Microsoft Defender XDR 로그(베타)

Microsoft Defender XDR 로그를 Panther 콘솔에 연결하기

개요

Microsoft Defender XDR 로그 수집은 Panther 버전 1.114부터 오픈 베타로 제공되며 모든 고객이 이용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요.

Panther는 다음을 수집하는 것을 지원합니다 Microsoft Defender XDR 공통을 통한 로그 데이터 전송 옵션(예: Azure) Event Hub 와 Blob Storage.

Microsoft Defender XDR 로그를 Panther에 온보딩하는 방법

먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 생성한 다음 Azure를 구성하여 해당 위치로 로그를 내보냅니다.

사전 요구 사항

Microsoft Defender XDR 로그를 Panther에 온보딩하기 전에 다음을 확인하세요:

Azure 구독이 있으며 사용자가 다음 권한을 가지고 있습니다 소유자 이전에 생성한 Snowflake 사용자 이름, 예를 들면 기여자 역할을 가져야 합니다.
Defender XDR 로그를 통해 수집할 계획이라면 Event Hub 데이터 전송, 이미 생성된 Event Hubs 네임스페이스 및 Event Hub(다음에 명시된 대로) 두 옵션 모두 동일한 결과(즉, 로그 이벤트가 동일한 방식으로 인리치됨)를 제공하지만, 문자열 배열 기본 키를 사용하여 인리치먼트를 정의하는 것이 편의성과 유지보수 오류 가능성 감소 측면에서 권장됩니다.).
- Defender XDR 로그를 통해 수집할 계획이라면 Blob 스토리지 데이터 전송, 이미 스토리지 계정을 생성할 필요는 없습니다.
사용자에게 네임스페이스 또는 스토리지 계정에 메시지를 게시할 권한이 있어야 합니다.

1단계: Panther에서 Microsoft Defender XDR 소스 생성

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
“Microsoft Defender XDR”를 검색한 후 해당 타일을 클릭하세요.
- 슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 Azure Event Hub 옵션. 이 선택을 그대로 두거나 Azure Blob Storage.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
Panther의 지침에 따라 다음을 구성하세요 Azure Event Hub 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Azure Blob Storage 소스.
- Azure Blob Storage를 선택하고 2단계: 필요한 Azure 인프라 생성 Azure 리소스를 수동으로 생성하기로 선택한 경우(테라폼 대신), Azure 컨테이너를 생성하는 단계를건너뛰세요. 아래 단계 2에서 스토리지 계정에 컨테이너가 자동으로 생성됩니다.

2단계: 스트리밍 API로 Microsoft Defender XDR 로그 내보내기

Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요.

추가 지원이 필요하면 Microsoft 문서를 참조하세요 고급 헌팅 이벤트를 Event Hubs 및/또는 Azure 스토리지 계정으로 스트리밍 문서.

Azure 포털에서 Microsoft Defender 포털로 이동하세요: https://security.microsoft.com/.
샘플 로그 설정.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Microsoft Defender XDR.
에서 일반인 경우 JSON 로그를 업로드했다면 클릭하세요 스트리밍 API.
에서 스트리밍 API인 경우 JSON 로그를 업로드했다면 클릭하세요 + 추가.
양식을 작성하세요:
- 이름: 설명적인 이름을 입력하세요. 예: Panther 포워더.
- 선택한 전송 방법에 따라 다음 중 하나를 선택하세요: 이벤트를 Azure Storage로 포워드 이전에 생성한 Snowflake 사용자 이름, 예를 들면 이벤트를 Event Hub로 포워드Panther에서 생성한 로그 소스 유형에 따라, 1단계.
  - 을(를) 선택하면 이벤트를 Azure Storage로 포워드의 스토리지 계정 리소스 ID 필드에 스토리지 계정의 ID를 입력하세요.
  - 을(를) 선택하면 이벤트를 Event Hub로 포워드의 Event-Hub 리소스 ID 필드에 이벤트 허브의 ID를 입력하세요.
- 이벤트 유형: Panther로 전송할 로그 카테고리를 선택하세요. 전체 이벤트 유형 목록은 여기를 참조하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 제출.

지원되는 로그 유형

MicrosoftDefenderXDR.AdvancedHunting

스키마: MicrosoftDefenderXDR.AdvancedHunting
설명: Microsoft Defender XDR용 고급 헌팅 스키마
참고 URL: https://learn.microsoft.com/en-us/defender-xdr/streaming-api-storage#the-schema-of-the-events-in-the-storage-account
필드:
    - name: _TimeReceivedBySvc
      type: timestamp
      timeFormats:
        - rfc3339
        - '%Y-%m-%d %H:%M:%S.%N'
        - '%Y-%m-%dT%H:%M:%S.%N'
    - name: operationName
      type: string
    - name: Tenant
      type: string
    - 이름: time
      required: true
      설명: Microsoft Defender XDR가 이벤트를 수신한 시간
      type: timestamp
      timeFormats:
        - rfc3339
        - '%Y-%m-%d %H:%M:%S.%N'
    - name: tenantId
      required: true
      설명: 조직의 테넌트 ID
      type: string
    - name: category
      required: true
      설명: 'AdvancedHunting-' 접두사가 있는 고급 헌팅 테이블 이름
      type: string
    - name: properties
      required: true
      설명: Microsoft Defender XDR 고급 헌팅 이벤트 속성 (https://learn.microsoft.com/en-us/defender-xdr/supported-event-types#hunting-tables-support-status-in-event-streaming-api)
      type: object
      필드:
        - name: AadDeviceId
          설명: Microsoft Entra ID에서 장치를 식별하는 고유 식별자
          type: string
        - 이름: AccountDisplayName
          설명: 로그온과 관련된 계정의 표시 이름
          type: string
        - 이름: AccountDomain
          설명: 변경을 수행한 계정의 도메인
          type: string
          지표:
            - 도메인
        - name: AccountId
          설명: Microsoft Defender for Cloud Apps에서의 계정 식별자
          type: string
        - 이름: AccountName
          설명: 변경을 수행한 계정의 이름
          type: string
        - 이름: AccountObjectId
          설명: 변경을 수행한 계정의 Microsoft Entra ID 객체 ID
          type: string
        - 이름: AccountSid
          설명: 변경을 수행한 계정의 SID
          type: string
        - 이름: AccountType
          설명: 사용자 계정 유형 (일반, 시스템, 관리자, 애플리케이션)
          type: string
        - 이름: AccountUpn
          설명: 변경을 수행한 계정의 UPN
          type: string
          지표:
            - 이메일
        - 이름: ActionType
          설명: 디렉터리 변경 유형 (예: AddMember, RemoveMember, ModifyGroup)
          type: string
        - 이름: ActivityObjects
          설명: 기록된 활동에 관련된 객체 목록
          유형: json
        - name: ActivityType
          설명: 이벤트를 트리거한 활동 유형
          type: string
        - 이름: AdditionalFields
          설명: JSON 배열 형식의 추가 메타데이터
          유형: json
          isEmbeddedJSON: true
        - 이름: AlertId
          설명: 알러트의 고유 식별자
          type: string
        - 이름: AppGuardContainerId
          설명: Application Guard에서 사용되는 가상화 컨테이너의 식별자
          type: string
        - 이름: AppInstanceId
          설명: 애플리케이션 인스턴스의 고유 식별자
          유형: int
        - 이름: Application
          설명: 기록된 동작을 수행한 애플리케이션
          type: string
        - 이름: ApplicationId
          설명: 애플리케이션의 고유 식별자
          type: bigint
        - 이름: AssetValue
          설명: 장치에 할당된 비즈니스 가치 (낮음, 보통, 높음)
          type: string
        - 이름: AttachmentCount
          설명: 이메일의 첨부 파일 수
          유형: int
        - 이름: AttachmentId
          설명: 첨부 파일의 고유 식별자
          type: string
        - 이름: AttackTechniques
          설명: 알러트와 관련된 MITRE ATT&CK 기법
          type: array
          element:
            type: string
            지표:
                - ip
          isEmbeddedJSON: true
        - 이름: AuditSource
          설명: 감사 데이터 소스 (예: 세션 제어, 앱 커넥터)
          type: string
        - 이름: AuthenticationDetails
          설명: DMARC, DKIM, SPF와 같은 이메일 인증 프로토콜 또는 여러 인증 유형의 조합(CompAuth)에 따른 통과/실패 판정 목록
          type: string
        - 이름: AwsResourceName
          설명: 장치에 대한 AWS 리소스 이름
          type: string
        - 이름: AzureResourceId
          설명: 장치와 연결된 Azure 리소스 ID
          type: string
        - 이름: AzureVmId
          설명: 장치에 할당된 Azure VM ID
          type: string
        - 이름: AzureVmSubscriptionId
          설명: 장치의 Azure 구독 ID
          type: string
        - 이름: BehaviorId
          설명: 행위의 고유 식별자
          type: string
        - 이름: BulkComplaintLevel
          설명: 대량 발송자에서 오는 이메일에 할당된 임계값. 높은 대량 불만 수준(BCL)은 이메일이 불만을 일으킬 가능성이 높아 스팸일 가능성이 더 큼을 의미함
          유형: int
        - 이름: Categories
          설명: 정보가 속하는 카테고리 목록 (JSON 배열 형식)
          유형: json
          isEmbeddedJSON: true
        - name: Category
          설명: 알러트가 식별한 위협 인디케이터 또는 침해 활동의 유형
          type: string
        - 이름: CertificateCountersignatureTime
          설명: 인증서가 카운터서명된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: CertificateCreationTime
          설명: 인증서가 생성된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: CertificateExpirationTime
          설명: 인증서가 만료되는 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: CertificateSerialNumber
          설명: CA가 발급한 인증서의 고유 식별자
          type: string
        - 이름: City
          설명: 클라이언트 IP 주소가 지리적으로 위치한 도시
          type: string
        - 이름: ClickAction
          설명: URL과의 사용자 상호작용 유형 (예: ClickedThrough, Blocked)
          type: string
        - 이름: ClickVerdict
          설명: URL 클릭 시 반환된 최종 판정 (예: 악성, 정상)
          type: string
        - 이름: ClientVersion
          설명: 장치에서 실행 중인 엔드포인트 에이전트 또는 센서의 버전
          type: string
        - 이름: CloudPlatform
          설명: 리소스가 속한 클라우드 플랫폼 (Azure, Amazon Web Services 또는 Google Cloud Platform일 수 있음)
          type: string
        - 이름: CloudPlatforms
          설명: 장치가 속한 클라우드 플랫폼들
          type: string
        - 이름: CloudResource
          설명: 이벤트와 연결된 클라우드 리소스 이름
          type: string
        - 이름: ClusterId
          설명: 조사 중 이메일을 연관시키기 위해 사용된 클러스터 ID
          type: string
        - 이름: ConfidenceLevel
          설명: 스팸 또는 피싱 판정의 신뢰 수준 목록. 스팸의 경우 이 열은 스팸 신뢰 수준(SCL)을 표시하여 이메일이 건너뛰어졌는지(-1), 스팸이 아닌 것으로 판정되었는지(0,1), 보통 신뢰도로 스팸으로 판정되었는지(5,6), 높은 신뢰도로 스팸으로 판정되었는지(9)를 나타냅니다. 피싱의 경우 이 열은 신뢰 수준이 "높음"인지 "낮음"인지 표시합니다.
          type: string
        - 이름: ConnectedNetwork
          설명: 연결과 관련된 네트워크 이름 또는 SSID
          type: string
        - 이름: ConnectionType
          설명: 네트워크 연결 유형 (예: 이더넷, Wi-Fi, 루프백)
          type: string
        - 이름: ConnectivityType
          설명: 장치에서 클라우드로의 연결 유형
          type: string
        - 이름: Connectors
          설명: 조직의 메일 흐름과 이메일 라우팅 방식을 정의하는 사용자 지정 지침
          type: string
        - 이름: CountryCode
          설명: IP가 지리적으로 위치한 국가의 두 글자 코드
          type: string
        - 이름: CreatedProcessSessionId
          설명: 생성된 프로세스의 Windows 세션 ID
          type: bigint
        - 이름: CrlDistributionPointUrls
          설명: 인증서 또는 CRL을 포함하는 네트워크 공유의 URL들
          유형: json
        - 이름: DHCPServer
          설명: 장치에서 사용된 DHCP 서버의 IP 주소
          type: string
          지표:
            - ip
        - 이름: DNSAddresses
          설명: 장치에 구성된 DNS 서버 목록(세미콜론으로 구분)
          type: array
          element:
            type: string
            지표:
                - ip
          isEmbeddedJSON: true
        - 이름: DataSources
          설명: 행위를 위해 정보를 제공한 제품 또는 서비스
          type: string
        - 이름: DefaultGateway
          설명: 장치에서 사용되는 기본 게이트웨이 주소
          type: string
          지표:
            - ip
        - 이름: DeliveryAction
          설명: 이메일에 대한 최종 전달 결과
          type: string
        - 이름: DeliveryLocation
          설명: 이메일이 전달된 위치 (예: 받은편지함, 스팸, 격리)
          type: string
        - name: Description
          설명: 행위에 대한 설명
          type: string
        - 이름: DetailedEntityRole
          설명: 행위에서 엔터티의 역할들
          type: string
        - 이름: DetectionMethods
          설명: 이메일에서 발견된 악성코드, 피싱 또는 기타 위협을 탐지하는 데 사용된 방법들
          type: string
        - 이름: DetectionSource
          설명: 주목할 만한 구성 요소나 활동을 식별한 탐지 기술 또는 센서
          type: string
        - 이름: DeviceCategory
          설명: 장치 분류 (엔드포인트, IoT 등)
          type: string
        - 이름: DeviceDynamicTags
          설명: 동적으로 생성된 장치 태그들
          type: string
        - 이름: DeviceId
          설명: 서비스에서 장치를 식별하는 고유 식별자
          type: string
        - 이름: DeviceManualTags
          설명: 수동으로 생성된 장치 태그들
          type: string
        - name: DeviceName
          설명: 이벤트가 발생한 장치의 정규화된 도메인 이름(FQDN)
          type: string
        - 이름: DeviceSubtype
          설명: 태블릿 또는 스마트폰과 같은 추가 수식어
          type: string
        - name: DeviceType
          설명: 장치 유형 (예: 워크스테이션, 서버)
          type: string
        - 이름: DiscoverySources
          설명: 장치를 본 제품 또는 서비스들
          type: string
        - 이름: EmailAction
          설명: 이메일에 대해 취해진 조치 (예: 전달됨, 격리됨)
          type: string
        - 이름: EmailActionPolicy
          설명: 조치를 트리거한 정책의 이름
          type: string
        - 이름: EmailActionPolicyGuid
          설명: 최종 메일 조치를 결정한 정책의 고유 식별자
          type: string
        - 이름: EmailActionSource
          설명: 조치의 출처 (예: 사용자, Microsoft, 관리자)
          type: string
        - 이름: EmailClusterId
          설명: 내용의 휴리스틱 분석을 기반으로 유사한 이메일 그룹에 할당된 식별자
          type: string
        - 이름: EmailDirection
          설명: 이메일 방향 (수신, 발신, 조직 내)
          type: string
        - 이름: EmailLanguage
          설명: 이메일 내용에서 감지된 언어
          type: string
        - 이름: EmailSubject
          설명: URL이 포함된 이메일의 제목
          type: string
        - 이름: EndTime
          설명: 행위와 관련된 마지막 활동의 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: EntityRole
          설명: 엔터티가 영향을 받았는지 단순히 관련된 것인지 여부를 나타냄
          type: string
        - 이름: EntityType
          설명: 파일, 프로세스, 장치 또는 사용자와 같은 객체 유형
          type: string
        - 이름: EvidenceDirection
          설명: 엔터티가 네트워크 연결의 출처인지 대상인지 여부를 나타냄
          type: string
        - 이름: EvidenceRole
          설명: 알러트에서 엔터티가 어떻게 관련되는지, 영향을 받았는지 또는 단순히 관련된 것인지 나타냄
          type: string
        - 이름: ExclusionReason
          설명: 장치 제외 사유
          type: string
        - 이름: ExposureLevel
          설명: 취약점 노출 수준 (낮음, 보통, 높음)
          type: string
        - name: FailureReason
          설명: 기록된 동작이 실패한 이유를 설명하는 정보
          type: string
        - 이름: FileExtension
          설명: 첨부 파일의 확장자
          type: string
        - 이름: FileName
          설명: 기록된 동작이 적용된 파일의 이름
          type: string
        - 이름: FileNames
          설명: 첨부 파일들의 이름들
          type: array
          element:
            type: string
        - 이름: FileOriginIP
          설명: 파일이 다운로드된 IP 주소
          type: string
          지표:
            - ip
        - 이름: FileOriginReferrerUrl
          설명: 파일 다운로드의 리퍼러 URL
          type: string
          지표:
            - url
        - 이름: FileOriginUrl
          설명: 파일이 다운로드된 URL
          type: string
          지표:
            - url
        - 이름: FileSize
          설명: 파일 크기(바이트 단위)
          type: bigint
        - 이름: FolderPath
          설명: 기록된 동작이 적용된 파일이 포함된 폴더
          type: string
        - 이름: GcpFullResourceName
          설명: 장치에 대한 GCP 전체 리소스 이름
          type: string
        - 이름: HardwareUuid
          설명: 장치의 하드웨어 UUID
          type: string
        - 이름: HostDeviceId
          설명: WSL을 실행 중인 경우 호스트 장치의 ID
          type: string
        - 이름: IPAddress
          설명: 통신 중 장치에 할당된 IP 주소
          type: string
          지표:
            - ip
        - 이름: IPAddressType
          설명: IP 주소 유형 (공용, 사설, 예약 등)
          type: string
        - 이름: IPCategory
          설명: IP 주소에 대한 추가 정보
          type: string
        - 이름: IPTags
          설명: IP 주소 또는 범위에 대해 고객이 정의한 태그
          유형: json
        - 이름: IPv6Address
          설명: 네트워크 어댑터에 할당된 IPv6 주소
          type: string
          지표:
            - ip
        - 이름: InitiatingProcessAccountDomain
          설명: 시작 프로세스를 실행한 계정의 도메인
          type: string
        - 이름: InitiatingProcessAccountName
          설명: 시작 프로세스를 실행한 계정의 사용자 이름
          type: string
        - 이름: InitiatingProcessAccountObjectId
          설명: 시작 계정의 Microsoft Entra 객체 ID
          type: string
        - 이름: InitiatingProcessAccountSid
          설명: 시작 계정의 보안 식별자(SID)
          type: string
        - 이름: InitiatingProcessAccountUpn
          설명: 시작 계정의 사용자 주체 이름(UPN)
          type: string
          지표:
            - 이메일
        - 이름: InitiatingProcessCommandLine
          설명: 시작 프로세스를 실행하는 데 사용된 명령줄
          type: string
        - 이름: InitiatingProcessCreationTime
          설명: 시작 프로세스가 시작된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: InitiatingProcessFileName
          설명: 시작 프로세스의 파일 이름
          type: string
        - 이름: InitiatingProcessFileSize
          설명: 시작 프로세스 파일의 크기(바이트 단위)
          type: bigint
        - 이름: InitiatingProcessFolderPath
          설명: 시작 프로세스를 포함하는 폴더 경로
          type: string
        - 이름: InitiatingProcessId
          설명: 시작 프로세스의 PID
          type: bigint
        - 이름: InitiatingProcessIntegrityLevel
          설명: 이벤트를 시작한 프로세스의 무결성 수준
          type: string
        - 이름: InitiatingProcessLogonId
          설명: 이벤트를 시작한 프로세스의 로그온 세션 식별자
          type: bigint
        - 이름: InitiatingProcessMD5
          설명: 시작 프로세스의 MD5 해시
          type: string
          지표:
            - md5
        - 이름: InitiatingProcessName
          설명: 변경을 시작한 프로세스의 이름
          type: string
        - 이름: InitiatingProcessParentAccountDomain
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 도메인
          type: string
        - 이름: InitiatingProcessParentAccountName
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 이름
          type: string
        - 이름: InitiatingProcessParentAccountObjectId
          설명: Microsoft Entra ID에서 계정을 식별하는 고유 식별자
          type: string
        - 이름: InitiatingProcessParentAccountSid
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 보안 식별자(SID)
          type: string
        - 이름: InitiatingProcessParentAccountUpn
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 주체 이름(UPN)
          type: string
          지표:
            - 이메일
        - 이름: InitiatingProcessParentCreationTime
          설명: 상위 프로세스가 시작된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: InitiatingProcessParentFileName
          설명: 상위 프로세스의 파일 이름 또는 경로
          type: string
        - 이름: InitiatingProcessParentFolderPath
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)를 포함하는 폴더
          type: string
        - 이름: InitiatingProcessParentId
          설명: 상위 프로세스의 PID
          type: bigint
        - 이름: InitiatingProcessParentIntegrityLevel
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스의 무결성 수준
          type: string
        - 이름: InitiatingProcessParentLogonId
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스의 로그온 세션 식별자
          유형: int
        - 이름: InitiatingProcessParentMD5
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)의 MD5 해시
          type: string
          지표:
            - md5
        - 이름: InitiatingProcessParentSHA1
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-1
          type: string
          지표:
            - sha1
        - 이름: InitiatingProcessParentSHA256
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-256
          type: string
          지표:
            - sha256
        - 이름: InitiatingProcessParentTokenElevation
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스에 적용된 사용자 계정 컨트롤(UAC) 권한 상승의 존재 여부를 나타내는 토큰 유형
          type: string
        - 이름: InitiatingProcessRemoteSessionDeviceName
          설명: RDP 세션이 시작된 장치의 이름
          type: string
        - 이름: InitiatingProcessRemoteSessionIP
          설명: RDP 세션의 원격 장치 IP 주소
          type: string
          지표:
            - ip
        - 이름: InitiatingProcessSHA1
          설명: 시작 프로세스의 SHA-1 해시
          type: string
          지표:
            - sha1
        - 이름: InitiatingProcessSHA256
          설명: 시작 프로세스의 SHA-256 해시
          type: string
          지표:
            - sha256
        - 이름: InitiatingProcessSessionId
          설명: 시작 프로세스의 Windows 세션 ID
          type: bigint
        - 이름: InitiatingProcessTokenElevation
          설명: UAC 권한 상승이 적용되었는지 여부를 나타냄
          type: string
        - 이름: InitiatingProcessUniqueId
          설명: 시작 프로세스의 고유 식별자 (프로세스 시작 키와 동일)
          type: string
        - 이름: InitiatingProcessVersionInfoCompanyName
          설명: 시작 프로세스 버전 정보의 회사 이름
          type: string
        - 이름: InitiatingProcessVersionInfoFileDescription
          설명: 시작 프로세스 버전 정보의 파일 설명
          type: string
        - 이름: InitiatingProcessVersionInfoInternalFileName
          설명: 시작 프로세스 버전 정보의 내부 파일 이름
          type: string
        - 이름: InitiatingProcessVersionInfoOriginalFileName
          설명: 시작 프로세스 버전 정보의 원래 파일 이름
          type: string
        - 이름: InitiatingProcessVersionInfoProductName
          설명: 시작 프로세스 버전 정보의 제품 이름
          type: string
        - 이름: InitiatingProcessVersionInfoProductVersion
          설명: 시작 프로세스 버전 정보의 제품 버전
          type: string
        - 이름: InternetMessageId
          설명: Message-ID 헤더의 고유 메시지 식별자
          type: string
        - 이름: IsAdminOperation
          설명: 활동이 관리자로 수행되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsAnonymousProxy
          설명: IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냄
          유형: boolean
        - 이름: IsAzureADJoined
          설명: 장치가 Microsoft Entra ID에 조인되었는지 여부
          유형: boolean
        - 이름: IsAzureInfoProtectionApplied
          설명: Azure Information Protection이 적용되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsDomainJoined
          설명: 장치가 도메인에 조인되었는지 여부
          유형: boolean
        - 이름: IsExcluded
          설명: 장치가 취약점 관리에서 제외되었는지 여부
          유형: boolean
        - 이름: IsExternalUser
          설명: 사용자가 조직의 도메인 외부인지 여부를 나타냄
          유형: boolean
        - 이름: IsImpersonated
          설명: 활동이 가장된 사용자에 의해 수행되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsInitiatingProcessRemoteSession
          설명: 시작 프로세스가 RDP 세션에서 실행되었는지 여부
          유형: boolean
        - 이름: IsInternetFacing
          설명: 장치가 인터넷에 노출되어 있는지 여부
          유형: boolean
        - 이름: IsLocalAdmin
          설명: 사용자가 장치의 로컬 관리자 여부
          유형: boolean
        - 이름: IsLocalLogon
          설명: 로그온이 로컬 계정을 사용하여 발생했는지 여부
          유형: boolean
        - 이름: IsProcessRemoteSession
          설명: 생성된 프로세스가 RDP에서 실행되었는지 여부
          유형: boolean
        - 이름: IsRootSignerMicrosoft
          설명: 루트 인증서가 Microsoft에서 발급되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsSigned
          설명: 파일이 서명되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsTransient
          설명: 장치가 일시적이거나 단기간 존재하는지 여부
          유형: boolean
        - 이름: IsTrusted
          설명: 인증서 검증을 기반으로 파일이 신뢰되는지 여부를 나타냄
          유형: boolean
        - 이름: Isp
          설명: 해당 IP 주소와 관련된 인터넷 서비스 제공업체
          type: string
        - 이름: Issuer
          설명: 발급한 인증 기관(CA)에 대한 정보
          type: string
        - 이름: IssuerHash
          설명: 발급한 인증 기관(CA)을 식별하는 고유 해시 값
          type: string
        - name: JoinType
          설명: Microsoft Entra ID 조인 유형
          type: string
        - 이름: LastSeenForUser
          설명: 사용자에 대한 최종 조회 표시자 속성
          유형: json
        - 이름: LatestDeliveryAction
          설명: 서비스 또는 관리자가 수동 수정으로 시도한 이메일에 대한 마지막 알려진 조치
          type: string
        - 이름: LatestDeliveryLocation
          설명: 이메일의 마지막 알려진 위치
          type: string
        - 이름: LocalIP
          설명: 통신 중 로컬 장치에 할당된 IP 주소
          type: string
          지표:
            - ip
        - 이름: LocalPort
          설명: 통신에 사용된 로컬 장치의 TCP 포트
          유형: int
        - 이름: LoggedOnUsers
          설명: 로그인한 사용자 목록 (JSON 배열 형식)
          type: string
        - 이름: LogonId
          설명: 로그온 세션의 고유 ID
          type: bigint
        - 이름: LogonType
          설명: 로그온 세션 유형 (예: 대화형, 원격 대화형, 네트워크)
          type: string
        - 이름: MD5
          설명: 첨부 파일의 MD5 해시
          type: string
          지표:
            - md5
        - 이름: MacAddress
          설명: 네트워크 어댑터의 MAC 주소
          type: string
        - 이름: MachineGroup
          설명: 역할 기반 액세스 제어에 사용되는 머신 그룹
          type: string
        - 이름: MalwareFamily
          설명: 첨부 파일에서 식별된 악성코드 계열 이름
          type: string
        - 이름: MergedDeviceIds
          설명: 동일한 장치에 이전에 할당된 장치 ID들
          type: string
        - 이름: MergedToDeviceId
          설명: 장치에 대한 최신 장치 ID
          type: string
        - 이름: MitigationStatus
          설명: 장치에 적용된 완화 조치
          type: string
        - name: Model
          설명: 장치의 모델 이름 또는 번호
          type: string
        - 이름: ModifiedProperties
          설명: 변경된 속성들의 키-값 맵
          유형: json
        - 이름: NetworkAdapterAlias
          설명: 네트워크 어댑터의 사용자 친화적 이름 또는 별칭
          type: string
        - 이름: NetworkAdapterName
          설명: 장치의 네트워크 어댑터 이름
          type: string
        - 이름: NetworkAdapterStatus
          설명: 네트워크 어댑터의 현재 운영 상태
          type: string
        - 이름: NetworkMessageId
          설명: Microsoft 365 Defender 전체에서 이메일을 식별하는 고유 식별자
          type: string
        - 이름: NetworkMessageParentId
          설명: 여러 수신자에게 전송된 메시지의 중복 제거에 사용되는 식별자
          type: string
        - name: OAuthAppId
          description: OAuth 애플리케이션의 고유 식별자
          type: string
        - name: OAuthApplicationId
          description: 타사 OAuth 애플리케이션의 고유 식별자
          type: string
        - name: OSArchitecture
          description: 운영 체제의 아키텍처
          type: string
        - name: OSBuild
          description: 운영 체제의 빌드 버전
          type: bigint
        - name: OSDistribution
          description: Ubuntu 또는 RedHat과 같은 OS 배포판
          type: string
        - name: OSPlatform
          description: 장치의 운영 체제 플랫폼
          type: string
        - name: OSVersion
          설명: 운영 체제 버전
          type: string
        - name: OSVersionInfo
          description: 추가 OS 버전 정보(예: 코드네임)
          type: string
        - 이름: ObjectId
          description: 작업이 적용된 객체의 고유 식별자
          type: string
        - 이름: ObjectName
          description: 기록된 작업이 적용된 객체의 이름
          type: string
        - 이름: ObjectType
          description: 파일 또는 폴더와 같은 객체 유형
          type: string
        - name: OnboardingStatus
          description: Microsoft Defender for Endpoint에 대한 온보딩 상태
          type: string
        - name: OrgLevelAction
          description: 조직 전체 작업(예: ZAP을 정크/격리로 이동)
          type: string
        - name: OrgLevelPolicy
          description: 이메일에 대해 수행된 작업을 유발한 조직 정책
          type: string
        - name: OsBuildRevision
          description: 운영 체제의 빌드 리비전
          type: string
        - name: PreviousFileName
          description: 이름이 변경되기 전의 원래 파일 이름
          type: string
        - name: PreviousFolderPath
          description: 작업 이전 파일의 원래 폴더
          type: string
        - name: PreviousRegistryValueData
          description: 기록된 변경 이전에 레지스트리 값에 저장된 데이터
          type: string
        - name: PreviousRegistryValueType
          description: 변경이 발생하기 전에 저장된 데이터 유형
          type: string
        - name: ProcessCommandLine
          description: 새 프로세스를 생성할 때 사용된 명령줄
          type: string
        - name: ProcessCreationTime
          description: 프로세스가 생성된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - name: ProcessId
          description: 새로 생성된 프로세스의 프로세스 ID(PID)
          유형: int
        - name: ProcessIntegrityLevel
          description: 새로 생성된 프로세스의 무결성 수준
          type: string
        - name: ProcessRemoteSessionDeviceName
          description: 생성된 프로세스를 시작한 RDP 세션의 장치 이름
          type: string
        - name: ProcessRemoteSessionIP
          description: 생성된 프로세스를 시작한 RDP 세션의 IP 주소
          type: string
          지표:
            - ip
        - name: ProcessTokenElevation
          description: 새로 생성된 프로세스에 적용된 사용자 계정 컨트롤(UAC) 권한 상승의 존재 여부를 나타내는 토큰 유형
          type: string
        - name: ProcessUniqueId
          description: 프로세스의 고유 식별자(프로세스 시작 키와 동일)
          type: string
        - name: Protocol
          description: 통신에 사용된 네트워크 프로토콜
          type: string
        - 이름: PublicIP
          description: 온보딩된 장치에서 사용된 공용 IP 주소
          type: string
          지표:
            - ip
        - name: Query
          description: 도메인 컨트롤러에서 실행된 실제 LDAP 쿼리
          type: string
        - name: QueryEngine
          description: 사용된 검색 엔진 또는 인터페이스(예: LDAP)
          type: string
        - name: QueryScope
          description: LDAP 쿼리의 범위(예: Base, OneLevel, Subtree)
          type: string
        - name: QueryTarget
          description: 쿼리의 구분 이름(DN) 또는 기준(base)
          type: string
        - name: QueryTargetDeviceId
          description: 쿼리를 수신한 도메인 컨트롤러의 고유 식별자
          type: string
        - name: QueryTargetDeviceName
          description: 쿼리를 수신한 도메인 컨트롤러의 이름
          type: string
        - name: RawEventData
          description: 소스 애플리케이션 또는 서비스의 원시 이벤트 데이터
          유형: json
        - name: RecipientEmailAddress
          description: URL을 클릭한 사용자의 이메일 주소
          type: string
          지표:
            - 이메일
        - name: RecipientObjectId
          description: 수신자의 Microsoft Entra ID 객체 ID
          type: string
        - name: RegistryDeviceTag
          description: 레지스트리를 통해 추가된 장치 태그
          type: string
        - name: RegistryKey
          description: 기록된 작업이 적용된 레지스트리 키
          type: string
        - name: RegistryValueData
          description: 기록된 작업이 적용된 레지스트리 값의 데이터
          type: string
        - name: RegistryValueName
          description: 기록된 작업이 적용된 레지스트리 값의 이름
          type: string
        - name: RegistryValueType
          description: 레지스트리 값의 데이터 유형(예: REG_SZ, REG_DWORD)
          type: string
        - name: RemoteDeviceName
          description: 원격 장치의 이름(사용 가능한 경우)
          type: string
        - name: RemoteDnsDomain
          description: 원격 장치의 최상위 DNS 도메인
          type: string
          지표:
            - 도메인
        - name: RemoteIP
          description: URL을 클릭한 시스템의 IP 주소
          type: string
          지표:
            - ip
        - name: RemoteIPType
          description: IP 주소 분류(예: Public, Private)
          type: string
        - name: RemotePort
          description: 통신에 사용된 원격 장치의 TCP 포트
          유형: int
        - name: RemoteUrl
          description: 연결하려 했던 URL 또는 정규화된 도메인 이름(FQDN)
          type: string
          지표:
            - url
        - name: ReportId
          description: 반복 카운터를 기반으로 한 이벤트 식별자
          type: string
        - name: RequestAccountDomain
          description: 원격 계정의 도메인
          type: string
        - name: RequestAccountName
          description: 원격 계정의 사용자 이름
          type: string
        - name: RequestAccountSid
          description: 원격 계정의 SID
          type: string
        - name: RequestProtocol
          description: 활동을 시작하는 데 사용된 네트워크 프로토콜
          type: string
        - name: RequestSourceIP
          description: 원격 장치의 소스 IP 주소
          type: string
          지표:
            - ip
        - name: RequestSourcePort
          description: 원격 장치의 소스 포트
          유형: int
        - name: ResourceID
          description: 클라우드 리소스의 고유 식별자
          type: string
        - name: ResourceType
          description: 클라우드 리소스의 유형
          type: string
        - name: SHA1
          description: 기록된 작업이 적용된 파일의 SHA-1
          type: string
          지표:
            - sha1
        - name: SHA256
          description: 첨부 파일의 SHA-256 해시
          type: string
          지표:
            - sha256
        - name: SenderDisplayName
          description: 발신자의 표시 이름
          type: string
        - name: SenderFromAddress
          description: 이메일의 "From" 필드에 있는 이메일 주소
          type: string
          지표:
            - 이메일
        - name: SenderFromDomain
          description: 발신자의 "From" 주소의 도메인
          type: string
          지표:
            - 도메인
        - name: SenderIP
          description: 발신자의 IP 주소
          type: string
          지표:
            - ip
        - name: SenderIPv4
          description: 메시지를 전달한 마지막으로 감지된 메일 서버의 IPv4 주소
          type: string
          지표:
            - ip
        - name: SenderIPv6
          description: 메시지를 전달한 마지막으로 감지된 메일 서버의 IPv6 주소
          type: string
          지표:
            - ip
        - name: SenderMailFromAddress
          description: 발신자의 SMTP MAIL FROM 주소
          type: string
          지표:
            - 이메일
        - name: SenderMailFromDomain
          description: SMTP MAIL FROM 명령의 도메인
          type: string
          지표:
            - 도메인
        - name: SenderObjectId
          description: Microsoft Entra ID에서 발신자 계정의 고유 식별자
          type: string
        - name: SensitivityLabel
          description: 파일에 적용된 민감도 레이블
          type: string
        - name: SensitivitySubLabel
          description: 기본 민감도 레이블 아래에 적용된 하위 레이블
          type: string
        - name: SensorHealthState
          description: 장치의 EDR 센서 상태(건강 상태)
          type: string
        - name: ServiceSource
          description: 알러트 정보를 제공한 제품 또는 서비스
          type: string
        - name: SessionData
          description: 액세스/세션 제어를 위한 Defender for Cloud Apps 세션 ID
          유형: json
        - name: Severity
          description: 알러트로 식별된 위협 지표 또는 침해 활동의 잠재적 영향(높음, 보통, 낮음)을 나타냄
          type: string
        - name: ShareName
          description: 공유 폴더의 이름
          type: string
        - name: SignatureType
          description: 서명이 어떻게 획득되었는지(임베디드 또는 카탈로그)를 나타냄
          type: string
        - name: Signer
          description: 파일 서명자에 대한 정보
          type: string
        - name: SignerHash
          description: 서명자를 식별하는 고유 해시 값
          type: string
        - name: Site
          description: 장치의 물리적 위치
          type: string
        - name: StartTime
          description: 동작과 관련된 첫 활동의 날짜 및 시간
          type: timestamp
          timeFormats:
            - '%Y-%m-%d %H:%M:%S.%N'
            - rfc3339
        - name: Subject
          description: 이메일의 제목
          type: string
        - name: SubnetPrefix
          description: 할당된 IP 주소와 연관된 서브넷 접두사 또는 넷마스크
          type: string
        - name: SubscriptionId
          description: 클라우드 서비스 구독의 고유 식별자
          type: string
        - name: TargetAccountDomain
          description: 수정된 객체의 도메인
          type: string
          지표:
            - 도메인
        - name: TargetAccountName
          description: 수정된 객체의 이름
          type: string
        - name: TargetAccountObjectId
          description: 수정된 계정의 Microsoft Entra ID 객체 ID
          type: string
        - name: TargetAccountSid
          description: 수정된 객체의 SID
          type: string
        - name: TargetAccountUpn
          description: 수정된 객체의 UPN(해당되는 경우)
          type: string
          지표:
            - 이메일
        - name: ThreatFamily
          description: 의심스럽거나 악의적인 파일 또는 프로세스가 분류된 멀웨어 패밀리
          type: string
        - name: ThreatNames
          description: 감지된 멀웨어 또는 기타 위협의 탐지 이름
          type: string
        - name: ThreatTypes
          description: URL과 관련된 감지된 위협(여러 개일 경우 세미콜론으로 구분)
          type: string
        - name: Timestamp
          description: URL 클릭 이벤트가 기록된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
          isEventTime: true
        - name: Title
          description: 알러트의 제목
          type: string
        - name: UncommonForUser
          description: 사용자에게 드문 이벤트 속성
          유형: json
        - name: Url
          description: 사용자가 클릭한 전체 URL
          type: string
          지표:
            - url
        - name: UrlCount
          description: 이메일에 포함된 임베디드 URL 수
          유형: int
        - name: UrlDomain
          description: 클릭된 URL에서 추출된 도메인
          type: string
          지표:
            - 도메인
        - name: UserAgent
          description: 웹 브라우저 또는 클라이언트 앱의 사용자 에이전트
          type: string
        - name: UserAgentTags
          description: 구형 브라우저 또는 OS와 같은 클라이언트 정보 태그
          유형: json
        - name: UserLevelAction
          description: 수신자가 정의한 사서함 정책과 일치하여 이메일에 대해 수행된 조치
          type: string
        - name: UserLevelPolicy
          description: 이메일에 대해 수행된 조치를 유발한 최종 사용자 사서함 정책
          type: string
        - name: Vendor
          description: 장치 벤더 또는 제조업체
          type: string

이전Microsoft 365 로그 다음Microsoft Entra ID 감사 로그

마지막 업데이트 5개월 전

도움이 되었나요?

hashtag개요

hashtagMicrosoft Defender XDR 로그를 Panther에 온보딩하는 방법

hashtag사전 요구 사항

hashtag1단계: Panther에서 Microsoft Defender XDR 소스 생성

hashtag2단계: 스트리밍 API로 Microsoft Defender XDR 로그 내보내기

hashtag지원되는 로그 유형

hashtagMicrosoftDefenderXDR.AdvancedHunting

개요