파서
네트워크 블랙박스 파서는 아래 로그 필드를 반환합니다.
세션 로그
| 필드 | 타입 | 이름 | 설명 |
|---|
| _time | 날짜 | 시각 | |
| vendor | 문자열 | 벤더 | 예: Quadminers |
| product | 문자열 | 제품 | 예: Sensor |
| version | 문자열 | 버전 | |
| event_id | 문자열 | CEF 이벤트 ID | |
| event_name | 문자열 | CEF 이벤트 이름 | 예: SESSION |
| severity | 문자열 | 위험도 | 예: Low, Medium, High |
| start_time | 날짜 | 세션 시작 시각 | |
| end_time | 날짜 | 세션 종료 시각 | |
| src_mac | 문자열 | 출발지 MAC | |
| dst_mac | 문자열 | 목적지 MAC | |
| src_ip | IP 주소 | 출발지 IP | |
| src_port | 32비트 정수 | 출발지 포트 | |
| dst_ip | IP 주소 | 목적지 IP | |
| dst_port | 32비트 정수 | 목적지 포트 | |
| protocol | 문자열 | 프로토콜 | 예: TCP, UDP |
| app | 문자열 | 앱 | 예: HTTP, SSH |
| flags | 문자열 | TCP 플래그 | 예: .AP.SF |
| sent_bytes | 64비트 정수 | 송신 바이트 수 | |
| rcvd_bytes | 64비트 정수 | 수신 바이트 수 | |
| ratio | 64비트 실수 | 전송 비율 | 음수는 다운로드, 양수는 업로드에 가까움 |
| t_ratio | 문자열 | 전송 방향 | 예: Download, Mixed, Upload |
| tot_score | 32비트 정수 | 스코어 | |
| cr_desc | 문자열 | | |
| cr_group | 문자열 | | |
| cr_groupid | 32비트 정수 | | |
| cr_hits | 32비트 정수 | | |
| cr_kc | 32비트 정수 | | |
| cr_name | 문자열 | | |
| cr_risk | 32비트 정수 | | |
| cr_score | 32비트 정수 | | |
| cr_sid | 32비트 정수 | | |
| cve_desc | 문자열 | | |
| cve_group | 문자열 | | |
| cve_groupid | 32비트 정수 | | |
| cve_hits | 32비트 정수 | | |
| cve_kc | 32비트 정수 | | |
| cve_name | 문자열 | | |
| cve_risk | 32비트 정수 | | |
| cve_score | 32비트 정수 | | |
| cve_sid | 문자열 | | |
침입탐지 로그
| 필드 | 타입 | 이름 | 설명 |
|---|
| _time | 날짜 | 시각 | |
| vendor | 문자열 | 벤더 | 예: Quadminers |
| product | 문자열 | 제품 | |
| version | 문자열 | 버전 | |
| event_id | 32비트 정수 | CEF 이벤트 ID | 예: 0 |
| event_name | 문자열 | CEF 이벤트 이름 | 예: rule |
| severity | 문자열 | CEF 위험도 | 예: Low, Medium, High |
| device_id | 32비트 정수 | 센서 ID | |
| device_ip | IP 주소 | 센서 IP | |
| device_name | 문자열 | 센서 이름 | |
| risk | 문자열 | 위험도 | 예: LOW, MEDIUM, HIGH |
| hash | 64비트 정수 | 세션 해시 | |
| src_ip | IP 주소 | 출발지 IP | |
| src_port | 32비트 정수 | 출발지 포트 | |
| dst_ip | IP 주소 | 목적지 IP | |
| dst_port | 32비트 정수 | 목적지 포트 | |
| protocol | 문자열 | 프로토콜 | 예: TCP |
| app_sub_type | 문자열 | 앱 상세 타입 | 예: HTTP |
| signature_id | 문자열 | 룰 ID | 예: 2028867 |
| signature | 문자열 | 룰 이름 | |
| log_time | 문자열 | 로그 시각 | |
| src_hostname | 문자열 | 출발지 호스트명 | |
| src_emp_key | 문자열 | 출발지 사번 | |
| src_name | 문자열 | 출발지 이름 | |
| src_email | 문자열 | 출발지 이메일 | |
| src_location | 문자열 | 출발지 위치 | |
| src_dept_name | 문자열 | 출발지 부서 | |
| src_team_name | 문자열 | 출발지 팀 | |
| src_first_seen | 날짜 | 출발지 최초 발견일시 | |
| src_last_seen | 날짜 | 출발지 최근 발견일시 | |
| src_known | 문자열 | 출발지 인지 여부 | 예: Y, N |
| dst_hostname | 문자열 | 목적지 호스트명 | |
| dst_emp_key | 문자열 | 목적지 사번 | |
| dst_name | 문자열 | 목적지 이름 | |
| dst_email | 문자열 | 목적지 이메일 | |
| dst_location | 문자열 | 목적지 위치 | |
| dst_dept_name | 문자열 | 목적지 부서 | |
| dst_team_name | 문자열 | 목적지 팀 | |
| dst_first_seen | 문자열 | 목적지 최초 발견일시 | |
| dst_last_seen | 문자열 | 목적지 최근 발견일시 | |
| dst_known | 문자열 | 목적지 인지 여부 | |
파일 로그
| 필드 | 타입 | 이름 | 설명 |
|---|
| _time | 날짜 | 시각 | |
| vendor | 문자열 | 벤더 | 예: Quadminers |
| product | 문자열 | 제품 | |
| version | 문자열 | 버전 | 예: 3.3.006 |
| event_id | 문자열 | CEF 이벤트 ID | 예: 0 |
| event_name | 문자열 | CEF 이벤트 이름 | 예: content_file |
| severity | 문자열 | CEF 위험도 | 예: Low, Medium, High |
| device_ip | 문자열 | 센서 IP | |
| device_name | 문자열 | 센서 이름 | |
| extract_rule_id | 32비트 정수 | 추출 룰 ID | |
| category | 문자열 | 분류 | 예: mail |
| risk | 문자열 | 위험도 | 예: LOW, MEDIUM, HIGH |
| hash | 64비트 정수 | 세션 해시 | |
| src_ip | IP 주소 | 출발지 IP | |
| dst_ip | IP 주소 | 목적지 IP | |
| protocol | 문자열 | 프로토콜 | 예: http |
| app | 문자열 | 앱 | 예: nate |
| file_id | 32비트 정수 | 파일 ID | |
| file_name | 문자열 | 파일 이름 | |
| file_size | 64비트 정수 | 파일 크기 | |
| host | 문자열 | 호스트 | 예: mail3.nate.com |
| direction | 문자열 | 방향 | 예: upload |
| md5 | 문자열 | MD5 | |
| sha256 | 문자열 | SHA256 | |
| src_emp_key | 문자열 | 출발지 사번 | |
| src_hostname | 문자열 | 출발지 호스트명 | |
| src_name | 문자열 | 출발지 이름 | |
| src_email | 문자열 | 출발지 이메일 | |
| src_location | 문자열 | 출발지 위치 | |
| src_dept_name | 문자열 | 출발지 부서 | |
| src_team_name | 문자열 | 출발지 팀 | |
| src_first_seen | 날짜 | 출발지 최초 발견일시 | |
| src_last_seen | 날짜 짜 | 출발지 최근 발견일시 | |
| src_known | 문자열 | 출발지 인지 여부 | 예: Y, N |
| dst_emp_key | 문자열 | 목적지 사번 | |
| dst_hostname | 문자열 | 목적지 호스트명 | |
| dst_name | 문자열 | 목적지 이름 | |
| dst_location | 문자열 | 목적지 위치 | |
| dst_dept_name | 문자열 | 목적지 부서 | |
| dst_team_name | 문자열 | 목적지 팀 | |
| dst_email | 문자열 | 목적지 이메일 | |
| dst_first_seen | 날짜 | 목적지 최초 발견일시 | |
| dst_last_seen | 날짜 | 목적지 최근 발견일시 | |
| dst_known | 문자열 | 목적지 인지 여부 | 예: Y, N |
