안랩 EPP

다운로드 5
업데이트 2022. 4. 17.

ahnlab-epp-unknown-behaviors

안랩 EPP 서버에서 지정된 Unknown 위협 탐지의 전체 행위 내역을 조회합니다.

ahnlab-epp-unknown-behaviors watchobj=WATCHOBJ node=NODE
watchobj=WATCHOBJ
ahnlab-epp-unknowns 쿼리 결과의 watch_obj_id 값
node=NODE
ahnlab-epp-unknowns 쿼리 결과의 node_id 값

출력 필드

필드타입이름설명
_time날짜클라이언트 시각
profile문자열접속 프로파일
behavior문자열행위 코드예: 4000005
behavior_type문자열행위 유형예: PROCESS
level32비트 정수레벨예: 1, 2
log_type32비트 정수로그 유형예: 7
rule_type32비트 정수룰 유형예: 128
rule_id문자열룰 ID예: 40010005
rule_seq32비트 정수룰 시퀀스예: 0
severity32비트 정수위험도예: 20
score32비트 정수스코어예: 8
current_pid64비트 정수현재 PID
current_file_name문자열현재 파일 이름
current_file_signer문자열현재 파일 서명자예: Microsoft Windows Publisher
current_file_issuer문자열현재 파일 발급자예: Microsoft Windows Production PCA 2011
is_first불리언최초 여부
is_target불리언대상 여부
is_trunk불리언Trunk 여부
target_pid64비트 정수대상 PID
target_file_name문자열대상 파일 이름
target_file_signer문자열대상 파일 서명자예: unsigned
target_file_issuer문자열대상 파일 발급자예: unsigned
src_port문자열출발지 포트
dst_ipIP 주소목적지 IP
dst_port32비트 정수목적지 포트
current_file_size64비트 정수현재 파일 크기바이트 단위
target_file_size64비트 정수대상 파일 크기바이트 단위
current_path문자열현재 파일 경로C:\WINDOWS\system32\svchost.exe
target_path문자열대상 파일 경로C:\WINDOWS\system32\rundll32.exe
target_cmd_line문자열대상 명령출
edr_obj_id문자열EDR 객체 ID
current_hash문자열현재 파일 해시
target_hash문자열대상 파일 해시
hash_algorithm문자열해시 알고리즘예: MD5
path문자열실행 경로60c7aa6f7356d62baf598532 > 60c7aa6f7356d62baf598534
scan_info_flag문자열스캔 정보 플래그
detect_msg_seq32비트 정수탐지 메시지 시퀀스
current_file_sign_info배열현재 파일 서명 정보issuer, signer 속성 포함
target_file_sign_info배열대상 파일 서명 정보issuer, signer 속성 포함
mitre_info문자열MITRE info인코딩 된 MITRE 정보