안랩 EPP

다운로드 5
업데이트 2022. 4. 17.

ahnlab-epp-unknown-detail

안랩 EPP 서버에서 Unknown 탐지 요약 정보를 조회합니다.

ahnlab-epp-unknown-detail watchobj=WATCHOBJ node=NODE [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
watchobj=WATCHOBJ
ahnlab-epp-unknowns 쿼리 결과의 watch_obj_id 값
node=NODE
ahnlab-epp-unknowns 쿼리 결과의 node_id 값
duration=NUM{mon|w|d|h|m|s}
현재 시각으로부터 일정 시간 범위 이내의 탐지 내역으로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
from=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
to=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.

출력 필드

필드타입이름설명
_time날짜클라이언트 시각
profile문자열접속 프로파일
host_ipIP 주소호스트 IP
hostname문자열호스트명
user문자열계정
department문자열부서
severity32비트 정수위험도예: 30
status문자열워크플로우 상태확인 혹은 예외처리
signature문자열탐지명예: Suspicious/EDR.Infostealer.M3269;2207;300001A
detect_agent_count32비트 정수탐지 에이전트 수
md5문자열MD5
file_name문자열파일 이름rundll32.exe
file_size64비트 정수파일 크기파일 크기
file_signer문자열파일 인증서 서명자예: unsigned
file_issuer문자열파일 인증서 발급자예: unsigned
file_path문자열파일 경로예: C:\WINDOWS\system32\rundll32.exe
is_server불리언서버 여부
detect_agent_list문자열탐지 에이전트 ID 목록
fileless_type불리언파일리스 유형
exploit_type불리언익스플로잇 유형
privilege_type불리언권한상승 유형
ransomware_type불리언랜섬웨어 유형
network_type불리언네트워크 유형
injection_type불리언인젝션 유형
infostealer_type불리언정보유출 유형
system_setting_type불리언시스템 설정 유형
etc_type불리언기타 유형
platform_type문자열플랫폼 유형예: WINDOWS
platform_id문자열플랫폼 ID예: WINDOWS_10_ENTERPRISE_X64
platform_name문자열플랫폼 이름예: Windows 10 Enterprise x64
connection_status문자열연결 상태예: CONNECTED
ip_connectedIP 주소접속 IP 주소
net_block_status문자열네트워크 격리 상태
product_id문자열제품 ID예: V3IS_9.0
product_name문자열제품 이름예: AhnLab V3 Internet Security 9.0
engine_version문자열엔진 버전예: 2021.06.14.02
last_scan_time날짜마지막 스캔 일시
file_sign_info문자열파일 서명 정보
inflow_route문자열플로우 경로
target_count32비트 정수대상 건수
target_type_info문자열대상 유형 정보