검색을 위한 데이터 필드
이 기능을 사용하려면 EAP에 가입해야 합니다.
데이터 레이크에서 침해 지표(IOC) 또는 IP 주소나 사용자 이름 같은 기타 데이터를 검색할 수 있습니다. 검색을 참조하십시오.
검색 페이지에 있는 스키마 창에는 검색에 포함할 수 있는 데이터 필드가 표시됩니다.
각 데이터 필드 옆에는 기호가 있습니다.
-
T는 텍스트 필드입니다. 이것은 데이터 레이크에 도달할 때 인덱싱됩니다. 와일드카드를 사용하지 않고 이러한 필드를 검색할 수 있습니다.
-
#은 숫자 필드입니다. 이러한 필드를 검색할 때는 와일드카드를 사용해야 합니다.
다음은 데이터 필드의 전체 목록입니다.
| 필드 형식 | 설명 |
|---|---|
| src_ip | 보조 시스템에 대한 연결을 시작한 IP 주소 |
| dest_ip | 시스템이 접속된 IP 주소 |
| logon_type | 계정에 로그온하는 데 사용되는 인증 방법 |
| logon_process | 계정에 로그온하는 데 사용되는 프로세스 |
| logon_protocol | 계정에 로그온하는 데 사용되는 프로토콜 |
| dest_username | 조치를 취하기 위해 호출된 계정의 이름 |
| password_last_set | 가장 최근에 암호를 재설정한 날짜 |
| task_name | Windows 예약 작업의 이름 |
| file_path | 이벤트와 관련된 파일의 파일 경로 |
| process_path | 실행된 프로세스의 파일 경로 |
| url | 장치에서 액세스한 URL |
| domain_name | 액세스한 도메인의 이름 |
| command_line | 명령줄 입력 |
| parent_process_path | 이 하위 프로세스를 만든 프로세스의 파일 경로 |
| parent_command_line | 이전 명령줄 항목 |
| win_src_domain | 계정 로그온이 시작된 Windows 도메인 이름 |
| win_dest_domain | 계정이 액세스한 Windows 도메인의 이름 |
| registry_path | 관련된 레지스트리 파일의 파일 경로 |
| dest_server | 액세스 또는 변경된 대상 서버 |
| service_name | 관련된 서비스의 이름 |
| service_start_type | Windows 서비스의 시작 유형 |
| service_type | 관련된 서비스 유형의 이름 |
| run_as_username | 특정 프로세스를 실행하기 위해 호출되는 사용자 이름 |
| parent_process_id | 이 하위 프로세스를 만든 프로세스의 프로세스 ID |
| file_name | 관련된 파일의 이름 |
| process_name | 관련된 프로세스의 이름 |
| 프로토콜 | 시스템 또는 도메인에 연결하는 데 사용되는 프로토콜 |
| dest_port | 데이터 수신에 사용되는 포트 번호 |
| event_id | Windows 이벤트 ID 번호: |
| process_id | 실행된 프로세스의 프로세스 ID |
| device_id | 활동이 발생한 장치의 장치 ID |
| device_make | 제조업체 OS 유형 |
| device_type | 엔드포인트 또는 서버 |
| device_ip | 활동이 발생한 IP 주소 |
| device_mac | 활동이 발생한 장치의 MAC 주소 |
| 호스트 이름 | 관련된 장치의 호스트 이름 |
| 사용자 이름 | 장치에 로그인한 사용자 |
| customer_id | Sophos 고객 ID |
| sha1 | SHA-1 파일 해시 |
| sha256 | SHA-256 파일 해시 |
| sophos_process_id | 실행된 프로세스의 Sophos 프로세스 ID |
| sophos_parent_process_id | 이 하위 프로세스를 만든 프로세스의 Sophos 프로세스 ID |
| file_pua_score | 사용자 동의 없이 설치된 응용 프로그램일 가능성을 기준으로 한 파일 위험 점수. 장치에 대한 딥 러닝으로 평가됨 |
| file_ml_score | 파일이 맬웨어일 확률을 기준으로 한 파일 위험 점수. 장치에 대한 딥 러닝으로 평가됨 |
| file_global_reputation | SophosLabs 파일 분석에서 얻은 파일 위험 점수 |
| file_local_reputation | 디스크에 저장된 로컬 신뢰도 데이터에서 얻은 파일 위험 점수 |
| data_source | 이벤트를 일으킨 벤더의 이름 |
| 범주 | 이벤트가 연결된 활동 유형 |
| activity_type | OS 쿼리 이름 |
| category_description | 이벤트가 연결된 활동 유형에 대한 설명 |
| 시간 | 이벤트가 발생한 시간 |
| signature_status | 코드가 서명되었는지 여부를 나타내는 상태 |
| process_sid | 프로세스를 실행하는 데 사용된 계정의 보안 ID |
| process_uid | 프로세스를 실행하는 데 사용된 계정의 사용자 ID |
| process_gid | 프로세스를 실행한 계정이 속한 그룹 ID |
| file_created_by | Microsoft Office 파일을 최초 작성한 사람의 이름 |
| product_name | 관련된 Microsoft Office 제품의 이름 |
| file_description | Microsoft Office 파일에 대한 설명 |
| file_version | 관련된 파일의 버전 번호 |
| process_username | 프로세스를 실행하는 데 사용된 계정의 사용자 이름 |
| original_filename | 파일 이름을 변경하기 전의 파일 이름 |
| file_size | 관련된 파일의 크기 |
| src_username | 작업을 수행할 보조 계정을 호출한 사용자의 이름 |
| event_description | Windows 이벤트에 대한 설명 |
| parent_process_name | 이 하위 프로세스를 만든 프로세스의 이름 |