HFE-002 Sequential Correlator Alert

Source Alias:

ELK-002

발생 위치:

ELK 서버 elk-langflow-correlator

저장 index:

langflow-alerts-*

주요 event.action:

langflow_rce_confirmed_sequence, langflow_rce_to_collection_sequence, langflow_recon_to_exploit_sequence

주요 필드:

hanguel.alert_type, hanguel.risk_score, related.events, threat.technique

커버 Technique:

T1190 + T1059 + T1005/T1105 등 복합 시나리오

분석 포인트

단일 로그가 아니라 시간창 내 복수 이벤트를 묶어 incident로 판단한다.
예: langflow_rce_attempt 이후 hanguel_shell_exec가 발생하면 RCE confirmed sequence가 생성된다.

_index : "langflow-alerts-*" and event.action : "langflow_rce_confirmed_sequence"