안랩 EPP

CEF 필드에 형변환이 필요한 빈 값이 있을 때 발생하는 오류 개선

지원 로그유형(로그포맷) 추가

• EDR_V3_DETECT (CEF)
• EDR_AGENT_EVENT (CEF)
• EDR_OS_EVENT (CEF)
• AGENT_TASK_STATUS (CEF)
• AGENT_SW_ALL (CEF)
• AGENT_HW_ALL (CEF)
• SERVICE_EVENT (JSON)
• AUDIT_EVENT (JSON)
• ESA_EVENT (JSON)
• V3_MALWARE (JSON) - 필드 추가

EPP 확장쿼리 명령어에서 profile 매개변수 지원

변경 사항

• EDR_POWER_SHELL 로그의 CEF 형식 불일치(이스케이프 누락)를 교정하여 파싱하도록 파서 개선

CEF 형식 로그 파서, 수집 모델, 대시보드 추가

• 안랩 EPP 1.0.14 버전 지원
• 악성코드 경고, EDR 인시던트, EDR 파워쉘, V3 감사, APM 감사, EPPM 감사 대시보드 추가
• 11종 로그 스키마 지원
• 24종 로그 포맷 지원
  • EPP 서버 감사: AUDIT_EVENT, SERVICE_EVENT, UPDATE_EVENT, BACKUP_EVENT, PKG_DIST_EVENT, PKG_SYNC_EVENT, AGENT_INSTALL_PKG_EVENT, PATCH_UPDATE_EVENT
  • EPP 에이전트 감사: AGENT_EVENT
  • EPP 에이전트 연결 상태: AGENT_CONNECTION_STATUS_EVENT
  • ESA 에이전트 감사: ESA_EVENT, ESA_AGENT_EVENT
  • V3 악성코드 경고: V3_MALWARE
  • V3 감사: V3_INTERNET, V3_SCAN, V3_SUP
  • APM 감사: APM_AGENT_EVENT, APM_PATCH, APM_PROCESS, APM_SW
  • EDR 인시던트: EDR_INCIDENT_DETECT
  • EDR 타임라인: EDR_TIMELINE_EVENT
  • EDR 파워쉘: EDR_POWER_SHELL
  • EDR 로그: EDR_LOG

첫번째 릴리즈. 다음 명령어를 지원합니다:

• ahnlab-epp-ack-unknown
• ahnlab-epp-block-network-result
• ahnlab-epp-collect-ahnreport-result
• ahnlab-epp-collect-file-result
• ahnlab-epp-match-node
• ahnlab-epp-nodes
• ahnlab-epp-search-file-result
• ahnlab-epp-start-block-network
• ahnlab-epp-start-collect-ahnreport
• ahnlab-epp-start-collect-file
• ahnlab-epp-start-search-file
• ahnlab-epp-start-unblock-network
• ahnlab-epp-start-v3-scan
• ahnlab-epp-tasks
• ahnlab-epp-unblock-network-result
• ahnlab-epp-unknown-behaviors
• ahnlab-epp-unknown-detail
• ahnlab-epp-unknowns
• ahnlab-epp-v3-scan-result