파이어아이 NX

다운로드 29
업데이트 2022. 4. 16.

fireeye-nx-alerts

파이어아이 NX 장비에서 기간별 경보 목록을 검색합니다.

duration
현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
from
yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
to
yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다. 미지정 시 다음날 0시로 지정됩니다.

모든 데이터를 가져와서 필터링하려면 시간이 오래 걸리기 때문에, UI에서 설정하던 검색 조건을 아래와 같이 수식으로 입력할 수 있습니다.

fireeye-nx-alerts duration=1mon src_ip == ip("1.2.3.4") and signature == "*Malware*"

AND 결합 조건만 가능하며, 사용 가능한 표현식은 다음과 같습니다.

  • src_ip == IP주소
  • src_ip != IP주소
  • dst_ip == IP주소
  • dst_ip != IP주소
  • signature == "*키워드*"
  • signature != "*키워드*"
  • url == "*키워드*"
  • url != "*키워드*"
  • file_type == "*키워드*"
  • file_type != "*키워드*"
  • md5 == "해시"
  • sha256 == "해시"
  • ack == true
  • ack == false

출력 필드

필드 이름타입설명
_time날짜경보 시각
profile문자열프로파일
ack불리언경보 인지 여부
type문자열경보 유형 (하단 참조)
inf_id32비트 정수감염 ID
file_type문자열파일 유형. exe, pdf 등
signature문자열공격 명칭
severity32비트 정수위험도
src_ipIP 주소내부 호스트 IP
dst_ipIP 주소악성코드 유포 호스트 IP
url문자열
md5문자열악성코드 MD5 해시
sha256문자열악성코드 SHA256 해시
sc_version문자열보안 컨텐츠 버전 정보
parent불리언연관된 경우 선행 탐지 여부
child불리언연관된 경후 후행 탐지 여부
uuid문자열GUID 식별자
blocked_badge불리언차단 태그
threat_info_badge불리언위협 정보 태그
ips_badge불리언IPS 태그
data_theft_badge불리언데이터 유출 태그
erspan_badge불리언ERSPAN 태그
icap_badge불리언ICAP 태그
mtp_badge불리언MTP 태그
retroactive_badge불리언재탐지 태그
vxlan_badge불리언VXLAN 태그

경보 유형

  • Domain Match: DNS 악성 도메인 탐지
  • Infection Match: 악성 URL 접속 탐지
  • Web Infection: 웹 다운로드 탐지
  • Malware Object: 맬웨어 다운로드 탐지
  • Malware Callback: C&C 통신 탐지