네트워크 블랙박스 파일
컨텐츠 파일 이벤트
필드 | 타입 | 이름 | 설명 |
---|---|---|---|
_time | 날짜 | 시각 | |
vendor | 문자열 | 벤더 | 예: Quadminers |
product | 문자열 | 제품 | |
version | 문자열 | 버전 | 예: 3.3.006 |
event_id | 문자열 | CEF 이벤트 ID | 예: 0 |
event_name | 문자열 | CEF 이벤트 이름 | 예: content_file |
severity | 문자열 | CEF 위험도 | 예: Low, Medium, High |
device_ip | 문자열 | 센서 IP | |
device_name | 문자열 | 센서 이름 | |
extract_rule_id | 32비트 정수 | 추출 룰 ID | |
category | 문자열 | 분류 | 예: mail |
risk | 문자열 | 위험도 | 예: LOW, MEDIUM, HIGH |
hash | 64비트 정수 | 세션 해시 | |
src_ip | IP 주소 | 출발지 IP | |
dst_ip | IP 주소 | 목적지 IP | |
protocol | 문자열 | 프로토콜 | 예: http |
app | 문자열 | 앱 | 예: nate |
file_id | 32비트 정수 | 파일 ID | |
file_name | 문자열 | 파일 이름 | |
file_size | 64비트 정수 | 파일 크기 | |
host | 문자열 | 호스트 | 예: mail3.nate.com |
direction | 문자열 | 방향 | 예: upload |
md5 | 문자열 | MD5 | |
sha256 | 문자열 | SHA256 | |
src_emp_key | 문자열 | 출발지 사번 | |
src_hostname | 문자열 | 출발지 호스트명 | |
src_name | 문자열 | 출발지 이름 | |
src_email | 문자열 | 출발지 이메일 | |
src_location | 문자열 | 출발지 위치 | |
src_dept_name | 문자열 | 출발지 부서 | |
src_team_name | 문자열 | 출발지 팀 | |
src_first_seen | 날짜 | 출발지 최초 발견일시 | |
src_last_seen | 날짜 | 출발지 최근 발견일시 | |
src_known | 문자열 | 출발지 인지 여부 | 예: Y, N |
dst_emp_key | 문자열 | 목적지 사번 | |
dst_hostname | 문자열 | 목적지 호스트명 | |
dst_name | 문자열 | 목적지 이름 | |
dst_location | 문자열 | 목적지 위치 | |
dst_dept_name | 문자열 | 목적지 부서 | |
dst_team_name | 문자열 | 목적지 팀 | |
dst_email | 문자열 | 목적지 이메일 | |
dst_first_seen | 날짜 | 목적지 최초 발견일시 | |
dst_last_seen | 날짜 | 목적지 최근 발견일시 | |
dst_known | 문자열 | 목적지 인지 여부 | 예: Y, N |