Stellar Cyber

다운로드 10
업데이트 2024. 11. 28.

stellar-alerts

Stellar Cyber 플랫폼에서 지정된 기간의 경보 목록을 조회합니다.

stellar-alerts [profile=PROFILE] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [order=ORDER]
profile=PROFILE
Stellar Cyber 접속 프로파일 식별자
duration=NUM{mon|w|d|h|m|s}
현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
from=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
to=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
order=ORDER
최근 데이터부터 조회하려면 desc를 지정하고, 가장 오래된 데이터부터 조회하려면 asc를 지정합니다.

출력 필드

필드타입이름설명
event_time날짜시각세션 시작, 업데이트 시간 등 작업의 시간
src_ipIP 주소출발지 IP세션의 출발지 IP 주소
src_port32비트 정수출발지 포트L4 출발지 포트
dst_ipIP 주소목적지 IP세션의 목적지 IP 주소
dst_port32비트 정수목적지 포트L4 목적지 포트
protocol문자열프로토콜L4 프로토콜 이름. TCP, UDP, ICMP, IGMP 중 하나
app_family문자열응용 분류네트워크 서비스, 데이터베이스, 웹 등 애플리케이션 계열 이름
app문자열응용DPI 엔진에 의해 식별된 애플리케이션 이름. HTTP, DHCP, Google 등
signature문자열공격명XDR 이벤트의 표시 이름
anomaly_tag문자열이상 탐지 태그예: rare, spike
threat_score32비트 정수위협 지수0-100 범위
severity32비트 정수심각도이벤트의 심각도. 0–100 범위, 높은 값일수록 심각
fidelity64비트 실수정확도공격 발생에 대한 머신러닝 정확도. 0–100 범위, 높은 값일수록 정확도 높음
src_reputation_source문자열출발지 평판 원천평판 데이터의 출처
src_reputation문자열출발지 평판출발지 IP 평판. 예: Good, Bad, Scanner, Spyware 등
dst_reputation_source문자열목적지 평판 원천평판 데이터의 출처
dst_reputation문자열목적지 평판목적지 IP 평판. 예: Good, Bad, Scanner, Spyware 등
mitre_tactic문자열MITRE 전술 ID예: TA0043, XTA0002
mitre_tactic_name문자열MITRE 전술 이름예: Reconnaissance, XDR NBA
mitre_technique문자열MITRE 공격기법 ID예: T1595, XT2003
mitre_technique_name문자열MITRE 공격기법 이름예: Active Scanning, XDR App Anomaly
xdr_scope문자열XDR 범위예: External, Internal
xdr_killchain_stage문자열XDR 킬체인 단계예: Initial Attempts, Persistent Foothold, Exploration
login_type문자열로그인 유형로그인 이벤트 유형. 예: ssh_traffic, smb_traffic
login_result문자열로그인 결과사용자 로그인 이벤트의 결과. 예: fail
lateral불리언측면 이동 여부연결이 내부망에서 내부망으로 이동하는지 여부
description문자열설명XDR 이벤트에 대한 설명
event_source문자열이벤트 원천머신러닝 작업 결과의 데이터 출처. 예: new_ml, sa
event_category문자열이벤트 분류머신러닝 작업의 킬체인 이벤트 범주. 예: killchain, network
event_type문자열이벤트 유형머신러닝 작업의 이벤트 유형. 예: reconn, conn
event_name문자열이벤트 이름작업의 이벤트 이름. 예: scanner_rep, network_uncommon_app, outbytes_anomaly
event_score32비트 정수이벤트 점수severity, fidelity, threat_score의 조합
event_status문자열이벤트 상태특정 이벤트 기록의 현재 상태. 예: new, in_progress, closed, ignored
duration32비트 정수접속 시간세션 지속 시간(밀리초)
state문자열세션 상태세션의 현재 상태. 예: HalfOpened, Established, Expired, Aborted, Closed
app_std_port문자열표준 포트 여부애플리케이션이 표준 포트를 사용하는지 여부. 예: yes, no
net_id문자열네트워크 ID예: 0
net_name문자열네트워크 이름네트워크 ID의 이름
flow_score32비트 정수플로우 점수0에서 100
src_type문자열출발지 유형소스 IP 주소의 IP 주소 유형. 예: private, multicast, public
src_host문자열출발지 호스트소스 IP 주소의 호스트 이름 또는 DNS 이름
src_mac문자열출발지 MAC 주소소스 MAC 주소
src_country문자열출발지 국가 코드예: US, KR
src_country_name문자열출발지 국가 이름예: United States, South Korea
src_region문자열출발지 지역예: Gyeonggi-do, Unknown
src_city문자열출발지 도시예: Sungnam-si
src_lat64비트 실수출발지 위도
src_lng64비트 실수출발지 경도
dst_type문자열목적지 유형목적지 IP 주소의 IP 주소 유형. 예: private, multicast, public
dst_host문자열목적지 호스트목적지 IP 주소의 호스트 이름 또는 DNS 이름
dst_mac문자열목적지 MAC 주소목적지 MAC 주소
dst_country문자열목적지 국가 코드예: GB
dst_country_name문자열목적지 국가 이름예: United Kingdom
dst_region문자열목적지 지역예: Cardiff
dst_city문자열목적지 도시예: Cardiff
dst_lat64비트 실수목적지 위도예: 51.4866
dst_lng64비트 실수목적지 경도예: -3.1549
sent_bytes64비트 정수송신 바이트클라이언트가 마지막 업데이트 이후 서버로 보낸 바이트 수
rcvd_bytes64비트 정수수신 바이트클라이언트가 마지막 업데이트 이후 서버로부터 받은 바이트 수
sent_pkts64비트 정수송신 패킷클라이언트가 마지막 업데이트 이후 서버로 보낸 패킷 수
rcvd_pkts64비트 정수수신 패킷클라이언트가 마지막 업데이트 이후 서버로부터 받은 패킷 수
total_bytes64비트 정수전체 바이트세션 동안 클라이언트가 받은 바이트와 보낸 바이트의 합계
total_pkts64비트 정수전체 패킷세션 동안 클라이언트가 받은 패킷과 보낸 패킷의 합계
total_sent_bytes64비트 정수전체 송신 바이트세션 동안 클라이언트가 서버로 보낸 바이트 수
total_rcvd_bytes64비트 정수전체 수신 바이트세션 동안 클라이언트가 서버로부터 받은 바이트 수
tcp_rtt32비트 정수TCP RTTTCP 연결의 왕복 시간, 네트워크 지연을 나타냄
file_id문자열파일 ID파일의 고유 식별자. MD5 및 SHA-256 기반 해시
file_name문자열파일 이름엔드포인트의 위협 파일 이름
file_path문자열파일 경로엔드포인트의 파일 이름을 포함한 디렉터리
md5문자열MD5이 파일의 MD5 해시 값
sha256문자열SHA256이 파일의 SHA-256 해시 값
url문자열URL웹 리소스 참조 URL
iface문자열인터페이스예: ethernet1
dst_asset_id문자열자산 ID목적지 IP 주소와 연결된 자산 ID
eng_id문자열엔진 ID센서의 ID. 예: ad56000c2974bb19
eng_name문자열엔진 이름센서의 호스트 이름. 예: Coup-SecuritySensor132
eng_gateway문자열엔진 게이트웨이센서의 게이트웨이
start_bucket_time날짜버킷 시작 시각이상을 유발한 데이터의 시작 시간
end_bucket_time날짜버킷 종료 시각이상을 유발한 데이터의 종료 시간(밀리초 단위). 시작 시간과 함께 시간 범위를 형성
dscp_name문자열DSCP 이름RFC 2475의 일반적인 DSCP 값에 설명된 이름
detected_fields배열탐지 필드 목록경고 유형의 식별 필드
detected_values배열탐지 값 목록경고 유형의 식별 필드 값
msg_type32비트 정수메시지 유형Stellar Cyber 내부 메시지 유형의 정수 값
msg_type_name문자열메시지 유형 이름Stellar Cyber 내부 메시지 유형의 문자열 값
org_id문자열조직 ID예: default-organization
org_name문자열조직 이름예: default-organization
tenant_id문자열테넌트 ID테넌트의 ID
tenant_name문자열테넌트 이름테넌트의 이름
rcvd_time날짜수신 시각DP에서 이벤트가 수신된 시간
write_time날짜기록 시각Elasticsearch에 이벤트가 기록된 시간
processing_time32비트 정수처리 소요 시간센서의 처리 시간
response_time32비트 정수응답 소요 시간센서가 계산한 서버 처리 시간
orig_index32비트 정수원본 인덱스이상을 유발한 데이터의 Elasticsearch 인덱스
orig_id32비트 정수원본 로그 ID이상을 유발한 데이터의 Elasticsearch ID
idsIDSIDS 관련 모든 필드에 대한 네임스페이스
metadata메타데이터메타데이터의 필드(예: 도메인, URL, IP)가 화이트리스트에 포함되었는지 여부