fireeye-fx-alerts
파이어아이 FX 장비에서 경보 목록을 조회합니다.
fireeye-fx-alerts [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다. 미지정 시 다음날 0시로 지정됩니다.
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 날짜 | 경보 시각 | |
| profile | 문자열 | 접속 프로파일 | 파이어아이 FX 접속 프로파일 식별자 |
| id | 32비트 정수 | 경보 ID | |
| type | 문자열 | 경보 유형 | 예: Malware Object |
| signature | 문자열 | 공격 패턴 | 예: Trojan.Win32.Tiggre.FEC3 |
| file_type | 문자열 | 파일 유형 | 예: zip |
| scan_name | 문자열 | 스캔 이름 | |
| url | 문자열 | URL | |
| status | 문자열 | 상태 | 예: Success, Duplicate |
| md5 | 문자열 | MD5 | |
| sha256 | 문자열 | SHA256 | |
| submitted_at | 날짜 | 분석 요청 시각 | |
| started_at | 날짜 | 분석 시작 시각 | |
| completed_at | 날짜 | 분석 종료 시각 | |
| parent | 불리언 | 부모 여부 | |
| threat_info_badge | 불리언 | 위협 정보 뱃지 | |
| malicious_alerts | 불리언 | 악성 경보 | 디지털 서명, 엔트로피, 패커, API 후킹 등 분석 결과 |
| os_change_graph | 불리언 | OS 변경 그래프 포함 여부 | |
| os_change_table | 불리언 | OS 변경 테이블 포함 여부 | |
| pe_view | 불리언 | PE 분석 포함 여부 | |
| obj_hash | 불리언 | 해시 포함 여부 | crc32, md5, sha1, sha256, ssdeep |
| hex_view | 불리언 | 16진수 뷰 여부 | |
| mitre_view | 불리언 | MITRE TTP 매핑 여부 | |
| download_path | 문자열 | 다운로드 경로 | XML 리포트 파일 다운로드 경로 |
| guid | 문자열 | 경보 GUID |