공격 스토리라인 분석

에이전트는 엔드포인트에서 실행하는 file, process, module, network, registry 정보와 함께 PID(Process Identification Number) 및 PPID(Parent Process Identification Number)정보, 에이전트 동작 시간 정보를 수집합니다.

공격 히스토리 라인 페이지에서는 에이전트가 동작하는 시간동안 위협으로 탐지된 프로세스의 PID, PPID, Device-id, EventTime 정보를 조합하여 위협 프로세스를 기준으로 해당 프로세스의 부모 프로세스, 위협 프로세스가 실행한 module 정보, 자식 프로세스 정보 및 위협 프로세스의 connection 정보를 표시합니다.

동일한 파일이 여러 엔드포인트에서 탐지된 경우, 최종 탐지(최신)된 엔드포인트를 대상으로 한 연결 정보를 제공합니다.