stellar-alerts
Stellar Cyber 플랫폼에서 지정된 기간의 경보 목록을 조회합니다.
stellar-alerts [profile=PROFILE] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [order=ORDER]
- profile=PROFILE
- Stellar Cyber 접속 프로파일 식별자
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- order=ORDER
- 최근 데이터부터 조회하려면
desc
를 지정하고, 가장 오래된 데이터부터 조회하려면asc
를 지정합니다.
출력 필드
필드 | 타입 | 이름 | 설명 |
---|---|---|---|
event_time | 날짜 | 시각 | 세션 시작, 업데이트 시간 등 작업의 시간 |
src_ip | IP 주소 | 출발지 IP | 세션의 출발지 IP 주소 |
src_port | 32비트 정수 | 출발지 포트 | L4 출발지 포트 |
dst_ip | IP 주소 | 목적지 IP | 세션의 목적지 IP 주소 |
dst_port | 32비트 정수 | 목적지 포트 | L4 목적지 포트 |
protocol | 문자열 | 프로토콜 | L4 프로토콜 이름. TCP, UDP, ICMP, IGMP 중 하나 |
app_family | 문자열 | 응용 분류 | 네트워크 서비스, 데이터베이스, 웹 등 애플리케이션 계열 이름 |
app | 문자열 | 응용 | DPI 엔진에 의해 식별된 애플리케이션 이름. HTTP, DHCP, Google 등 |
signature | 문자열 | 공격명 | XDR 이벤트의 표시 이름 |
anomaly_tag | 문자열 | 이상 탐지 태그 | 예: rare, spike |
threat_score | 32비트 정수 | 위협 지수 | 0-100 범위 |
severity | 32비트 정수 | 심각도 | 이벤트의 심각도. 0–100 범위, 높은 값일수록 심각 |
fidelity | 64비트 실수 | 정확도 | 공격 발생에 대한 머신러닝 정확도. 0–100 범위, 높은 값일수록 정확도 높음 |
src_reputation_source | 문자열 | 출발지 평판 원천 | 평판 데이터의 출처 |
src_reputation | 문자열 | 출발지 평판 | 출발지 IP 평판. 예: Good, Bad, Scanner, Spyware 등 |
dst_reputation_source | 문자열 | 목적지 평판 원천 | 평판 데이터의 출처 |
dst_reputation | 문자열 | 목적지 평판 | 목적지 IP 평판. 예: Good, Bad, Scanner, Spyware 등 |
mitre_tactic | 문자열 | MITRE 전술 ID | 예: TA0043, XTA0002 |
mitre_tactic_name | 문자열 | MITRE 전술 이름 | 예: Reconnaissance, XDR NBA |
mitre_technique | 문자열 | MITRE 공격기법 ID | 예: T1595, XT2003 |
mitre_technique_name | 문자열 | MITRE 공격기법 이름 | 예: Active Scanning, XDR App Anomaly |
xdr_scope | 문자열 | XDR 범위 | 예: External, Internal |
xdr_killchain_stage | 문자열 | XDR 킬체인 단계 | 예: Initial Attempts, Persistent Foothold, Exploration |
login_type | 문자열 | 로그인 유형 | 로그인 이벤트 유형. 예: ssh_traffic, smb_traffic |
login_result | 문자열 | 로그인 결과 | 사용자 로그인 이벤트의 결과. 예: fail |
lateral | 불리언 | 측면 이동 여부 | 연결이 내부망에서 내부망으로 이동하는지 여부 |
description | 문자열 | 설명 | XDR 이벤트에 대한 설명 |
event_source | 문자열 | 이벤트 원천 | 머신러닝 작업 결과의 데이터 출처. 예: new_ml, sa |
event_category | 문자열 | 이벤트 분류 | 머신러닝 작업의 킬체인 이벤트 범주. 예: killchain, network |
event_type | 문자열 | 이벤트 유형 | 머신러닝 작업의 이벤트 유형. 예: reconn, conn |
event_name | 문자열 | 이벤트 이름 | 작업의 이벤트 이름. 예: scanner_rep, network_uncommon_app, outbytes_anomaly |
event_score | 32비트 정수 | 이벤트 점수 | severity, fidelity, threat_score의 조합 |
event_status | 문자열 | 이벤트 상태 | 특정 이벤트 기록의 현재 상태. 예: new, in_progress, closed, ignored |
duration | 32비트 정수 | 접속 시간 | 세션 지속 시간(밀리초) |
state | 문자열 | 세션 상태 | 세션의 현재 상태. 예: HalfOpened, Established, Expired, Aborted, Closed |
app_std_port | 문자열 | 표준 포트 여부 | 애플리케이션이 표준 포트를 사용하는지 여부. 예: yes, no |
net_id | 문자열 | 네트워크 ID | 예: 0 |
net_name | 문자열 | 네트워크 이름 | 네트워크 ID의 이름 |
flow_score | 32비트 정수 | 플로우 점수 | 0에서 100 |
src_type | 문자열 | 출발지 유형 | 소스 IP 주소의 IP 주소 유형. 예: private, multicast, public |
src_host | 문자열 | 출발지 호스트 | 소스 IP 주소의 호스트 이름 또는 DNS 이름 |
src_mac | 문자열 | 출발지 MAC 주소 | 소스 MAC 주소 |
src_country | 문자열 | 출발지 국가 코드 | 예: US, KR |
src_country_name | 문자열 | 출발지 국가 이름 | 예: United States, South Korea |
src_region | 문자열 | 출발지 지역 | 예: Gyeonggi-do, Unknown |
src_city | 문자열 | 출발지 도시 | 예: Sungnam-si |
src_lat | 64비트 실수 | 출발지 위도 | |
src_lng | 64비트 실수 | 출발지 경도 | |
dst_type | 문자열 | 목적지 유형 | 목적지 IP 주소의 IP 주소 유형. 예: private, multicast, public |
dst_host | 문자열 | 목적지 호스트 | 목적지 IP 주소의 호스트 이름 또는 DNS 이름 |
dst_mac | 문자열 | 목적지 MAC 주소 | 목적지 MAC 주소 |
dst_country | 문자열 | 목적지 국가 코드 | 예: GB |
dst_country_name | 문자열 | 목적지 국가 이름 | 예: United Kingdom |
dst_region | 문자열 | 목적지 지역 | 예: Cardiff |
dst_city | 문자열 | 목적지 도시 | 예: Cardiff |
dst_lat | 64비트 실수 | 목적지 위도 | 예: 51.4866 |
dst_lng | 64비트 실수 | 목적지 경도 | 예: -3.1549 |
sent_bytes | 64비트 정수 | 송신 바이트 | 클라이언트가 마지막 업데이트 이후 서버로 보낸 바이트 수 |
rcvd_bytes | 64비트 정수 | 수신 바이트 | 클라이언트가 마지막 업데이트 이후 서버로부터 받은 바이트 수 |
sent_pkts | 64비트 정수 | 송신 패킷 | 클라이언트가 마지막 업데이트 이후 서버로 보낸 패킷 수 |
rcvd_pkts | 64비트 정수 | 수신 패킷 | 클라이언트가 마지막 업데이트 이후 서버로부터 받은 패킷 수 |
total_bytes | 64비트 정수 | 전체 바이트 | 세션 동안 클라이언트가 받은 바이트와 보낸 바이트의 합계 |
total_pkts | 64비트 정수 | 전체 패킷 | 세션 동안 클라이언트가 받은 패킷과 보낸 패킷의 합계 |
total_sent_bytes | 64비트 정수 | 전체 송신 바이트 | 세션 동안 클라이언트가 서버로 보낸 바이트 수 |
total_rcvd_bytes | 64비트 정수 | 전체 수신 바이트 | 세션 동안 클라이언트가 서버로부터 받은 바이트 수 |
tcp_rtt | 32비트 정수 | TCP RTT | TCP 연결의 왕복 시간, 네트워크 지연을 나타냄 |
file_id | 문자열 | 파일 ID | 파일의 고유 식별자. MD5 및 SHA-256 기반 해시 |
file_name | 문자열 | 파일 이름 | 엔드포인트의 위협 파일 이름 |
file_path | 문자열 | 파일 경로 | 엔드포인트의 파일 이름을 포함한 디렉터리 |
md5 | 문자열 | MD5 | 이 파일의 MD5 해시 값 |
sha256 | 문자열 | SHA256 | 이 파일의 SHA-256 해시 값 |
url | 문자열 | URL | 웹 리소스 참조 URL |
iface | 문자열 | 인터페이스 | 예: ethernet1 |
dst_asset_id | 문자열 | 자산 ID | 목적지 IP 주소와 연결된 자산 ID |
eng_id | 문자열 | 엔진 ID | 센서의 ID. 예: ad56000c2974bb19 |
eng_name | 문자열 | 엔진 이름 | 센서의 호스트 이름. 예: Coup-SecuritySensor132 |
eng_gateway | 문자열 | 엔진 게이트웨이 | 센서의 게이트웨이 |
start_bucket_time | 날짜 | 버킷 시작 시각 | 이상을 유발한 데이터의 시작 시간 |
end_bucket_time | 날짜 | 버킷 종료 시각 | 이상을 유발한 데이터의 종료 시간(밀리초 단위). 시작 시간과 함께 시간 범위를 형성 |
dscp_name | 문자열 | DSCP 이름 | RFC 2475의 일반적인 DSCP 값에 설명된 이름 |
detected_fields | 배열 | 탐지 필드 목록 | 경고 유형의 식별 필드 |
detected_values | 배열 | 탐지 값 목록 | 경고 유형의 식별 필드 값 |
msg_type | 32비트 정수 | 메시지 유형 | Stellar Cyber 내부 메시지 유형의 정수 값 |
msg_type_name | 문자열 | 메시지 유형 이름 | Stellar Cyber 내부 메시지 유형의 문자열 값 |
org_id | 문자열 | 조직 ID | 예: default-organization |
org_name | 문자열 | 조직 이름 | 예: default-organization |
tenant_id | 문자열 | 테넌트 ID | 테넌트의 ID |
tenant_name | 문자열 | 테넌트 이름 | 테넌트의 이름 |
rcvd_time | 날짜 | 수신 시각 | DP에서 이벤트가 수신된 시간 |
write_time | 날짜 | 기록 시각 | Elasticsearch에 이벤트가 기록된 시간 |
processing_time | 32비트 정수 | 처리 소요 시간 | 센서의 처리 시간 |
response_time | 32비트 정수 | 응답 소요 시간 | 센서가 계산한 서버 처리 시간 |
orig_index | 32비트 정수 | 원본 인덱스 | 이상을 유발한 데이터의 Elasticsearch 인덱스 |
orig_id | 32비트 정수 | 원본 로그 ID | 이상을 유발한 데이터의 Elasticsearch ID |
ids | 맵 | IDS | IDS 관련 모든 필드에 대한 네임스페이스 |
metadata | 맵 | 메타데이터 | 메타데이터의 필드(예: 도메인, URL, IP)가 화이트리스트에 포함되었는지 여부 |