스키마: Azure.Audit
설명: Azure Active Directory의 감사 로그
참조 URL: https://learn.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs
필드:
- 이름: Level
설명: 이벤트의 심각도 수준 또는 유형(예: Informational, Error).
유형: string
- 이름: callerIpAddress
설명: 이벤트가 시작된 IP 주소.
유형: string
지표:
- ip
- 이름: category
설명: 이벤트의 카테고리 분류(예: SignInLogs, AuditLogs).
유형: string
- 이름: correlationId
설명: 여러 관련 이벤트를 연관시키기 위한 고유 식별자.
유형: string
지표:
- trace_id
- 이름: durationMs
설명: 작업을 완료하는 데 걸린 총 시간(밀리초).
유형: string
- 이름: identity
설명: 사용자, 애플리케이션 또는 서비스 주체의 식별자.
유형: string
- 이름: location
설명: 이벤트가 발생한 지리적 위치 또는 지역.
유형: string
- 이름: locationDetails
유형: json
- 이름: networkLocationDetails
유형: json
- 이름: operationName
필수: true
설명: 수행된 작업 또는 API 호출의 이름.
유형: string
- 이름: operationVersion
설명: 작업 또는 API의 버전 번호.
유형: string
- 이름: properties
설명: 이벤트에 대한 추가 속성과 세부 정보를 포함하는 중첩 객체.
유형: object
필드:
- 이름: aadTenantId
유형: string
- 이름: activityDateTime
설명: 활동의 날짜 및 시간.
유형: timestamp
시간 형식:
- rfc3339
- 이름: activityDisplayName
설명: 활동의 친숙한 표시 이름.
유형: string
- 이름: additionalDetails
설명: 추가 컨텍스트 또는 메타데이터를 포함하는 키-값 쌍의 배열.
유형: array
요소:
유형: object
필드:
- 이름: key
유형: string
- 이름: value
유형: string
- 이름: alternateSignInName
설명: 제공된 경우 대체 사용자 로그인 이름.
유형: string
지표:
- username
- 이름: appDisplayName
설명: 관련된 애플리케이션의 표시 이름.
유형: string
- 이름: appliedConditionalAccessPolicies
설명: 적용된 조건부 액세스 정책 및 해당 결과 목록.
유형: json
- 이름: appliedEventListeners
유형: json
- 이름: appId
설명: 이벤트와 관련된 애플리케이션 ID.
유형: string
- 이름: appServicePrincipalId
유형: string
- 이름: authenticationAppDeviceDetails
유형: json
- 이름: authenticationStrengths
유형: json
- 이름: authenticationAppPolicyEvaluationDetails
유형: json
- 이름: authenticationContextClassReferences
유형: json
- 이름: authenticationDetails
유형: json
- 이름: authenticationMethodsUsed
유형: json
- 이름: authenticationProcessingDetails
유형: json
- 이름: authenticationProtocol
유형: string
- 이름: authenticationRequirement
유형: string
- 이름: authenticationRequirementPolicies
유형: json
- 이름: autonomousSystemNumber
유형: string
- 이름: _billedSize
유형: float
- 이름: category
유형: string
- 이름: clientAppUsed
유형: string
- 이름: clientCredentialType
유형: string
- 이름: conditionalAccessAudiences
유형: json
- 이름: conditionalAccessPolicies
유형: json
- 이름: conditionalAccessStatus
유형: string
- 이름: correlationId
유형: string
- 이름: createdDateTime
유형: timestamp
시간 형식:
- rfc3339
- 이름: crossTenantAccessType
유형: string
- 이름: deviceDetail
유형: json
- 이름: federatedCredentialId
유형: string
- 이름: flaggedForReview
유형: boolean
- 이름: globalSecureAccessIpAddress
유형: string
- 이름: homeTenantId
유형: string
- 이름: homeTenantName
유형: string
- 이름: id
유형: string
- 이름: incomingTokenType
유형: string
- 이름: ipAddress
설명: 중첩된 리소스와 관련된 IP 주소.
유형: string
지표:
- ip
- 이름: ipAddressFromResourceProvider
설명: 기본 리소스 제공자가 기록한 IP 주소.
유형: string
지표:
- ip
- 이름: _isBillable
유형: string
- 이름: isDeleted
설명: 엔티티가 삭제되었는지 여부.
유형: boolean
- 이름: initiatedBy
설명: 이벤트를 시작한 행위자(사용자 또는 앱).
유형: object
필드:
- 이름: app
유형: object
필드:
- 이름: displayName
유형: string
- 이름: servicePrincipalId
유형: string
- 이름: appId
설명: 애플리케이션 등록/클라이언트 ID.
유형: string
- 이름: user
설명: 작업을 수행한 사용자.
유형: object
필드:
- 이름: id
설명: 사용자의 객체 ID.
유형: string
- 이름: displayName
설명: Azure AD에 표시된 사용자 이름.
유형: string
지표:
- username
- 이름: userPrincipalName
설명: 사용자의 UPN(사용자 주체 이름).
유형: string
- 이름: ipAddress
설명: 사용자가 작업을 수행한 IP 주소.
유형: string
지표:
- ip
- 이름: roles
유형: json
- 이름: isProcessing
설명: 이벤트가 아직 처리 중인지 여부.
유형: boolean
- 이름: loggedByService
설명: 이 이벤트를 기록한 Microsoft 서비스(예: AzureAD).
유형: string
- 이름: location
설명: JSON 객체로 표현되는 지리적 또는 물리적 위치 정보.
유형: json
- 이름: networkLocationDetails
설명: 이벤트에 관련된 네트워크 위치에 대한 세부 정보.
유형: json
- 이름: operationType
설명: 수행된 작업의 유형.
유형: string
- 이름: result
설명: 작업의 결과 상태.
유형: string
- 이름: resultReason
설명: 작업 결과에 대한 추가 이유 또는 코드.
유형: string
- 이름: isInteractive
설명: 로그인 여부가 대화형인지 여부를 나타냅니다.
유형: boolean
- 이름: isRisky
유형: boolean
- 이름: isTenantRestricted
설명: 테넌트 제한이 적용되었는지 여부.
유형: boolean
- 이름: isThroughGlobalSecureAccess
설명: 이벤트가 Global Secure Access를 통해 라우트되었는지 여부.
유형: boolean
- 이름: originalRequestId
설명: 체인의 일부인 경우 원본 요청의 요청 ID.
유형: string
- 이름: originalTransferMethod
설명: 원래 요청의 전송 방법.
유형: string
- 이름: privateLinkDetails
유형: json
- 이름: processingTimeInMilliseconds
설명: 이벤트를 처리하는 데 걸린 시간.
유형: bigint
- 이름: resource
유형: string
- 이름: resourceDisplayName
설명: 리소스의 표시 이름.
유형: string
- 이름: resourceGroup
유형: string
- 이름: resourceId
설명: 액세스된 리소스의 객체 ID.
유형: string
- 이름: resourceIdentity
유형: string
- 이름: resourceProvider
유형: string
- 이름: resourceOwnerTenantId
설명: 리소스 소유자의 테넌트 ID.
유형: string
- 이름: resourceServicePrincipalId
설명: 액세스된 리소스의 서비스 주체 객체 ID.
유형: string
- 이름: resourceTenantId
설명: 액세스된 리소스의 테넌트 ID.
유형: string
- 이름: riskEventTypes
설명: 이 이벤트에 대해 감지된 리스크 이벤트 유형 목록.
유형: json
- 이름: riskEventTypes_v2
설명: 확장된 리스크 이벤트 유형 목록.
유형: json
- 이름: riskLastUpdatedDateTime
설명: 리스크 마지막 업데이트의 타임스탬프.
유형: timestamp
시간 형식:
- rfc3339
- 이름: riskDetail
설명: 감지된 리스크의 성격에 대한 세부 정보.
유형: string
- 이름: riskLevel
설명: 분석 후 최종 리스크 수준.
유형: string
- 이름: riskLevelAggregated
설명: 이벤트에 할당된 집계된 리스크 수준.
유형: string
- 이름: riskLevelDuringSignIn
설명: 로그인 시점의 리스크 수준.
유형: string
- 이름: riskState
설명: 사용자 또는 세션의 리스크 상태.
유형: string
- 이름: rngcStatus
설명: 요청 논스 생성 확인의 상태 코드.
유형: string
- 이름: servicePrincipalId
설명: 사용된 서비스 주체의 객체 ID.
유형: string
- 이름: servicePrincipalCredentialKeyId
설명: 서비스 주체가 사용한 자격 증명의 키 ID.
유형: string
- 이름: servicePrincipalName
설명: 서비스 주체의 이름.
유형: string
- 이름: sessionId
설명: 작업의 세션 식별자.
유형: string
- 이름: sessionLifetimePolicies
설명: 이 작업에 적용되는 세션 수명 정책.
유형: json
- 이름: signInIdentifier
설명: 사용자를 인증하는 데 사용된 기본 식별자.
유형: string
- 이름: signInIdentifierType
유형: string
- 이름: signInTokenProtectionStatus
설명: 로그인 시 토큰 보호 상태.
유형: string
- 이름: sourceSystem
유형: json
- 이름: ssoExtensionVersion
설명: SSO 브라우저 확장 프로그램 버전.
유형: string
- 이름: status
설명: 로그인 시도에 대한 상태 세부 정보.
유형: json
- 이름: targetResources
설명: 작업의 대상이 되었거나 영향을 받은 리소스의 배열.
유형: array
요소:
유형: object
필드:
- 이름: displayName
설명: 리소스의 표시 이름.
유형: string
- 이름: id
설명: 리소스의 고유 객체 ID.
유형: string
- 이름: modifiedProperties
설명: 수정된 리소스의 속성.
유형: array
요소:
유형: object
필드:
- 이름: oldValue
설명: 속성의 이전 값.
유형: string
- 이름: displayName
설명: 수정된 속성의 이름.
유형: string
- 이름: newValue
설명: 속성의 새 값.
유형: string
- 이름: type
설명: 리소스 유형(예: User, Group, App).
유형: string
- 이름: administrativeUnits
유형: json
- 이름: groupType
설명: 그룹 리소스의 유형(해당되는 경우).
유형: string
- 이름: userPrincipalName
설명: 리소스 내의 사용자의 UPN.
유형: string
- 이름: tenantId
설명: Azure AD 테넌트의 테넌트 ID.
유형: string
- 이름: timeGenerated
설명: 이 로그 항목이 생성된 날짜 및 시간.
유형: timestamp
시간 형식:
- rfc3339
- 이름: tokenIssuerName
설명: 토큰을 발급한 권한의 이름.
유형: string
- 이름: tokenIssuerType
설명: 토큰 발급자의 유형.
유형: string
- 이름: tokenProtectionStatusDetails
설명: 토큰 보호 상태에 대한 정보.
유형: json
- 이름: type
유형: string
- 이름: uniqueTokenIdentifier
설명: 보안 토큰의 고유 식별자.
유형: string
- 이름: userAgent
설명: 클라이언트의 사용자 에이전트 문자열.
유형: string
- 이름: userDisplayName
설명: 사용자의 표시 이름.
유형: string
지표:
- username
- 이름: userId
설명: Azure AD에서 사용자의 객체 ID.
유형: string
- 이름: userPrincipalName
설명: 사용자의 UPN.
유형: string
지표:
- username
- 이름: userType
유형: string
- 이름: activity
설명: 이벤트와 관련된 활동의 이름 또는 유형.
유형: string
- 이름: additionalInfo
설명: 이벤트에 대한 보충 정보.
유형: string
- 이름: detectedDateTime
설명: 리스크 또는 탐지가 처음 관찰된 날짜 및 시간.
유형: timestamp
시간 형식:
- rfc3339
- 이름: detectionTimingType
설명: 리스크 탐지의 타이밍 컨텍스트(예: 실시간, 오프라인).
유형: string
- 이름: lastUpdatedDateTime
설명: 이 이벤트가 마지막으로 업데이트된 날짜 및 시간.
유형: timestamp
시간 형식:
- rfc3339
- 이름: mitreTechniqueId
설명: 해당되는 경우 이벤트와 관련된 MITRE ATT&CK 기술 식별자.
유형: string
- 이름: riskEventType
설명: 활동과 관련된 리스크 이벤트 유형(예: UnfamiliarLocation).
유형: string
- 이름: riskType
설명: 감지된 리스크 유형에 대한 분류.
유형: string
- 이름: source
설명: 이 로그 항목의 출처가 된 Microsoft 서비스 또는 구성 요소.
유형: string
- 이름: identity
설명: 이 중첩 이벤트와 관련된 식별자.
유형: string
- 이름: operationName
설명: properties 컨텍스트에서의 작업 이름.
유형: string
- 이름: resultDescription
설명: 작업 결과에 대한 보다 자세한 설명.
유형: string
- 이름: resultType
설명: 작업의 고수준 결과(성공, 실패 등).
유형: string
- 이름: C_DeviceId
설명: 이벤트와 관련된 장치 ID.
유형: string
- 이름: C_Sid
설명: 이벤트와 관련된 보안 식별자(SID).
유형: string
- 이름: C_Iat
설명: 이벤트의 Issued At 타임스탬프 또는 ID.
유형: string
- 이름: C_Idtyp
설명: 이벤트와 관련된 식별자 유형 코드.
유형: string
- 이름: UserPrincipalObjectID
설명: 사용자 주체의 객체 ID.
유형: string
- 이름: __UDI_RequiredFields_EventTime
설명: 이벤트가 발생한 시간의 Unix 타임스탬프.
유형: timestamp
시간 형식:
- unix_auto
- 이름: __UDI_RequiredFields_RegionScope
설명: 이벤트의 지역 범위.
유형: string
- 이름: __UDI_RequiredFields_TenantId
설명: UDI 규정 준수를 위해 필요한 테넌트 ID.
유형: string
- 이름: __UDI_RequiredFields_UniqueId
설명: UDI 컨텍스트에서 이벤트의 고유 식별자.
유형: string
- 이름: apiVersion
설명: 작업에 사용된 API 버전.
유형: string
- 이름: atContentH
설명: 추가 토큰 또는 컨텍스트 정보(헤더).
유형: string
- 이름: atContentP
설명: 추가 토큰 또는 컨텍스트 정보(페이로드).
유형: string
- 이름: clientAuthMethod
설명: 사용된 클라이언트 인증 방법(예: client secret, certificate).
유형: string
- 이름: clientRequestId
설명: 클라이언트 요청의 고유 식별자.
유형: string
- 이름: durationMs
설명: properties 내에서 작업의 지속 시간(밀리초).
유형: string
- 이름: identityProvider
설명: 인증에 관여한 ID 공급자.
유형: string
- 이름: operationId
설명: 작업 식별자.
유형: string
- 이름: requestMethod
설명: 작업에 사용된 HTTP 메서드(GET, POST 등).
유형: string
- 이름: requestUri
설명: 액세스된 API 또는 리소스의 URI.
유형: string
- 이름: responseSizeBytes
설명: 바이트 단위의 응답 크기.
유형: bigint
- 이름: responseStatusCode
설명: 응답의 HTTP 상태 코드.
유형: bigint
- 이름: roles
설명: 사용자 또는 애플리케이션에 할당된 역할.
유형: string
- 이름: scopes
설명: 작업에서 요청된 OAuth 범위.
유형: string
- 이름: signInActivityId
설명: 고유한 로그인 활동 식별자.
유형: string
- 이름: tokenIssuedAt
description: 토큰이 발급된 시간.
유형: timestamp
시간 형식:
- rfc3339
- name: wids
description: 관련된 잘 알려진 ID 또는 기타 식별자.
유형: string
- name: requestId
description: 고유한 요청 식별자.
유형: string
- name: appOwnerTenantId
description: 애플리케이션 소유자의 테넌트 ID.
유형: string
- name: servicePrincipalCredentialThumbprint
description: 서비스 프린시펄이 사용한 자격 증명의 서명(thumbprint).
유형: string
- name: mfaDetail
description: 다중 인증 단계에 대한 세부 정보.
유형: object
필드:
- name: authDetail
description: 인증 프로세스에 대한 세부 정보.
유형: string
- name: authMethod
description: 사용된 MFA 방법(예: 전화, 앱).
유형: string
- 이름: resourceId
필수: true
description: 이벤트와 관련된 Azure 리소스의 고유 식별자.
유형: string
- 이름: resultDescription
description: 이벤트 결과에 대한 추가 컨텍스트 또는 설명.
유형: string
- name: resultSignature
description: 이벤트 결과의 서명 또는 고유 식별자.
유형: string
- 이름: resultType
description: 성공, 실패 또는 시간 초과와 같은 이벤트의 전체 결과.
유형: string
- 이름: tenantId
description: 이벤트가 발생한 Azure Active Directory 테넌트의 테넌트 ID.
유형: string
- name: time
필수: true
description: 이벤트가 발생한 타임스탬프.
유형: timestamp
시간 형식:
- rfc3339
- '%m/%d/%Y %I:%M:%S %p'
isEventTime: true
\
