Stellar Cyber

다운로드 10
업데이트 2024. 11. 28.

Stellar Cyber 경보

Stella Cyber Alerts 인덱스 (aella-ser-*)

타입필드이름설명
날짜_time시각
IP 주소src_ip출발지IP
포트src_port출발지포트
IP 주소dst_ip목적지IP
포트dst_port목적지포트
문자열protocol프로토콜예: TCP, UDP
문자열app_family응용분류예: Encrypted, Web, Mail, Terminal, Application
문자열app응용예: https, ssh, ssl, telnet, snmp, office365, criteo
문자열signature공격명예: Scanner Reputation Anomaly
문자열anomaly_tag이상탐지태그예: rare, spike
32비트 정수threat_score위협지수0-100
32비트 정수severity심각도0-100
64비트 실수fidelity정확도0-100
문자열src_reputation_source출발지평판원천예: ETPro
문자열src_reputation출발지평판예: Good, Scanner, Brute_Forcer
문자열dst_reputation_source목적지평판원천
문자열dst_reputation목적지평판예: Good
문자열mitre_tactic전술예: TA0043, XTA0002
문자열mitre_tactic_name전술이름예: Reconnaissance, XDR NBA
문자열mitre_technique공격기법예: T1595, XT2003
문자열mitre_technique_name공격기법이름예: Active Scanning, XDR App Anomaly
문자열xdr_scopeXDR범위예: External, Internal
문자열xdr_killchain_stageXDR킬체인단계예: Initial Attempts, Persistent Foothold, Exploration
문자열login_type로그인유형예: ssh_traffic, smb_traffic
문자열login_result로그인결과예: fail
불리언lateral측면이동여부
문자열description설명
문자열event_source이벤트원천예: new_ml, sa
문자열event_category이벤트분류예: killchain, network
문자열event_type이벤트유형예: reconn, conn
문자열event_name이벤트이름예: scanner_rep, network_uncommon_app, outbytes_anomaly
32비트 정수event_score이벤트점수
문자열event_status이벤트상태예: New
32비트 정수duration접속시간
문자열state세션상태예: HalfOpened, Established, Expired, Aborted, Closed
문자열app_std_port표준포트여부예: yes, no
32비트 정수net_id네트워크ID예: 0
문자열net_name네트워크이름예: vlan0
32비트 정수flow_score플로우점수0-100
문자열src_type출발지유형예: public, private
문자열src_host출발지호스트호스트명, 도메인, 또는 IP 주소
문자열src_mac출발지MAC
국가src_country출발지국가예: KR, CN
문자열src_country_name출발지국가이름예: South Korea, China
문자열src_region출발지지역예: Gyeonggi-do, Unknown
문자열src_city출발지도시예: Sungnam-si
64비트 실수src_lat출발지위도예: 37.3918136
64비트 실수src_lng출발지경도예: 127.113092
문자열dst_type목적지유형예: public, private
문자열dst_host목적지호스트호스트명, 도메인, 또는 IP 주소
문자열dst_mac목적지MAC
국가dst_country목적지국가예: GB
문자열dst_country_name목적지국가이름예: United Kingdom
문자열dst_region목적지지역예: Cardiff
문자열dst_city목적지도시예: Cardiff
64비트 실수dst_lat목적지위도예: 51.4866
64비트 실수dst_lng목적지경도예: -3.1549
64비트 정수sent_bytes송신바이트마지막 관측 이후 클라이언트에서 서버로 전송한 바이트
64비트 정수rcvd_bytes수신바이트마지막 관측 이후 서버에서 클라이언트로 전송한 바이트
64비트 정수sent_pkts송신패킷마지막 관측 이후 클라이언트에서 서버로 전송한 패킷
64비트 정수rcvd_pkts수신패킷마지막 관측 이후 서버에서 클라이언트로 전송한 패킷
64비트 정수total_bytes전체바이트누적 송수신 바이트
64비트 정수total_pkts전체패킷누적 송수신 패킷
64비트 정수total_sent_bytes전체송신바이트누적 송신 바이트
64비트 정수total_rcvd_bytes전체수신바이트누적 수신 바이트
32비트 정수tcp_rttRTT
문자열file_id파일ID
문자열file_name파일이름
문자열file_path파일경로
MD5md5MD5
SHA256sha256SHA256
URLurlURL
문자열iface인터페이스예: ethernet1
문자열dst_asset_id목적지자산IDGUID 형식
문자열eng_id엔진ID예: ad56000c2974bb19
문자열eng_name엔진이름예: Coup-SecuritySensor132
문자열eng_gateway엔진게이트웨이IP 주소 형식
날짜start_bucket_time버킷시작시각
날짜end_bucket_time버킷종료시각
문자열dscp_nameDSCP이름예: Best Effort, Invalid
문자열detected_fields탐지필드목록예: ["srcip_host"]
문자열detected_values탐지값목록
32비트 정수msg_type메시지유형ID예: 1, 2, 3, 4
문자열msg_type_name메시지유형예: start, end, update, startend
문자열org_id조직ID예: default-organization
문자열org_name조직이름예: default-organization
문자열tenant_id테넌트ID
문자열tenant_name테넌트이름예: Coup
날짜rcvd_time수신시각
날짜write_time기록시각
32비트 정수processing_time처리소요시간
32비트 정수response_time응답소요시간
문자열orig_index원본인덱스예: aella-adr-2024.11.26-<HASH>
문자열orig_id원본로그ID
문자열idsIDS
문자열metadata메타데이터HTTP 메소드, 유저에이전트 등

레퍼런스