EPP EDR 인시던트
EDR_INCIDENT_DETECT 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| DATE | _time | 시각 | |
| STRING | event_id | 이벤트ID | |
| STRING | risk | 중요도 | 예: LOW, MEDIUM, HIGH |
| IP | src_ip | 출발지IP | |
| STRING | src_mac | 출발지MAC | |
| STRING | hostname | 호스트명 | |
| STRING | user | 계정 | |
| STRING | dept_name | 부서명 | |
| STRING | user_name | 성명 | |
| STRING | product_type | 제품유형 | 예: EDR |
| STRING | detect_type | 탐지유형 | 예: Suspicious |
| STRING | signature | 공격명 | 예: Connection/EDR.Behavior.M2650 |
| STRING | alert_type | MDP경고유형 | 예: EVIDENCE |
| STRING | scan_result_text | MDP진단결과 | 예: 0 |
| STRING | major_type_text | 경고유형 | 예: ALERT_INCIDENT, ALERT_BEHAVIOR |
| INT | risk_score | 위험지수 | 예: -90 |
| INT | impact | 피해수준 | 예: 0 |
| LONG | ppid | 부모PID | |
| LONG | pid | PID | |
| STRING | integrity_level | 무결성수준 | 예: MEDIUM |
| INT | elevation | 권한상승 | |
| STRING | cmd_line | 명령줄 | |
| STRING | parent_image_path | 부모이미지경로 | |
| STRING | image_path | 이미지경로 | |
| STRING | behavior_category | 행위분류 | |
| STRING | feature_tags | 태그 | 예: TA0011 |
| STRING | target_data_class | 대상데이터분류 | 예: NETWORK |
| STRING | target_data_type | 대상데이터유형 | 예: net_sendhttps |
| STRING | target_data | 대상데이터 | |
| STRING | file_name | 파일이름 | |
| STRING | file_size | 파일크기 | |
| STRING | file_path | 파일경로 | |
| DATE | file_ctime | 파일생성일시 | |
| INT | reputation_result | 평판조회결과 | 예: 1 |
| LONG | pc_count | 설치PC수 | 예: 68110 |
| LONG | block_count | 차단건수 | 예: 200 |
| STRING | cert_issuer | 인증서발급자 | |
| STRING | cert_signer | 인증서서명자 | 예: Google LLC |
| INT | file_scan_result | 파일진단결과 | |
| STRING | file_provider | 파일제공자 | 예: Google LLC |
| MD5 | md5 | MD5 | |
| SHA256 | sha256 | SHA256 | |
| STRING | platform_id | 플랫폼ID | |
| STRING | node_id | 노드ID | |
| STRING | host_id | 호스트ID | |
| STRING | group_id | 그룹ID | |
| STRING | rule_type | 룰유형 | 예: Malicious |
| INT | rule_seq | 룰ID | 예: 2650 |
| INT | rule_revision | 룰버전 | 예: 8 |
| INT | rule_severity | 룰위험도 | |
| STRING | rule_credit | 룰신뢰도 | 예: 50 |
| LONG | integrated_action_result | MDP대응결과 | |
| LONG | integrated_scan_result | MDP진단결과 | |
| INT | virus_category | 악성코드분류 | 예: 388 |
| INT | virus_type | 악성코드유형 | 예: 46 |
| LONG | virus_seq | 악성코드번호 | 예: 4027022625 |
| STRING | platform_name | 플랫폼 | 예: Windows 10 x64 |
| LONG | attack_vector | 공격벡터ID | |
| LONG | attack_technique | 공격기법ID |