EPP EDR 로그
EDR_LOG 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| DATE | _time | 시각 | |
| STRING | event_id | 이벤트ID | |
| STRING | risk | 중요도 | |
| IP | src_ip | 출발지IP | |
| STRING | src_mac | 출발지MAC | |
| STRING | hostname | 호스트명 | |
| STRING | user | 계정 | |
| STRING | dept_name | 부서명 | |
| STRING | user_name | 계정 | |
| STRING | signature | 공격명 | 예: Suspicious/DETECT.T1016.M3310 |
| STRING | major_type_text | MDP경고유형 | 예: ALERT_EVIDENCE, ALERT_BEHAVIOR |
| INT | risk_score | 위험지수 | 예: -94 |
| LONG | ppid | 부모PID | |
| LONG | pid | PID | |
| INT | elevation | 권한상승 | |
| STRING | cmd_line | 명령줄 | |
| STRING | image_path | 이미지경로 | |
| STRING | parent_image_path | 부모이미지경로 | |
| STRING | feature_tags | 태그 | 예: T1016 |
| STRING | target_data_class | 대상데이터분류 | 예: SYSTEM |
| STRING | target_data_type | 대상데이터유형 | 예: system_wmicall |
| STRING | target_data | 대상데이터 | |
| STRING | file_name | 파일이름 | |
| LONG | file_size | 파일크기 | |
| STRING | file_path | 파일경로 | |
| DATE | file_ctime | 파일생성일시 | |
| INT | reputation_result | 평판조회결과 | |
| LONG | pc_count | 설치PC수 | |
| LONG | block_count | 차단건수 | |
| STRING | cert_issuer | 인증서발급자 | 예: Microsoft Windows Production PCA2011 |
| STRING | cert_signer | 인증서서명자 | 예: Microsoft Windows |
| INT | file_scan_result | 파일진단결과 | |
| STRING | file_provider | 파일제공자 | 예: Microsoft Corporation |
| MD5 | md5 | MD5 | |
| SHA256 | sha256 | SHA256 | |
| STRING | platform_id | 플랫폼ID | 예: WINDOWS 10 X64 |
| STRING | node_id | 노드ID | |
| STRING | host_id | 호스트ID | |
| STRING | group_id | 그룹ID | |
| LONG | integrated_action_result | MDP대응결과 | |
| STRING | integrated_scan_result | MDP진단결과 | |
| LIST | behaviors | 행위목록 | virus_fullname, attack_technique, clean_datas 요소 포함 |