SentinelOne 경보
/web/api/v2.1/cloud-detection/alerts API 응답 형식
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | severity | 위험도 | 예: Low, Medium, High |
| 문자열 | alert_id | 경보ID | |
| 문자열 | agent_id | 에이전트ID | 예: 2111111111111111111 |
| 문자열 | event_type | 이벤트유형 | 예: SCRIPTS, PROCESSCREATION, BEHAVIORALINDICATORS |
| 문자열 | hostname | 호스트명 | 예: DESKTOP-AAAAAAA |
| 문자열 | os_name | OS이름 | 예: Windows 11 Pro |
| 문자열 | machine_type | 장비유형 | 예: laptop, desktop, server |
| 문자열 | signature | 공격명 | 예: Powershell Download Cradles |
| 문자열 | verdict | 판정 | 예: Suspicious, False positive |
| 문자열 | incident_status | 사고상태 | 예: Resolved, Unresolved |
| 문자열 | rule_id | 탐지정책ID | |
| 문자열 | rule_verdict | 탐지정책판정 | 예: Suspicious, UNDEFINED |
| 문자열 | rule_description | 탐지정책설명 | 예: 악의적인 파일을 다운로드하기 위한 PowerShell 사용을 감지 |
| 문자열 | rule_query | 탐지정책쿼리 | 예: (src.process.cmdline contains ( "DownloadFile(", ... |
| 문자열 | parent_cmd_line | 부모명령줄 | 예: "C:\WINDOWS\system32\cmd.exe" |
| 문자열 | cmd_line | 명령줄 | 예: powershell |
| 문자열 | dst_cmd_line | 대상명령줄 | |
| 문자열 | indicator_category | 침해지표분류 | 예: InfoStealer |
| 문자열 | indicator_name | 침해지표이름 | 예: CredsReadFromLsass |
| 문자열 | indicator_description | 침해지표설명 | 예: Identified read action of sensitive information from LSASS .. |
| 문자열 | direction | 방향 | 예: INCOMING |
| IP 주소 | src_ip | 출발지IP | |
| 포트 | src_port | 출발지포트 | |
| IP 주소 | dst_ip | 목적지IP | |
| 포트 | dst_port | 목적지포트 | 예: 22 |
| 불리언 | is_infected | 감염여부 | 예: true, false |
| 불리언 | is_active | 활성여부 | 예: true, false |
| 불리언 | is_decommissioned | 에이전트단절여부 | 예: true, false |
| 문자열 | dst_file_id | 대상파일ID | |
| 문자열 | dst_file_path | 대상파일경로 | |
| 64비트 정수 | ppid | PPID | 예: 7592 |
| 문자열 | parent_image | 부모이미지 | 예: cmd.exe |
| 문자열 | parent_integrity_level | 부모무결성수준 | 예: system, medium, high |
| 문자열 | parent_image_signer | 부모디지털서명 | 예: MICROSOFT WINDOWS |
| 문자열 | parent_image_path | 부모이미지경로 | 예: C:\WINDOWS\System32\cmd.exe |
| 날짜 | parent_start_time | 부모시작시각 | |
| 문자열 | parent_user | 부모계정 | 예: root |
| 문자열 | parent_effective_user | 부모실제계정 | 예: root |
| 64비트 정수 | pid | PID | 예: 255976 |
| 문자열 | image | 이미지 | 예: net.exe |
| 문자열 | integrity_level | 무결성수준 | 예: system, medium, high |
| 문자열 | image_signer | 디지털서명 | 예: MICROSOFT WINDOWS |
| 문자열 | image_path | 이미지경로 | 예: C:\Windows\System32\net.exe |
| 문자열 | user | 계정 | 예: root |
| 문자열 | effective_user | 실제계정 | 예: root |
| 64비트 정수 | dst_pid | 대상PID | |
| 문자열 | dst_image | 대상이미지 | |
| 문자열 | dst_integrity_level | 대상무결성수준 | 예: system, medium, high |
| 문자열 | dst_image_path | 대상이미지경로 | |
| 날짜 | dst_process_start_time | 대상프로세스시작일시 | |
| 문자열 | parent_unique_id | 부모프로세스식별자 | 예: 77EE66FFEEFF7744 |
| 문자열 | parent_storyline | 부모스토리라인 | 예: 00DD66FFCCFF7744 |
| 문자열 | parent_subsystem | 부모서브시스템 | 예: sys_win32, unknown |
| MD5 | parent_image_md5 | 부모이미지MD5 | 예: 428cec6b0034e0f183eb5bae887be480 |
| SHA1 | parent_image_sha1 | 부모이미지SHA1 | 예: 7140caf2a73676d1f7cd5e8529db861f4704c939 |
| 문자열 | parent_image_sha256 | 부모이미지SHA256 | 예: 3f6aa206177bebb29fc534c587a246e0f395941640f3f266c80743af95a02150 |
| 문자열 | process_uuid | 프로세스식별자 | 예: EE22554400EE0077 |
| 문자열 | storyline | 스토리라인 | 예: EE22554400EE0055 |
| 문자열 | subsystem | 서브시스템 | 예: sys_win32 |
| 문자열 | user_info | 계정정보 | 예: NT AUTHORITY\SYSTEM |
| 문자열 | target_process_uuid | 대상프로세스식별자 | 예: 77EE66FFEEFF7744 |
| 문자열 | target_process_storyline | 대상프로세스스토리라인 | 예: 00DD66FFCCFF7744 |
| 문자열 | file_old_path | 대상파일이전경로 | |
| 불리언 | file_signed | 대상파일서명여부 | 예: true, false |
| 날짜 | file_ctime | 대상파일생성일시 | |
| 날짜 | file_mtime | 대상파일수정일시 | |
| MD5 | file_md5 | 대상파일MD5 | |
| SHA1 | file_sha1 | 대상파일SHA1 | |
| SHA256 | file_sha256 | 대상파일SHA256 | |
| 문자열 | reg_key_path | 레지스트리키경로 | 예: MACHINE\SYSTEM\ControlSet001\Services\LanmanWorkstation.. |
| 문자열 | reg_value | 레지스트리값 | 예: 0 |
| 문자열 | reg_old_value_type | 레지스트리이전값유형 | |
| 문자열 | reg_old_value | 레지스트리이전값 | |
| 문자열 | agent_uuid | 에이전트식별자 | 예: 5eeee111111111111111111111111111 |
| 문자열 | agent_ver | 에이전트버전 | 예: 24.1.4.257, 23.2.3.358 |
| 문자열 | os_family | OS유형 | 예: linux, osx, windows |
| 문자열 | os_rev | OS리비전 | 예: 22000, 22631, Ubuntu 22.04.3 LTS 6.5.0-1013-gcp |
| MD5 | image_md5 | 이미지MD5 | |
| SHA1 | image_sha1 | 이미지SHA1 | 예: a5badc2dd4dbaa8ed5f0a3646f7248bf060a2f13 |
| SHA256 | image_sha256 | 이미지SHA256 | |
| 문자열 | parent_user_info | 부모계정정보 | 예: NT AUTHORITY\SYSTEM |
| 문자열 | module_path | 모듈경로 | |
| SHA1 | module_sha1 | 모듈SHA1 | |
| 문자열 | rule_query_type | 탐지쿼리유형 | |
| 문자열 | rule_query_lang | 탐지쿼리언어 | |
| 문자열 | alert_source | 경보원천 | 예: STAR |
| 문자열 | site_id | 사이트ID | 예: 1555111777666559999 |
| 문자열 | dv_event_id | DV이벤트ID | 예: 01HVVCCCC33FFWWSS66QQJJXXZ_000 |
| 문자열 | account_id | 계정ID | 예: 1555111777777111111 |
| 날짜 | reported | 보고일시 | |
| 날짜 | created | 생성일시 | |
| 날짜 | updated | 수정일시 |