# SentinelOne 로그
## 개요
Panther는 SentinelOne에서 다음 로그 유형 수집을 지원합니다:
* 활동 로그
* SentinelOne 활동 로그는 사용자 네트워크에서 발생하는 다양한 이벤트를 캡처합니다. 여기에는 다음과 같은 위협 관리 이벤트가 포함됩니다: `사용자 정의 룰 - 새 알러트` 및 `사용자가 애플리케이션을 위협으로 표시함`및 `에이전트 요청 제거` 및 `사용자 2FA 수정`.
* Panther는 SentinelOne API의 `/web/api/v2.1/activities` 엔드포인트에서 활동 로그를 가져옵니다. 이 `/activities` 엔드포인트는 모든 유료 SentinelOne 플랜에서 이용 가능합니다.
* 이러한 로그를 수집하려면 다음 지침을 따르세요: [SentinelOne API 활동 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-api-activity-logs-to-panther)아래.
* Deep Visibility 2.0 로그
* Deep Visibility 로그는 SentinelOne EDR 및 XDR 텔레메트리 데이터를 캡처합니다.
* [SentinelOne 클라우드 퍼널](https://www.sentinelone.com/platform/singularity-cloud-funnel/) 은 로그를 클라우드 스토리지 위치로 전달하는 향상된 XDR 데이터 스트리밍 서비스입니다. Panther는 이 클라우드 스토리지 위치에서 Deep Visibility 로그를 가져옵니다.
* 이러한 로그를 수집하려면 다음 지침을 따르세요: [SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-cloud-funnel-deep-visibility-logs-to-panther)아래.
## SentinelOne API 활동 로그를 Panther에 온보딩하는 방법
아래 지침은 SentinelOne API 활동 로그에 적용됩니다. SentinelOne Cloud Funnel 로그를 온보딩하는 방법에 대한 지침은 다음 섹션을 참조하세요: [SentinelOne Deep Visibility 로그를 Panther에 온보딩하는 방법](#how-to-onboard-sentinelone-cloud-funnel-deep-visibility-logs-to-panther).
### 1단계: SentinelOne 서비스 사용자 및 API 토큰 생성
SentinelOne 계정에서 Viewer 역할이 있는 서비스 사용자의 API 토큰이 필요합니다. 이미 서비스 사용자로부터 API 토큰이 있는 경우 이 단계를 건너뛸 수 있습니다.
1. SentinelOne 대시보드의 왼쪽 탐색 모음에서 **설정**.
2. 설정 페이지 상단에서 **사용자** 탭을 클릭합니다.\\
3. 사용자 페이지의 왼쪽에서 **서비스 사용자**.
4. 를 클릭합니다. **작업** 드롭다운을 클릭한 다음 **새 서비스 사용자 생성**.\\
5. 페이지에서 이름과 설명을 입력하고 만료일을 선택한 다음 **새 서비스 사용자 생성** 다음 **을 클릭합니다.**\\
6. "액세스 범위 선택" 페이지에서 다음을 구성합니다:
* **액세스 수준**: `계정`
* **계정 선택됨**: 올바른 계정을 선택했는지 및 역할이 `Viewer`\\
7. 로 설정되어 있는지 확인하세요 **사용자 생성**.
8. 을 클릭합니다. API 토큰을 복사하여 안전한 위치에 저장하세요. 다음 로그 소스 온보딩 단계에서 Panther에 제공해야 합니다.\\
### 2단계: Panther에서 새 SentinelOne API 소스 생성
1. Panther 콘솔의 왼쪽 탐색 모음에서 **구성** > **로그 소스**.
2. 로 설정되어 있는지 확인하세요 **새로 만들기**.
3. "SentinelOne API"를 검색한 다음 해당 타일을 클릭하세요.
4. 슬라이드아웃 패널에서 **설정 시작**
5. 을 클릭합니다.
* **SentinelOne API 소스를 구성하세요:**이름 `: 소스에 대한 설명적 이름을 입력하세요. 예:`.
* **SentinelOne API**SentinelOne API 조직
* : SentinelOne 계정의 서브도메인을 입력하세요. 이 값을 찾으려면 SentinelOne 대시보드에 로그인하여 URL에서 서브도메인을 복사하세요. `예를 들어, 대시보드 URL이` `인 경우 서브도메인은`.
* **example-domain**입니다.
6. 로 설정되어 있는지 확인하세요 **API 토큰**: 이 문서의 이전 단계에서 복사한 서비스 사용자 토큰을 입력하세요.\\
* 설정 [. 성공 화면으로 이동됩니다:\\](https://docs.panther.com/detections/panther-managed/packs).
* 선택적으로 하나 이상의 **디텍션 팩** 을 활성화할 수 있습니다. **이**이벤트가 처리되지 않을 때 알러트 트리거
## SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법
### 설정은 기본적으로
* YES
* 로 설정되어 있습니다. 데이터 흐름이 일정 기간 동안 로그 소스에서 중단되면 알림을 받게 되므로 이 설정을 켜 두는 것을 권장합니다. 시간 프레임은 구성 가능하며 기본값은 24시간입니다.\ `전제 조건`.
### 클라우드 스토리지 엔터티를 생성했습니다.
1. Panther 콘솔의 왼쪽 탐색 모음에서 **구성** > **로그 소스**.
2. 로 설정되어 있는지 확인하세요 **새로 만들기**.
3. AWS S3를 사용하는 경우 SentinelOne 문서에 따라 구성하세요:
* \[SentinelOne Domain]/docs/en/how-to-configure-your-amazon-s3-bucket.html **1단계: Panther에서 새 SentinelOne Cloud Funnel 2.0 소스 생성** "SentinelOne Cloud Funnel 2.0"를 검색한 다음 해당 타일을 클릭하세요. **슬라이드아웃 패널에서** 전송 메커니즘
4. 슬라이드아웃 패널에서 **설정 시작**
5. 드롭다운은 오른쪽 상단에 있으며 기본적으로 [AWS S3 버킷](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) 옵션으로 채워져 있습니다.
### 데이터 전송 수단으로
* AWS S3 `구성하는 방법에 대해서는 Panther 문서를 따르세요.`.
## 2단계: Cloud Funnel 스트리밍 활성화
### Cloud Funnel 스트리밍을 클라우드 스토리지 위치로 활성화하는 방법에 대해서는 SentinelOne 문서를 따르세요:
\[SentinelOne Domain]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming
```yaml
지원되는 로그 유형
SentinelOne.Activity
SentinelOne API의 활동 이벤트입니다.
스키마: SentinelOne.Activity
파서:
네이티브:
이름: SentinelOne.Activity
설명: 필터와 일치하는 활동 및 해당 데이터를 가져옵니다. 필터에 대해 일부 값을 설정하는 것을 권장합니다.
참조 URL: https://usea1-partners.sentinelone.net/api-doc/api-details?category=activities&api=get-activities
필드:
- 이름: accountId
설명: 계정 id
필드:
유형: 문자열
- 이름: accountName
설명: 계정 이름
필드:
- 이름: activityType
필수: true
필드:
설명: 활동 유형
- 이름: activityUuid
필드:
설명: 활동 UUID
- 이름: agentId
필드:
설명: 관련 에이전트 Id
- 이름: agentUpdatedVersion
필드:
설명: 에이전트 업데이트된 버전
- 이름: comments
설명: 댓글
- 이름: createdAt
설명: 활동 생성 시간 (UTC)
유형: 타임스탬프
시간 형식:
- rfc3339
isEventTime: true
- 이름: data
설명: 이벤트 특정 데이터. 다음과 같은 가능한 필드를 포함할 수 있습니다 accountid, accountname, action, actoralternateid, agentipv4, alertid, alertprocessname, alertscounter, application, applicationtype, attr, bundlemessage, byuser, changedkeys, commandbatchuuid, commandid, computername, confidencelevel, createdat, createdbyusername, current, datasourcename, deactivationperiodindays, description, detectedat, direction, disabledlevel, dnsrequest, dnsresponse, downloadurl, dstip, dstport, dveventid, dveventtype, email, enabledreason, error, escapedmaliciousprocessarguments, eventcategory, eventdetails, eventexternalid, eventtime, exclusiontype, expiration, expirationmessage, expirydatestr, expirytime, externalip, externalip, externalthreatvalue, filecontenthash, filedisplayname, filename, filepath, fullscopedetails, fullscopedetailspath, group, groupid, groupname, grouptype, indicatorcategory, indicatordescription, indicatorname, initiatedbyname, ipaddress, k8sclustername, k8scontainerid, k8scontainerimage, k8scontainerlabels, k8scontainername, k8scontrollerkind, k8scontrollerlabels, k8scontrollername, k8snamespace, k8snamespacelabels, k8snode, k8spod, k8spodlabels, key, licensesdescription, localhost, localhosttype, localports, localporttype, locationnames, loginaccountdomain, loginaccountsid, loginisadministratorequivalent, loginissuccessful, loginsusername, logintype, majorversion, minorversion, modulemessage, modulepath, modulesha1, namechange, namemessage, neteventdirection, networkquarantine, newincidentstatus, newincidentstatustitle, newstatus, newvalue, noteaction, notedetails, oldaccountname, olddescription, oldincidentstatus, oldincidentstatustitle, oldkey, oldrulename, oldsitename, oldstatus, oldvalue, optionalgroups, order, origagentmachinetype, origagentmachinetype, origagentname, origagentname, origagentosfamily, origagentosfamily, origagentosname, origagentosname, origagentosrevision, origagentosrevision, origagentsiteid, origagentuuid, origagentuuid, origagentversion, origagentversion, originalstatus, osarch, osfamily, ostypes, packageid, physical, platformtype, policy, policyname, previous, protocol, reason, recoveryemail, registrykeypath, registryoldvalue, registryoldvaluetype, registrypath, registryvalue, remotehost, remotehosttype, remoteports, remoteporttype, reportlog, reportmgmt, role, rolename, rulecreationtime, ruledescription, ruleexpirationmode, ruleid, rulename, rulequerydetails, rulequerytype, rulescopeid, rulescopelevel, ruleseverity, scopeid, scopelevel, scopelevelname, scopename, setting, settingmessage, severity, siteexpiration, siteid, sitename, source, sourcename, sourceparentprocesscommandline, sourceparentprocessintegritylevel, sourceparentprocesskey, sourceparentprocessmd5, sourceparentprocessname, sourceparentprocesspath, sourceparentprocesspid, sourceparentprocesssha1, sourceparentprocesssha256, sourceparentprocesssigneridentity, sourceparentprocessstarttime, sourceparentprocessstoryline, sourceparentprocesssubsystem, sourceparentprocessusername, sourceprocesscommandline, sourceprocessfilehashmd5, sourceprocessfilehashsha1, sourceprocessfilehashsha256, sourceprocessfilepath, sourceprocessfilesigneridentity, sourceprocessintegritylevel, sourceprocesskey, sourceprocesskey, sourceprocessmd5, sourceprocessname, sourceprocesspid, sourceprocesssha1, sourceprocesssha256, sourceprocessstarttime, sourceprocessstoryline, sourceprocesssubsystem, sourceprocessusername, srcip, srcmachineip, srcport, status, storyline, system, systemuser, tagid, tagnames, tags, tgtfilecreatedat, tgtfilehashsha1, tgtfilehashsha256, tgtfileid, tgtfileissigned, tgtfilemodifiedat, tgtfileoldpath, tgtfilepath, tgtproccmdline, tgtprocessstarttime, tgtprocimagepath, tgtprocintegritylevel, tgtprocname, tgtprocpid, tgtprocsignedstatus, tgtprocstorylineid, tgtprocuid, threatalreadyexists, threatclassification, threatclassificationsource, tiindicatorcomparisonmethod, tiindicatorsource, tiindicatortype, tiindicatorvalue, treatasthreat, type, updatedescriptionmessage, updatenameanddescriptionmessage, updatenamemessage, uploadedfilename, userid, username, userscope, uuid, value, version
필드:
유형: json
- 이름: description
필드:
설명: 이벤트 설명
- 이름: groupId
필드:
설명: 관련 그룹 id
- 이름: groupName
필드:
설명: 관련 그룹 이름
- 이름: accountName
- 이름: hash
필드:
설명: 위협 파일 해시
- 이름: id
설명: 활동 id
지표:
필드:
- trace_id
- 이름: osFamily
필드:
설명: 에이전트 OS 유형
- 이름: primaryDescription
필드:
설명: 기본 활동 설명
- 이름: secondaryDescription
필드:
설명: 부가 활동 설명
- 이름: siteId
필드:
설명: 관련 사이트 id
- 이름: siteName
필드:
설명: 관련 사이트 이름
- 이름: threatId
설명: 댓글
- 이름: createdAt
설명: 활동 생성 시간 (UTC)
설명: 관련 위협 id
- 이름: updatedAt
필드:
```
### 설명: 활동 마지막 업데이트 시간 (UTC)
\- 이름: userId
```yaml
설명: 활동을 호출한 사용자
SentinelOne.DeepVisibility2
SentinelOne 서비스의 Deep Visibility 2.0 이벤트입니다.
이름: SentinelOne.Activity
스키마: SentinelOne.DeepVisibilityV2
설명: SentinelOne Cloud Funnel 2.0 서비스의 Deep Visibility 이벤트
설명: 댓글
- 이름: createdAt
설명: 활동 생성 시간 (UTC)
참조 URL: https://support.sentinelone.com/hc/en-us/articles/4409020727575
- 이름: timestamp
필드:
설명: 타임스탬프 필드
- 이름: dataSource.category
필드:
설명: DataSourceCategory 필드
- 이름: dataSource.name
필드:
설명: DataSourceName 필드
- 이름: endpoint.name
필드:
설명: EndpointName 필드
- 이름: endpoint.os
필드:
설명: EndpointOs 필드
- 이름: endpoint.type
필드:
설명: EndpointType 필드
- 이름: agent.uuid
필드:
설명: AgentUuid 필드
- 이름: agent.version
필드:
설명: AgentVersion 필드
- 이름: site.name
필드:
설명: SiteName 필드
- 이름: site.id
필드:
설명: SiteId 필드
- 이름: event.category
필드:
설명: EventCategory 필드
- 이름: accountName
- 이름: event.type
설명: 댓글
- 이름: createdAt
설명: EventType 필드
유형: 타임스탬프
- 이름: event.time
설명: EventTime 필드
필드:
- unix_ms
- 이름: event.id
설명: EventId 필드
- 이름: event.repetitionCount
설명: EventRepetitionCount 필드
필드:
유형: bigint
- 이름: src.process.name
필드:
설명: SrcProcessName 필드
- 이름: src.process.storyline.id
필드:
설명: SrcProcessStorylineId 필드
- 이름: src.process.cmdline
필드:
설명: SrcProcessCmdline 필드
- 이름: src.process.user
설명: 댓글
- 이름: createdAt
설명: EventType 필드
설명: SrcProcessUser 필드
- 이름: src.process.startTime
필드:
설명: SrcProcessStartTime 필드
- 이름: src.process.image.path
필드:
설명: SrcProcessImagePath 필드
- 이름: src.process.image.extension
설명: EventId 필드
설명: SrcProcessImageExtension 필드
- 이름: src.process.image.size
필드:
설명: SrcProcessImageSize 필드
- 이름: src.process.userSid
설명: EventId 필드
설명: SrcProcessUserSid 필드
- 이름: src.process.pid
필드:
설명: SrcProcessPid 필드
- 이름: src.process.displayName
필드:
설명: SrcProcessDisplayName 필드
- 이름: src.process.uid
설명: SrcProcessUid 필드
- 이름: src.process.image.binaryIsExecutable
설명: SrcProcessImageBinaryIsExecutable 필드
필드:
유형: boolean
- 이름: src.process.integrityLevel
필드:
설명: SrcProcessIntegrityLevel 필드
- 이름: src.process.signedStatus
필드:
설명: SrcProcessSignedStatus 필드
- 이름: src.process.publisher
필드:
설명: SrcProcessPublisher 필드
- 이름: src.process.verifiedStatus
필드:
설명: SrcProcessVerifiedStatus 필드
- 이름: src.process.reasonSignatureInvalid
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- 이름: src.process.image.sha1
설명: SrcProcessImageSha1 필드
필드:
설명: 위협 파일 해시
- sha1
- 이름: src.process.image.md5
설명: SrcProcessImageMd5 필드
필드:
설명: 위협 파일 해시
- md5
- 이름: src.process.image.sha256
설명: SrcProcessImageSha256 필드
필드:
- sha256
- 이름: src.process.subsystem
설명: EventId 필드
설명: SrcProcessSubsystem 필드
- 이름: src.process.sessionId
설명: SrcProcessUid 필드
설명: SrcProcessSessionId 필드
- 이름: src.process.isNative64Bit
설명: SrcProcessUid 필드
설명: SrcProcessIsNative64Bit 필드
- 이름: src.process.isRedirectCmdProcessor
설명: SrcProcessUid 필드
설명: SrcProcessIsRedirectCmdProcessor 필드
- 이름: src.process.isStorylineRoot
필드:
설명: SrcProcessIsStorylineRoot 필드
- 이름: src.process.activeContentType
필드:
설명: SrcProcessActiveContentType 필드
- 이름: src.process.activeContent.id
필드:
설명: SrcProcessActiveContentId 필드
- 이름: src.process.activeContent.path
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
설명: SrcProcessActiveContentPath 필드
- 이름: src.process.activeContent.hash
필드:
설명: SrcProcessActiveContentHash 필드
- 이름: src.process.activeContent.signedStatus
설명: EventId 필드
설명: SrcProcessActiveContentSignedStatus 필드
- 이름: src.process.rpid
설명: EventId 필드
설명: SrcProcessRpid 필드
- 이름: src.process.tid
필드:
설명: SrcProcessTid 필드
- 이름: src.process.image.location
필드:
설명: SrcProcessImageLocation 필드
- 이름: src.process.image.uid
필드:
설명: SrcProcessImageUid 필드
- 이름: src.process.image.originalFileName
필드:
설명: SrcProcessImageOriginalFileName 필드
- 이름: src.process.image.description
필드:
설명: SrcProcessImageDescription 필드
- 이름: src.process.image.internalName
필드:
설명: SrcProcessImageInternalName 필드
- 이름: src.process.image.productName
필드:
설명: SrcProcessImageProductName 필드
- 이름: src.process.image.productVersion
필드:
설명: SrcProcessImageProductVersion 필드
- 이름: src.process.image.type
필드:
설명: SrcProcessImageType 필드
- 이름: cmdScript.content
설명: SrcProcessUid 필드
설명: CmdScriptContent 필드
- 이름: cmdScript.isComplete
필드:
설명: 위협 파일 해시
- md5
설명: CmdScriptIsComplete 필드
- 이름: cmdScript.sha256
설명: EventId 필드
설명: CmdScriptSha256 필드
- 이름: cmdScript.originalSize
필드:
설명: CmdScriptOriginalSize 필드
- 이름: cmdScript.applicationName
필드:
설명: CmdScriptApplicationName 필드
- 이름: osSrc.process.name
필드:
설명: OsSrcProcessName 필드
- 이름: osSrc.process.storyline.id
필드:
설명: OsSrcProcessStorylineId 필드
- 이름: osSrc.process.cmdline
필드:
설명: OsSrcProcessCmdline 필드
- 이름: osSrc.process.user
설명: 댓글
- 이름: createdAt
설명: EventType 필드
설명: OsSrcProcessUser 필드
- 이름: osSrc.process.startTime
필드:
설명: OsSrcProcessStartTime 필드
- 이름: osSrc.process.image.path
설명: EventId 필드
설명: OsSrcProcessImagePath 필드
- 이름: osSrc.process.pid
필드:
설명: OsSrcProcessPid 필드
- 이름: osSrc.process.displayName
필드:
설명: OsSrcProcessDisplayName 필드
- 이름: osSrc.process.uid
설명: SrcProcessUid 필드
설명: OsSrcProcessUid 필드
- 이름: osSrc.process.image.binaryIsExecutable
필드:
설명: OsSrcProcessImageBinaryIsExecutable 필드
- 이름: osSrc.process.integrityLevel
필드:
설명: OsSrcProcessIntegrityLevel 필드
- 이름: osSrc.process.signedStatus
필드:
설명: OsSrcProcessSignedStatus 필드
- 이름: osSrc.process.publisher
필드:
설명: OsSrcProcessPublisher 필드
- 이름: osSrc.process.verifiedStatus
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
설명: OsSrcProcessVerifiedStatus 필드
- 이름: osSrc.process.image.sha1
필드:
설명: 위협 파일 해시
- sha1
설명: OsSrcProcessImageSha1 필드
- 이름: osSrc.process.image.md5
필드:
설명: 위협 파일 해시
- md5
설명: OsSrcProcessImageMd5 필드
- 이름: osSrc.process.image.sha256
필드:
설명: OsSrcProcessImageSha256 필드
- 이름: osSrc.process.subsystem
설명: EventId 필드
설명: OsSrcProcessSubsystem 필드
- 이름: osSrc.process.sessionId
설명: SrcProcessUid 필드
설명: OsSrcProcessSessionId 필드
- 이름: osSrc.process.isNative64Bit
설명: SrcProcessUid 필드
설명: OsSrcProcessIsNative64Bit 필드
- 이름: osSrc.process.isRedirectCmdProcessor
설명: SrcProcessUid 필드
설명: OsSrcProcessIsRedirectCmdProcessor 필드
- 이름: osSrc.process.isStorylineRoot
필드:
설명: OsSrcProcessIsStorylineRoot 필드
- 이름: osSrc.process.activeContentType
필드:
설명: OsSrcProcessActiveContentType 필드
- 이름: osSrc.process.activeContent.id
필드:
설명: OsSrcProcessActiveContentId 필드
- 이름: osSrc.process.activeContent.path
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
설명: OsSrcProcessActiveContentPath 필드
- 이름: osSrc.process.activeContent.hash
필드:
설명: OsSrcProcessActiveContentHash 필드
- 이름: osSrc.process.activeContent.signedStatus
필드:
설명: OsSrcProcessActiveContentSignedStatus 필드
- 이름: osSrc.process.reasonSignatureInvalid
설명: EventId 필드
설명: OsSrcProcessReasonSignatureInvalid 필드
- 이름: osSrc.process.crossProcessCount
설명: EventId 필드
설명: OsSrcProcessCrossProcessCount 필드
- 이름: osSrc.process.crossProcessOutOfStorylineCount
설명: EventId 필드
설명: OsSrcProcessCrossProcessOutOfStorylineCount 필드
- 이름: osSrc.process.crossProcessDupRemoteProcessHandleCount
설명: EventId 필드
설명: OsSrcProcessCrossProcessDupRemoteProcessHandleCount 필드
- 이름: osSrc.process.crossProcessDupThreadHandleCount
설명: EventId 필드
설명: OsSrcProcessCrossProcessDupThreadHandleCount 필드
- 이름: osSrc.process.crossProcessOpenProcessCount
설명: EventId 필드
설명: OsSrcProcessCrossProcessOpenProcessCount 필드
- 이름: osSrc.process.crossProcessThreadCreateCount
설명: EventId 필드
설명: OsSrcProcessCrossProcessThreadCreateCount 필드
- 이름: osSrc.process.netConnCount
설명: EventId 필드
설명: OsSrcProcessNetConnCount 필드
- 이름: osSrc.process.netConnInCount
설명: EventId 필드
설명: OsSrcProcessNetConnInCount 필드
- 이름: osSrc.process.netConnOutCount
설명: EventId 필드
설명: OsSrcProcessNetConnOutCount 필드
- 이름: osSrc.process.dnsCount
설명: EventId 필드
설명: OsSrcProcessDnsCount 필드
- 이름: osSrc.process.tgtFileModificationCount
설명: EventId 필드
설명: OsSrcProcessTgtFileModificationCount 필드
- 이름: osSrc.process.tgtFileCreationCount
설명: EventId 필드
설명: OsSrcProcessTgtFileCreationCount 필드
- 이름: osSrc.process.tgtFileDeletionCount
설명: EventId 필드
설명: OsSrcProcessTgtFileDeletionCount 필드
- 이름: osSrc.process.registryChangeCount
설명: EventId 필드
설명: OsSrcProcessRegistryChangeCount 필드
- 이름: osSrc.process.indicatorBootConfigurationUpdateCount
설명: EventId 필드
설명: OsSrcProcessIndicatorBootConfigurationUpdateCount 필드
- 이름: osSrc.process.indicatorEvasionCount
설명: EventId 필드
설명: OsSrcProcessIndicatorEvasionCount 필드
- 이름: osSrc.process.indicatorExploitationCount
설명: EventId 필드
설명: OsSrcProcessIndicatorExploitationCount 필드
- 이름: osSrc.process.indicatorGeneral.count
설명: EventId 필드
설명: OsSrcProcessIndicatorGeneralCount 필드
- 이름: osSrc.process.indicatorInfostealerCount
설명: EventId 필드
설명: OsSrcProcessIndicatorInfostealerCount 필드
- 이름: osSrc.process.indicatorInjectionCount
설명: EventId 필드
설명: OsSrcProcessIndicatorInjectionCount 필드
- 이름: osSrc.process.indicatorPersistenceCount
설명: EventId 필드
설명: OsSrcProcessIndicatorPersistenceCount 필드
- 이름: osSrc.process.indicatorPostExploitationCount
설명: EventId 필드
설명: OsSrcProcessIndicatorPostExploitationCount 필드
- 이름: osSrc.process.indicatorRansomwareCount
설명: EventId 필드
설명: OsSrcProcessIndicatorRansomwareCount 필드
- 이름: osSrc.process.indicatorReconnaissanceCount」「설명: OsSrcProcessIndicatorReconnaissanceCount 필드
설명: EventId 필드
- name: osSrc.process.moduleCount
description: OsSrcProcessModuleCount 필드
설명: EventId 필드
- name: osSrc.process.image.type
description: OsSrcProcessImageType 필드
필드:
- name: osSrc.process.image.extension
description: OsSrcProcessImageExtension 필드
필드:
- name: osSrc.process.image.size
description: OsSrcProcessImageSize 필드
설명: EventId 필드
- name: osSrc.process.image.location
description: OsSrcProcessImageLocation 필드
필드:
- name: osSrc.process.image.uid
description: OsSrcProcessImageUid 필드
필드:
- name: osSrc.process.image.signature.isValid
description: OsSrcProcessImageSignatureIsValid 필드
설명: SrcProcessUid 필드
- name: osSrc.process.userSid
description: OsSrcProcessUserSid 필드
필드:
- name: src.process.parent.name
description: SrcProcessParentName 필드
필드:
- name: src.process.parent.storyline.id
description: SrcProcessParentStorylineId 필드
필드:
- name: src.process.parent.cmdline
description: SrcProcessParentCmdline 필드
필드:
- name: src.process.parent.user
description: SrcProcessParentUser 필드
필드:
- name: src.process.parent.startTime
description: SrcProcessParentStartTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- name: src.process.parent.image.path
description: SrcProcessParentImagePath 필드
필드:
- name: src.process.parent.displayName
description: SrcProcessParentDisplayName 필드
필드:
- name: src.process.parent.uid
description: SrcProcessParentUid 필드
필드:
- name: src.process.parent.integrityLevel
description: SrcProcessParentIntegrityLevel 필드
필드:
- name: src.process.parent.signedStatus
description: SrcProcessParentSignedStatus 필드
필드:
- name: src.process.parent.publisher
description: SrcProcessParentPublisher 필드
필드:
- name: src.process.parent.image.sha1
description: SrcProcessParentImageSha1 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- name: src.process.parent.image.md5
description: SrcProcessParentImageMd5 필드
필드:
설명: 위협 파일 해시
- sha1
- name: src.process.parent.image.sha256
description: SrcProcessParentImageSha256 필드
필드:
설명: 위협 파일 해시
- md5
- name: src.process.parent.sessionId
description: SrcProcessParentSessionId 필드
설명: EventId 필드
- name: src.process.parent.isNative64Bit
description: SrcProcessParentIsNative64Bit 필드
설명: SrcProcessUid 필드
- name: src.process.parent.isRedirectCmdProcessor
description: SrcProcessParentIsRedirectCmdProcessor 필드
설명: SrcProcessUid 필드
- name: src.process.parent.isStorylineRoot
description: SrcProcessParentIsStorylineRoot 필드
설명: SrcProcessUid 필드
- name: src.process.parent.pid
description: SrcProcessParentPid 필드
설명: EventId 필드
- name: src.process.parent.image.type
description: SrcProcessParentImageType 필드
필드:
- name: src.process.parent.image.extension
description: SrcProcessParentImageExtension 필드
필드:
- name: src.process.parent.image.size
description: SrcProcessParentImageSize 필드
설명: EventId 필드
- name: src.process.parent.image.location
description: SrcProcessParentImageLocation 필드
필드:
- name: src.process.parent.image.uid
description: SrcProcessParentImageUid 필드
필드:
- name: src.process.parent.image.signature.isValid
description: SrcProcessParentImageSignatureIsValid 필드
설명: SrcProcessUid 필드
- name: src.process.parent.userSid
description: SrcProcessParentUserSid 필드
필드:
- name: src.process.parent.image.binaryIsExecutable
description: SrcProcessParentImageBinaryIsExecutable 필드
설명: SrcProcessUid 필드
- name: osSrc.process.parent.name
description: OsSrcProcessParentName 필드
필드:
- name: osSrc.process.parent.storyline.id
description: OsSrcProcessParentStorylineId 필드
필드:
- name: osSrc.process.parent.cmdline
description: OsSrcProcessParentCmdline 필드
필드:
- name: osSrc.process.parent.user
description: OsSrcProcessParentUser 필드
필드:
- name: osSrc.process.parent.startTime
description: OsSrcProcessParentStartTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- name: osSrc.process.parent.image.path
description: OsSrcProcessParentImagePath 필드
필드:
- name: osSrc.process.parent.pid
description: OsSrcProcessParentPid 필드
설명: EventId 필드
- name: osSrc.process.parent.uid
description: OsSrcProcessParentUid 필드
필드:
- name: osSrc.process.parent.image.sha1
description: OsSrcProcessParentImageSha1 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- name: osSrc.process.parent.image.md5
description: OsSrcProcessParentImageMd5 필드
필드:
설명: 위협 파일 해시
- sha1
- name: osSrc.process.parent.image.sha256
description: OsSrcProcessParentImageSha256 필드
필드:
설명: 위협 파일 해시
- md5
- name: osSrc.process.parent.displayName
description: OsSrcProcessParentDisplayName 필드
필드:
- name: osSrc.process.parent.integrityLevel
description: OsSrcProcessParentIntegrityLevel 필드
필드:
- name: osSrc.process.parent.signedStatus
description: OsSrcProcessParentSignedStatus 필드
필드:
- name: osSrc.process.parent.publisher
description: OsSrcProcessParentPublisher 필드
필드:
- name: osSrc.process.parent.reasonSignatureInvalid
description: OsSrcProcessParentReasonSignatureInvalid 필드
필드:
- name: osSrc.process.parent.sessionId
description: OsSrcProcessParentSessionId 필드
설명: EventId 필드
- name: osSrc.process.parent.isNative64Bit
description: OsSrcProcessParentIsNative64Bit 필드
설명: SrcProcessUid 필드
- name: osSrc.process.parent.isRedirectCmdProcessor
description: OsSrcProcessParentIsRedirectCmdProcessor 필드
설명: SrcProcessUid 필드
- name: osSrc.process.parent.isStorylineRoot
description: OsSrcProcessParentIsStorylineRoot 필드
설명: SrcProcessUid 필드
- name: osSrc.process.parent.activeContentType
description: OsSrcProcessParentActiveContentType 필드
필드:
- name: osSrc.process.parent.activeContent.id
description: OsSrcProcessParentActiveContentId 필드
필드:
- name: osSrc.process.parent.activeContent.path
description: OsSrcProcessParentActiveContentPath 필드
필드:
- name: osSrc.process.parent.activeContent.hash
description: OsSrcProcessParentActiveContentHash 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- name: osSrc.process.parent.activeContent.signedStatus
description: OsSrcProcessParentActiveContentSignedStatus 필드
필드:
- name: osSrc.process.parent.image.type
description: OsSrcProcessParentImageType 필드
필드:
- name: osSrc.process.parent.image.extension
description: OsSrcProcessParentImageExtension 필드
필드:
- name: osSrc.process.parent.image.size
description: OsSrcProcessParentImageSize 필드
설명: EventId 필드
- name: osSrc.process.parent.image.location
description: OsSrcProcessParentImageLocation 필드
필드:
- name: osSrc.process.parent.image.uid
description: OsSrcProcessParentImageUid 필드
필드:
- name: osSrc.process.parent.image.signature.isValid
description: OsSrcProcessParentImageSignatureIsValid 필드
설명: SrcProcessUid 필드
- name: osSrc.process.parent.userSid
description: OsSrcProcessParentUserSid 필드
필드:
- name: osSrc.process.parent.image.binaryIsExecutable
description: OsSrcProcessParentImageBinaryIsExecutable 필드
설명: SrcProcessUid 필드
- name: osSrc.process.parent.subsystem
description: OsSrcProcessParentSubsystem 필드
필드:
- name: tgt.process.name
description: TgtProcessName 필드
필드:
- name: tgt.process.relation
description: TgtProcessRelation 필드
필드:
- name: tgt.process.storyline.id
description: TgtProcessStorylineId 필드
필드:
- name: tgt.process.cmdline
description: TgtProcessCmdline 필드
필드:
- name: tgt.process.user
description: TgtProcessUser 필드
필드:
- name: tgt.process.startTime
description: TgtProcessStartTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- name: tgt.process.image.path
description: TgtProcessImagePath 필드
필드:
- name: tgt.process.pid
description: TgtProcessPid 필드
설명: EventId 필드
- name: tgt.process.displayName
description: TgtProcessDisplayName 필드
필드:
- name: tgt.process.uid
description: TgtProcessUid 필드
필드:
- name: tgt.process.image.binaryIsExecutable
description: TgtProcessImageBinaryIsExecutable 필드
설명: SrcProcessUid 필드
- name: tgt.process.integrityLevel
description: TgtProcessIntegrityLevel 필드
필드:
- name: tgt.process.signedStatus
description: TgtProcessSignedStatus 필드
필드:
- name: tgt.process.publisher
description: TgtProcessPublisher 필드
필드:
- name: tgt.process.verifiedStatus
description: TgtProcessVerifiedStatus 필드
필드:
- name: tgt.process.reasonSignatureInvalid
description: TgtProcessReasonSignatureInvalid 필드
필드:
- name: tgt.process.image.sha1
description: TgtProcessImageSha1 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- name: tgt.process.image.md5
description: TgtProcessImageMd5 필드
필드:
설명: 위협 파일 해시
- sha1
- name: tgt.process.image.sha256
description: TgtProcessImageSha256 필드
필드:
설명: 위협 파일 해시
- md5
- name: tgt.process.subsystem
description: TgtProcessSubsystem 필드
필드:
- name: tgt.process.sessionId
description: TgtProcessSessionId 필드
설명: EventId 필드
- name: tgt.process.isNative64Bit
description: TgtProcessIsNative64Bit 필드
설명: SrcProcessUid 필드
- name: tgt.process.isRedirectCmdProcessor
description: TgtProcessIsRedirectCmdProcessor 필드
설명: SrcProcessUid 필드
- name: tgt.process.isStorylineRoot
description: TgtProcessIsStorylineRoot 필드
설명: SrcProcessUid 필드
- name: tgt.process.activeContentType
description: TgtProcessActiveContentType 필드
필드:
- name: tgt.process.activeContent.id
description: TgtProcessActiveContentId 필드
필드:
- name: tgt.process.activeContent.path
description: TgtProcessActiveContentPath 필드
필드:
- name: tgt.process.activeContent.hash
description: TgtProcessActiveContentHash 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- name: tgt.process.activeContent.signedStatus
description: TgtProcessActiveContentSignedStatus 필드
필드:
- name: src.process.crossProcessCount
description: SrcProcessCrossProcessCount 필드
설명: EventId 필드
- name: tgt.process.accessRights
description: TgtProcessAccessRights 필드
설명: EventId 필드
- name: tgt.process.image.uid
description: TgtProcessImageUid 필드
필드:
- name: tgt.process.image.extension
description: TgtProcessImageExtension 필드
필드:
- name: tgt.process.image.size
description: TgtProcessImageSize 필드
설명: EventId 필드
- name: tgt.process.completeness.hints
description: TgtProcessCompletenessHints 필드
설명: EventId 필드
- name: tgt.process.userSid
description: TgtProcessUserSid 필드
필드:
- name: event.processtermination.exitCode
description: EventProcessterminationExitCode 필드
설명: EventId 필드
- name: event.processtermination.signal
description: EventProcessterminationSignal 필드
필드:
- name: tgt.process.parent.image.type
description: TgtProcessParentImageType 필드
필드:
- name: tgt.process.parent.image.location
description: TgtProcessParentImageLocation 필드
필드:
- name: src.process.crossProcessOutOfStorylineCount
description: SrcProcessCrossProcessOutOfStorylineCount 필드
설명: EventId 필드
- name: src.process.crossProcessDupRemoteProcessHandleCount
description: SrcProcessCrossProcessDupRemoteProcessHandleCount 필드
설명: EventId 필드
- name: src.process.crossProcessDupThreadHandleCount
description: SrcProcessCrossProcessDupThreadHandleCount 필드
설명: EventId 필드
- name: src.process.crossProcessOpenProcessCount
description: SrcProcessCrossProcessOpenProcessCount 필드
설명: EventId 필드
- name: src.process.crossProcessThreadCreateCount
description: SrcProcessCrossProcessThreadCreateCount 필드
설명: EventId 필드
- name: src.ip.address
description: SrcIpAddress 필드
필드:
설명: 위협 파일 해시
- ip
- name: src.port.number
description: SrcPortNumber 필드
설명: EventId 필드
- name: dst.ip.address
description: DstIpAddress 필드
필드:
설명: 위협 파일 해시
- ip
- name: dst.port.number
description: DstPortNumber 필드
설명: EventId 필드
- name: event.network.direction
description: EventNetworkDirection 필드
필드:
- name: event.network.connectionStatus
description: EventNetworkConnectionStatus 필드
필드:
- name: event.network.protocolName
description: EventNetworkProtocolName 필드
필드:
- name: src.process.netConnCount
description: SrcProcessNetConnCount 필드
설명: EventId 필드
- name: src.process.netConnInCount
description: SrcProcessNetConnInCount 필드
설명: EventId 필드
- name: src.process.netConnOutCount
description: SrcProcessNetConnOutCount 필드
설명: EventId 필드
- name: event.dns.request
description: EventDnsRequest 필드
필드:
설명: 위협 파일 해시
- hostname
- name: event.dns.response
description: EventDnsResponse 필드
필드:
설명: 위협 파일 해시
- hostname
- name: event.dns.status
description: EventDnsStatus 필드
필드:
- name: src.process.dnsCount
description: SrcProcessDnsCount 필드
설명: EventId 필드
- name: src.process.exeModificationCount
description: SrcProcessExeModificationCount 필드
설명: EventId 필드
- name: src.process.modelChildProcessCount
description: SrcProcessModelChildProcessCount 필드
설명: EventId 필드
- name: url.address
description: UrlAddress 필드
필드:
설명: 위협 파일 해시
- url
- name: event.url.action
description: EventUrlAction 필드
필드:
- name: event.url.source
description: EventUrlSource 필드
필드:
- name: tgt.file.path
description: TgtFilePath 필드
필드:
- name: tgt.file.name
description: TgtFileName 필드
필드:
- name: tgt.file.oldPath
description: TgtFileOldPath 필드
필드:
- name: tgt.file.type
description: TgtFileType 필드
필드:
- name: tgt.file.size
description: TgtFileSize 필드
설명: EventId 필드
- name: tgt.file.extension
description: TgtFileExtension 필드
필드:
- name: tgt.file.id
description: TgtFileId 필드
필드:
- name: tgt.file.description
description: TgtFileDescription 필드
필드:
- name: tgt.file.internalName
description: TgtFileInternalName 필드
필드:
- name: tgt.file.location
description: TgtFileLocation 필드
필드:
- name: tgt.file.md5
description: TgtFileMd5 필드
필드:
설명: 위협 파일 해시
- sha1
- name: tgt.file.sha1
description: TgtFileSha1 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- name: tgt.file.sha256
description: TgtFileSha256 필드
필드:
설명: 위협 파일 해시
- md5
- name: tgt.file.convictedBy
description: TgtFileConvictedBy 필드
필드:
- name: src.process.tgtFileModificationCount
description: SrcProcessTgtFileModificationCount 필드
설명: EventId 필드
- name: src.process.tgtFileCreationCount
description: SrcProcessTgtFileCreationCount 필드
설명: EventId 필드
- name: src.process.tgtFileDeletionCount
description: SrcProcessTgtFileDeletionCount 필드
설명: EventId 필드
- name: tgt.file.isSigned
description: TgtFileIsSigned 필드
필드:
- name: tgt.file.isExecutable
description: TgtFileIsExecutable 필드
설명: SrcProcessUid 필드
- name: tgt.file.creationTime
description: TgtFileCreationTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- name: tgt.file.modificationTime
description: TgtFileModificationTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- name: tgt.file.oldSha1
description: TgtFileOldSha1 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- name: tgt.file.oldMd5
description: TgtFileOldMd5 필드
필드:
설명: 위협 파일 해시
- sha1
- name: tgt.file.oldSha256
description: TgtFileOldSha256 필드
필드:
설명: 위협 파일 해시
- md5
- name: tgt.file.isDirectory
description: TgtFileIsDirectory 필드
설명: SrcProcessUid 필드
- name: tgt.file.isKernelModule
description: TgtFileIsKernelModule 필드
설명: SrcProcessUid 필드
- name: tgt.file.owner.name
description: TgtFileOwnerName 필드
필드:
- name: tgt.file.owner.userSid
description: TgtFileOwnerUserSid 필드
필드:
- name: tgt.file.publisher
description: TgtFilePublisher 필드
필드:
- name: tgt.file.signatureInvalidReason
description: TgtFileSignatureInvalidReason 필드
필드:
- name: tgt.file.signature.isValid
description: TgtFileSignatureIsValid 필드
설명: SrcProcessUid 필드
- name: tgt.file.originalFileName
description: TgtFileOriginalFileName 필드
필드:
- name: tgt.file.productName
description: TgtFileProductName 필드
필드:
- name: tgt.file.productVersion
description: TgtFileProductVersion 필드
필드:
- name: registry.keyPath
description: RegistryKeyPath 필드
필드:
- name: registry.keyUid
description: RegistryKeyUid 필드
필드:
- name: src.process.registryChangeCount
description: SrcProcessRegistryChangeCount 필드
설명: EventId 필드
- name: registry.valueType
description: RegistryValueType 필드
필드:
- name: registry.value
description: RegistryValue 필드
필드:
- name: registry.valueFullSize
description: RegistryValueFullSize 필드
설명: EventId 필드
- name: registry.valueIsComplete
description: RegistryValueIsComplete 필드
설명: SrcProcessUid 필드
- name: registry.oldValueType
description: RegistryOldValueType 필드
필드:
- name: registry.oldValue
description: RegistryOldValue 필드
필드:
- name: registry.oldValueFullSize
description: RegistryOldValueFullSize 필드
설명: EventId 필드
- name: registry.oldValueIsComplete
description: RegistryOldValueIsComplete 필드
설명: SrcProcessUid 필드
- name: registry.owner.user
description: RegistryOwnerUser 필드
필드:
- name: registry.export.path
description: RegistryExportPath 필드
필드:
- name: registry.import.path
description: RegistryImportPath 필드
필드:
- name: registry.security.info
description: RegistrySecurityInfo 필드
설명: EventId 필드
- name: registry.owner.userSid
description: RegistryOwnerUserSid 필드
필드:
- name: task.name
description: TaskName 필드
필드:
- name: task.path
description: TaskPath 필드
필드:
- name: task.triggerType
description: TaskTriggerType 필드
설명: EventId 필드
- name: indicator.name
description: IndicatorName 필드
필드:
- name: indicator.category
description: IndicatorCategory 필드
필드:
- name: indicator.description
description: IndicatorDescription 필드
필드:
- name: indicator.metadata
description: IndicatorMetadata 필드
필드:
- name: indicator.identifier
description: IndicatorIdentifier 필드
필드:
- name: src.process.indicatorBootConfigurationUpdateCount
description: SrcProcessIndicatorBootConfigurationUpdateCount 필드
설명: EventId 필드
- name: src.process.indicatorEvasionCount
description: SrcProcessIndicatorEvasionCount 필드
설명: EventId 필드
- name: src.process.indicatorExploitationCount
description: SrcProcessIndicatorExploitationCount 필드
설명: EventId 필드
- name: src.process.indicatorGeneralCount
description: SrcProcessIndicatorGeneralCount 필드
설명: EventId 필드
- name: src.process.indicatorInfostealerCount
description: SrcProcessIndicatorInfostealerCount 필드
설명: EventId 필드
- name: src.process.indicatorInjectionCount
description: SrcProcessIndicatorInjectionCount 필드
설명: EventId 필드
- name: src.process.indicatorPersistenceCount
description: SrcProcessIndicatorPersistenceCount 필드
설명: EventId 필드
- name: src.process.indicatorPostExploitationCount
설명: SrcProcessIndicatorPostExploitationCount 필드
설명: EventId 필드
- 이름: src.process.indicatorRansomwareCount
설명: SrcProcessIndicatorRansomwareCount 필드
설명: EventId 필드
- 이름: src.process.indicatorReconnaissanceCount
설명: SrcProcessIndicatorReconnaissanceCount 필드
설명: EventId 필드
- 이름: src.process.childProcCount
설명: SrcProcessChildProcCount 필드
설명: EventId 필드
- 이름: module.path
설명: ModulePath 필드
필드:
- 이름: module.sha1
설명: ModuleSha1 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- 이름: module.md5
설명: ModuleMd5 필드
필드:
설명: 위협 파일 해시
- sha1
- 이름: src.process.moduleCount
설명: SrcProcessModuleCount 필드
설명: EventId 필드
- 이름: event.login.userName
설명: EventLoginUserName 필드
필드:
설명: 위협 파일 해시
- 사용자 이름
- 이름: event.login.baseType
설명: EventLoginBaseType 필드
필드:
- 이름: src.endpoint.ip.address
설명: SrcEndpointIpAddress 필드
필드:
설명: 위협 파일 해시
- ip
- 이름: event.login.loginIsSuccessful
설명: EventLoginLoginIsSuccessful 필드
설명: SrcProcessUid 필드
- 이름: event.login.accountName
설명: EventLoginAccountName 필드
필드:
- 이름: event.login.type
설명: EventLoginType 필드
필드:
- 이름: event.login.isAdministratorEquivalent
설명: EventLoginIsAdministratorEquivalent 필드
설명: SrcProcessUid 필드
- 이름: event.login.failureReason
설명: EventLoginFailureReason 필드
필드:
- 이름: event.login.accountSid
설명: EventLoginAccountSid 필드
필드:
- 이름: event.login.accountDomain
설명: EventLoginAccountDomain 필드
필드:
- 이름: event.login.sessionId
설명: EventLoginSessionId 필드
설명: EventId 필드
- 이름: event.logout.type
설명: EventLogoutType 필드
필드:
- 이름: event.login.tgt.domainName
설명: EventLoginTgtDomainName 필드
필드:
설명: 위협 파일 해시
- 도메인
- 이름: event.login.tgt.user.name
설명: EventLoginTgtUserName 필드
필드:
설명: 위협 파일 해시
- 사용자 이름
- 이름: event.login.tgt.userSid
설명: EventLoginTgtUserSid 필드
필드:
- 이름: event.logout.tgt.domainName
설명: EventLogoutTgtDomainName 필드
필드:
설명: 위협 파일 해시
- 도메인
- 이름: event.logout.tgt.user.name
설명: EventLogoutTgtUserName 필드
필드:
설명: 위협 파일 해시
- 사용자 이름
- 이름: event.logout.tgt.userSid
설명: EventLogoutTgtUserSid 필드
필드:
- 이름: k8sCluster.name
설명: K8sClusterName 필드
필드:
- 이름: k8sCluster.nodeName
설명: K8sClusterNodeName 필드
필드:
- 이름: k8sCluster.namespace
설명: K8sClusterNamespace 필드
필드:
- 이름: k8sCluster.namespaceLabels
설명: K8sClusterNamespaceLabels 필드
필드:
- 이름: k8sCluster.controllerType
설명: K8sClusterControllerType 필드
필드:
- 이름: k8sCluster.controllerName
설명: K8sClusterControllerName 필드
필드:
- 이름: k8sCluster.controllerLabels
설명: K8sClusterControllerLabels 필드
필드:
- 이름: k8sCluster.podName
설명: K8sClusterPodName 필드
필드:
- 이름: k8sCluster.podLabels
설명: K8sClusterPodLabels 필드
필드:
- 이름: k8sCluster.containerName
설명: K8sClusterContainerName 필드
필드:
- 이름: k8sCluster.containerId
설명: K8sClusterContainerId 필드
필드:
- 이름: k8sCluster.containerLabels
설명: K8sClusterContainerLabels 필드
필드:
- 이름: k8sCluster.containerImage
설명: K8sClusterContainerImage 필드
필드:
- 이름: src.process.parent.reasonSignatureInvalid
설명: SrcProcessParentReasonSignatureInvalid 필드
필드:
- 이름: src.process.parent.activeContentType
설명: SrcProcessParentActiveContentType 필드
필드:
- 이름: src.process.parent.activeContent.id
설명: SrcProcessParentActiveContentId 필드
필드:
- 이름: src.process.parent.activeContent.path
설명: SrcProcessParentActiveContentPath 필드
필드:
- 이름: src.process.parent.activeContent.hash
설명: SrcProcessParentActiveContentHash 필드
필드:
설명: 위협 파일 해시
설명: SrcProcessReasonSignatureInvalid 필드
- 이름: src.process.parent.activeContent.signedStatus
설명: SrcProcessParentActiveContentSignedStatus 필드
필드:
- 이름: tiIndicator.source
설명: TiIndicatorSource 필드
필드:
- 이름: tiIndicator.externalId
설명: TiIndicatorExternalId 필드
필드:
- 이름: tiIndicator.uid
설명: TiIndicatorUid 필드
필드:
- 이름: tiIndicator.type
설명: TiIndicatorType 필드
필드:
- 이름: tiIndicator.value
설명: TiIndicatorValue 필드
필드:
- 이름: tiIndicator.name
설명: TiIndicatorName 필드
필드:
- 이름: tiIndicator.categories
설명: TiIndicatorCategories 필드
필드:
- 이름: tiIndicator.description
설명: TiIndicatorDescription 필드
필드:
- 이름: tiIndicator.metadata
설명: TiIndicatorMetadata 필드
필드:
- 이름: tiIndicator.validUntil
설명: TiIndicatorValidUntil 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- 이름: tiIndicator.modificationTime
설명: TiIndicatorModificationTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- 이름: tiIndicator.uploadTime
설명: TiIndicatorUploadTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- 이름: tiIndicator.creationTime
설명: TiIndicatorCreationTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- 이름: tiIndicator.addedBy
설명: TiIndicatorAddedBy 필드
필드:
- 이름: tiIndicator.comparisonMethod
설명: TiIndicatorComparisonMethod 필드
필드:
- 이름: tiIndicator.mitreTactics
설명: TiIndicatorMitreTactics 필드
필드:
- 이름: tiIndicator.intrusionSets
설명: TiIndicatorIntrusionSets 필드
필드:
- 이름: tiIndicator.references
설명: TiIndicatorReferences 필드
필드:
- 이름: tiIndicator.threatActors
설명: TiIndicatorThreatActors 필드
필드:
- 이름: namedPipe.name
설명: NamedPipeName 필드
필드:
- 이름: namedPipe.accessMode
설명: NamedPipeAccessMode 필드
필드:
- 이름: namedPipe.typeMode
설명: NamedPipeTypeMode 필드
필드:
- 이름: namedPipe.readMode
설명: NamedPipeReadMode 필드
필드:
- 이름: namedPipe.waitMode
설명: NamedPipeWaitMode 필드
필드:
- 이름: namedPipe.remoteClients
설명: NamedPipeRemoteClients 필드
필드:
- 이름: namedPipe.maxInstances
설명: NamedPipeMaxInstances 필드
설명: EventId 필드
- 이름: namedPipe.securityOwner
설명: NamedPipeSecurityOwner 필드
필드:
- 이름: namedPipe.securityGroups
설명: NamedPipeSecurityGroups 필드
필드:
- 이름: namedPipe.connectionType
설명: NamedPipeConnectionType 필드
필드:
- 이름: namedPipe.isFirstInstance
설명: NamedPipeIsFirstInstance 필드
설명: SrcProcessUid 필드
- 이름: namedPipe.isWriteThrough
설명: NamedPipeIsWriteThrough 필드
설명: SrcProcessUid 필드
- 이름: namedPipe.isOverlapped
설명: NamedPipeIsOverlapped 필드
설명: SrcProcessUid 필드
- 이름: group.type
설명: GroupType 필드
필드:
- 이름: group.id
설명: GroupId 필드
필드:
- 이름: driver.loadVerdict
설명: DriverLoadVerdict 필드
필드:
- 이름: driver.isLoadedBeforeMonitor
설명: DriverIsLoadedBeforeMonitor 필드
설명: SrcProcessUid 필드
- 이름: driver.startType
설명: DriverStartType 필드
필드:
- 이름: driver.certificate.thumbprint
설명: DriverCertificateThumbprint 필드
필드:
- 이름: driver.certificate.thumbprintAlgorithm
설명: DriverCertificateThumbprintAlgorithm 필드
설명: EventId 필드
- 이름: i.scheme
설명: IScheme 필드
필드:
- 이름: i.version
설명: IVersion 필드
필드:
- 이름: meta.event.name
설명: MetaEventName 필드
필드:
- 이름: mgmt.id
설명: MgmtId 필드
필드:
- 이름: mgmt.osRevision
설명: MgmtOsRevision 필드
필드:
- 이름: mgmt.url
설명: MgmtUrl 필드
필드:
설명: 위협 파일 해시
- 도메인
- url
- 이름: os.name
설명: OsName 필드
필드:
- 이름: process.unique.key
설명: ProcessUniqueKey 필드
필드:
- 이름: sca:atlantisIngestTime
설명: ScaAtlantisIngestTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- 이름: sca:ingestTime
설명: ScaIngestTime 필드
설명: 댓글
- 이름: createdAt
설명: EventType 필드
- 이름: src.process.parent.subsystem
설명: SrcProcessParentSubsystem 필드
필드:
- 이름: trace.id
설명: TraceId 필드
필드:
설명: 위협 파일 해시
- 이름: id
- 이름: account.id
- 이름: accountName
설명: AccountId 필드
필드:
```