Trellix HX 파일 수집
FireEye Acquisition Queued/Started/Completed 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | device_name | 장비이름 | 예: HX4502 |
| 문자열 | device_id | 장비식별자 | 예: ACFFDDCCBBEE |
| 문자열 | emp_key | 사번 | |
| 문자열 | emp_name | 성명 | |
| 문자열 | nt_domain | NT도메인 | 예: WORKGROUP |
| 문자열 | hostname | 호스트명 | 예: DESKTOP-9ODH9LU |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | os_name | OS이름 | 예: Windows 10 Pro 19045 |
| 문자열 | dst_mac | 목적지MAC | 예: 08:d4:0c:22:44:11 |
| 문자열 | event_name | 이벤트이름 | 예: FireEye Acquisition Started |
| 문자열 | user | 계정 | 예: automatic |
| 문자열 | action | 작업 | 예: Acquisition Create, Acquisition Status |
| 날짜 | triage_request_timestamp | 분석요청시각 | |
| 문자열 | script_name | 스크립트이름 | |
| 문자열 | msg | 메시지 | 예: Host DESKTOP-9ODH9LU Timestamped Triage started |
| 문자열 | description | 설명 | 예: A Host Acquisition was successfully started. |
| 64비트 정수 | rcvd_bytes | 수신바이트 | 예: 17896931 |
| 문자열 | request | 분석요청URL | 예: https://HX4502:3000/hx/downloads/acquisitions/3333/content |
| 문자열 | agent_id | 에이전트식별자 | 예: Uj7oFFdrJmjbGmiJovqqPN |
| 문자열 | agent_version | 에이전트버전 | 예: 35.31.25 |
| 날짜 | agent_last_audit | 에이전트최근통신 | |
| 문자열 | external_id | 외부참조ID | 예: 3333 |
| 문자열 | device_group | 장비그룹 | 예: /IDS/Application/Service |
| 문자열 | device_type | 장비유형 | 예: Forensic Investigation |
| 문자열 | object | 대상객체 | 예: /Host |
| 문자열 | behavior | 행위 | 예: /Create, /Access/Start |
| 문자열 | outcome | 결과 | 예: /Success |
| 문자열 | significance | 중요도 | 예: /Informational |
| 문자열 | vendor | 제조사 | 예: fireeye |
| 문자열 | product | 제품 | 예: hx |
| 문자열 | ver | 버전 | 예: 5.3.1 |
| 32비트 정수 | severity | 위험수준 | 예: 0 |