SentinelOne 프로세스 이벤트
event.category = process
| 번호 | 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|---|
| 1 | 날짜 | _time | 시각 | 예: 2026-05-03 00:14:33 |
| 2 | 날짜 | event_time | 이벤트시각 | 예: 2026-05-03 00:14:33 |
| 3 | 문자열 | site_name | 사이트명 | 예: ACME |
| 4 | 문자열 | hostname | 호스트명 | 예: DESKTOP-EXAMPLE |
| 5 | 문자열 | user | 계정 | 예: DESKTOP-EXAMPLE\demouser |
| 6 | 문자열 | event_type | 이벤트유형 | 예: Process Creation |
| 7 | 문자열 | target_image | 대상이미지 | 예: UserOOBEBroker.exe |
| 8 | 문자열 | image | 이미지 | 예: svchost.exe |
| 9 | 문자열 | cmd_line | 명령줄 | 예: C:\WINDOWS\system32\svchost.ex... |
| 10 | 문자열 | parent_image | 부모이미지 | 예: services.exe |
| 11 | 문자열 | target_cmd_line | 대상명령줄 | 예: C:\Windows\System32\oobe\UserO... |
| 12 | 문자열 | parent_cmd_line | 부모명령줄 | 예: C:\WINDOWS\system32\services.exe |
| 13 | 문자열 | event_category | 이벤트분류 | 예: process |
| 14 | 문자열 | event_name | 이벤트이름 | 예: PROCESSCREATION, ... |
| 15 | 문자열 | endpoint_type | 단말유형 | 예: desktop |
| 16 | 문자열 | os_family | OS유형 | 예: windows |
| 17 | 문자열 | os_name | OS이름 | 예: Windows 11 Pro |
| 18 | 문자열 | os_rev | OS리비전 | 예: 26100 |
| 19 | 문자열 | user_sid | 계정SID | 예: S-1-5-18 |
| 20 | 32비트 정수 | target_session_id | 대상세션ID | 예: 2 |
| 21 | 문자열 | target_user_sid | 대상계정SID | 예: S-1-5-21-1214884534-2691577776... |
| 22 | 날짜 | parent_start_time | 부모시작일시 | 예: 2026-04-15 03:04:01 |
| 23 | 64비트 정수 | ppid | PPID | 예: 880 |
| 24 | 문자열 | parent_user | 부모계정 | 예: DESKTOP-EXAMPLE\demouser |
| 25 | 문자열 | parent_effective_user | 부모실제계정 | 예: demouser |
| 26 | MD5 | parent_image_md5 | 부모이미지MD5 | 16진수 32자 |
| 27 | SHA1 | parent_image_sha1 | 부모이미지SHA1 | 16진수 40자 |
| 28 | SHA256 | parent_image_sha256 | 부모이미지SHA256 | 16진수 64자 |
| 29 | 불리언 | is_parent_image_signed | 부모이미지서명여부 | 예: true |
| 30 | 문자열 | parent_image_path | 부모이미지경로 | 예: C:\Windows\System32\services.exe |
| 31 | 문자열 | parent_image_signer | 부모디지털서명 | 예: MICROSOFT WINDOWS PUBLISHER |
| 32 | 문자열 | parent_integrity_level | 부모무결성수준 | 예: SYSTEM |
| 33 | 문자열 | parent_subsystem | 부모서브시스템 | 예: SYS_WIN32 |
| 34 | 날짜 | start_time | 시작일시 | 예: 2026-04-15 03:06:13 |
| 35 | 64비트 정수 | pid | PID | 예: 4472 |
| 36 | 문자열 | effective_user | 실제계정 | 예: demouser |
| 37 | 문자열 | image_display_name | 이미지표시이름 | 예: Host Process for Windows Services |
| 38 | 64비트 정수 | image_size | 이미지크기 | 바이트 단위 |
| 39 | MD5 | image_md5 | 이미지MD5 | 16진수 32자 |
| 40 | SHA1 | image_sha1 | 이미지SHA1 | 16진수 40자 |
| 41 | SHA256 | image_sha256 | 이미지SHA256 | 16진수 64자 |
| 42 | 문자열 | image_path | 이미지경로 | 예: C:\Windows\System32\svchost.exe |
| 43 | 문자열 | image_signer | 디지털서명 | 예: MICROSOFT WINDOWS |
| 44 | 불리언 | is_image_signed | 이미지서명여부 | 예: true |
| 45 | 불리언 | is_sign_verified | 서명검증여부 | 예: true |
| 46 | 문자열 | integrity_level | 무결성수준 | 예: SYSTEM |
| 47 | 문자열 | subsystem | 서브시스템 | 예: SYS_WIN32 |
| 48 | 날짜 | target_process_start_time | 대상프로세스시작일시 | 예: 2026-05-03 01:28:30 |
| 49 | 64비트 정수 | target_pid | 대상PID | 예: 14352 |
| 50 | 문자열 | target_user | 대상계정 | 예: DESKTOP-EXAMPLE\demouser |
| 51 | 문자열 | target_image_display_name | 대상이미지표시이름 | 예: User OOBE Broker |
| 52 | 64비트 정수 | target_image_size | 대상이미지크기 | 바이트 단위 |
| 53 | MD5 | target_image_md5 | 대상이미지MD5 | 16진수 32자 |
| 54 | SHA1 | target_image_sha1 | 대상이미지SHA1 | 16진수 40자 |
| 55 | SHA256 | target_image_sha256 | 대상이미지SHA256 | 16진수 64자 |
| 56 | 문자열 | target_image_path | 대상이미지경로 | 예: C:\Windows\System32\oobe\UserO... |
| 57 | 불리언 | is_target_image_signed | 대상이미지서명여부 | 예: true |
| 58 | 불리언 | is_target_sign_verified | 대상서명검증여부 | 예: true |
| 59 | 문자열 | target_image_signer | 대상디지털서명 | 예: MICROSOFT WINDOWS |
| 60 | 문자열 | target_integrity_level | 대상무결성수준 | 예: MEDIUM |
| 61 | 문자열 | agent_ver | 에이전트버전 | 예: 25.1.4.434 |
| 62 | 문자열 | agent_uuid | 에이전트식별자 | 16진수 32자 |
| 63 | 32비트 정수 | session_id | 세션ID | 예: 0 |
| 64 | 문자열 | account_id | 계정ID | 예: 1234567890123456789 |
| 65 | 문자열 | account_name | 계정명 | 예: Sentinel Labs PTE Korea |
| 66 | 문자열 | mgmt_id | 관리ID | 예: 365 |
| 67 | 문자열 | mgmt_url | 관리URL | 예: apne1-9999-xxx.sentinelone.net |
| 68 | 문자열 | site_id | 사이트ID | 예: 2387424777214565688 |
| 69 | 문자열 | group_id | 그룹ID | 예: 3497CB5FB28F00A7 |
| 70 | 문자열 | event_id | 이벤트ID | ULID 26자 + _순번 |
| 71 | 문자열 | trace_id | 추적ID | ULID 26자 (Crockford Base32) |
| 72 | 문자열 | packet_id | 패킷ID | 16진수 32자 |
| 73 | 문자열 | parent_process_uuid | 부모프로세스식별자 | 16진수 16자 |
| 74 | 문자열 | process_uuid | 프로세스식별자 | 16진수 16자 |
| 75 | 문자열 | target_process_uuid | 대상프로세스식별자 | 16진수 16자 |
| 76 | 문자열 | parent_storyline | 부모스토리라인 | 16진수 16자 |
| 77 | 문자열 | storyline | 스토리라인 | 16진수 16자 |
| 78 | 문자열 | target_process_storyline | 대상프로세스스토리라인 | 16진수 16자 |
| 79 | 문자열 | process_unique_key | 프로세스고유키 | 16진수 16자 |