Sysmon 프로세스
이벤트 ID 1, 5
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| DATE | _time | 시각 | |
| 문자열 | log_type | 로그유형 | 예: Process Create, Process terminated |
| 문자열 | emp_key | 사번 | |
| 문자열 | emp_name | 성명 | |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | computer | 호스트명 | 예: demo.acme.com |
| 문자열 | user | 계정 | 예: ACME\demo |
| 64비트 정수 | ppid | 부모PID | 예: 26068 |
| 문자열 | parent_cmd_line | 부모명령줄 | 예: cmd /c "tasklist /FI "PID eq 28560" | findstr 28560" |
| 64비트 정수 | pid | PID | 예: 8408 |
| 문자열 | cmd_line | 명령줄 | 예: findstr 28560 |
| 문자열 | parent_image_path | 부모이미지경로 | 예: C:\Windows\System32\cmd.exe |
| 문자열 | image_path | 이미지경로 | 예: C:\Windows\System32\findstr.exe |
| 문자열 | working_dir | 작업경로 | 예: C:\Windows\system32\ |
| 문자열 | parent_user | 부모계정 | 예: ACME\demo |
| 문자열 | integrity_level | 무결성수준 | 예: Medium |
| 문자열 | image_file | 실행파일 | 예: tasklist.exe |
| 문자열 | image_company | 제조사 | 예: Microsoft Corporation |
| 문자열 | image_version | 제품버전 | 예: 10.0.19041.1 (WinBuild.160101.0800) |
| 문자열 | image_product | 제품이름 | 예: Microsoft® Windows® Operating System |
| 문자열 | image_description | 제품설명 | 예: Lists the current running tasks |
| MD5 | md5 | MD5 | |
| SHA1 | sha1 | SHA1 | 예: d61ffd641c2f6d45dadc26c02daeea8dabee8204 |
| SHA256 | sha256 | SHA256 | |
| 32비트 정수 | terminal_session_id | 터미널세션ID | 예: 2 |
| 문자열 | logon_guid | 로그온GUID | 예: {51a1bb4b-012d-6648-d364-de0100000000} |
| 문자열 | pguid | 프로세스GUID | 예: {51a1bb4b-b03a-6649-6fab-000000001300} |
| 문자열 | ppguid | 부모프로세스GUID | 예: {51a1bb4b-b03a-6649-6dab-000000001300} |