SNIPER APTX V5.2.2.0 랜섬웨어 탐지 로그
| 타입 | 필드 | 이름 | 설명 |
|---|
| 날짜 | _time | 시각 | |
| 문자열 | detect_type | 탐지유형 | 보안파일변조, 행위탐지, 볼륨쉐도우삭제탐지, 백업기반탐지, MBR변조탐지 |
| 문자열 | action | 대응 | ALLOW, BLOCK, QUARANTINE |
| 문자열 | result | 결과 | 허용, 차단, 확인(차단), 격리, 차단/강제종료 |
| IP 주소 | local_ip | 로컬IP | |
| IP 주소 | remote_ip | 원격IP | |
| 문자열 | guid | 에이전트ID | 예: 00000000-0000-0000-0000-000000000000 |
| 문자열 | file_name | 파일명 | |
| 문자열 | file_path | 파일경로 | |
| 64비트 정수 | file_size | 파일크기 | |
| MD5 | md5 | MD5 | |
| 문자열 | sha256 | SHA256 | |
| 문자열 | process_name | 프로세스명 | |
| 문자열 | process_path | 프로세스경로 | |
| 문자열 | tms_type_code | TMS타입코드 | |
| 문자열 | tms_type_msg | TMS타입메시지 | |
| 문자열 | analysis_id | 분석ID | |
| 문자열 | sensor_id | 센서ID | |
| IP 주소 | sensor_ip | 센서IP | |
| 문자열 | log_type | 로그유형 | 10 |
- result·action 조합은 다음과 같습니다.
| result | action |
|---|
| 허용 | ALLOW |
| 차단 | BLOCK |
| 확인(차단) | BLOCK |
| 격리 | QUARANTINE |
| 차단/강제종료 | BLOCK |
- local_ip는 탐지된 엔드포인트의 IP, remote_ip는 연관 원격지 IP입니다. guid는 에이전트를 식별하는 고유 ID입니다.
