fireeye-ex-alerts
파이어아이 EX 장비에서 경보 목록을 검색합니다.
fireeye-ex-alerts [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다. 미지정 시 다음날 0시로 지정됩니다.
출력 필드
필드 | 타입 | 이름 | 설명 |
---|---|---|---|
_time | 날짜 | 시각 | |
profile | 문자열 | 접속 프로파일 | 파이어아이 EX 접속 프로파일 식별자 |
id | 32비트 정수 | ID | |
inf_id | 32비트 정수 | 감염 ID | |
type | 문자열 | 유형 | 예: Malware Object |
signature | 문자열 | 탐지 명칭 | 예: InfoStealer.MSIL.AGENTTESLA.MVX |
file_type | 문자열 | 파일 유형 | 예: rar, url, email |
file_name | 문자열 | 파일 이름 | 예: INV-KAX 210816001.arj |
severity | 32비트 정수 | 위험도 | |
mail_from | 문자열 | 보낸사람 주소 | |
mail_to | 문자열 | 받는사람 주소 | |
url | 문자열 | URL | |
email_status | 문자열 | 이메일 상태 | 예: Quarantined, Missed |
md5 | 문자열 | MD5 | |
sha256 | 문자열 | SHA256 | |
download_path | 문자열 | 다운로드 경로 | |
campaign_id | 32비트 정수 | 캠페인 ID | |
campaign_name | 문자열 | 캠페인 이름 | |
campaign_size | 32비트 정수 | 캠페인 크기 | |
campaign_status | 32비트 정수 | 캠페인 상태 | |
url_click_blocked_badge | 불리언 | URL 클릭 차단 배지 | |
url_click_missed_badge | 불리언 | URL 클릭 미스 배지 | |
threat_info_badge | 불리언 | 위협 정보 배지 | |
https_alert_badge | 불리언 | HTTPS 경보 배지 | |
erspan_badge | 불리언 | ERSPAN 배지 | |
icap_badge | 불리언 | ICAP 배지 | |
retroactive_badge | 불리언 | 재분석 배지 | 이전 분석에서 미탐된 경우 |
vxlan_badge | 불리언 | VXLAN 배지 | |
sv_correlated_badge | 불리언 | 스마트비전 연관분석 배지 |