedPipeIsFirstInstance 필드 유형: boolean - name: namedPipe.isWriteThrough description: NamedPipeIsWriteThrough 필드 유형: boolean - name: namedPipe.isOverlapped description: NamedPipeIsOverlapped 필드 유형: boolean - name: group.type description: GroupType 필드 유형: string - name: group.id description: GroupId 필드 유형: string - name: driver.loadVerdict description: DriverLoadVerdict 필드 유형: string - name: driver.isLoadedBeforeMonitor description: DriverIsLoadedBeforeMonitor 필드 유형: boolean - name: driver.startType description: DriverStartType 필드 유형: string - name: driver.certificate.thumbprint description: DriverCertificateThumbprint 필드 유형: string - name: driver.certificate.thumbprintAlgorithm description: DriverCertificateThumbprintAlgorithm 필드 유형: bigint - name: i.scheme description: IScheme 필드 유형: string - name: i.version description: IVersion 필드 유형: string - name: meta.event.name description: MetaEventName 필드 유형: string - name: mgmt.id description: MgmtId 필드 유형: string - name: mgmt.osRevision description: MgmtOsRevision 필드 유형: string - name: mgmt.url description: MgmtUrl 필드 유형: string indicators: - domain - url - name: os.name description: OsName 필드 유형: string - name: process.unique.key description: ProcessUniqueKey 필드 유형: string - name: sca:atlantisIngestTime description: ScaAtlantisIngestTime 필드 유형: timestamp timeFormats: - unix_ms - name: sca:ingestTime description: ScaIngestTime 필드 유형: timestamp timeFormats: - unix_ms - name: src.process.parent.subsystem description: SrcProcessParentSubsystem 필드 유형: string - name: trace.id description: TraceId 필드 유형: string indicators: - trace_id - name: account.id 필수: true description: AccountId 필드 유형: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/sentinel-one.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.