ASIM(고급 보안 정보 모델) 경고 스키마 참조
Microsoft Sentinel 경고 스키마는 다양한 제품의 보안 관련 경고를 ASIM(Microsoft Advanced Security Information Model) 내에서 표준화된 형식으로 정규화하도록 설계되었습니다. 이 스키마는 보안 이벤트에만 중점을 두어 다양한 데이터 원본에서 일관되고 효율적인 분석을 보장합니다.
경고 스키마는 위협, 의심스러운 활동, 사용자 동작 이상 및 규정 준수 위반과 같은 다양한 유형의 보안 경고를 나타냅니다. 이러한 경고는 EDR, 바이러스 백신 소프트웨어, 침입 탐지 시스템, 데이터 손실 방지 도구 등을 포함하지만 이에 국한되지 않는 다양한 보안 제품 및 시스템에 의해 보고됩니다.
Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
Important
경고 정규화 스키마는 현재 미리 보기로 제공됩니다. 해당 기능은 별도의 서비스 수준 규약 없이 이용할 수 있습니다. 프로덕션 워크로드에는 권장하지 않습니다.
Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
파서
ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.
파서 통합
모든 ASIM 기본 파서를 통합하고 구성된 모든 원본에서 분석이 실행되도록 하는 파서를 사용하려면 필터링 파서 또는 _ASim_AlertEvent
매개 변수가 없는 파서를 사용합니다_Im_AlertEvent
. 또한 Microsoft Sentinel GitHub 리포지토리에서 배포하여 작업 영역에 배포된 imAlertEvent
및 ASimAlertEvent
파서를 사용할 수 있습니다.
자세한 내용은 기본 제공 ASIM 파서 및 작업 영역 배포 파서를 참조하세요.
기본 제공 원본별 파서
Microsoft Sentinel에서 제공하는 경고 파서 목록은 ASIM 파서 목록을 참조하세요.
사용자 고유의 정규화된 파서 추가
경고 정보 모델에 대한 사용자 지정 파서를 개발할 때 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.
-
vimAlertEvent<vendor><Product>
매개 변수가 있는 파서의 경우 -
ASimAlertEvent<vendor><Product>
- 일반 파서의 경우
경고 통합 파서에 사용자 지정 파서를 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.
파서 매개 변수 필터링
경고 파서는 쿼리 성능을 향상시키기 위해 다양한 필터링 매개 변수 를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다. 다음 필터링 매개 변수를 사용할 수 있습니다.
속성 | 형식 | 설명 |
---|---|---|
starttime | 날짜/시간 | 이 시간 이후에 시작된 경고만 필터링합니다. |
endtime | 날짜/시간 | 이 시간 또는 그 이전에 시작된 경고만 필터링합니다. |
ipaddr_has_any_prefix | dynamic | 'DvcIpAddr' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
hostname_has_any | dynamic | 'DvcHostname' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
username_has_any | dynamic | '사용자 이름' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
attacktactics_has_any | dynamic | 'AttackTactics' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
attacktechniques_has_any | dynamic | 'AttackTechniques' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
threatcategory_has_any | dynamic | 'ThreatCategory' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
alertverdict_has_any | dynamic | 'AlertVerdict' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
eventseverity_has_any | dynamic | 'EventSeverity' 필드가 나열된 값 중 하나에 있는 경고만 필터링합니다. |
스키마 개요
경고 스키마는 동일한 필드를 공유하는 여러 유형의 보안 이벤트를 제공합니다. 이러한 이벤트는 EventType 필드로 식별됩니다.
- 위협 정보: 맬웨어, 피싱, 랜섬웨어 및 기타 사이버 위협과 같은 다양한 유형의 악성 활동과 관련된 경고입니다.
- 의심스러운 활동: 반드시 확인된 위협은 아니지만 의심스럽고 여러 번의 로그인 시도 또는 제한된 파일에 대한 액세스와 같은 추가 조사를 보증하는 활동에 대한 경고입니다.
- 사용자 동작 변칙: 비정상적인 로그인 시간 또는 비정상적인 데이터 액세스 패턴과 같은 보안 문제를 제안할 수 있는 비정상적이거나 예기치 않은 사용자 동작을 나타내는 경고입니다.
- 규정 준수 위반: 규정 또는 내부 정책의 비준수와 관련된 경고입니다. 예를 들어 개방형 공용 포트로 노출된 VM은 공격에 취약합니다(클라우드 보안 경고).
Important
경고 스키마의 관련성과 효율성을 유지하려면 보안 관련 경고만 매핑해야 합니다.
경고 스키마는 다음 엔터티를 참조하여 경고에 대한 세부 정보를 캡처합니다.
-
Dvc 필드는 경고와 연결된 호스트 또는 IP에 대한 세부 정보를 캡처하는 데 사용됩니다.
-
사용자 필드는 경고와 연결된 사용자에 대한 세부 정보를 캡처하는 데 사용됩니다.
- 마찬가지로 프로세스, 파일, URL, 레지스트리 및 전자 메일 필드는 각각 경고와 연결된 프로세스, 파일, URL, 레지스트리 및 전자 메일에 대한 주요 세부 정보만 캡처하는 데 사용됩니다.
Important
- 제품별 파서를 빌드할 때 경고에 보안 인시던트 또는 잠재적 위협에 대한 정보가 포함되어 있고 기본 세부 정보를 사용 가능한 경고 스키마 필드에 직접 매핑할 수 있는 경우 ASIM 경고 스키마를 사용합니다. 경고 스키마는 광범위한 엔터티별 필드 없이 요약 정보를 캡처하는 데 적합합니다.
- 그러나 직접 필드 일치가 부족하여 'AdditionalFields'에 필수 필드를 배치하는 경우 보다 특수한 스키마를 고려합니다. 예를 들어 경고에 여러 IP 주소(예: SrcIpAdr, DstIpAddr, PortNumber 등)와 같은 네트워크 관련 세부 정보가 포함된 경우 경고 스키마를 통해 NetworkSession 스키마를 선택할 수 있습니다. 또한 특수 스키마는 위협 관련 정보를 캡처하고, 데이터 품질을 향상시키고, 효율적인 분석을 용이하게 하는 전용 필드를 제공합니다.
스키마 세부 정보
일반 ASIM 필드
다음 목록에서는 경고 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
EventType | 필수 | Enumerated | 이벤트의 유형입니다. 지원되는 값은 다음과 같습니다. - Alert |
EventSubType | 권장 | Enumerated | 경고 이벤트의 하위 유형 또는 범주를 지정하여 더 광범위한 이벤트 분류 내에서 보다 세부적인 세부 정보를 제공합니다. 이 필드는 감지된 문제의 특성을 구분하여 인시던트 우선 순위 지정 및 대응 전략을 개선하는 데 도움이 됩니다. 지원되는 값은 다음과 같습니다. - Threat (시스템 또는 네트워크를 손상시킬 수 있는 확인되거나 가능성이 높은 악의적인 활동을 나타냅니다.)- Suspicious Activity (비정상적이거나 의심스러운 것으로 보이는 동작 또는 이벤트에 플래그를 지정하지만 아직 악성으로 확인되지는 않음)- Anomaly (잠재적인 보안 위험 또는 운영 문제를 나타낼 수 있는 일반 패턴의 편차를 식별합니다.)- Compliance Violation (규정, 정책 또는 규정 준수 표준을 위반하는 활동을 강조 표시합니다.) |
EventUid | 필수 | string | 시스템 내에서 경고를 고유하게 식별하는 컴퓨터에서 읽을 수 있는 영숫자 문자열입니다. 예: A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
EventMessage | 선택 사항 | string | 컨텍스트, 원인 및 잠재적 영향을 포함하여 경고에 대한 자세한 정보입니다. 예: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
IpAddr | Alias | 필드의 별칭 또는 이름 DvcIpAddr 입니다. |
|
Hostname | Alias | 필드의 별칭 또는 이름 DvcHostname 입니다. |
|
EventSchema | 필수 | string | 이벤트에 사용되는 스키마입니다. 여기에 설명된 스키마는 다음과 같습니다 AlertEvent . |
EventSchemaVersion | 필수 | string | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.1 입니다. |
모든 공통 필드
아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
클래스 | 필드 |
---|---|
필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
권장 |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
선택 사항 |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
검사 필드
다음 표에서는 경고와 관련된 규칙 및 위협에 대한 중요한 인사이트를 제공하는 필드를 다룹니다. 함께 사용하면 경고의 컨텍스트를 보강하여 보안 분석가가 해당 출처와 중요성을 더 쉽게 이해할 수 있습니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
AlertId | Alias | string | 필드의 별칭 또는 이름 EventUid 입니다. |
AlertName | 권장 | string | 경고의 제목 또는 이름입니다. 예: Possible use of the Rubeus kerberoasting tool |
AlertDescription | Alias | string | 필드의 별칭 또는 이름 EventMessage 입니다. |
AlertVerdict | 선택 사항 | Enumerated | 경고가 위협으로 확인되었는지, 의심스러운 것으로 간주되는지 또는 가양성으로 확인되었는지를 나타내는 경고의 최종 결정 또는 결과입니다. 지원되는 값은 다음과 같습니다. - True Positive (합법적인 위협으로 확인됨)- False Positive (위협으로 잘못 식별됨)- Benign Positive (이벤트가 무해한 것으로 판단되는 경우)- Unknown (불확실하거나 결정되지 않은 상태) |
AlertStatus | 선택 사항 | Enumerated | 경고의 현재 상태 또는 진행률을 나타냅니다. 지원되는 값은 다음과 같습니다. - Active - Closed |
AlertOriginalStatus | 선택 사항 | string | 원래 시스템에서 보고한 경고의 상태입니다. |
DetectionMethod | 선택 사항 | Enumerated | 경고 생성에 기여한 특정 검색 방법, 기술 또는 데이터 원본에 대한 자세한 정보를 제공합니다. 이 필드는 경고가 검색되거나 트리거되는 방법에 대한 더 큰 인사이트를 제공하여 검색 컨텍스트 및 안정성을 이해하는 데 도움이 됩니다. 지원되는 값은 다음과 같습니다. - EDR : 엔드포인트 활동을 모니터링하고 분석하여 위협을 식별하는 엔드포인트 검색 및 응답 시스템입니다.- Behavioral Analytics : 사용자, 디바이스 또는 시스템 동작에서 비정상적인 패턴을 감지하는 기술입니다.- Reputation : IP 주소, 도메인 또는 파일의 평판을 기반으로 위협 탐지- Threat Intelligence : 알려진 위협 또는 악의적인 전술에 대한 데이터를 제공하는 외부 또는 내부 인텔리전스 피드입니다.- Intrusion Detection : 침입 또는 공격의 징후에 대한 네트워크 트래픽 또는 활동을 모니터링하는 시스템입니다.- Automated Investigation : 경고를 분석하고 조사하는 자동화된 시스템으로 수동 워크로드를 줄입니다.- Antivirus : 서명 및 추론을 기반으로 맬웨어를 검색하는 기존 바이러스 백신 엔진입니다.- Data Loss Prevention : 무단 데이터 전송 또는 누출을 방지하는 데 중점을 두는 솔루션입니다.- User Defined Blocked List : 특정 IP, 도메인 또는 파일을 차단하기 위해 사용자가 정의한 사용자 지정 목록입니다.- Cloud Security Posture Management : 클라우드 환경에서 보안 위험을 평가하고 관리하는 도구입니다.- Cloud Application Security : 클라우드 애플리케이션 및 데이터를 보호하는 솔루션입니다.- Scheduled Alerts : 미리 정의된 일정 또는 임계값에 따라 생성된 경고입니다.- Other : 위의 범주에서 다루지 않는 다른 검색 방법입니다. |
규칙 | Alias | string | RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
RuleNumber | 선택 사항 | int | 경고와 연결된 규칙의 수입니다. 예: 123456 |
RuleName | 선택 사항 | string | 경고와 연결된 규칙의 이름 또는 ID입니다. 예: Server PSEXEC Execution via Remote Access |
RuleDescription | 선택 사항 | string | 경고와 연결된 규칙에 대한 설명입니다. 예: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
ThreatId | 선택 사항 | string | 경고에서 식별된 위협 또는 맬웨어의 ID입니다. 예: 1234567891011121314 |
ThreatName | 선택 사항 | string | 경고에서 식별된 위협 또는 맬웨어의 이름입니다. 예: Init.exe |
ThreatFirstReportedTime | 선택 사항 | 날짜/시간 | 위협이 처음 보고된 날짜 및 시간입니다. 예: 2024-09-19T10:12:10.0000000Z |
ThreatLastReportedTime | 선택 사항 | 날짜/시간 | 위협이 마지막으로 보고된 날짜 및 시간입니다. 예: 2024-09-19T10:12:10.0000000Z |
ThreatCategory | 권장 | Enumerated | 경고에서 식별된 위협 또는 맬웨어의 범주입니다. 지원되는 값은 다음과 같습니다. , ,, Virus , Worm Adware , , Phishing Spoofing Security Policy Violation Spam Rootkit Cryptominor MaliciousUrl Spyware Trojan Ransomware Malware Unknown |
ThreatOriginalCategory | 선택 사항 | string | 원래 시스템에서 보고한 위협의 범주입니다. |
ThreatIsActive | 선택 사항 | bool | 위협이 현재 활성 상태인지 여부를 나타냅니다. 지원되는 값은 다음과 True 같습니다. False |
ThreatRiskLevel | 선택 사항 | int | 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 척도로 정규화되어야 하는 다른 척도를 사용하여 값을 원본 레코드에 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장해야 합니다. |
ThreatOriginalRiskLevel | 선택 사항 | string | 원래 시스템에서 보고한 위험 수준입니다. |
ThreatConfidence | 선택 사항 | int | 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
ThreatOriginalConfidence | 선택 사항 | string | 원래 시스템에서 보고한 신뢰 수준입니다. |
IndicatorType | 권장 | Enumerated | 표시기의 형식 또는 범주 지원되는 값은 다음과 같습니다. - Ip - User - Process - Registry - Url - Host - Cloud Resource - Application - File - Email - Mailbox - Logon Session |
IndicatorAssociation | 선택 사항 | Enumerated | 표시기가 위협에 연결되었는지 또는 직접적인 영향을 받는지를 지정합니다. 지원되는 값은 다음과 같습니다. - Associated - Targeted |
AttackTactics | 권장 | string | 경고와 관련된 공격 전술(이름, ID 또는 둘 다)입니다. 기본 설정 형식: 예: Persistence, Privilege Escalation |
AttackTechniques | 권장 | string | 경고와 관련된 공격 기술(이름, ID 또는 둘 다)입니다. 기본 설정 형식: 예: Local Groups (T1069.001), Domain Groups (T1069.002) |
AttackRemediationSteps | 권장 | string | 식별된 공격 또는 위협을 완화하거나 수정하기 위한 권장 작업 또는 단계입니다. 예: 1. Make sure the machine is completely updated and all your software has the latest patch. 2. Contact your incident response team. |
사용자 필드
이 섹션에서는 경고와 연결된 사용자의 식별 및 분류와 관련된 필드를 정의하여 영향을 받은 사용자 및 해당 ID의 형식을 명확하게 설명합니다. 경고에 여기에 매핑된 필드를 초과하는 여러 사용자 관련 필드가 추가로 포함된 경우 인증 이벤트 스키마와 같은 특수 스키마가 데이터를 완전히 나타내는 데 더 적합한지 여부를 고려할 수 있습니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
UserId | 선택 사항 | string | 경고와 연결된 사용자의 컴퓨터 읽기 가능 영숫자 고유 표현입니다. 예: A1bC2dE3fH4iJ5kL6mN7o |
UserIdType | 조건부 | Enumerated | 사용자 ID의 형식(예: GUID , SID 또는 Email .지원되는 값은 다음과 같습니다. - GUID - SID - Email - Username - Phone - Other |
사용자 이름 | 권장 | string | 사용 가능한 경우 도메인 정보를 포함하여 경고와 연결된 사용자의 이름입니다. 예: Contoso\JSmith 또는 john.smith@contoso.com |
사용자 | Alias | string | 필드의 별칭 또는 이름 Username 입니다. |
UsernameType | 조건부 | UsernameType | 필드에 저장된 사용자 이름의 형식을 Username 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UsernameType을 참조하세요.예: Windows |
UserType | 선택 사항 | UserType | 행위자의 형식입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UserType을 참조하세요. 예: Guest |
OriginalUserType | 선택 사항 | string | 보고 디바이스에서 보고한 사용자 유형입니다. |
UserSessionId | 선택 사항 | string | 경고와 연결된 사용자 세션의 고유 ID입니다. 예: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
UserScopeId | 선택 사항 | string | UserId 및 Username이 정의된 Microsoft Entra Directory ID와 같은 범위 ID입니다. 예: a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
UserScope | 선택 사항 | string | UserId 및 Username이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope를 참조하세요. 예: Contoso Directory |
프로세스 필드
이 섹션에서는 지정된 필드를 사용하여 경고와 관련된 프로세스 엔터티와 관련된 세부 정보를 캡처할 수 있습니다. 경고에 여기에 매핑된 필드를 초과하는 자세한 추가 프로세스 관련 필드가 포함된 경우 프로세스 이벤트 스키마와 같은 특수 스키마가 데이터를 완전히 나타내는 데 더 적합한지 여부를 고려할 수 있습니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
ProcessId | 선택 사항 | string | 경고와 연결된 프로세스 ID(PID)입니다. 예: 12345678 |
ProcessCommandLine | 선택 사항 | string | 프로세스를 시작하는 데 사용되는 명령줄입니다. 예: "choco.exe" -v |
ProcessName | 선택 사항 | string | 프로세스의 이름입니다. 예: C:\Windows\explorer.exe |
ProcessFileCompany | 선택 사항 | string | 프로세스 이미지 파일을 만든 회사입니다. 예: Microsoft |
파일 필드
이 섹션에서는 경고와 관련된 파일 엔터티와 관련된 세부 정보를 캡처할 수 있습니다. 경고에 여기에 매핑된 필드를 초과하는 자세한 추가 파일 관련 필드가 포함된 경우 파일 이벤트 스키마와 같은 특수 스키마가 데이터를 완전히 나타내는 데 더 적합한지 여부를 고려할 수 있습니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
FileName | 선택 사항 | string | 경로 또는 위치 없이 경고와 연결된 파일의 이름입니다. 예: Notepad.exe |
FilePath | 선택 사항 | string | 폴더 또는 위치, 파일 이름 및 확장명을 포함하여 대상 파일의 정규화된 전체 경로입니다. 예: C:\Windows\System32\notepad.exe |
FileSHA1 | 선택 사항 | string | 파일의 SHA1 해시입니다. 예: j5kl6mn7op8qr9st0uv1 |
FileSHA256 | 선택 사항 | string | 파일의 SHA256 해시입니다. 예: a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
FileMD5 | 선택 사항 | string | 파일의 MD5 해시입니다. 예: j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
FileSize | 선택 사항 | long | 파일의 크기(바이트). 예: 123456 |
URL 필드
경고에 URL 엔터티에 대한 정보가 포함된 경우 다음 필드에서 URL 관련 데이터를 캡처할 수 있습니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
Url | 선택 사항 | string | 경고에 캡처된 URL 문자열입니다. 예: https://contoso.com/fo/?k=v&q=u#f |
레지스트리 필드
경고에 레지스트리 엔터티에 대한 세부 정보가 포함된 경우 다음 필드를 사용하여 특정 레지스트리 관련 정보를 캡처합니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
RegistryKey | 선택 사항 | string | 경고와 연결된 레지스트리 키로, 표준 루트 키 명명 규칙으로 정규화됩니다. 예: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
RegistryValue | 선택 사항 | string | 레지스트리 값입니다. 예: ImagePath |
RegistryValueData | 선택 사항 | string | 레지스트리 값의 데이터입니다. 예: C:\Windows\system32;C:\Windows; |
RegistryValueType | 선택 사항 | Enumerated | 레지스트리 값의 형식입니다. 예: Reg_Expand_Sz |
전자 메일 필드
경고에 전자 메일 엔터티에 대한 정보가 포함된 경우 다음 필드를 사용하여 특정 전자 메일 관련 세부 정보를 캡처합니다.
필드 | 클래스 | Type | 설명 |
---|---|---|---|
EmailMessageId | 선택 사항 | string | 경고와 연결된 전자 메일 메시지의 고유 식별자입니다. 예: Request for Invoice Access |
EmailSubject | 선택 사항 | string | 전자 메일의 제목입니다. 예: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
스키마 업데이트
다음은 다양한 스키마 버전의 변경 내용입니다.
- 버전 0.1: 초기 릴리스.