EPP EDR V3 탐지
EDR_V3_DETECT 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 시각 | _time | 시각 | |
| 문자열 | severity | 위험도 | 예: 6 |
| 문자열 | event_id | 이벤트ID | |
| IP 주소 | src_ip | 출발지IP | |
| 문자열 | src_mac | 출발지MAC | |
| 문자열 | hostname | 호스트명 | |
| 문자열 | user | 계정 | |
| 문자열 | dept_name | 부서명 | |
| 문자열 | user_name | 성명 | |
| 문자열 | category | 분류 | 예: Backdoor |
| 문자열 | signature | 공격명 | 예: Backdoor/EDR.Akdoor |
| 문자열 | scan_type_text | 진단유형 | 예: 빠른 검사 |
| 64비트 정수 | ppid | 부모PID | |
| 64비트 정수 | pid | PID | |
| 문자열 | image | 이미지 | |
| 문자열 | file_name | 파일이름 | |
| 문자열 | file_path | 파일경로 | |
| 문자열 | action | 대응 | 예: 치료 완료 |
| 문자열 | status_text | 상태 | 예: 치료 완료(파일 자체가 악성코드이므로 파일을 삭제했습니다.) |
| MD5 | md5 | MD5 | |
| SHA256 | sha256 | SHA256 | |
| 문자열 | engine_version | 엔진버전 | 예: 2024.06.10.01 |
| 문자열 | node_id | 노드ID | 예: 4 |
| 문자열 | group_id | 그룹ID | 예: 1662 |
| 문자열 | platform_id | 플랫폼ID | 예: WINDOWS_10_X64 |
| 문자열 | platform_name | 플랫폼이름 | 예: Windows 10 x64 |
| 시각 | client_time | 클라이언트시각 | |
| 문자열 | scan_type | 진단유형코드 | 예: 2 |
| 문자열 | status | 상태코드 | 예: 1008 |
| 문자열 | on_demand | 온디맨드 | 예: P |
| 문자열 | obj_id | 객체ID | |
| 시각 | create_time | 생성시각 |