trellix-nx-alerts
Trellix Network Security 장비에서 경보 목록을 검색합니다.
trellix-nx-alerts [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다. 미지정 시 다음날 0시로 지정됩니다.
출력 필드
필드 | 타입 | 이름 | 설명 |
---|---|---|---|
_time | 날짜 | 경보 시각 | |
profile | 문자열 | 프로파일 | 접속 프로파일 이름 |
ack | 불리언 | 경보 인지 여부 | |
type | 문자열 | 경보 유형 | |
inf_id | 32비트 정수 | 감염 ID | |
file_type | 문자열 | 파일 유형 | exe, pdf 등 |
signature | 문자열 | 공격 명칭 | |
severity | 32비트 정수 | 위험도 | |
src_ip | IP 주소 | 출발지 IP | 내부 호스트 IP |
dst_ip | IP 주소 | 목적지 IP | 악성코드 유포 호스트 IP |
url | 문자열 | URL | 악성 URL |
md5 | 문자열 | MD5 | 악성코드 MD5 해시 |
sha256 | 문자열 | SHA256 | 악성코드 SHA256 해시 |
sc_version | 문자열 | 버전 | 보안 컨텐츠 버전 정보 |
parent | 불리언 | 선행 탐지 | 연관된 경우 선행 탐지 여부 |
child | 불리언 | 후행 탐지 | 연관된 경후 후행 탐지 여부 |
uuid | 문자열 | GUID 식별자 | |
blocked_badge | 불리언 | 차단 태그 | |
threat_info_badge | 불리언 | 위협 정보 태그 | |
ips_badge | 불리언 | IPS 태그 | |
data_theft_badge | 불리언 | 데이터 유출 태그 | |
erspan_badge | 불리언 | ERSPAN 태그 | |
icap_badge | 불리언 | ICAP 태그 | |
mtp_badge | 불리언 | MTP 태그 | |
retroactive_badge | 불리언 | 재탐지 태그 | |
vxlan_badge | 불리언 | VXLAN 태그 |