Trellix HX IoC 탐지
IOC Hit Found 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | device_name | 장비이름 | 예: HX4502 |
| 문자열 | device_id | 장비식별자 | 예: ACFFDDCCBBEE |
| 32비트 정수 | severity | 위험수준 | 예: 10 |
| 문자열 | emp_key | 사번 | |
| 문자열 | emp_name | 성명 | |
| 문자열 | nt_domain | NT도메인 | 예: WORKGROUP |
| 문자열 | hostname | 호스트명 | 예: DESKTOP-9ODH9LU |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | os_name | OS이름 | 예: Windows 11 22621 |
| 문자열 | dst_mac | 목적지MAC | 예: 08:d4:0c:22:44:11 |
| 문자열 | category | 분류 | 예: exc, prs |
| 문자열 | signature | 공격명 | 예: Detection IOC Hit |
| 문자열 | action | 대응 | 예: DETECT |
| 문자열 | ioc_name | 침해지표 | 예: WANNACRY RANSOMWARE (FAMILY) |
| 문자열 | msg | 메시지 | 예: Host DESKTOP-9ODH9LU IOC compromise alert |
| 문자열 | description | 설명 | 예: A Detection IOC found a compromise indication. |
| 문자열 | agent_id | 에이전트식별자 | 예: Uj7oFFdrJmjbGmiJovqqPN |
| 문자열 | agent_version | 에이전트버전 | 예: 35.31.25 |
| 날짜 | agent_last_audit | 에이전트최근통신 | |
| 날짜 | start_time | 시작시각 | |
| 문자열 | external_id | 외부참조ID | 예: 3333 |
| 문자열 | device_group | 장비그룹 | 예: /IDS |
| 문자열 | device_type | 장비유형 | 예: Forensic Investigation |
| 문자열 | object | 대상객체 | 예: /Host |
| 문자열 | behavior | 행위 | 예: /Found |
| 문자열 | outcome | 결과 | 예: /Success |
| 문자열 | significance | 중요도 | 예: /Compromise |
| 문자열 | vendor | 제조사 | 예: fireeye |
| 문자열 | product | 제품 | 예: hx |
| 문자열 | ver | 버전 | 예: 5.3.1 |