안랩 EPP

다운로드 5
업데이트 2022. 4. 17.

ahnlab-epp-unknowns

안랩 EPP 서버에서 Unknown 탐지 목록을 조회합니다.

ahnlab-epp-unknowns [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
duration=NUM{mon|w|d|h|m|s}
현재 시각으로부터 일정 시간 범위 이내의 탐지 내역으로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
from=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
to=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.

출력 필드

필드타입이름설명
_time날짜시각
profile문자열접속 프로파일
node_id문자열노드 ID
node_edr_id문자열노드 EDR ID
host_ipIP 주소호스트 IP
hostname문자열호스트명
user문자열계정
platform_type문자열플랫폼 유형
status문자열상태
md5문자열MD5
severity32비트 정수위험도
ml_score64비트 실수ML 스코어
file_name문자열파일 이름
file_path문자열파일 경로
watch_obj_id문자열객체 ID
watch_workflow_status문자열워크플로우 상태
platform_id문자열플랫폼 ID예시: WINDOWS_10_ENTERPRISE_X64
connection_status문자열연결 상태예시: CONNECTED
fileless_type불리언파일리스 유형
exploit_type불리언익스플로잇 유형
privilege_type불리언권한상승 유형
ransomware_type불리언랜섬웨어 유형
network_type불리언네트워크 유형
injection_type불리언인젝션 유형
infostealer_type불리언정보유출 유형
system_setting_type불리언시스템 설정 유형
etc_type불리언기타 유형