SentinelOne 프로세스 경보
OPENPROCESS, PROCESSCREATION 이벤트 유형
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | severity | 위험도 | 예: Low, Medium, High |
| 문자열 | alert_id | 경보ID | |
| 문자열 | agent_id | 에이전트ID | 예: 2111111111111111111 |
| 문자열 | event_type | 이벤트유형 | 예: OPENPROCESS, PROCESSCREATION |
| 문자열 | hostname | 호스트명 | 예: DESKTOP-AAAAAAA |
| 문자열 | os_name | OS이름 | 예: Windows 11 Pro |
| 문자열 | machine_type | 장비유형 | 예: laptop, desktop, server |
| 문자열 | signature | 공격명 | 예: LOLBin BITS Jobs |
| 문자열 | verdict | 판정 | 예: Suspicious, False positive |
| 문자열 | incident_status | 사고상태 | 예: Resolved, Unresolved |
| 불리언 | is_infected | 감염여부 | 예: true, false |
| 불리언 | is_active | 활성여부 | 예: true, false |
| 불리언 | is_decommissioned | 에이전트단절여부 | 예: true, false |
| 문자열 | rule_id | 탐지정책ID | |
| 문자열 | rule_verdict | 탐지정책판정 | 예: Suspicious, UNDEFINED |
| 문자열 | rule_description | 탐지정책설명 | 예: BITS Jobs을 악용하여 악성 페이로드를 지속적으로 실행 .. |
| 문자열 | rule_query | 탐지정책쿼리 | 예: TgtProcImagePath endswith "bitsadmin.exe" AND .. |
| 문자열 | parent_cmd_line | 부모명령줄 | 예: C:\WINDOWS\system32\services.exe |
| 문자열 | cmd_line | 명령줄 | 예: C:\WINDOWS\System32\svchost.exe -k netsvcs -p -s Themes |
| 문자열 | target_cmd_line | 대상명령줄 | 예: bitsadmin /transfer myDownloadJob /download /priority foreground |
| 64비트 정수 | ppid | PPID | 예: 924 |
| 문자열 | parent_image | 부모이미지 | 예: services.exe |
| 문자열 | parent_integrity_level | 부모무결성수준 | 예: system, medium, high |
| 문자열 | parent_image_signer | 부모디지털서명 | 예: MICROSOFT WINDOWS PUBLISHER |
| 문자열 | parent_image_path | 부모이미지경로 | 예: C:\Windows\System32\services.exe |
| 64비트 정수 | pid | PID | 예: 3236 |
| 문자열 | image | 이미지 | 예: svchost.exe |
| 문자열 | integrity_level | 무결성수준 | 예: system, medium, high |
| 문자열 | image_signer | 디지털서명 | 예: MICROSOFT WINDOWS |
| 문자열 | image_path | 이미지경로 | 예: C:\Windows\System32\svchost.exe |
| 64비트 정수 | target_pid | 대상PID | 예: 15216 |
| 문자열 | target_image | 대상이미지 | 예: bitsadmin.exe |
| 문자열 | target_image_signed | 대상이미지서명여부 | 예: true, false |
| 문자열 | target_integrity_level | 대상무결성수준 | 예: system, medium, high |
| 문자열 | target_image_path | 대상이미지경로 | 예: C:\Windows\System32\bitsadmin.exe |
| 날짜 | target_process_start_time | 대상프로세스시작일시 | |
| 문자열 | parent_process_uuid | 부모프로세스식별자 | 예: B67891B2AC1447F4 |
| 문자열 | parent_storyline | 부모스토리라인 | 예: B78901B2AC1447F4 |
| 문자열 | parent_subsystem | 부모서브시스템 | 예: sys_win32 |
| MD5 | parent_image_md5 | 부모이미지MD5 | 예: 30ccf8526d14753859937739548dc7a8 |
| SHA1 | parent_image_sha1 | 부모이미지SHA1 | 예: 0bf35689202b1faacdc4651fb04a01bc8b91a4ed |
| SHA256 | parent_image_sha256 | 부모이미지SHA256 | 예: 4c93e558cc5e401aed8e3659c62506f2ba6070e200833c00529ef5825e0b085d |
| 문자열 | process_uuid | 프로세스식별자 | 예: 247A82B2AC1346F4 |
| 문자열 | storyline | 스토리라인 | 예: 247A82B3AC1457F4 |
| 문자열 | subsystem | 서브시스템 | 예: sys_win32 |
| 문자열 | user_info | 계정정보 | 예: NT AUTHORITY\SYSTEM |
| 문자열 | target_process_uuid | 대상프로세스식별자 | 예: 02C792B1AC2347F4 |
| 문자열 | target_process_storyline | 대상프로세스스토리라인 | 예: A3C792B3BC1447F4 |
| 문자열 | agent_uuid | 에이전트식별자 | 예: 5eeee111111111111111111111111111 |
| 문자열 | agent_ver | 에이전트버전 | 예: 24.1.4.257, 23.2.3.358 |
| 문자열 | os_family | OS유형 | 예: linux, osx, windows |
| 문자열 | os_rev | OS리비전 | 예: 22000, 22631, Ubuntu 22.04.3 LTS 6.5.0-1013-gcp |
| MD5 | image_md5 | 이미지MD5 | 예: 8ec922c7a58a8701ab481b7be9644536 |
| SHA1 | image_sha1 | 이미지SHA1 | 예: 3f64c98f22da277a07cab248c44c56eedb796a81 |
| SHA256 | image_sha256 | 이미지SHA256 | 예: 949bfb5b4c7d58d92f3f9c5f8ec7ca4ceaffd10ec5f0020f0a987c472d61c54b |
| 문자열 | parent_user_info | 부모계정정보 | 예: NT AUTHORITY\SYSTEM |
| 문자열 | alert_source | 경보원천 | 예: STAR |
| 문자열 | site_id | 사이트ID | 예: 1555111777666559999 |
| 문자열 | dv_event_id | DV이벤트ID | 예: 01HVVCCCC33FFWWSS66QQJJXXZ_000 |
| 문자열 | account_id | 계정ID | 예: 1555111777777111111 |
| 날짜 | reported | 보고일시 | |
| 날짜 | created | 생성일시 | |
| 날짜 | updated | 수정일시 |