fcti-attack-reports
FCTI 서비스에서 보안관제 특이사항 정보를 조회합니다.
fcti-attack-reports [proxy=PROXY] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
- proxy=PROXY
- 프록시 서버 URL
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
출력 필드
필드 | 타입 | 이름 | 설명 |
---|---|---|---|
_time | 날짜 | 등록 일시 | |
title | 문자열 | 제목 | |
contents | 문자열 | 분석 내용 | |
first_seen | 날짜 | 최초 탐지 시각 | |
last_seen | 날짜 | 최근 탐지 시각 | |
pattern | 문자열 | 탐지 패턴 | |
importance | 문자열 | 중요도 | 예: H (상), M (중), L (하) |
confirm_yn | 문자열 | 확인 요청 | 예: Y, N |
confirm_status | 문자열 | 확인 상태 | |
organization | 문자열 | 조직 | |
writer | 문자열 | 작성자 | |
stix_id | 문자열 | STIX ID | |
shared_scope | 문자열 | 공유 범위 | ALL, FSI, BANK, INVEST, INSURANCE, NONBANK, CUSTOM |
logs | 배열 | 탐지 로그 내역 | 각 배열 요소는 identity, time, src_ip, src_port, dst_ip, dst_port, src_country, dst_country, signature, file_name, sha256, http_host, http_uri, http_referer, email_sender, email_receiver, email_subject, email_attachments 속성 포함 |