네트워크 블랙박스

다운로드 3
업데이트 2023. 4. 25.

사용 매뉴얼

파서

네트워크 블랙박스 파서는 아래 로그 필드를 반환합니다.

세션 로그

필드타입이름설명
_time날짜시각
vendor문자열벤더예: Quadminers
product문자열제품예: Sensor
version문자열버전
event_id문자열CEF 이벤트 ID
event_name문자열CEF 이벤트 이름예: SESSION
severity문자열위험도예: Low, Medium, High
start_time날짜세션 시작 시각
end_time날짜세션 종료 시각
src_mac문자열출발지 MAC
dst_mac문자열목적지 MAC
src_ipIP 주소출발지 IP
src_port32비트 정수출발지 포트
dst_ipIP 주소목적지 IP
dst_port32비트 정수목적지 포트
protocol문자열프로토콜예: TCP, UDP
app문자열예: HTTP, SSH
flags문자열TCP 플래그예: .AP.SF
sent_bytes64비트 정수송신 바이트 수
rcvd_bytes64비트 정수수신 바이트 수
ratio64비트 실수전송 비율음수는 다운로드, 양수는 업로드에 가까움
t_ratio문자열전송 방향예: Download, Mixed, Upload
tot_score32비트 정수스코어
cr_desc문자열
cr_group문자열
cr_groupid32비트 정수
cr_hits32비트 정수
cr_kc32비트 정수
cr_name문자열
cr_risk32비트 정수
cr_score32비트 정수
cr_sid32비트 정수
cve_desc문자열
cve_group문자열
cve_groupid32비트 정수
cve_hits32비트 정수
cve_kc32비트 정수
cve_name문자열
cve_risk32비트 정수
cve_score32비트 정수
cve_sid문자열

침입탐지 로그

필드타입이름설명
_time날짜시각
vendor문자열벤더예: Quadminers
product문자열제품
version문자열버전
event_id32비트 정수CEF 이벤트 ID예: 0
event_name문자열CEF 이벤트 이름예: rule
severity문자열CEF 위험도예: Low, Medium, High
device_id32비트 정수센서 ID
device_ipIP 주소센서 IP
device_name문자열센서 이름
risk문자열위험도예: LOW, MEDIUM, HIGH
hash64비트 정수세션 해시
src_ipIP 주소출발지 IP
src_port32비트 정수출발지 포트
dst_ipIP 주소목적지 IP
dst_port32비트 정수목적지 포트
protocol문자열프로토콜예: TCP
app_sub_type문자열앱 상세 타입예: HTTP
signature_id문자열룰 ID예: 2028867
signature문자열룰 이름
log_time문자열로그 시각
src_hostname문자열출발지 호스트명
src_emp_key문자열출발지 사번
src_name문자열출발지 이름
src_email문자열출발지 이메일
src_location문자열출발지 위치
src_dept_name문자열출발지 부서
src_team_name문자열출발지 팀
src_first_seen날짜출발지 최초 발견일시
src_last_seen날짜출발지 최근 발견일시
src_known문자열출발지 인지 여부예: Y, N
dst_hostname문자열목적지 호스트명
dst_emp_key문자열목적지 사번
dst_name문자열목적지 이름
dst_email문자열목적지 이메일
dst_location문자열목적지 위치
dst_dept_name문자열목적지 부서
dst_team_name문자열목적지 팀
dst_first_seen문자열목적지 최초 발견일시
dst_last_seen문자열목적지 최근 발견일시
dst_known문자열목적지 인지 여부

파일 로그

필드타입이름설명
_time날짜시각
vendor문자열벤더예: Quadminers
product문자열제품
version문자열버전예: 3.3.006
event_id문자열CEF 이벤트 ID예: 0
event_name문자열CEF 이벤트 이름예: content_file
severity문자열CEF 위험도예: Low, Medium, High
device_ip문자열센서 IP
device_name문자열센서 이름
extract_rule_id32비트 정수추출 룰 ID
category문자열분류예: mail
risk문자열위험도예: LOW, MEDIUM, HIGH
hash64비트 정수세션 해시
src_ipIP 주소출발지 IP
dst_ipIP 주소목적지 IP
protocol문자열프로토콜예: http
app문자열예: nate
file_id32비트 정수파일 ID
file_name문자열파일 이름
file_size64비트 정수파일 크기
host문자열호스트예: mail3.nate.com
direction문자열방향예: upload
md5문자열MD5
sha256문자열SHA256
src_emp_key문자열출발지 사번
src_hostname문자열출발지 호스트명
src_name문자열출발지 이름
src_email문자열출발지 이메일
src_location문자열출발지 위치
src_dept_name문자열출발지 부서
src_team_name문자열출발지 팀
src_first_seen날짜출발지 최초 발견일시
src_last_seen날짜 짜출발지 최근 발견일시
src_known문자열출발지 인지 여부예: Y, N
dst_emp_key문자열목적지 사번
dst_hostname문자열목적지 호스트명
dst_name문자열목적지 이름
dst_location문자열목적지 위치
dst_dept_name문자열목적지 부서
dst_team_name문자열목적지 팀
dst_email문자열목적지 이메일
dst_first_seen날짜목적지 최초 발견일시
dst_last_seen날짜목적지 최근 발견일시
dst_known문자열목적지 인지 여부예: Y, N