네트워크 블랙박스 파일
컨텐츠 파일 이벤트
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 날짜 | 시각 | |
| vendor | 문자열 | 벤더 | 예: Quadminers |
| product | 문자열 | 제품 | |
| version | 문자열 | 버전 | 예: 3.3.006 |
| event_id | 문자열 | CEF 이벤트 ID | 예: 0 |
| event_name | 문자열 | CEF 이벤트 이름 | 예: content_file |
| severity | 문자열 | CEF 위험도 | 예: Low, Medium, High |
| device_ip | 문자열 | 센서 IP | |
| device_name | 문자열 | 센서 이름 | |
| extract_rule_id | 32비트 정수 | 추출 룰 ID | |
| category | 문자열 | 분류 | 예: mail |
| risk | 문자열 | 위험도 | 예: LOW, MEDIUM, HIGH |
| hash | 64비트 정수 | 세션 해시 | |
| src_ip | IP 주소 | 출발지 IP | |
| dst_ip | IP 주소 | 목적지 IP | |
| protocol | 문자열 | 프로토콜 | 예: http |
| app | 문자열 | 앱 | 예: nate |
| file_id | 32비트 정수 | 파일 ID | |
| file_name | 문자열 | 파일 이름 | |
| file_size | 64비트 정수 | 파일 크기 | |
| host | 문자열 | 호스트 | 예: mail3.nate.com |
| direction | 문자열 | 방향 | 예: upload |
| md5 | 문자열 | MD5 | |
| sha256 | 문자열 | SHA256 | |
| src_emp_key | 문자열 | 출발지 사번 | |
| src_hostname | 문자열 | 출발지 호스트명 | |
| src_name | 문자열 | 출발지 이름 | |
| src_email | 문자열 | 출발지 이메일 | |
| src_location | 문자열 | 출발지 위치 | |
| src_dept_name | 문자열 | 출발지 부서 | |
| src_team_name | 문자열 | 출발지 팀 | |
| src_first_seen | 날짜 | 출발지 최초 발견일시 | |
| src_last_seen | 날짜 | 출발지 최근 발견일시 | |
| src_known | 문자열 | 출발지 인지 여부 | 예: Y, N |
| dst_emp_key | 문자열 | 목적지 사번 | |
| dst_hostname | 문자열 | 목적지 호스트명 | |
| dst_name | 문자열 | 목적지 이름 | |
| dst_location | 문자열 | 목적지 위치 | |
| dst_dept_name | 문자열 | 목적지 부서 | |
| dst_team_name | 문자열 | 목적지 팀 | |
| dst_email | 문자열 | 목적지 이메일 | |
| dst_first_seen | 날짜 | 목적지 최초 발견일시 | |
| dst_last_seen | 날짜 | 목적지 최근 발견일시 | |
| dst_known | 문자열 | 목적지 인지 여부 | 예: Y, N |