Trellix HX 파일
파일 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | hostname | 호스트명 | |
| 문자열 | user | 계정 | |
| 문자열 | event_type | 이벤트유형 | 예: fileWriteEvent |
| 문자열 | category | 분류 | 예: IOC |
| 문자열 | signature | 공격명 | 예: CRYPTOWALL RANSOMWARE (FAMILY) |
| 문자열 | action | 대응 | 예: DETECT |
| 문자열 | description | 설명 | |
| 문자열 | containment_state | 격리상태 | 예: normal |
| 64비트정수 | ppid | 부모PID | |
| 64비트정수 | pid | PID | |
| 문자열 | image | 프로세스 | 예: explorer.exe |
| 문자열 | parent_image_path | 부모프로세스경로 | |
| 문자열 | image_path | 프로세스경로 | |
| MD5 | md5 | MD5 | |
| 문자열 | file_name | 파일이름 | |
| 문자열 | file_ext | 파일확장자 | 예: PNG |
| 64비트정수 | file_size | 파일크기 | |
| 날짜 | file_open_time | 파일열린시각 | |
| 64비트정수 | writes | 파일쓰기횟수 | |
| 64비트정수 | written_bytes | 파일기록크기 | |
| 불리언 | file_closed | 파일닫힘여부 | |
| 문자열 | event_reason | 이벤트원인 | 예: File closed |
| 문자열 | file_path | 파일경로 | |
| 문자열 | device_path | 장치경로 | 예: \Device\HarddiskVolume1 |
| 문자열 | raw_data | 페이로드 | |
| 바이너리 | bin_data | 바이너리 | |
| 문자열 | os_name | OS이름 | 예: Windows 10 Enterprise |
| 문자열 | agent_id | 에이전트ID | |
| 문자열 | agent_ver | 에이전트버전 | 예: 35.31.25 |