SentinelOne 프로세스 이벤트
SentinelOne 프로세스 이벤트
SentinelOne Cloud Funnel S3 export의 sentinelone-process-event 텔레메트리를 정규화한 스키마.
레퍼런스
| # | 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|---|
| 1 | 날짜 | _time | 시각 | 이벤트 시각 (ISO 8601, UTC) 예: 2026-05-03T00:04:01.908Z |
| 2 | 날짜 | event_time | 이벤트시각 | 엔드포인트 측 발생 시각 (epoch ms) 예: 1777766641908 |
| 3 | 문자열 | event_type | 이벤트유형 | Process Creation, File Modification 등 예: Process Creation |
| 4 | 문자열 | site_name | 사이트명 | 사이트 이름 예: JwonIT |
| 5 | 문자열 | hostname | 호스트명 | 엔드포인트 호스트명 예: localhost.localdomain |
| 6 | 문자열 | user | 계정 | 프로세스 실행 계정 |
| 7 | 문자열 | target_image | 대상이미지 | 대상 이미지 파일이름 예: bash |
| 8 | 문자열 | image | 이미지 | 프로세스 이미지 파일이름 예: crond |
| 9 | 문자열 | parent_image | 부모이미지 | 부모 이미지 파일이름 예: crond |
| 10 | 문자열 | target_cmd_line | 대상명령줄 | 대상 프로세스 명령줄 예: /bin/sh -c logger -t edr-attack-sim 'EDR_BACKDOOR_PAYLOAD_EXECUTED' |
| 11 | 문자열 | cmd_line | 명령줄 | 프로세스 명령줄 예: /usr/sbin/crond -n |
| 12 | 문자열 | parent_cmd_line | 부모명령줄 | 부모 프로세스 명령줄 예: /usr/sbin/crond -n |
| 13 | 문자열 | event_category | 이벤트분류 | process / file / registry / ip / dns / url / indicators / cross_process / scheduled_task / group / logins / none 예: process |
| 14 | 문자열 | event_name | 이벤트이름 | PROCESSCREATION, FILECREATION 등 세부 이벤트명 예: PROCESSCREATION |
| 15 | 문자열 | endpoint_type | 단말유형 | server / desktop / laptop 예: server |
| 16 | 문자열 | os_family | OS유형 | windows / linux / macos 예: linux |
| 17 | 문자열 | os_name | OS이름 | Windows 11 Pro 등 OS 상세 이름 예: Linux |
| 18 | 문자열 | os_rev | OS리비전 | OS 빌드/리비전 번호 예: Rocky release 8.9 (Green Obsidian) 4.18.0-513.5.1.el8_9.x86_64 |
| 19 | 문자열 | user_sid | 계정SID | 계정 SID |
| 20 | 32비트 정수 | target_session_id | 대상세션ID | 대상 세션 ID 예: 0 |
| 21 | 문자열 | target_user_sid | 대상계정SID | 대상 계정 SID |
| 22 | 날짜 | parent_start_time | 부모시작일시 | 부모 프로세스 시작 시각 예: 1776918874110 |
| 23 | 64비트 정수 | ppid | PPID | 부모 프로세스 PID 예: 1164 |
| 24 | 문자열 | parent_user | 부모계정 | 부모 프로세스 실행 계정 |
| 25 | 문자열 | parent_effective_user | 부모실제계정 | 부모 실제 실행 계정 예: root |
| 26 | MD5 | parent_image_md5 | 부모이미지MD5 | 부모 이미지 MD5 |
| 27 | SHA1 | parent_image_sha1 | 부모이미지SHA1 | 부모 이미지 SHA1 예: ad6a830447a1dcb10464098a2073957513e97faa |
| 28 | SHA256 | parent_image_sha256 | 부모이미지SHA256 | 부모 이미지 SHA256 예: 7b870c7baec52dc53cd79195b474238b6a76bd18e27568daa92c892a0ad56403 |
| 29 | 불리언 | is_parent_image_signed | 부모이미지서명여부 | signed→true / unsigned→false 예: unsigned |
| 30 | 문자열 | parent_image_path | 부모이미지경로 | 부모 이미지 전체 경로 예: /usr/sbin/crond |
| 31 | 문자열 | parent_image_signer | 부모디지털서명 | 부모 디지털 서명자 |
| 32 | 문자열 | parent_integrity_level | 부모무결성수준 | 부모 무결성 수준 예: INTEGRITY_LEVEL_UNKNOWN |
| 33 | 문자열 | parent_subsystem | 부모서브시스템 | 부모 서브시스템 예: SUBSYSTEM_UNKNOWN |
| 34 | 날짜 | start_time | 시작일시 | 프로세스 시작 시각 (epoch ms) 예: 1777766641280 |
| 35 | 64비트 정수 | pid | PID | 프로세스 PID 예: 569805 |
| 36 | 문자열 | effective_user | 실제계정 | 프로세스 실제 실행 계정 (Linux/macOS) 예: root |
| 37 | 문자열 | image_display_name | 이미지표시이름 | 이미지 표시 이름 예: crond |
| 38 | 64비트 정수 | image_size | 이미지크기 | 이미지 파일 크기 (바이트) 예: 75712 |
| 39 | MD5 | image_md5 | 이미지MD5 | 이미지 MD5 해시 |
| 40 | SHA1 | image_sha1 | 이미지SHA1 | 이미지 SHA1 해시 예: ad6a830447a1dcb10464098a2073957513e97faa |
| 41 | SHA256 | image_sha256 | 이미지SHA256 | 이미지 SHA256 해시 예: 7b870c7baec52dc53cd79195b474238b6a76bd18e27568daa92c892a0ad56403 |
| 42 | 문자열 | image_path | 이미지경로 | 프로세스 이미지 전체 경로 예: /usr/sbin/crond |
| 43 | 문자열 | image_signer | 디지털서명 | 디지털 서명자 |
| 44 | 불리언 | is_image_signed | 이미지서명여부 | signed→true / unsigned→false 예: unsigned |
| 45 | 불리언 | is_sign_verified | 서명검증여부 | verified→true / unverified→false |
| 46 | 문자열 | integrity_level | 무결성수준 | 프로세스 무결성 수준 (SYSTEM/HIGH 등) 예: INTEGRITY_LEVEL_UNKNOWN |
| 47 | 문자열 | subsystem | 서브시스템 | SYS_WIN32 / SUBSYSTEM_UNKNOWN 등 예: SUBSYSTEM_UNKNOWN |
| 48 | 날짜 | target_process_start_time | 대상프로세스시작일시 | 대상 프로세스 시작 시각 예: 1777766641290 |
| 49 | 64비트 정수 | target_pid | 대상PID | 대상 프로세스 PID 예: 569806 |
| 50 | 문자열 | target_user | 대상계정 | 대상 프로세스 실행 계정 |
| 51 | 문자열 | target_image_display_name | 대상이미지표시이름 | 대상 이미지 표시 이름 예: bash |
| 52 | 64비트 정수 | target_image_size | 대상이미지크기 | 대상 이미지 파일 크기 예: 1150560 |
| 53 | MD5 | target_image_md5 | 대상이미지MD5 | 대상 이미지 MD5 |
| 54 | SHA1 | target_image_sha1 | 대상이미지SHA1 | 대상 이미지 SHA1 예: 58d0f683831a213b2197cdc7e1426a4af01a8277 |
| 55 | SHA256 | target_image_sha256 | 대상이미지SHA256 | 대상 이미지 SHA256 예: 5d0b71ed874d4130b91192bf1b280cad0462a2205eb613d141efd5bca8e6083e |
| 56 | 문자열 | target_image_path | 대상이미지경로 | 대상 이미지 전체 경로 예: /usr/bin/bash |
| 57 | 불리언 | is_target_image_signed | 대상이미지서명여부 | signed→true / unsigned→false 예: unsigned |
| 58 | 불리언 | is_target_sign_verified | 대상서명검증여부 | verified→true / unverified→false |
| 59 | 문자열 | target_image_signer | 대상디지털서명 | 대상 디지털 서명자 |
| 60 | 문자열 | target_integrity_level | 대상무결성수준 | 대상 무결성 수준 예: INTEGRITY_LEVEL_UNKNOWN |
| 61 | 문자열 | agent_ver | 에이전트버전 | 에이전트 버전 예: 25.3.2.11 |
| 62 | 문자열 | agent_uuid | 에이전트식별자 | 에이전트 UUID 예: 992ad039-07c2-3658-2791-8fa703357642 |
| 63 | 32비트 정수 | session_id | 세션ID | Windows 세션 ID 예: 0 |
| 64 | 문자열 | account_id | 계정ID | SentinelOne 계정 ID 예: 1297353720983705487 |
| 65 | 문자열 | account_name | 계정명 | SentinelOne 계정 이름 예: Sentinel Labs PTE Korea |
| 66 | 문자열 | mgmt_id | 관리ID | 관리 콘솔 ID 예: 365 |
| 67 | 문자열 | mgmt_url | 관리URL | 관리 콘솔 URL 예: apne1-1101-nfr.sentinelone.net |
| 68 | 문자열 | site_id | 사이트ID | 사이트 ID 예: 2387424777214565688 |
| 69 | 문자열 | group_id | 그룹ID | 에이전트 그룹 ID 예: a855c898-9d07-7522-f096-db2ad8a85ee7 |
| 70 | 문자열 | event_id | 이벤트ID | 단일 이벤트의 고유 ID 예: 01KQNJHRACAZR6XMC0F5BZ5HF2_0 |
| 71 | 문자열 | trace_id | 추적ID | 이벤트 추적 ID 예: 01KQNJHRACAZR6XMC0F5BZ5HF2 |
| 72 | 문자열 | packet_id | 패킷ID | 전송 패킷 ID 예: ab8087b8-576b-75cd-6eac-44d57c11edf3 |
| 73 | 문자열 | parent_process_uuid | 부모프로세스식별자 | 부모 프로세스 UID 예: a855c898-6cb7-fcdd-8270-c574c719080e |
| 74 | 문자열 | process_uuid | 프로세스식별자 | 내부 프로세스 UID 예: ab578c52-67e6-14be-d1fd-ada33784b0f3 |
| 75 | 문자열 | target_process_uuid | 대상프로세스식별자 | 대상 프로세스 UID 예: ab578c6a-7ed0-02ff-6064-f00868fbe1a0 |
| 76 | 문자열 | parent_storyline | 부모스토리라인 | 부모 스토리라인 ID 예: a855c898-9d07-7522-f096-db2ad8a85ee7 |
| 77 | 문자열 | storyline | 스토리라인 | 관련 스토리라인 ID 예: a855c898-9d07-7522-f096-db2ad8a85ee7 |
| 78 | 문자열 | target_process_storyline | 대상프로세스스토리라인 | 대상 스토리라인 ID 예: a855c898-9d07-7522-f096-db2ad8a85ee7 |
| 79 | 문자열 | process_unique_key | 프로세스고유키 | 프로세스 고유 키 예: ab578c6a-7ed0-02ff-6064-f00868fbe1a0 |
| 80 | 32비트 정수 | event_repetition_count | 이벤트반복 | 동일 이벤트 반복 카운트 예: 3 |
| 81 | 문자열 | target_active_content_hash | 대상활성콘텐츠해시 | 활성 콘텐츠 해시 |
| 82 | 문자열 | target_active_content_path | 대상활성콘텐츠경로 | 활성 콘텐츠 경로 |
| 83 | 문자열 | target_active_content_type | 대상활성콘텐츠유형 | 활성 콘텐츠 유형 |