ahnlab-epp-unknown-behaviors

안랩 EPP 서버에서 지정된 Unknown 위협 탐지의 전체 행위 내역을 조회합니다.

ahnlab-epp-unknown-behaviors watchobj=WATCHOBJ node=NODE

watchobj=WATCHOBJ: ahnlab-epp-unknowns 쿼리 결과의 watch_obj_id 값
node=NODE: ahnlab-epp-unknowns 쿼리 결과의 node_id 값

출력 필드

필드	타입	이름	설명
_time	날짜	클라이언트 시각
profile	문자열	접속 프로파일
behavior	문자열	행위 코드	예: 4000005
behavior_type	문자열	행위 유형	예: PROCESS
level	32비트 정수	레벨	예: 1, 2
log_type	32비트 정수	로그 유형	예: 7
rule_type	32비트 정수	룰 유형	예: 128
rule_id	문자열	룰 ID	예: 40010005
rule_seq	32비트 정수	룰 시퀀스	예: 0
severity	32비트 정수	위험도	예: 20
score	32비트 정수	스코어	예: 8
current_pid	64비트 정수	현재 PID
current_file_name	문자열	현재 파일 이름
current_file_signer	문자열	현재 파일 서명자	예: Microsoft Windows Publisher
current_file_issuer	문자열	현재 파일 발급자	예: Microsoft Windows Production PCA 2011
is_first	불리언	최초 여부
is_target	불리언	대상 여부
is_trunk	불리언	Trunk 여부
target_pid	64비트 정수	대상 PID
target_file_name	문자열	대상 파일 이름
target_file_signer	문자열	대상 파일 서명자	예: unsigned
target_file_issuer	문자열	대상 파일 발급자	예: unsigned
src_port	문자열	출발지 포트
dst_ip	IP 주소	목적지 IP
dst_port	32비트 정수	목적지 포트
current_file_size	64비트 정수	현재 파일 크기	바이트 단위
target_file_size	64비트 정수	대상 파일 크기	바이트 단위
current_path	문자열	현재 파일 경로	C:\WINDOWS\system32\svchost.exe
target_path	문자열	대상 파일 경로	C:\WINDOWS\system32\rundll32.exe
target_cmd_line	문자열	대상 명령출
edr_obj_id	문자열	EDR 객체 ID
current_hash	문자열	현재 파일 해시
target_hash	문자열	대상 파일 해시
hash_algorithm	문자열	해시 알고리즘	예: MD5
path	문자열	실행 경로	60c7aa6f7356d62baf598532 > 60c7aa6f7356d62baf598534
scan_info_flag	문자열	스캔 정보 플래그
detect_msg_seq	32비트 정수	탐지 메시지 시퀀스
current_file_sign_info	배열	현재 파일 서명 정보	issuer, signer 속성 포함
target_file_sign_info	배열	대상 파일 서명 정보	issuer, signer 속성 포함
mitre_info	문자열	MITRE info	인코딩 된 MITRE 정보