Cisco Firepower 침입탐지
Impact, Correlation Event, FTD 로그 유형
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | device_name | 장비이름 | |
| IP 주소 | sensor_ip | 센서IP | |
| 문자열 | sensor_name | 센서이름 | |
| 문자열 | risk | 위험도 | HIGH, LOW, MEDIUM |
| IP 주소 | src_ip | 출발지IP | |
| 포트 | src_port | 출발지포트 | |
| IP 주소 | dst_ip | 목적지IP | |
| 포트 | dst_port | 목적지포트 | |
| 문자열 | protocol | 프로토콜 | 예: TCP |
| 문자열 | category | 분류 | 예: Attempted User Privilege Gain |
| 문자열 | signature | 공격명 | 예: FILE-EXECUTABLE download of executable content |
| 문자열 | action | 대응 | BLOCK, PERMIT |
| 문자열 | user | 계정 | |
| 날짜 | event_time | 이벤트시각 | |
| 문자열 | gid | GID | 예: 1 |
| 문자열 | sid | SID | 예: 16313 |
| 문자열 | rev | 리비전 | 예: 12 |
| 문자열 | priority | 우선순위 | 예: 1 |
| 문자열 | impact_level | 영향도 | 예: Currently Not Vulnerable |
| 문자열 | policy | 정책 | 예: XXXX_Intrusion_Policy |
| 문자열 | ac_policy | AC정책 | 예: XXXX_ACL |
| 문자열 | nap_policy | NAP정책 | 예: Balanced Security and Connectivity |
| 문자열 | access_control_rule_name | 접근제어규칙 | 예: IPS_Policy |
| 문자열 | app | 응용 | 예: HTTP |
| 문자열 | client | 클라이언트 | 예: Internet Explorer |
| 문자열 | web_app | 웹응용 | 예: Google |
| 문자열 | path | 경로 | 예: /Content/21/test.exe |
| 도메인 | domain | 도메인 | |
| 문자열 | host | 호스트 | |
| 포트 | port | 포트 | |
| 문자열 | src_iface | 출발지인터페이스 | |
| 문자열 | dst_iface | 목적지인터페이스 | |
| 문자열 | src_zone | 출발지영역 | 예: Passive |
| 국가 | src_country | 출발지국가 | |
| 국가 | dst_country | 목적지국가 | |
| 문자열 | device_id | 장비ID | |
| 문자열 | instance_id | 인스턴스ID | |
| 문자열 | session_id | 세션ID | 예: 1234 |
| 문자열 | first_packet_time | 최초패킷시각 | |
| 문자열 | msg_code | 메시지코드 | 예: 430001 |
| 문자열 | ftd_severity | FTD심각도 | 예: 6 |
| 문자열 | snort_rule_groups | Snort규칙그룹 | 예: Rule Categories>File>Executable |
| 문자열 | mitre_attack_techniques | 마이터어택기술 | 예: MITRE>ATT&CK Framework>Enterprise>… |