fireeye-nx-alerts
파이어아이 NX 장비에서 기간별 경보 목록을 검색합니다.
- duration
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다. 미지정 시 다음날 0시로 지정됩니다.
모든 데이터를 가져와서 필터링하려면 시간이 오래 걸리기 때문에, UI에서 설정하던 검색 조건을 아래와 같이 수식으로 입력할 수 있습니다.
AND 결합 조건만 가능하며, 사용 가능한 표현식은 다음과 같습니다.
- src_ip == IP주소
- src_ip != IP주소
- dst_ip == IP주소
- dst_ip != IP주소
- signature == "*키워드*"
- signature != "*키워드*"
- url == "*키워드*"
- url != "*키워드*"
- file_type == "*키워드*"
- file_type != "*키워드*"
- md5 == "해시"
- sha256 == "해시"
- ack == true
- ack == false
출력 필드
| 필드 이름 | 타입 | 설명 |
|---|---|---|
| _time | 날짜 | 경보 시각 |
| profile | 문자열 | 프로파일 |
| ack | 불리언 | 경보 인지 여부 |
| type | 문자열 | 경보 유형 (하단 참조) |
| inf_id | 32비트 정수 | 감염 ID |
| file_type | 문자열 | 파일 유형. exe, pdf 등 |
| signature | 문자열 | 공격 명칭 |
| severity | 32비트 정수 | 위험도 |
| src_ip | IP 주소 | 내부 호스트 IP |
| dst_ip | IP 주소 | 악성코드 유포 호스트 IP |
| url | 문자열 | |
| md5 | 문자열 | 악성코드 MD5 해시 |
| sha256 | 문자열 | 악성코드 SHA256 해시 |
| sc_version | 문자열 | 보안 컨텐츠 버전 정보 |
| parent | 불리언 | 연관된 경우 선행 탐지 여부 |
| child | 불리언 | 연관된 경후 후행 탐지 여부 |
| uuid | 문자열 | GUID 식별자 |
| blocked_badge | 불리언 | 차단 태그 |
| threat_info_badge | 불리언 | 위협 정보 태그 |
| ips_badge | 불리언 | IPS 태그 |
| data_theft_badge | 불리언 | 데이터 유출 태그 |
| erspan_badge | 불리언 | ERSPAN 태그 |
| icap_badge | 불리언 | ICAP 태그 |
| mtp_badge | 불리언 | MTP 태그 |
| retroactive_badge | 불리언 | 재탐지 태그 |
| vxlan_badge | 불리언 | VXLAN 태그 |
경보 유형
- Domain Match: DNS 악성 도메인 탐지
- Infection Match: 악성 URL 접속 탐지
- Web Infection: 웹 다운로드 탐지
- Malware Object: 맬웨어 다운로드 탐지
- Malware Callback: C&C 통신 탐지