sentinelone-activities
SentinelOne 서비스에서 활동 목록을 조회합니다.
sentinelone-activities [profile=PROFILE] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [order=ORDER]
- profile=PROFILE
- SentinelOne 접속 프로파일 이름
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- order=ORDER
- asc 또는 desc.
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 날짜 | 시각 | 레코드 생성 시각 |
| profile | 문자열 | 접속 프로파일 | SentinelOne 접속 프로파일 식별자 |
| site_name | 문자열 | 사이트 이름 | 예: Default site |
| group_name | 문자열 | 그룹 이름 | 예: Linux Server, MacOS, Windows PC |
| agent_id | 문자열 | 에이전트 ID | 예: 1234567890123456789 |
| hostname | 문자열 | 호스트명 | 예: logpresso's MacBook Pro |
| host_ip | IP 주소 | 호스트 IP | 활동이 발생한 호스트의 IP 주소 |
| activity_type | 32비트 정수 | 활동 유형 | 예: 3631, 4020 |
| event_category | 문자열 | 이벤트 분류 | 예: process, registry, indicators, command_script |
| threat_classification | 문자열 | 위협 분류 | 예: Malware, Ransomware, PUA, Infostealer, Cryptominer |
| primary_description | 문자열 | 기본 설명 | 예: Live Updates for Static AI, StaticSigMac251-9.3, were sent to endpoint |
| secondary_description | 문자열 | 보조 설명 | 예: IP address: x.x.x.x |
| account_name | 문자열 | 구독 이름 | 예: Logpresso |
| created | 날짜 | 생성 일시 | 활동 레코드 생성 시각 |
| updated | 날짜 | 수정 일시 | 활동 레코드 수정 시각 |
| params | 맵 | 매개변수 목록 | account_name, site_name, scope_level, group_name, hostname, asset_type, source_type 등 키-값 쌍의 목록 |
| id | 문자열 | ID | 활동 로그 일련번호 |
| activity_uuid | 문자열 | 활동 UUID | GUID 형식의 활동 로그 고유 식별자 |
| account_id | 문자열 | 구독 ID | 예: 1234567890123456789 |
| site_id | 문자열 | 사이트 ID | 예: 1234567890123456789 |
| group_id | 문자열 | 그룹 ID | 예: 1234567890123456789 |
| user_id | 문자열 | 계정 ID | 예: 1234567890123456789 |
| threat_id | 문자열 | 위협 ID | 예: 1234567890123456789 |