# Microsoft Defender XDR 로그(베타)

## 개요

{% hint style="info" %}
Microsoft Defender XDR 로그 수집은 Panther 버전 1.114부터 오픈 베타로 제공되며 모든 고객이 이용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요.
{% endhint %}

Panther는 다음을 수집하는 것을 지원합니다 [Microsoft Defender XDR](https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-xdr) 공통을 통한 로그 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports) 옵션(예: Azure) [Event Hub](https://docs.panther.com/ko/data-onboarding/data-transports/azure/event-hub) 와 [Blob Storage](https://docs.panther.com/ko/data-onboarding/data-transports/azure/blob-storage).

## Microsoft Defender XDR 로그를 Panther에 온보딩하는 방법

먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 생성한 다음 Azure를 구성하여 해당 위치로 로그를 내보냅니다.

### 사전 요구 사항

Microsoft Defender XDR 로그를 Panther에 온보딩하기 전에 다음을 확인하세요:

* Azure 구독이 있으며 사용자가 다음 권한을 가지고 있습니다 [소유자](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#owner) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [기여자](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#contributor) 역할을 가져야 합니다.
* Defender XDR 로그를 통해 수집할 계획이라면 [Event Hub 데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports/azure/event-hub), 이미 생성된 [Event Hubs 네임스페이스](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#namespace) 및 Event Hub(다음에 명시된 대로) [두 옵션 모두 동일한 결과(즉, 로그 이벤트가 동일한 방식으로 인리치됨)를 제공하지만, 문자열 배열 기본 키를 사용하여 인리치먼트를 정의하는 것이 편의성과 유지보수 오류 가능성 감소 측면에서 권장됩니다.](https://docs.panther.com/ko/data-transports/azure/event-hub#prerequisites)).
  * Defender XDR 로그를 통해 수집할 계획이라면 [Blob 스토리지 데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports/azure/blob-storage), 이미 스토리지 계정을 생성할 필요는 없습니다.
* 사용자에게 네임스페이스 또는 스토리지 계정에 메시지를 게시할 권한이 있어야 합니다.

### 1단계: Panther에서 Microsoft Defender XDR 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**.
3. “Microsoft Defender XDR”를 검색한 후 해당 타일을 클릭하세요.
   * 슬라이드 아웃 패널에서 **전송 메커니즘** 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 **Azure Event Hub** 옵션. 이 선택을 그대로 두거나 **Azure Blob Storage**.

     <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-ee3ca5771f7641649ae908de8928d14bc1cbf9d3%2FScreenshot%202025-08-29%20at%209.29.15%E2%80%AFAM.png?alt=media" alt="An arrow is drawn from a tile in the background titled &#x22;Microsoft Defender XDR&#x22; to a &#x22;Transport Mechanism&#x22; dropdown field."><figcaption></figcaption></figure>
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**.
5. Panther의 지침에 따라 다음을 구성하세요 [Azure Event Hub](https://docs.panther.com/ko/data-onboarding/data-transports/azure/event-hub) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [Azure Blob Storage 소스](https://docs.panther.com/ko/data-onboarding/data-transports/azure/blob-storage).
   * Azure Blob Storage를 선택하고 [2단계: 필요한 Azure 인프라 생성](https://docs.panther.com/ko/data-transports/azure/blob-storage#step-2-create-required-azure-infrastructure) Azure 리소스를 수동으로 생성하기로 선택한 경우(테라폼 대신), [Azure 컨테이너를 생성하는 단계를](https://docs.panther.com/data-onboarding/data-transports/azure/blob-storage#step-5-create-container-and-add-permission)건너뛰세요. 아래 단계 2에서 스토리지 계정에 컨테이너가 자동으로 생성됩니다.

### 2단계: 스트리밍 API로 Microsoft Defender XDR 로그 내보내기

Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요.

{% hint style="info" %}
추가 지원이 필요하면 Microsoft 문서를 참조하세요 [고급 헌팅 이벤트를 Event Hubs 및/또는 Azure 스토리지 계정으로 스트리밍](https://learn.microsoft.com/en-us/defender-xdr/streaming-api#stream-advanced-hunting-events-to-event-hubs-andor-azure-storage-account) 문서.
{% endhint %}

1. Azure 포털에서 Microsoft Defender 포털로 이동하세요: [https://security.microsoft.com/](https://intune.microsoft.com/).
2. 샘플 로그 **설정**.\ <img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-061ae69f6c22c5e91e1c5183847cf70c30473816%2Flong-nav.png?alt=media" alt="A navigation bar is shown and a &#x22;Settings&#x22; value is highlighted." data-size="original">
3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Microsoft Defender XDR**.\ <img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-48019975893e2a2dac0a44ee8edc31a7a15539e4%2Fimage.png?alt=media" alt="Under a &#x22;Settings&#x22; title, a &#x22;Microsoft Defender XDR&#x22; option is hovered over." data-size="original">
4. 에서 **일반**인 경우 JSON 로그를 업로드했다면 클릭하세요 **스트리밍 API**.\
   ![Under a "Microsoft Defender XDR" title, a "Streaming API" value in a navigation bar is clicked.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-40b98944d31fec2adf9f2e87b4e031bdf1b7ebd3%2Fimage.png?alt=media)
5. 에서 **스트리밍 API**인 경우 JSON 로그를 업로드했다면 클릭하세요 **+ 추가**.
6. 양식을 작성하세요:
   * **이름**: 설명적인 이름을 입력하세요. 예: `Panther 포워더`.
   * 선택한 전송 방법에 따라 다음 중 하나를 선택하세요: **이벤트를 Azure Storage로 포워드** 이전에 생성한 Snowflake 사용자 이름, 예를 들면 **이벤트를 Event Hub로 포워드**Panther에서 생성한 로그 소스 유형에 따라, [1단계](#step-1-create-the-microsoft-defender-xdr-source-in-panther).
     * 을(를) 선택하면 **이벤트를 Azure Storage로 포워드**의 **스토리지 계정 리소스 ID** 필드에 스토리지 계정의 ID를 입력하세요.
     * 을(를) 선택하면 **이벤트를 Event Hub로 포워드**의 **Event-Hub 리소스 ID** 필드에 이벤트 허브의 ID를 입력하세요.
   * **이벤트 유형**: Panther로 전송할 로그 카테고리를 선택하세요. [전체 이벤트 유형 목록은 여기를 참조하세요](https://learn.microsoft.com/en-us/defender-xdr/supported-event-types).\
     ![A form titled "Add new Streaming API settings" is shown, with various fields, like Name and Event-Hub Resource ID.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-68f763e9725403d31093772fb518d55fb1bcfa35%2Fimage.png?alt=media)
7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **제출**.

## 지원되는 로그 유형

### MicrosoftDefenderXDR.AdvancedHunting

```yaml
스키마: MicrosoftDefenderXDR.AdvancedHunting
설명: Microsoft Defender XDR용 고급 헌팅 스키마
참고 URL: https://learn.microsoft.com/en-us/defender-xdr/streaming-api-storage#the-schema-of-the-events-in-the-storage-account
필드:
    - name: _TimeReceivedBySvc
      type: timestamp
      timeFormats:
        - rfc3339
        - '%Y-%m-%d %H:%M:%S.%N'
        - '%Y-%m-%dT%H:%M:%S.%N'
    - name: operationName
      type: string
    - name: Tenant
      type: string
    - 이름: time
      required: true
      설명: Microsoft Defender XDR가 이벤트를 수신한 시간
      type: timestamp
      timeFormats:
        - rfc3339
        - '%Y-%m-%d %H:%M:%S.%N'
    - name: tenantId
      required: true
      설명: 조직의 테넌트 ID
      type: string
    - name: category
      required: true
      설명: 'AdvancedHunting-' 접두사가 있는 고급 헌팅 테이블 이름
      type: string
    - name: properties
      required: true
      설명: Microsoft Defender XDR 고급 헌팅 이벤트 속성 (https://learn.microsoft.com/en-us/defender-xdr/supported-event-types#hunting-tables-support-status-in-event-streaming-api)
      type: object
      필드:
        - name: AadDeviceId
          설명: Microsoft Entra ID에서 장치를 식별하는 고유 식별자
          type: string
        - 이름: AccountDisplayName
          설명: 로그온과 관련된 계정의 표시 이름
          type: string
        - 이름: AccountDomain
          설명: 변경을 수행한 계정의 도메인
          type: string
          지표:
            - 도메인
        - name: AccountId
          설명: Microsoft Defender for Cloud Apps에서의 계정 식별자
          type: string
        - 이름: AccountName
          설명: 변경을 수행한 계정의 이름
          type: string
        - 이름: AccountObjectId
          설명: 변경을 수행한 계정의 Microsoft Entra ID 객체 ID
          type: string
        - 이름: AccountSid
          설명: 변경을 수행한 계정의 SID
          type: string
        - 이름: AccountType
          설명: 사용자 계정 유형 (일반, 시스템, 관리자, 애플리케이션)
          type: string
        - 이름: AccountUpn
          설명: 변경을 수행한 계정의 UPN
          type: string
          지표:
            - 이메일
        - 이름: ActionType
          설명: 디렉터리 변경 유형 (예: AddMember, RemoveMember, ModifyGroup)
          type: string
        - 이름: ActivityObjects
          설명: 기록된 활동에 관련된 객체 목록
          유형: json
        - name: ActivityType
          설명: 이벤트를 트리거한 활동 유형
          type: string
        - 이름: AdditionalFields
          설명: JSON 배열 형식의 추가 메타데이터
          유형: json
          isEmbeddedJSON: true
        - 이름: AlertId
          설명: 알러트의 고유 식별자
          type: string
        - 이름: AppGuardContainerId
          설명: Application Guard에서 사용되는 가상화 컨테이너의 식별자
          type: string
        - 이름: AppInstanceId
          설명: 애플리케이션 인스턴스의 고유 식별자
          유형: int
        - 이름: Application
          설명: 기록된 동작을 수행한 애플리케이션
          type: string
        - 이름: ApplicationId
          설명: 애플리케이션의 고유 식별자
          type: bigint
        - 이름: AssetValue
          설명: 장치에 할당된 비즈니스 가치 (낮음, 보통, 높음)
          type: string
        - 이름: AttachmentCount
          설명: 이메일의 첨부 파일 수
          유형: int
        - 이름: AttachmentId
          설명: 첨부 파일의 고유 식별자
          type: string
        - 이름: AttackTechniques
          설명: 알러트와 관련된 MITRE ATT&CK 기법
          type: array
          element:
            type: string
            지표:
                - ip
          isEmbeddedJSON: true
        - 이름: AuditSource
          설명: 감사 데이터 소스 (예: 세션 제어, 앱 커넥터)
          type: string
        - 이름: AuthenticationDetails
          설명: DMARC, DKIM, SPF와 같은 이메일 인증 프로토콜 또는 여러 인증 유형의 조합(CompAuth)에 따른 통과/실패 판정 목록
          type: string
        - 이름: AwsResourceName
          설명: 장치에 대한 AWS 리소스 이름
          type: string
        - 이름: AzureResourceId
          설명: 장치와 연결된 Azure 리소스 ID
          type: string
        - 이름: AzureVmId
          설명: 장치에 할당된 Azure VM ID
          type: string
        - 이름: AzureVmSubscriptionId
          설명: 장치의 Azure 구독 ID
          type: string
        - 이름: BehaviorId
          설명: 행위의 고유 식별자
          type: string
        - 이름: BulkComplaintLevel
          설명: 대량 발송자에서 오는 이메일에 할당된 임계값. 높은 대량 불만 수준(BCL)은 이메일이 불만을 일으킬 가능성이 높아 스팸일 가능성이 더 큼을 의미함
          유형: int
        - 이름: Categories
          설명: 정보가 속하는 카테고리 목록 (JSON 배열 형식)
          유형: json
          isEmbeddedJSON: true
        - name: Category
          설명: 알러트가 식별한 위협 인디케이터 또는 침해 활동의 유형
          type: string
        - 이름: CertificateCountersignatureTime
          설명: 인증서가 카운터서명된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: CertificateCreationTime
          설명: 인증서가 생성된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: CertificateExpirationTime
          설명: 인증서가 만료되는 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: CertificateSerialNumber
          설명: CA가 발급한 인증서의 고유 식별자
          type: string
        - 이름: City
          설명: 클라이언트 IP 주소가 지리적으로 위치한 도시
          type: string
        - 이름: ClickAction
          설명: URL과의 사용자 상호작용 유형 (예: ClickedThrough, Blocked)
          type: string
        - 이름: ClickVerdict
          설명: URL 클릭 시 반환된 최종 판정 (예: 악성, 정상)
          type: string
        - 이름: ClientVersion
          설명: 장치에서 실행 중인 엔드포인트 에이전트 또는 센서의 버전
          type: string
        - 이름: CloudPlatform
          설명: 리소스가 속한 클라우드 플랫폼 (Azure, Amazon Web Services 또는 Google Cloud Platform일 수 있음)
          type: string
        - 이름: CloudPlatforms
          설명: 장치가 속한 클라우드 플랫폼들
          type: string
        - 이름: CloudResource
          설명: 이벤트와 연결된 클라우드 리소스 이름
          type: string
        - 이름: ClusterId
          설명: 조사 중 이메일을 연관시키기 위해 사용된 클러스터 ID
          type: string
        - 이름: ConfidenceLevel
          설명: 스팸 또는 피싱 판정의 신뢰 수준 목록. 스팸의 경우 이 열은 스팸 신뢰 수준(SCL)을 표시하여 이메일이 건너뛰어졌는지(-1), 스팸이 아닌 것으로 판정되었는지(0,1), 보통 신뢰도로 스팸으로 판정되었는지(5,6), 높은 신뢰도로 스팸으로 판정되었는지(9)를 나타냅니다. 피싱의 경우 이 열은 신뢰 수준이 "높음"인지 "낮음"인지 표시합니다.
          type: string
        - 이름: ConnectedNetwork
          설명: 연결과 관련된 네트워크 이름 또는 SSID
          type: string
        - 이름: ConnectionType
          설명: 네트워크 연결 유형 (예: 이더넷, Wi-Fi, 루프백)
          type: string
        - 이름: ConnectivityType
          설명: 장치에서 클라우드로의 연결 유형
          type: string
        - 이름: Connectors
          설명: 조직의 메일 흐름과 이메일 라우팅 방식을 정의하는 사용자 지정 지침
          type: string
        - 이름: CountryCode
          설명: IP가 지리적으로 위치한 국가의 두 글자 코드
          type: string
        - 이름: CreatedProcessSessionId
          설명: 생성된 프로세스의 Windows 세션 ID
          type: bigint
        - 이름: CrlDistributionPointUrls
          설명: 인증서 또는 CRL을 포함하는 네트워크 공유의 URL들
          유형: json
        - 이름: DHCPServer
          설명: 장치에서 사용된 DHCP 서버의 IP 주소
          type: string
          지표:
            - ip
        - 이름: DNSAddresses
          설명: 장치에 구성된 DNS 서버 목록(세미콜론으로 구분)
          type: array
          element:
            type: string
            지표:
                - ip
          isEmbeddedJSON: true
        - 이름: DataSources
          설명: 행위를 위해 정보를 제공한 제품 또는 서비스
          type: string
        - 이름: DefaultGateway
          설명: 장치에서 사용되는 기본 게이트웨이 주소
          type: string
          지표:
            - ip
        - 이름: DeliveryAction
          설명: 이메일에 대한 최종 전달 결과
          type: string
        - 이름: DeliveryLocation
          설명: 이메일이 전달된 위치 (예: 받은편지함, 스팸, 격리)
          type: string
        - name: Description
          설명: 행위에 대한 설명
          type: string
        - 이름: DetailedEntityRole
          설명: 행위에서 엔터티의 역할들
          type: string
        - 이름: DetectionMethods
          설명: 이메일에서 발견된 악성코드, 피싱 또는 기타 위협을 탐지하는 데 사용된 방법들
          type: string
        - 이름: DetectionSource
          설명: 주목할 만한 구성 요소나 활동을 식별한 탐지 기술 또는 센서
          type: string
        - 이름: DeviceCategory
          설명: 장치 분류 (엔드포인트, IoT 등)
          type: string
        - 이름: DeviceDynamicTags
          설명: 동적으로 생성된 장치 태그들
          type: string
        - 이름: DeviceId
          설명: 서비스에서 장치를 식별하는 고유 식별자
          type: string
        - 이름: DeviceManualTags
          설명: 수동으로 생성된 장치 태그들
          type: string
        - name: DeviceName
          설명: 이벤트가 발생한 장치의 정규화된 도메인 이름(FQDN)
          type: string
        - 이름: DeviceSubtype
          설명: 태블릿 또는 스마트폰과 같은 추가 수식어
          type: string
        - name: DeviceType
          설명: 장치 유형 (예: 워크스테이션, 서버)
          type: string
        - 이름: DiscoverySources
          설명: 장치를 본 제품 또는 서비스들
          type: string
        - 이름: EmailAction
          설명: 이메일에 대해 취해진 조치 (예: 전달됨, 격리됨)
          type: string
        - 이름: EmailActionPolicy
          설명: 조치를 트리거한 정책의 이름
          type: string
        - 이름: EmailActionPolicyGuid
          설명: 최종 메일 조치를 결정한 정책의 고유 식별자
          type: string
        - 이름: EmailActionSource
          설명: 조치의 출처 (예: 사용자, Microsoft, 관리자)
          type: string
        - 이름: EmailClusterId
          설명: 내용의 휴리스틱 분석을 기반으로 유사한 이메일 그룹에 할당된 식별자
          type: string
        - 이름: EmailDirection
          설명: 이메일 방향 (수신, 발신, 조직 내)
          type: string
        - 이름: EmailLanguage
          설명: 이메일 내용에서 감지된 언어
          type: string
        - 이름: EmailSubject
          설명: URL이 포함된 이메일의 제목
          type: string
        - 이름: EndTime
          설명: 행위와 관련된 마지막 활동의 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: EntityRole
          설명: 엔터티가 영향을 받았는지 단순히 관련된 것인지 여부를 나타냄
          type: string
        - 이름: EntityType
          설명: 파일, 프로세스, 장치 또는 사용자와 같은 객체 유형
          type: string
        - 이름: EvidenceDirection
          설명: 엔터티가 네트워크 연결의 출처인지 대상인지 여부를 나타냄
          type: string
        - 이름: EvidenceRole
          설명: 알러트에서 엔터티가 어떻게 관련되는지, 영향을 받았는지 또는 단순히 관련된 것인지 나타냄
          type: string
        - 이름: ExclusionReason
          설명: 장치 제외 사유
          type: string
        - 이름: ExposureLevel
          설명: 취약점 노출 수준 (낮음, 보통, 높음)
          type: string
        - name: FailureReason
          설명: 기록된 동작이 실패한 이유를 설명하는 정보
          type: string
        - 이름: FileExtension
          설명: 첨부 파일의 확장자
          type: string
        - 이름: FileName
          설명: 기록된 동작이 적용된 파일의 이름
          type: string
        - 이름: FileNames
          설명: 첨부 파일들의 이름들
          type: array
          element:
            type: string
        - 이름: FileOriginIP
          설명: 파일이 다운로드된 IP 주소
          type: string
          지표:
            - ip
        - 이름: FileOriginReferrerUrl
          설명: 파일 다운로드의 리퍼러 URL
          type: string
          지표:
            - url
        - 이름: FileOriginUrl
          설명: 파일이 다운로드된 URL
          type: string
          지표:
            - url
        - 이름: FileSize
          설명: 파일 크기(바이트 단위)
          type: bigint
        - 이름: FolderPath
          설명: 기록된 동작이 적용된 파일이 포함된 폴더
          type: string
        - 이름: GcpFullResourceName
          설명: 장치에 대한 GCP 전체 리소스 이름
          type: string
        - 이름: HardwareUuid
          설명: 장치의 하드웨어 UUID
          type: string
        - 이름: HostDeviceId
          설명: WSL을 실행 중인 경우 호스트 장치의 ID
          type: string
        - 이름: IPAddress
          설명: 통신 중 장치에 할당된 IP 주소
          type: string
          지표:
            - ip
        - 이름: IPAddressType
          설명: IP 주소 유형 (공용, 사설, 예약 등)
          type: string
        - 이름: IPCategory
          설명: IP 주소에 대한 추가 정보
          type: string
        - 이름: IPTags
          설명: IP 주소 또는 범위에 대해 고객이 정의한 태그
          유형: json
        - 이름: IPv6Address
          설명: 네트워크 어댑터에 할당된 IPv6 주소
          type: string
          지표:
            - ip
        - 이름: InitiatingProcessAccountDomain
          설명: 시작 프로세스를 실행한 계정의 도메인
          type: string
        - 이름: InitiatingProcessAccountName
          설명: 시작 프로세스를 실행한 계정의 사용자 이름
          type: string
        - 이름: InitiatingProcessAccountObjectId
          설명: 시작 계정의 Microsoft Entra 객체 ID
          type: string
        - 이름: InitiatingProcessAccountSid
          설명: 시작 계정의 보안 식별자(SID)
          type: string
        - 이름: InitiatingProcessAccountUpn
          설명: 시작 계정의 사용자 주체 이름(UPN)
          type: string
          지표:
            - 이메일
        - 이름: InitiatingProcessCommandLine
          설명: 시작 프로세스를 실행하는 데 사용된 명령줄
          type: string
        - 이름: InitiatingProcessCreationTime
          설명: 시작 프로세스가 시작된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: InitiatingProcessFileName
          설명: 시작 프로세스의 파일 이름
          type: string
        - 이름: InitiatingProcessFileSize
          설명: 시작 프로세스 파일의 크기(바이트 단위)
          type: bigint
        - 이름: InitiatingProcessFolderPath
          설명: 시작 프로세스를 포함하는 폴더 경로
          type: string
        - 이름: InitiatingProcessId
          설명: 시작 프로세스의 PID
          type: bigint
        - 이름: InitiatingProcessIntegrityLevel
          설명: 이벤트를 시작한 프로세스의 무결성 수준
          type: string
        - 이름: InitiatingProcessLogonId
          설명: 이벤트를 시작한 프로세스의 로그온 세션 식별자
          type: bigint
        - 이름: InitiatingProcessMD5
          설명: 시작 프로세스의 MD5 해시
          type: string
          지표:
            - md5
        - 이름: InitiatingProcessName
          설명: 변경을 시작한 프로세스의 이름
          type: string
        - 이름: InitiatingProcessParentAccountDomain
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 도메인
          type: string
        - 이름: InitiatingProcessParentAccountName
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 이름
          type: string
        - 이름: InitiatingProcessParentAccountObjectId
          설명: Microsoft Entra ID에서 계정을 식별하는 고유 식별자
          type: string
        - 이름: InitiatingProcessParentAccountSid
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 보안 식별자(SID)
          type: string
        - 이름: InitiatingProcessParentAccountUpn
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 주체 이름(UPN)
          type: string
          지표:
            - 이메일
        - 이름: InitiatingProcessParentCreationTime
          설명: 상위 프로세스가 시작된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - 이름: InitiatingProcessParentFileName
          설명: 상위 프로세스의 파일 이름 또는 경로
          type: string
        - 이름: InitiatingProcessParentFolderPath
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)를 포함하는 폴더
          type: string
        - 이름: InitiatingProcessParentId
          설명: 상위 프로세스의 PID
          type: bigint
        - 이름: InitiatingProcessParentIntegrityLevel
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스의 무결성 수준
          type: string
        - 이름: InitiatingProcessParentLogonId
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스의 로그온 세션 식별자
          유형: int
        - 이름: InitiatingProcessParentMD5
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)의 MD5 해시
          type: string
          지표:
            - md5
        - 이름: InitiatingProcessParentSHA1
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-1
          type: string
          지표:
            - sha1
        - 이름: InitiatingProcessParentSHA256
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-256
          type: string
          지표:
            - sha256
        - 이름: InitiatingProcessParentTokenElevation
          설명: 이벤트를 발생시킨 프로세스를 생성한 상위 프로세스에 적용된 사용자 계정 컨트롤(UAC) 권한 상승의 존재 여부를 나타내는 토큰 유형
          type: string
        - 이름: InitiatingProcessRemoteSessionDeviceName
          설명: RDP 세션이 시작된 장치의 이름
          type: string
        - 이름: InitiatingProcessRemoteSessionIP
          설명: RDP 세션의 원격 장치 IP 주소
          type: string
          지표:
            - ip
        - 이름: InitiatingProcessSHA1
          설명: 시작 프로세스의 SHA-1 해시
          type: string
          지표:
            - sha1
        - 이름: InitiatingProcessSHA256
          설명: 시작 프로세스의 SHA-256 해시
          type: string
          지표:
            - sha256
        - 이름: InitiatingProcessSessionId
          설명: 시작 프로세스의 Windows 세션 ID
          type: bigint
        - 이름: InitiatingProcessTokenElevation
          설명: UAC 권한 상승이 적용되었는지 여부를 나타냄
          type: string
        - 이름: InitiatingProcessUniqueId
          설명: 시작 프로세스의 고유 식별자 (프로세스 시작 키와 동일)
          type: string
        - 이름: InitiatingProcessVersionInfoCompanyName
          설명: 시작 프로세스 버전 정보의 회사 이름
          type: string
        - 이름: InitiatingProcessVersionInfoFileDescription
          설명: 시작 프로세스 버전 정보의 파일 설명
          type: string
        - 이름: InitiatingProcessVersionInfoInternalFileName
          설명: 시작 프로세스 버전 정보의 내부 파일 이름
          type: string
        - 이름: InitiatingProcessVersionInfoOriginalFileName
          설명: 시작 프로세스 버전 정보의 원래 파일 이름
          type: string
        - 이름: InitiatingProcessVersionInfoProductName
          설명: 시작 프로세스 버전 정보의 제품 이름
          type: string
        - 이름: InitiatingProcessVersionInfoProductVersion
          설명: 시작 프로세스 버전 정보의 제품 버전
          type: string
        - 이름: InternetMessageId
          설명: Message-ID 헤더의 고유 메시지 식별자
          type: string
        - 이름: IsAdminOperation
          설명: 활동이 관리자로 수행되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsAnonymousProxy
          설명: IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냄
          유형: boolean
        - 이름: IsAzureADJoined
          설명: 장치가 Microsoft Entra ID에 조인되었는지 여부
          유형: boolean
        - 이름: IsAzureInfoProtectionApplied
          설명: Azure Information Protection이 적용되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsDomainJoined
          설명: 장치가 도메인에 조인되었는지 여부
          유형: boolean
        - 이름: IsExcluded
          설명: 장치가 취약점 관리에서 제외되었는지 여부
          유형: boolean
        - 이름: IsExternalUser
          설명: 사용자가 조직의 도메인 외부인지 여부를 나타냄
          유형: boolean
        - 이름: IsImpersonated
          설명: 활동이 가장된 사용자에 의해 수행되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsInitiatingProcessRemoteSession
          설명: 시작 프로세스가 RDP 세션에서 실행되었는지 여부
          유형: boolean
        - 이름: IsInternetFacing
          설명: 장치가 인터넷에 노출되어 있는지 여부
          유형: boolean
        - 이름: IsLocalAdmin
          설명: 사용자가 장치의 로컬 관리자 여부
          유형: boolean
        - 이름: IsLocalLogon
          설명: 로그온이 로컬 계정을 사용하여 발생했는지 여부
          유형: boolean
        - 이름: IsProcessRemoteSession
          설명: 생성된 프로세스가 RDP에서 실행되었는지 여부
          유형: boolean
        - 이름: IsRootSignerMicrosoft
          설명: 루트 인증서가 Microsoft에서 발급되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsSigned
          설명: 파일이 서명되었는지 여부를 나타냄
          유형: boolean
        - 이름: IsTransient
          설명: 장치가 일시적이거나 단기간 존재하는지 여부
          유형: boolean
        - 이름: IsTrusted
          설명: 인증서 검증을 기반으로 파일이 신뢰되는지 여부를 나타냄
          유형: boolean
        - 이름: Isp
          설명: 해당 IP 주소와 관련된 인터넷 서비스 제공업체
          type: string
        - 이름: Issuer
          설명: 발급한 인증 기관(CA)에 대한 정보
          type: string
        - 이름: IssuerHash
          설명: 발급한 인증 기관(CA)을 식별하는 고유 해시 값
          type: string
        - name: JoinType
          설명: Microsoft Entra ID 조인 유형
          type: string
        - 이름: LastSeenForUser
          설명: 사용자에 대한 최종 조회 표시자 속성
          유형: json
        - 이름: LatestDeliveryAction
          설명: 서비스 또는 관리자가 수동 수정으로 시도한 이메일에 대한 마지막 알려진 조치
          type: string
        - 이름: LatestDeliveryLocation
          설명: 이메일의 마지막 알려진 위치
          type: string
        - 이름: LocalIP
          설명: 통신 중 로컬 장치에 할당된 IP 주소
          type: string
          지표:
            - ip
        - 이름: LocalPort
          설명: 통신에 사용된 로컬 장치의 TCP 포트
          유형: int
        - 이름: LoggedOnUsers
          설명: 로그인한 사용자 목록 (JSON 배열 형식)
          type: string
        - 이름: LogonId
          설명: 로그온 세션의 고유 ID
          type: bigint
        - 이름: LogonType
          설명: 로그온 세션 유형 (예: 대화형, 원격 대화형, 네트워크)
          type: string
        - 이름: MD5
          설명: 첨부 파일의 MD5 해시
          type: string
          지표:
            - md5
        - 이름: MacAddress
          설명: 네트워크 어댑터의 MAC 주소
          type: string
        - 이름: MachineGroup
          설명: 역할 기반 액세스 제어에 사용되는 머신 그룹
          type: string
        - 이름: MalwareFamily
          설명: 첨부 파일에서 식별된 악성코드 계열 이름
          type: string
        - 이름: MergedDeviceIds
          설명: 동일한 장치에 이전에 할당된 장치 ID들
          type: string
        - 이름: MergedToDeviceId
          설명: 장치에 대한 최신 장치 ID
          type: string
        - 이름: MitigationStatus
          설명: 장치에 적용된 완화 조치
          type: string
        - name: Model
          설명: 장치의 모델 이름 또는 번호
          type: string
        - 이름: ModifiedProperties
          설명: 변경된 속성들의 키-값 맵
          유형: json
        - 이름: NetworkAdapterAlias
          설명: 네트워크 어댑터의 사용자 친화적 이름 또는 별칭
          type: string
        - 이름: NetworkAdapterName
          설명: 장치의 네트워크 어댑터 이름
          type: string
        - 이름: NetworkAdapterStatus
          설명: 네트워크 어댑터의 현재 운영 상태
          type: string
        - 이름: NetworkMessageId
          설명: Microsoft 365 Defender 전체에서 이메일을 식별하는 고유 식별자
          type: string
        - 이름: NetworkMessageParentId
          설명: 여러 수신자에게 전송된 메시지의 중복 제거에 사용되는 식별자
          type: string
        - name: OAuthAppId
          description: OAuth 애플리케이션의 고유 식별자
          type: string
        - name: OAuthApplicationId
          description: 타사 OAuth 애플리케이션의 고유 식별자
          type: string
        - name: OSArchitecture
          description: 운영 체제의 아키텍처
          type: string
        - name: OSBuild
          description: 운영 체제의 빌드 버전
          type: bigint
        - name: OSDistribution
          description: Ubuntu 또는 RedHat과 같은 OS 배포판
          type: string
        - name: OSPlatform
          description: 장치의 운영 체제 플랫폼
          type: string
        - name: OSVersion
          설명: 운영 체제 버전
          type: string
        - name: OSVersionInfo
          description: 추가 OS 버전 정보(예: 코드네임)
          type: string
        - 이름: ObjectId
          description: 작업이 적용된 객체의 고유 식별자
          type: string
        - 이름: ObjectName
          description: 기록된 작업이 적용된 객체의 이름
          type: string
        - 이름: ObjectType
          description: 파일 또는 폴더와 같은 객체 유형
          type: string
        - name: OnboardingStatus
          description: Microsoft Defender for Endpoint에 대한 온보딩 상태
          type: string
        - name: OrgLevelAction
          description: 조직 전체 작업(예: ZAP을 정크/격리로 이동)
          type: string
        - name: OrgLevelPolicy
          description: 이메일에 대해 수행된 작업을 유발한 조직 정책
          type: string
        - name: OsBuildRevision
          description: 운영 체제의 빌드 리비전
          type: string
        - name: PreviousFileName
          description: 이름이 변경되기 전의 원래 파일 이름
          type: string
        - name: PreviousFolderPath
          description: 작업 이전 파일의 원래 폴더
          type: string
        - name: PreviousRegistryValueData
          description: 기록된 변경 이전에 레지스트리 값에 저장된 데이터
          type: string
        - name: PreviousRegistryValueType
          description: 변경이 발생하기 전에 저장된 데이터 유형
          type: string
        - name: ProcessCommandLine
          description: 새 프로세스를 생성할 때 사용된 명령줄
          type: string
        - name: ProcessCreationTime
          description: 프로세스가 생성된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
        - name: ProcessId
          description: 새로 생성된 프로세스의 프로세스 ID(PID)
          유형: int
        - name: ProcessIntegrityLevel
          description: 새로 생성된 프로세스의 무결성 수준
          type: string
        - name: ProcessRemoteSessionDeviceName
          description: 생성된 프로세스를 시작한 RDP 세션의 장치 이름
          type: string
        - name: ProcessRemoteSessionIP
          description: 생성된 프로세스를 시작한 RDP 세션의 IP 주소
          type: string
          지표:
            - ip
        - name: ProcessTokenElevation
          description: 새로 생성된 프로세스에 적용된 사용자 계정 컨트롤(UAC) 권한 상승의 존재 여부를 나타내는 토큰 유형
          type: string
        - name: ProcessUniqueId
          description: 프로세스의 고유 식별자(프로세스 시작 키와 동일)
          type: string
        - name: Protocol
          description: 통신에 사용된 네트워크 프로토콜
          type: string
        - 이름: PublicIP
          description: 온보딩된 장치에서 사용된 공용 IP 주소
          type: string
          지표:
            - ip
        - name: Query
          description: 도메인 컨트롤러에서 실행된 실제 LDAP 쿼리
          type: string
        - name: QueryEngine
          description: 사용된 검색 엔진 또는 인터페이스(예: LDAP)
          type: string
        - name: QueryScope
          description: LDAP 쿼리의 범위(예: Base, OneLevel, Subtree)
          type: string
        - name: QueryTarget
          description: 쿼리의 구분 이름(DN) 또는 기준(base)
          type: string
        - name: QueryTargetDeviceId
          description: 쿼리를 수신한 도메인 컨트롤러의 고유 식별자
          type: string
        - name: QueryTargetDeviceName
          description: 쿼리를 수신한 도메인 컨트롤러의 이름
          type: string
        - name: RawEventData
          description: 소스 애플리케이션 또는 서비스의 원시 이벤트 데이터
          유형: json
        - name: RecipientEmailAddress
          description: URL을 클릭한 사용자의 이메일 주소
          type: string
          지표:
            - 이메일
        - name: RecipientObjectId
          description: 수신자의 Microsoft Entra ID 객체 ID
          type: string
        - name: RegistryDeviceTag
          description: 레지스트리를 통해 추가된 장치 태그
          type: string
        - name: RegistryKey
          description: 기록된 작업이 적용된 레지스트리 키
          type: string
        - name: RegistryValueData
          description: 기록된 작업이 적용된 레지스트리 값의 데이터
          type: string
        - name: RegistryValueName
          description: 기록된 작업이 적용된 레지스트리 값의 이름
          type: string
        - name: RegistryValueType
          description: 레지스트리 값의 데이터 유형(예: REG_SZ, REG_DWORD)
          type: string
        - name: RemoteDeviceName
          description: 원격 장치의 이름(사용 가능한 경우)
          type: string
        - name: RemoteDnsDomain
          description: 원격 장치의 최상위 DNS 도메인
          type: string
          지표:
            - 도메인
        - name: RemoteIP
          description: URL을 클릭한 시스템의 IP 주소
          type: string
          지표:
            - ip
        - name: RemoteIPType
          description: IP 주소 분류(예: Public, Private)
          type: string
        - name: RemotePort
          description: 통신에 사용된 원격 장치의 TCP 포트
          유형: int
        - name: RemoteUrl
          description: 연결하려 했던 URL 또는 정규화된 도메인 이름(FQDN)
          type: string
          지표:
            - url
        - name: ReportId
          description: 반복 카운터를 기반으로 한 이벤트 식별자
          type: string
        - name: RequestAccountDomain
          description: 원격 계정의 도메인
          type: string
        - name: RequestAccountName
          description: 원격 계정의 사용자 이름
          type: string
        - name: RequestAccountSid
          description: 원격 계정의 SID
          type: string
        - name: RequestProtocol
          description: 활동을 시작하는 데 사용된 네트워크 프로토콜
          type: string
        - name: RequestSourceIP
          description: 원격 장치의 소스 IP 주소
          type: string
          지표:
            - ip
        - name: RequestSourcePort
          description: 원격 장치의 소스 포트
          유형: int
        - name: ResourceID
          description: 클라우드 리소스의 고유 식별자
          type: string
        - name: ResourceType
          description: 클라우드 리소스의 유형
          type: string
        - name: SHA1
          description: 기록된 작업이 적용된 파일의 SHA-1
          type: string
          지표:
            - sha1
        - name: SHA256
          description: 첨부 파일의 SHA-256 해시
          type: string
          지표:
            - sha256
        - name: SenderDisplayName
          description: 발신자의 표시 이름
          type: string
        - name: SenderFromAddress
          description: 이메일의 "From" 필드에 있는 이메일 주소
          type: string
          지표:
            - 이메일
        - name: SenderFromDomain
          description: 발신자의 "From" 주소의 도메인
          type: string
          지표:
            - 도메인
        - name: SenderIP
          description: 발신자의 IP 주소
          type: string
          지표:
            - ip
        - name: SenderIPv4
          description: 메시지를 전달한 마지막으로 감지된 메일 서버의 IPv4 주소
          type: string
          지표:
            - ip
        - name: SenderIPv6
          description: 메시지를 전달한 마지막으로 감지된 메일 서버의 IPv6 주소
          type: string
          지표:
            - ip
        - name: SenderMailFromAddress
          description: 발신자의 SMTP MAIL FROM 주소
          type: string
          지표:
            - 이메일
        - name: SenderMailFromDomain
          description: SMTP MAIL FROM 명령의 도메인
          type: string
          지표:
            - 도메인
        - name: SenderObjectId
          description: Microsoft Entra ID에서 발신자 계정의 고유 식별자
          type: string
        - name: SensitivityLabel
          description: 파일에 적용된 민감도 레이블
          type: string
        - name: SensitivitySubLabel
          description: 기본 민감도 레이블 아래에 적용된 하위 레이블
          type: string
        - name: SensorHealthState
          description: 장치의 EDR 센서 상태(건강 상태)
          type: string
        - name: ServiceSource
          description: 알러트 정보를 제공한 제품 또는 서비스
          type: string
        - name: SessionData
          description: 액세스/세션 제어를 위한 Defender for Cloud Apps 세션 ID
          유형: json
        - name: Severity
          description: 알러트로 식별된 위협 지표 또는 침해 활동의 잠재적 영향(높음, 보통, 낮음)을 나타냄
          type: string
        - name: ShareName
          description: 공유 폴더의 이름
          type: string
        - name: SignatureType
          description: 서명이 어떻게 획득되었는지(임베디드 또는 카탈로그)를 나타냄
          type: string
        - name: Signer
          description: 파일 서명자에 대한 정보
          type: string
        - name: SignerHash
          description: 서명자를 식별하는 고유 해시 값
          type: string
        - name: Site
          description: 장치의 물리적 위치
          type: string
        - name: StartTime
          description: 동작과 관련된 첫 활동의 날짜 및 시간
          type: timestamp
          timeFormats:
            - '%Y-%m-%d %H:%M:%S.%N'
            - rfc3339
        - name: Subject
          description: 이메일의 제목
          type: string
        - name: SubnetPrefix
          description: 할당된 IP 주소와 연관된 서브넷 접두사 또는 넷마스크
          type: string
        - name: SubscriptionId
          description: 클라우드 서비스 구독의 고유 식별자
          type: string
        - name: TargetAccountDomain
          description: 수정된 객체의 도메인
          type: string
          지표:
            - 도메인
        - name: TargetAccountName
          description: 수정된 객체의 이름
          type: string
        - name: TargetAccountObjectId
          description: 수정된 계정의 Microsoft Entra ID 객체 ID
          type: string
        - name: TargetAccountSid
          description: 수정된 객체의 SID
          type: string
        - name: TargetAccountUpn
          description: 수정된 객체의 UPN(해당되는 경우)
          type: string
          지표:
            - 이메일
        - name: ThreatFamily
          description: 의심스럽거나 악의적인 파일 또는 프로세스가 분류된 멀웨어 패밀리
          type: string
        - name: ThreatNames
          description: 감지된 멀웨어 또는 기타 위협의 탐지 이름
          type: string
        - name: ThreatTypes
          description: URL과 관련된 감지된 위협(여러 개일 경우 세미콜론으로 구분)
          type: string
        - name: Timestamp
          description: URL 클릭 이벤트가 기록된 날짜 및 시간
          type: timestamp
          timeFormats:
            - rfc3339
            - '%Y-%m-%d %H:%M:%S.%N'
          isEventTime: true
        - name: Title
          description: 알러트의 제목
          type: string
        - name: UncommonForUser
          description: 사용자에게 드문 이벤트 속성
          유형: json
        - name: Url
          description: 사용자가 클릭한 전체 URL
          type: string
          지표:
            - url
        - name: UrlCount
          description: 이메일에 포함된 임베디드 URL 수
          유형: int
        - name: UrlDomain
          description: 클릭된 URL에서 추출된 도메인
          type: string
          지표:
            - 도메인
        - name: UserAgent
          description: 웹 브라우저 또는 클라이언트 앱의 사용자 에이전트
          type: string
        - name: UserAgentTags
          description: 구형 브라우저 또는 OS와 같은 클라이언트 정보 태그
          유형: json
        - name: UserLevelAction
          description: 수신자가 정의한 사서함 정책과 일치하여 이메일에 대해 수행된 조치
          type: string
        - name: UserLevelPolicy
          description: 이메일에 대해 수행된 조치를 유발한 최종 사용자 사서함 정책
          type: string
        - name: Vendor
          description: 장치 벤더 또는 제조업체
          type: string

```