Trellix HX 프로세스
프로세스 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | hostname | 호스트명 | |
| 문자열 | user | 계정 | |
| 문자열 | event_type | 이벤트유형 | 예: processEvent |
| 문자열 | category | 분류 | 예: IOC |
| 문자열 | signature | 공격명 | 예: SCHTASK CREATION FROM SUSPICIOUS LOCATION (METHODOLOGY) |
| 문자열 | action | 대응 | 예: DETECT |
| 문자열 | description | 설명 | |
| 문자열 | containment_state | 격리상태 | 예: normal |
| 64비트 정수 | ppid | 부모PID | |
| 64비트 정수 | pid | PID | |
| 문자열 | parent_image | 부모프로세스 | |
| 문자열 | image | 프로세스 | 예: schtasks.exe |
| 문자열 | cmd_line | 명령줄 | |
| 문자열 | parent_image_path | 부모프로세스경로 | |
| 문자열 | image_path | 프로세스경로 | |
| MD5 | md5 | MD5 | 프로세스 이미지 MD5 해시 |
| 문자열 | os_name | OS이름 | 예: Windows 10 Enterprise |
| 문자열 | agent_id | 에이전트ID | 예: 1fGpnWWQw6bdhB2bevhvyR |
| 문자열 | agent_ver | 에이전트버전 | 예: 35.31.25 |