침입탐지
현재 버전은 Trellix IPS 기본 설치 상태의 로그 포맷만 지원합니다.
| 유형 | 필드 | 표시 이름 | 비고 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | hostname | 장비이름 | |
| 문자열 | direction | 방향 | 예: Inbound, Outbound |
| 문자열 | risk | 위험도 | 예: HIGH, MEDIUM, LOW |
| IP 주소 | src_ip | 출발지IP | |
| 32비트 정수 | src_port | 출발지포트 | |
| IP 주소 | dst_ip | 목적지IP | |
| 32비트 정수 | dst_port | 목적지포트 | |
| 문자열 | signature | 공격명 | 예: Outbound Non-TCP-UDP-ICMP Volume Too High |
| 문자열 | action | 대응 | 예: DETECT, BLOCK |
| 문자열 | result | 탐지결과 | 예: Attack Blocked, Inconclusive |