Trellix HX 격리
FireEye Quarantine Request/Failed/Completed 이벤트
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | device_name | 장비이름 | 예: HX4502 |
| 문자열 | device_id | 장비식별자 | 예: ACFFDDCCBBEE |
| 문자열 | emp_key | 사번 | |
| 문자열 | emp_name | 성명 | |
| 문자열 | nt_domain | NT도메인 | 예: WORKGROUP |
| 문자열 | hostname | 호스트명 | 예: DESKTOP-9ODH9LU |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | os_name | OS이름 | |
| 문자열 | dst_mac | 목적지MAC | 예: 08:d4:0c:22:44:11 |
| 문자열 | event_name | 이벤트이름 | 예: FireEye Quarantine Completed |
| 64비트 정수 | file_size | 파일크기 | 예: 100864 |
| 문자열 | file_path | 파일경로 | 예: C:\Windows\Temp\SppExtComObjHook.dll |
| 문자열 | action | 작업 | 예: Quarantine DESKTOP-9ODH9LU QUARANTINED |
| 문자열 | msg | 메시지 | 예: Host DESKTOP-9ODH9LU quarantine action |
| 문자열 | description | 설명 | 예: Quarantine task successfully completed, file deleted. |
| MD5 | md5 | MD5 | 예: 45a5bc3fd4816b88177d7169cbf2f532 |
| SHA1 | sha1 | SHA1 | 예: 7a081a42826a58e91dabf60e06ce859b970d0602 |
| 문자열 | agent_id | 에이전트식별자 | 예: Uj7oFFdrJmjbGmiJovqqPN |
| 문자열 | agent_version | 에이전트버전 | 예: 35.31.25 |
| 날짜 | agent_last_audit | 에이전트최근통신 | |
| 날짜 | start_time | 시작시각 | |
| 문자열 | quarantine_action | 격리작업 | 예: add, purge, restore, restore_failed |
| 문자열 | quarantine_id | 격리식별자 | GUID 형식 |
| 문자열 | correlation_id | 연관식별자 | GUID 형식 |
| 문자열 | external_id | 외부참조ID | 예: undefined |
| 문자열 | device_group | 장비그룹 | 예: /IDS/Application/Service |
| 문자열 | device_type | 장비유형 | 예: Forensic Investigation |
| 문자열 | object | 대상객체 | 예: /Host |
| 문자열 | behavior | 행위 | 예: /Access/Start |
| 문자열 | outcome | 결과 | 예: /Success |
| 문자열 | significance | 중요도 | 예: /Informational |
| 문자열 | vendor | 제조사 | 예: fireeye |
| 문자열 | product | 제품 | 예: hx |
| 문자열 | ver | 버전 | 예: 5.3.1 |
| 32비트 정수 | severity | 위험수준 | 예: 0 |