TACHYON Total Security 자체보호 이벤트
자체보호 이벤트 로그
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | risk | 위험도 | LOW, MEDIUM, HIGH |
| 문자열 | hostname | 호스트명 | |
| 문자열 | category | 분류 | 자체보호 |
| 문자열 | sub_category | 소분류 | 자체보호 |
| 문자열 | event_name | 이벤트명 | |
| 날짜 | event_time | 이벤트시각 | |
| 문자열 | guid | 에이전트GUID | |
| 문자열 | result | 결과 | 차단, 허용 |
| 문자열 | access_file | 접근파일 | |
| 문자열 | target_file | 대상파일 | |
| 문자열 | target_hash | 대상파일해시 | |
| 문자열 | user_id | 사용자ID | 예: user1 |
| 문자열 | user_name | 사용자명 | 예: 홍길동 |
| 문자열 | pc_name | PC명 | 예: DESKTOP-TEST001 |
| 문자열 | group_name | 그룹명 | 예: 테스트팀 |
| 문자열 | group_family_name | 그룹전체경로 | 예: 테스트기관@본부@부서@테스트팀 |
| 문자열 | group_code | 그룹코드 | 예: GRP001 |
| 문자열 | ip_addrs | IP목록 | 예: 192.0.2.1@ |
| IP 주소 | local_ip | 로컬IP | |
| 문자열 | local_mac | 로컬MAC | 예: AA:BB:CC:11:22:33 |
| 문자열 | mac_addrs | MAC목록 | 예: AA:BB:CC:11:22:33@ |
| 문자열 | serial_key | 시리얼키 | 예: ABC10-AB2CD-00000-00000-E3456 |
| 64비트 정수 | event_code | 이벤트코드 | |
| 문자열 | event_id | 이벤트ID | 예: T-327937-0 |
| 날짜 | client_dt | 클라이언트시각 | |
| 32비트 정수 | client_dt_utc | UTC오프셋 | |
| 날짜 | server_dt | 서버시각 | |
| 문자열 | os_info | OS정보 | 예: Windows 10 |
활용 시나리오
PC별 자체보호 차단 횟수 통계
table *:TS_TACHYON*
| search _schema == "tachyon-total-security-self-protection" and result == "차단"
| search _time >= now() - 1h
| stats count by pc_name, user_name
| sort -count
해석: 자체보호 차단이 집중된 PC와 사용자를 파악합니다.