Rule 필드

rule 필드는 알림이나 경보를 생성하는 관찰자 또는 에이전트 규칙의 세부 정보를 표시하는데 사용됩니다.

rule 필드를 채우는 데이터 소스의 예로는 NAC, 네트워크 또는 호스트 IDS/IPS, 네트워크 방화벽, 웹 방화벽, URL 필터, 엔드포인트 탐지 및 대응(EDR) 시스템 등이 있습니다.

필드 변환

원본 필드정규 필드정규 타입ECS 필드 설명
rule.authorrule_author문자열룰 작성자
rule.categorycategory문자열룰 분류. 예: Attempted Information Leak
rule.descriptiondescription문자열룰 설명. 예: Block requests to public DNS over HTTPS / TLS protocols
rule.idsid문자열룰 ID. 예: 101
rule.licenserule_license문자열룰 라이선스. 예: Apache 2.0
rule.namerule_name문자열룰 또는 시그니처 이름. 예: BLOCK_DNS_over_TLS
rule.referencereference문자열레퍼런스 URL. 예: https://en.wikipedia.org/wiki/DNS_over_TLS
rule.rulesetpolicy문자열룰 집합, 정책, 그룹, 상위 분류 이름. 예: Standard_Protocol_Filters
rule.uuidrule_uuid문자열룰 식별자
rule.versionrule_ver문자열룰 버전