sentinelone-alerts
SentinelOne 서비스에서 경보 목록을 조회합니다.
sentinelone-alerts [profile=PROFILE] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [order=ORDER]
- profile=PROFILE
- SentinelOne 접속 프로파일 이름
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- order=ORDER
- asc 또는 desc.
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 문자열 | 시각 | |
| profile | 문자열 | 접속 프로파일 | SentinelOne 접속 프로파일 식별자 |
| severity | 문자열 | 위험도 | 예: Low, Medium, High |
| account_id | 문자열 | Account ID | e.g. 1555111777777111111 |
| alert_id | 문자열 | 경보 ID | |
| agent_id | 문자열 | 에이전트 ID | 예: 2111111111111111111 |
| event_type | 문자열 | 이벤트 유형 | 예: SCRIPTS, PROCESSCREATION, BEHAVIORALINDICATORS |
| hostname | 문자열 | 호스트명 | 예: DESKTOP-AAAAAAA |
| os_name | 문자열 | OS 이름 | 예: Windows 11 Pro |
| machine_type | 문자열 | 장비 유형 | 예: laptop, desktop, server |
| direction | 문자열 | 방향 | 예: INCOMING |
| src_ip | IP 주소 | 출발지 IP | |
| src_port | 32비트 정수 | 출발지 포트 | |
| dst_ip | IP 주소 | 목적지 IP | |
| dst_port | 32비트 정수 | 목적지 포트 | 예: 22 |
| signature | 문자열 | 공격명 | 예: Powershell Download Cradles |
| verdict | 문자열 | 판정 | 예: Suspicious, False positive |
| incident_status | 문자열 | 사고 상태 | 예: Resolved, Unresolved |
| is_decommissioned | 불리언 | 에이전트 단절 여부 | 예: true, false |
| is_infected | 불리언 | 감염 여부 | 예: true, false |
| is_active | 불리언 | 활성 여부 | 예: true, false |
| rule_id | 문자열 | 탐지정책 ID | |
| rule_verdict | 문자열 | 탐지정책 판정 | 예: Suspicious, UNDEFINED |
| rule_description | 문자열 | 탐지정책 설명 | 예: 악의적인 파일을 다운로드하기 위한 PowerShell 사용을 감지 |
| rule_query | 문자열 | 탐지정책 쿼리 | 예: (src.process.cmdline contains ( "DownloadFile(", ... |
| parent_cmd_line | 문자열 | 부모 명령줄 | 예: "C:\WINDOWS\system32\cmd.exe" |
| cmd_line | 문자열 | 명령줄 | 예: powershell |
| target_cmd_line | 문자열 | 대상 명령줄 | |
| indicator_category | 문자열 | 침해지표 분류 | 예: InfoStealer |
| indicator_name | 문자열 | 침해지표 이름 | 예: CredsReadFromLsass |
| indicator_description | 문자열 | 침해지표 설명 | 예: Identified read action of sensitive information from LSASS .. |
| ppid | 64비트 정수 | PPID | 예: 7592 |
| parent_image | 문자열 | 부모 이미지 | 예: cmd.exe |
| parent_integrity_level | 문자열 | 부모 무결성 수준 | 예: system, medium, high |
| parent_image_signer | 문자열 | 부모 디지털 서명 | 예: MICROSOFT WINDOWS |
| parent_image_path | 문자열 | 부모 이미지 경로 | 예: C:\WINDOWS\System32\cmd.exe |
| parent_start_time | 날짜 | 부모 시작 시각 | |
| parent_user | 문자열 | 부모 계정 | 예: root |
| parent_effective_user | 문자열 | 부모 실제 계정 | 예: root |
| pid | 64비트 정수 | PID | 예: 255976 |
| image | 문자열 | 이미지 | 예: net.exe |
| integrity_level | 문자열 | 무결성 수준 | 예: system, medium, high |
| image_signer | 문자열 | 디지털 서명 | 예: MICROSOFT WINDOWS |
| image_path | 문자열 | 이미지 경로 | 예: C:\Windows\System32\net.exe |
| user | 문자열 | 계정 | 예: root |
| effective_user | 문자열 | 실제 계정 | 예: root |
| target_pid | 64비트 정수 | 대상 PID | |
| target_image | 문자열 | 대상 이미지 | |
| target_image_signed | 불리언 | Is target process image signed | true or false |
| target_integrity_level | 문자열 | 대상 무결성 수준 | 예: system, medium, high |
| target_image_path | 문자열 | 대상 이미지 경로 | |
| target_process_start_time | 날짜 | 대상 프로세스 시작일시 | |
| parent_process_uuid | 문자열 | Parent process UUID | e.g. B67891B2AC1447F4 |
| parent_storyline | 문자열 | 부모 스토리라인 | 예: 00DD66FFCCFF7744 |
| parent_subsystem | 문자열 | 부모 서브시스템 | 예: sys_win32, unknown |
| parent_image_md5 | 문자열 | 부모 이미지 MD5 | 예: 428cec6b0034e0f183eb5bae887be480 |
| parent_image_sha1 | 문자열 | 부모 이미지 SHA1 | 예: 7140caf2a73676d1f7cd5e8529db861f4704c939 |
| parent_image_sha256 | 문자열 | 부모 이미지 SHA256 | 예: 3f6aa206177bebb29fc534c587a246e0f395941640f3f266c80743af95a02150 |
| process_uuid | 문자열 | 프로세스 식별자 | 예: EE22554400EE0077 |
| storyline | 문자열 | 스토리라인 | 예: EE22554400EE0055 |
| subsystem | 문자열 | 서브시스템 | 예: sys_win32 |
| user_info | 문자열 | 계정 정보 | 예: NT AUTHORITY\SYSTEM |
| target_process_uuid | 문자열 | 대상 프로세스 식별자 | 예: 77EE66FFEEFF7744 |
| target_process_storyline | 문자열 | 대상 프로세스 스토리라인 | 예: 00DD66FFCCFF7744 |
| file_id | 문자열 | 대상파일 ID | |
| file_path | 문자열 | 대상파일 경로 | |
| file_old_path | 문자열 | 대상파일 이전 경로 | |
| file_ctime | 날짜 | 대상파일 생성일시 | |
| file_mtime | 날짜 | 대상파일 수정일시 | |
| file_md5 | 문자열 | 대상파일 MD5 | |
| file_sha1 | 문자열 | 대상파일 SHA1 | |
| file_sha256 | 문자열 | 대상파일 SHA256 | |
| reg_key_path | 문자열 | 레지스트리 키 경로 | 예: MACHINE\SYSTEM\ControlSet001\Services\LanmanWorkstation.. |
| reg_value | 문자열 | 레지스트리 값 | 예: 0 |
| reg_old_value_type | 문자열 | 레지스트리 이전 값 유형 | |
| reg_old_value | 문자열 | 레지스트리 이전 값 | |
| agent_uuid | 문자열 | 에이전트 식별자 | 예: 5eeee111111111111111111111111111 |
| agent_ver | 문자열 | 에이전트 버전 | 예: 24.1.4.257, 23.2.3.358 |
| os_family | 문자열 | OS 유형 | 예: linux, osx, windows |
| os_rev | 문자열 | OS 리비전 | 예: 22000, 22631, Ubuntu 22.04.3 LTS 6.5.0-1013-gcp |
| image_md5 | 문자열 | 이미지 MD5 | |
| image_sha1 | 문자열 | 이미지 SHA1 | 예: a5badc2dd4dbaa8ed5f0a3646f7248bf060a2f13 |
| image_sha256 | 문자열 | 이미지 SHA256 | |
| parent_user_info | 문자열 | 부모 계정 정보 | 예: NT AUTHORITY\SYSTEM |
| module_path | 문자열 | 모듈 경로 | |
| module_sha1 | 문자열 | 모듈 SHA1 | |
| rule_query_type | 문자열 | 탐지쿼리 유형 | |
| rule_query_lang | 문자열 | 탐지쿼리 언어 | |
| alert_source | 문자열 | 경보 원천 | 예: STAR |
| site_id | 문자열 | 사이트 ID | 예: 1555111777666559999 |
| dv_event_id | 문자열 | DV 이벤트 ID | 예: 01HVVCCCC33FFWWSS66QQJJXXZ_000 |
| reported | 날짜 | 보고일시 | |
| created | 날짜 | 생성일시 | |
| updated | 날짜 | 수정일시 | |
| parent_unique_id | 문자열 | 부모 프로세스 식별자 | 예: 77EE66FFEEFF7744 |
| file_signed | 불리언 | 대상파일 서명 여부 | 예: true, false |