ahnlab-epp-unknown-detail

안랩 EPP 서버에서 Unknown 탐지 요약 정보를 조회합니다.

ahnlab-epp-unknown-detail [profile=PROFILE] watchobj=WATCHOBJ node=NODE [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]

watchobj=WATCHOBJ: ahnlab-epp-unknowns 쿼리 결과의 watch_obj_id 값
node=NODE: ahnlab-epp-unknowns 쿼리 결과의 node_id 값
duration=NUM{mon|w|d|h|m|s}: 현재 시각으로부터 일정 시간 범위 이내의 탐지 내역으로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
from=yyyyMMddHHmmss: yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
to=yyyyMMddHHmmss: yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.

출력 필드

필드	타입	이름	설명
_time	날짜	클라이언트 시각
profile	문자열	접속 프로파일
host_ip	IP 주소	호스트 IP
hostname	문자열	호스트명
user	문자열	계정
department	문자열	부서
severity	32비트 정수	위험도	예: 30
status	문자열	워크플로우 상태	확인 혹은 예외처리
signature	문자열	탐지명	예: Suspicious/EDR.Infostealer.M3269;2207;300001A
detect_agent_count	32비트 정수	탐지 에이전트 수
md5	문자열	MD5
file_name	문자열	파일 이름	rundll32.exe
file_size	64비트 정수	파일 크기	파일 크기
file_signer	문자열	파일 인증서 서명자	예: unsigned
file_issuer	문자열	파일 인증서 발급자	예: unsigned
file_path	문자열	파일 경로	예: C:\WINDOWS\system32\rundll32.exe
is_server	불리언	서버 여부
detect_agent_list	문자열	탐지 에이전트 ID 목록
fileless_type	불리언	파일리스 유형
exploit_type	불리언	익스플로잇 유형
privilege_type	불리언	권한상승 유형
ransomware_type	불리언	랜섬웨어 유형
network_type	불리언	네트워크 유형
injection_type	불리언	인젝션 유형
infostealer_type	불리언	정보유출 유형
system_setting_type	불리언	시스템 설정 유형
etc_type	불리언	기타 유형
platform_type	문자열	플랫폼 유형	예: WINDOWS
platform_id	문자열	플랫폼 ID	예: WINDOWS_10_ENTERPRISE_X64
platform_name	문자열	플랫폼 이름	예: Windows 10 Enterprise x64
connection_status	문자열	연결 상태	예: CONNECTED
ip_connected	IP 주소	접속 IP 주소
net_block_status	문자열	네트워크 격리 상태
product_id	문자열	제품 ID	예: V3IS_9.0
product_name	문자열	제품 이름	예: AhnLab V3 Internet Security 9.0
engine_version	문자열	엔진 버전	예: 2021.06.14.02
last_scan_time	날짜	마지막 스캔 일시
file_sign_info	문자열	파일 서명 정보
inflow_route	문자열	플로우 경로
target_count	32비트 정수	대상 건수
target_type_info	문자열	대상 유형 정보