ahnlab-epp-unknowns
안랩 EPP 서버에서 Unknown 탐지 목록을 조회합니다.
ahnlab-epp-unknowns [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 탐지 내역으로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
출력 필드
필드 | 타입 | 이름 | 설명 |
---|---|---|---|
_time | 날짜 | 시각 | |
profile | 문자열 | 접속 프로파일 | |
node_id | 문자열 | 노드 ID | |
node_edr_id | 문자열 | 노드 EDR ID | |
host_ip | IP 주소 | 호스트 IP | |
hostname | 문자열 | 호스트명 | |
user | 문자열 | 계정 | |
platform_type | 문자열 | 플랫폼 유형 | |
status | 문자열 | 상태 | |
md5 | 문자열 | MD5 | |
severity | 32비트 정수 | 위험도 | |
ml_score | 64비트 실수 | ML 스코어 | |
file_name | 문자열 | 파일 이름 | |
file_path | 문자열 | 파일 경로 | |
watch_obj_id | 문자열 | 객체 ID | |
watch_workflow_status | 문자열 | 워크플로우 상태 | |
platform_id | 문자열 | 플랫폼 ID | 예시: WINDOWS_10_ENTERPRISE_X64 |
connection_status | 문자열 | 연결 상태 | 예시: CONNECTED |
fileless_type | 불리언 | 파일리스 유형 | |
exploit_type | 불리언 | 익스플로잇 유형 | |
privilege_type | 불리언 | 권한상승 유형 | |
ransomware_type | 불리언 | 랜섬웨어 유형 | |
network_type | 불리언 | 네트워크 유형 | |
injection_type | 불리언 | 인젝션 유형 | |
infostealer_type | 불리언 | 정보유출 유형 | |
system_setting_type | 불리언 | 시스템 설정 유형 | |
etc_type | 불리언 | 기타 유형 |