SNIPER APTX 파일 분석
SNIPER APTX 파일 분석 결과 로그
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | risk | 위험도 | LOW, MEDIUM, HIGH |
| IP 주소 | src_ip | 출발지IP | |
| 포트 | src_port | 출발지포트 | |
| IP 주소 | dst_ip | 목적지IP | |
| 포트 | dst_port | 목적지포트 | |
| 문자열 | protocol | 프로토콜 | 예: TCP |
| 문자열 | app | 응용 | 예: HTTP |
| 국가 | src_country | 출발지국가 | |
| 국가 | dst_country | 목적지국가 | |
| 문자열 | category | 분류 | 예: Clean, Suspicious, Malicious |
| 문자열 | signature | 공격명 | |
| 문자열 | reason | 사유 | |
| 문자열 | tms_type_code | TMS타입코드 | |
| 문자열 | tms_type_msg | TMS타입메시지 | |
| 문자열 | analysis_id | 분석ID | |
| 문자열 | sensor_id | 센서ID | |
| IP 주소 | sensor_ip | 센서IP | |
| 문자열 | file_id | 파일ID | |
| MD5 | md5 | MD5 | |
| 문자열 | file_name | 파일명 | |
| 64비트 정수 | file_size | 파일크기 | |
| 문자열 | file_type | 파일타입 | 예: PE32 |
| 64비트 정수 | file_score | 파일점수 | |
| 문자열 | detect_comment_1 | 탐지근거1 | |
| 문자열 | detect_comment_2 | 탐지근거2 | |
| 문자열 | host | 호스트 | |
| 문자열 | path | 경로 | |
| 문자열 | mail_from | 메일발신자 | |
| 문자열 | mail_to | 메일수신자 | |
| 문자열 | subject | 메일제목 | |
| 문자열 | group_id | 그룹ID | |
| 문자열 | group_name | 그룹명 | |
| 문자열 | object_id | 객체ID | |
| 문자열 | object_name | 객체명 | |
| 문자열 | log_type | 로그유형 | 7 |
- risk 필드는 file_score 값을 기준으로 산출됩니다. file_score 40 미만이면 LOW, 40 이상 100 미만이면 MEDIUM, 100 이상이면 HIGH로 분류됩니다.