Stellar Cyber 경보
Stella Cyber Alerts 인덱스 (aella-ser-*)
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| IP 주소 | src_ip | 출발지IP | |
| 포트 | src_port | 출발지포트 | |
| IP 주소 | dst_ip | 목적지IP | |
| 포트 | dst_port | 목적지포트 | |
| 문자열 | protocol | 프로토콜 | 예: TCP, UDP |
| 문자열 | app_family | 응용분류 | 예: Encrypted, Web, Mail, Terminal, Application |
| 문자열 | app | 응용 | 예: https, ssh, ssl, telnet, snmp, office365, criteo |
| 문자열 | signature | 공격명 | 예: Scanner Reputation Anomaly |
| 문자열 | anomaly_tag | 이상탐지태그 | 예: rare, spike |
| 32비트 정수 | threat_score | 위협지수 | 0-100 |
| 32비트 정수 | severity | 심각도 | 0-100 |
| 64비트 실수 | fidelity | 정확도 | 0-100 |
| 문자열 | src_reputation_source | 출발지평판원천 | 예: ETPro |
| 문자열 | src_reputation | 출발지평판 | 예: Good, Scanner, Brute_Forcer |
| 문자열 | dst_reputation_source | 목적지평판원천 | |
| 문자열 | dst_reputation | 목적지평판 | 예: Good |
| 문자열 | mitre_tactic | 전술 | 예: TA0043, XTA0002 |
| 문자열 | mitre_tactic_name | 전술이름 | 예: Reconnaissance, XDR NBA |
| 문자열 | mitre_technique | 공격기법 | 예: T1595, XT2003 |
| 문자열 | mitre_technique_name | 공격기법이름 | 예: Active Scanning, XDR App Anomaly |
| 문자열 | xdr_scope | XDR범위 | 예: External, Internal |
| 문자열 | xdr_killchain_stage | XDR킬체인단계 | 예: Initial Attempts, Persistent Foothold, Exploration |
| 문자열 | login_type | 로그인유형 | 예: ssh_traffic, smb_traffic |
| 문자열 | login_result | 로그인결과 | 예: fail |
| 불리언 | lateral | 측면이동여부 | |
| 문자열 | description | 설명 | |
| 문자열 | event_source | 이벤트원천 | 예: new_ml, sa |
| 문자열 | event_category | 이벤트분류 | 예: killchain, network |
| 문자열 | event_type | 이벤트유형 | 예: reconn, conn |
| 문자열 | event_name | 이벤트이름 | 예: scanner_rep, network_uncommon_app, outbytes_anomaly |
| 32비트 정수 | event_score | 이벤트점수 | |
| 문자열 | event_status | 이벤트상태 | 예: New |
| 32비트 정수 | duration | 접속시간 | |
| 문자열 | state | 세션상태 | 예: HalfOpened, Established, Expired, Aborted, Closed |
| 문자열 | app_std_port | 표준포트여부 | 예: yes, no |
| 32비트 정수 | net_id | 네트워크ID | 예: 0 |
| 문자열 | net_name | 네트워크이름 | 예: vlan0 |
| 32비트 정수 | flow_score | 플로우점수 | 0-100 |
| 문자열 | src_type | 출발지유형 | 예: public, private |
| 문자열 | src_host | 출발지호스트 | 호스트명, 도메인, 또는 IP 주소 |
| 문자열 | src_mac | 출발지MAC | |
| 국가 | src_country | 출발지국가 | 예: KR, CN |
| 문자열 | src_country_name | 출발지국가이름 | 예: South Korea, China |
| 문자열 | src_region | 출발지지역 | 예: Gyeonggi-do, Unknown |
| 문자열 | src_city | 출발지도시 | 예: Sungnam-si |
| 64비트 실수 | src_lat | 출발지위도 | 예: 37.3918136 |
| 64비트 실수 | src_lng | 출발지경도 | 예: 127.113092 |
| 문자열 | dst_type | 목적지유형 | 예: public, private |
| 문자열 | dst_host | 목적지호스트 | 호스트명, 도메인, 또는 IP 주소 |
| 문자열 | dst_mac | 목적지MAC | |
| 국가 | dst_country | 목적지국가 | 예: GB |
| 문자열 | dst_country_name | 목적지국가이름 | 예: United Kingdom |
| 문자열 | dst_region | 목적지지역 | 예: Cardiff |
| 문자열 | dst_city | 목적지도시 | 예: Cardiff |
| 64비트 실수 | dst_lat | 목적지위도 | 예: 51.4866 |
| 64비트 실수 | dst_lng | 목적지경도 | 예: -3.1549 |
| 64비트 정수 | sent_bytes | 송신바이트 | 마지막 관측 이후 클라이언트에서 서버로 전송한 바이트 |
| 64비트 정수 | rcvd_bytes | 수신바이트 | 마지막 관측 이후 서버에서 클라이언트로 전송한 바이트 |
| 64비트 정수 | sent_pkts | 송신패킷 | 마지막 관측 이후 클라이언트에서 서버로 전송한 패킷 |
| 64비트 정수 | rcvd_pkts | 수신패킷 | 마지막 관측 이후 서버에서 클라이언트로 전송한 패킷 |
| 64비트 정수 | total_bytes | 전체바이트 | 누적 송수신 바이트 |
| 64비트 정수 | total_pkts | 전체패킷 | 누적 송수신 패킷 |
| 64비트 정수 | total_sent_bytes | 전체송신바이트 | 누적 송신 바이트 |
| 64비트 정수 | total_rcvd_bytes | 전체수신바이트 | 누적 수신 바이트 |
| 32비트 정수 | tcp_rtt | RTT | |
| 문자열 | file_id | 파일ID | |
| 문자열 | file_name | 파일이름 | |
| 문자열 | file_path | 파일경로 | |
| MD5 | md5 | MD5 | |
| SHA256 | sha256 | SHA256 | |
| URL | url | URL | |
| 문자열 | iface | 인터페이스 | 예: ethernet1 |
| 문자열 | dst_asset_id | 목적지자산ID | GUID 형식 |
| 문자열 | eng_id | 엔진ID | 예: ad56000c2974bb19 |
| 문자열 | eng_name | 엔진이름 | 예: Coup-SecuritySensor132 |
| 문자열 | eng_gateway | 엔진게이트웨이 | IP 주소 형식 |
| 날짜 | start_bucket_time | 버킷시작시각 | |
| 날짜 | end_bucket_time | 버킷종료시각 | |
| 문자열 | dscp_name | DSCP이름 | 예: Best Effort, Invalid |
| 문자열 | detected_fields | 탐지필드목록 | 예: ["srcip_host"] |
| 문자열 | detected_values | 탐지값목록 | |
| 32비트 정수 | msg_type | 메시지유형ID | 예: 1, 2, 3, 4 |
| 문자열 | msg_type_name | 메시지유형 | 예: start, end, update, startend |
| 문자열 | org_id | 조직ID | 예: default-organization |
| 문자열 | org_name | 조직이름 | 예: default-organization |
| 문자열 | tenant_id | 테넌트ID | |
| 문자열 | tenant_name | 테넌트이름 | 예: Coup |
| 날짜 | rcvd_time | 수신시각 | |
| 날짜 | write_time | 기록시각 | |
| 32비트 정수 | processing_time | 처리소요시간 | |
| 32비트 정수 | response_time | 응답소요시간 | |
| 문자열 | orig_index | 원본인덱스 | 예: aella-adr-2024.11.26-<HASH> |
| 문자열 | orig_id | 원본로그ID | |
| 문자열 | ids | IDS | |
| 문자열 | metadata | 메타데이터 | HTTP 메소드, 유저에이전트 등 |