Home / OZZY PMS Chain / Campaign Logs / HTE-001

HTE-001 SB-07 Normal Traffic Emulation Event

Log ID:

HTE-001

Source:

sb07_normal_traffic.ps1

Representative Path:

C:\ProgramData\HanguelADAgent\traffic\sb07_normal_traffic.ps1

Collection:

Script emits JSON to SOC collector / Logstash

Current Status:

스크립트 작성 완료. 수동 실행 후 ELK 캡처 필요

Primary Use:

정상 행위가 attack으로 오탐되지 않는 baseline 검증

정상 행위 요약

정상 트래픽은 PMS manifest 조회, patch HEAD 요청, DC DNS lookup, SOC collector port check 같은 운영 점검 행위를 만든다. 이 이벤트들은 hanguel.classification: normal로 들어와야 하며, 단독으로 alert가 생성되면 안 된다.

대표 event.action

normal_traffic_run_started
normal_pms_manifest_http_get
normal_pms_patch_head_request
normal_user_context
normal_hostname_check
normal_dc_dns_lookup
normal_dc_winrm_port_check
normal_soc_collector_port_check
normal_traffic_run_completed

주요 필드

필드	의미	예시
`log.id`	emulation log ID	`HTE-001`
`event.action`	정상 행위 이름	`normal_pms_manifest_http_get`
`hanguel.classification`	분류	`normal`

원본 로그 기준 검증 포인트

정상 baseline 행위	원본 필드/문자열	검증 의미
PMS manifest 조회	`/updates/manifest.json`	정상 PMS Agent/운영 점검 트래픽과 공격 흐름 구분
patch HEAD/GET	`/updates/patch.ps1`	정상 주기 조회와 변조 후 실행 시간차 비교
DC DNS 조회	`Resolve-DnsName`, `hanguel-dc01`, `10.60.20.10`	정상 관리 점검과 discovery alert 조건 구분
WinRM reachability	`Test-NetConnection`, `5985`	단순 포트 확인과 인증된 원격 실행을 구분

Analyst Hunting KQL

이 로그는 실제 침해 증거가 아니라 정상 baseline 검증 이벤트다. 원본 운영 로그에서는 PMS manifest 조회, DNS lookup, WinRM reachability 같은 정상 점검 행위를 먼저 찾고, emulation 태그는 오탐 검증에만 사용한다.

host.name:"hanguel-win01" and message:(*manifest.json* or *Resolve-DnsName* or *Test-NetConnection* or *5985*)

host.name:"hanguel-win01" and hanguel.classification:"normal"

message:(*"/updates/manifest.json"* or *"/updates/patch.ps1"*) and not message:(*dc_cred.xml* or *hgl_loader.exe* or *HanguelLoaderDiag*)

Validation Pivot

log.id:"HTE-001" or event.action:normal_*