Sysmon 레지스트리 이벤트
이벤트 ID 12, 13, 14
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | log_type | 로그유형 | 예: Registry value set, Registry object added or deleted |
| 문자열 | emp_key | 사번 | |
| 문자열 | emp_name | 성명 | |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | computer | 호스트명 | 예: demo.acme.com |
| 문자열 | user | 계정 | 예: NT AUTHORITY\SYSTEM |
| 64비트 정수 | pid | PID | 예: 1164 |
| 문자열 | image_path | 이미지경로 | 예: C:\Windows\system32\lsass.exe |
| 문자열 | reg_key | 레지스트리경로 | 예: HKLM\SECURITY\Policy\PolAdtEv\(Default) |
| 문자열 | action | 작업 | 예: SetValue, CreateKey |
| 문자열 | details | 세부사항 | 예: Binary Data |
| 문자열 | pguid | 프로세스식별자 | 예: {51a1bb4b-6357-6647-0e00-000000001300} |