SentinelOne 접속 경보
TCPV4 이벤트 유형
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | severity | 위험도 | 예: Low, Medium, High |
| 문자열 | alert_id | 경보ID | |
| 문자열 | agent_id | 에이전트ID | 예: 2111111111111111111 |
| 문자열 | event_type | 이벤트유형 | 예: TCPV4 |
| 문자열 | hostname | 호스트명 | 예: gce-dev-demo-app |
| 문자열 | os_name | OS이름 | 예: Linux |
| 문자열 | machine_type | 장비유형 | 예: laptop, desktop, server |
| 문자열 | direction | 방향 | 예: INCOMING |
| IP 주소 | src_ip | 출발지IP | |
| 포트 | src_port | 출발지포트 | |
| IP 주소 | dst_ip | 목적지IP | |
| 포트 | dst_port | 목적지포트 | 예: 22 |
| 문자열 | signature | 공격명 | 예: External IPs connections attempts to RDP or SSH |
| 문자열 | verdict | 판정 | 예: Suspicious, False positive |
| 문자열 | incident_status | 사고상태 | 예: Resolved, Unresolved |
| 불리언 | is_infected | 감염여부 | 예: true, false |
| 불리언 | is_active | 활성여부 | 예: true, false |
| 불리언 | is_decommissioned | 에이전트단절여부 | 예: true, false |
| 문자열 | rule_id | 탐지정책ID | |
| 문자열 | rule_verdict | 탐지정책판정 | 예: Suspicious, UNDEFINED |
| 문자열 | rule_description | 탐지정책설명 | 예: 외부 IP에서 RDP, SSH 접속 시도 |
| 문자열 | rule_query | 탐지정책쿼리 | 예: DstPort In ( "3389", "22") AND NetEventDirection = "INCOMING" .. |
| 문자열 | parent_cmd_line | 부모명령줄 | 예: /sbin/init |
| 문자열 | cmd_line | 명령줄 | 예: /usr/sbin/sshd -D |
| 64비트 정수 | ppid | PPID | 예: 1 |
| 문자열 | parent_image | 부모이미지 | 예: systemd |
| 문자열 | parent_integrity_level | 부모무결성수준 | 예: unknown |
| 문자열 | parent_image_signer | 부모디지털서명 | |
| 문자열 | parent_image_path | 부모이미지경로 | 예: /usr/lib/systemd/systemd |
| 날짜 | parent_start_time | 부모시작시각 | |
| 문자열 | parent_user | 부모계정 | 예: root |
| 문자열 | parent_effective_user | 부모실제계정 | 예: root |
| 64비트 정수 | pid | PID | 예: 814 |
| 문자열 | image | 이미지 | 예: sshd |
| 문자열 | integrity_level | 무결성수준 | 예: unknown |
| 문자열 | image_signer | 디지털서명 | |
| 문자열 | image_path | 이미지경로 | 예: /usr/sbin/sshd |
| 문자열 | user | 계정 | 예: root |
| 문자열 | effective_user | 실제계정 | 예: root |
| 문자열 | parent_process_uuid | 부모프로세스식별자 | 예: e03896fd-55f6-19cd-344d-19127fd21bde |
| 문자열 | parent_storyline | 부모스토리라인 | 예: e03896fe-2910-a77f-3aff-17e420bb8594 |
| 문자열 | parent_subsystem | 부모서브시스템 | 예: unknown |
| MD5 | parent_image_md5 | 부모이미지MD5 | |
| SHA1 | parent_image_sha1 | 부모이미지SHA1 | 예: 5864ccafd1702036f1f88dbd23d9e67898386d65 |
| SHA256 | parent_image_sha256 | 부모이미지SHA256 | |
| 문자열 | process_uuid | 프로세스식별자 | 예: e1c2a199-dc2f-051f-b91f-7b6adcb1eb02 |
| 문자열 | storyline | 스토리라인 | 예: e0379714-a0ac-c0e6-c02b-bb18e56ff1ef |
| 문자열 | subsystem | 서브시스템 | 예: unknown |
| 문자열 | user_info | 계정정보 | 예: Effective: root, Real: root |
| SHA256 | file_sha256 | 대상파일SHA256 | |
| 문자열 | agent_uuid | 에이전트식별자 | 예: e021bc5b-834c-64f9-f900-f0fb1c088f76 |
| 문자열 | agent_ver | 에이전트버전 | 예: 23.3.2.12 |
| 문자열 | os_family | OS유형 | 예: linux |
| 문자열 | os_rev | OS리비전 | 예: Ubuntu 22.04.4 LTS 6.5.0-1023-gcp |
| MD5 | image_md5 | 이미지MD5 | |
| SHA1 | image_sha1 | 이미지SHA1 | 예: 91fc46dd1f3361fd94c3da0bee648233e4f17cbd |
| SHA256 | image_sha256 | 이미지SHA256 | |
| 문자열 | parent_user_info | 부모계정정보 | 예: Effective: root, Real: root |
| 문자열 | alert_source | 경보원천 | 예: STAR |
| 문자열 | site_id | 사이트ID | 예: 1555111777666559999 |
| 문자열 | dv_event_id | DV이벤트ID | 예: 01HVVCCCC33FFWWSS66QQJJXXZ_000 |
| 문자열 | account_id | 계정ID | 예: 1555111777777111111 |
| 날짜 | reported | 보고일시 | |
| 날짜 | created | 생성일시 | |
| 날짜 | updated | 수정일시 |