EPP EDR 파워쉘
EDR_POWER_SHELL 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| DATE | _time | 시각 | |
| STRING | event_id | 이벤트ID | |
| IP | src_ip | 출발지IP | |
| STRING | src_mac | 출발지MAC | |
| STRING | hostname | 호스트명 | |
| STRING | user | 계정 | |
| STRING | dept_name | 부서명 | |
| STRING | user_name | 성명 | |
| INT | risk_score | 위험지수 | 예: -86 |
| LONG | pid | PID | |
| STRING | integrity_level | 무결성수준 | 예: MEDIUM |
| INT | elevation | 권한상승 | 예: 0 |
| STRING | cmd_line | 명령줄 | |
| STRING | target_data_type | 대상데이터유형 | 예: system_wmicall |
| STRING | target_data | 대상데이터 | |
| STRING | file_name | 파일이름 | 예: powershell.exe |
| LONG | file_size | 파일크기 | 예: 448000 |
| STRING | file_path | 파일경로 | |
| DATE | file_ctime | 파일생성일시 | |
| INT | reputation_result | 평판조회결과 | |
| LONG | pc_count | 설치PC수 | 예: 11656013 |
| LONG | block_count | 차단건수 | 예: 7 |
| STRING | cert_issuer | 인증서발급자 | 예: Microsoft Windows Production PCA 2011 |
| STRING | cert_signer | 인증서서명자 | 예: Microsoft Windows |
| INT | file_scan_result | 파일진단결과 | |
| STRING | file_provider | 파일제공자 | 예: Microsoft Corporation |
| STRING | platform_id | 플랫폼ID | 예: WINDOWS 10 X64 |
| STRING | node_id | 노드ID | |
| STRING | host_id | 호스트ID | |
| STRING | group_id | 그룹ID |