# Microsoft Defender XDR 로그(베타)
## 개요
{% hint style="info" %}
Microsoft Defender XDR 로그 수집은 Panther 버전 1.114부터 오픈 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원 팀에 공유해 주세요.
{% endhint %}
Panther는 수집을 지원합니다 [Microsoft Defender XDR](https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-xdr) logs via common [데이터 전송](https://docs.panther.com/data-onboarding/data-transports) 옵션, 예를 들어 Azure [Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 및 [Blob Storage](/ko/data-onboarding/data-transports/azure/blob-storage.md).
## Panther에 Microsoft Defender XDR 로그를 온보딩하는 방법
먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, Azure를 구성하여 해당 위치로 로그를 내보내세요.
### 사전 요구 사항
Microsoft Defender XDR 로그를 Panther에 온보딩하기 전에 다음을 확인하세요:
* Azure 구독이 있고 사용자의 [Owner](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#owner) 또는 [Contributor](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#contributor) 권한이 있습니다.
* Defender XDR 로그를 다음을 통해 수집할 계획이라면 [Event Hub Data Transport](/ko/data-onboarding/data-transports/azure/event-hub.md), 이미 다음이 생성되어 있어야 합니다. [Event Hubs 네임스페이스](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#namespace) 및 Event Hub(다음 항목에 명시된 대로) [전제 조건](/ko/data-onboarding/data-transports/azure/event-hub.md#prerequisites)).
* Defender XDR 로그를 다음을 통해 수집할 계획이라면 [Blob Storage Data Transport](/ko/data-onboarding/data-transports/azure/blob-storage.md)의 경우, 저장소 계정을 미리 생성해 둘 필요는 없습니다.
* 사용자에게 네임스페이스 또는 저장소 계정에 메시지를 게시할 권한이 있습니다.
### 1단계: Panther에서 Microsoft Defender XDR 소스 생성
1. 왼쪽 탐색 모음에서 Panther Console의 **구성** > **로그 소스**.
2. 클릭 **새로 만들기**.
3. “Microsoft Defender XDR”를 검색한 다음 해당 타일을 클릭하세요.
* 슬라이드아웃 패널에서 오른쪽 상단의 **전송 메커니즘** 드롭다운은 미리 채워져 있으며 **Azure Event Hub** 옵션을 선택합니다. 이 선택은 그대로 두거나 **Azure Blob Storage**.
4. 클릭 **설정 시작**.
5. 다음에 대한 구성을 위해 Panther의 지침을 따르세요. [Azure Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 또는 [Azure Blob Storage Source](/ko/data-onboarding/data-transports/azure/blob-storage.md).
* Azure Blob Storage를 선택하고 [2단계: 필요한 Azure 인프라 만들기](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure) Azure 리소스를 수동으로 만들기로 선택한 경우(Terraform 대신) [Azure 컨테이너를 만드는 단계는 건너뛰세요.](https://docs.panther.com/data-onboarding/data-transports/azure/blob-storage#step-5-create-container-and-add-permission)아래 2단계에서 저장소 계정에 자동으로 생성됩니다.
### 2단계: 스트리밍 API로 Microsoft Defender XDR 로그 내보내기
Microsoft Defender XDR 로그를 Event Hubs 또는 저장소 계정으로 내보내려면 아래 지침을 따르세요.
{% hint style="info" %}
추가 지원이 필요하면 Microsoft [고급 헌팅 이벤트를 Event Hubs 및/또는 Azure 저장소 계정으로 스트리밍](https://learn.microsoft.com/en-us/defender-xdr/streaming-api#stream-advanced-hunting-events-to-event-hubs-andor-azure-storage-account) 문서.
{% endhint %}
1. Azure Portal에서 Microsoft Defender 포털로 이동하세요: [https://security.microsoft.com/](https://intune.microsoft.com/).
2. 왼쪽 탐색 모음에서 다음을 클릭합니다. **설정**.\
3. 클릭 **Microsoft Defender XDR**.\
4. 아래에서 **일반**, 클릭하세요 **Streaming API**.\
5. 아래에서 **Streaming API**, 클릭하세요 **+ 추가**.
6. 양식을 작성하세요:
* **이름**: 예를 들어 설명적인 이름을 입력하세요. `Panther forwarder`.
* 다음 중 하나를 선택합니다. **이벤트를 Azure Storage로 전달** 또는 **이벤트를 Event Hub로 전달**Panther에서 생성한 로그 소스 유형에 따라 [1단계](#step-1-create-the-microsoft-defender-xdr-source-in-panther).
* 다음을 선택하면 **이벤트를 Azure Storage로 전달**, 에서 **Storage account Resource ID** 필드에 저장소 계정의 ID를 입력하세요.
* 다음을 선택하면 **이벤트를 Event Hub로 전달**, 에서 **Event-Hub Resource ID** 필드에 이벤트 허브의 ID를 입력하세요.
* **Event Types**: Panther로 전송할 로그 범주를 선택하세요. 다음에서 [이벤트 유형 전체 목록을 확인하세요](https://learn.microsoft.com/en-us/defender-xdr/supported-event-types).\
7. 클릭 **제출**.
## 지원되는 로그 유형
### MicrosoftDefenderXDR.AdvancedHunting
```yaml
schema: MicrosoftDefenderXDR.AdvancedHunting
description: Microsoft Defender XDR의 고급 헌팅 스키마
referenceURL: https://learn.microsoft.com/en-us/defender-xdr/streaming-api-storage#the-schema-of-the-events-in-the-storage-account
fields:
- name: _TimeReceivedBySvc
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- '%Y-%m-%dT%H:%M:%S.%N'
- 이름: operationName
type: string
- name: Tenant
type: string
- name: 시간
required: true
description: Microsoft Defender XDR이 이벤트를 수신한 시각
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: tenantId
required: true
description: 조직의 테넌트 ID
type: string
- name: category
required: true
description: 'AdvancedHunting-' 접두사가 붙은 고급 헌팅 테이블 이름
type: string
- 이름: properties
required: true
description: Microsoft Defender XDR 고급 헌팅 이벤트 속성(https://learn.microsoft.com/en-us/defender-xdr/supported-event-types#hunting-tables-support-status-in-event-streaming-api)
type: object
fields:
- name: AadDeviceId
description: Microsoft Entra ID에서 장치의 고유 식별자
type: string
- name: AccountDisplayName
description: 로그온과 관련된 계정의 표시 이름
type: string
- name: AccountDomain
description: 변경을 수행한 계정의 도메인
type: string
indicators:
- domain
- name: AccountId
description: Microsoft Defender for Cloud Apps의 계정 식별자
type: string
- name: AccountName
description: 변경을 수행한 계정의 이름
type: string
- name: AccountObjectId
description: 변경을 수행한 계정의 Microsoft Entra ID 개체 ID
type: string
- name: AccountSid
description: 변경을 수행한 계정의 SID
type: string
- name: AccountType
description: 사용자 계정 유형(Regular, System, Admin, Application)
type: string
- name: AccountUpn
description: 변경을 수행한 계정의 UPN
type: string
indicators:
- email
- name: ActionType
description: 디렉터리 변경 유형(예: AddMember, RemoveMember, ModifyGroup)
type: string
- name: ActivityObjects
description: 기록된 활동과 관련된 개체 목록
유형: json
- name: ActivityType
description: 이벤트를 트리거한 활동 유형
type: string
- name: AdditionalFields
description: JSON 배열 형식의 추가 메타데이터
유형: json
isEmbeddedJSON: true
- name: AlertId
description: 알러트의 고유 식별자
type: string
- name: AppGuardContainerId
description: Application Guard에서 사용하는 가상화된 컨테이너 식별자
type: string
- name: AppInstanceId
description: 애플리케이션 인스턴스의 고유 식별자
type: int
- name: Application
description: 기록된 작업을 수행한 애플리케이션
type: string
- name: ApplicationId
description: 애플리케이션의 고유 식별자
type: bigint
- name: AssetValue
description: 장치에 할당된 비즈니스 가치(Low, Normal, High)
type: string
- name: AttachmentCount
description: 이메일의 첨부 파일 수
type: int
- name: AttachmentId
description: 첨부 파일의 고유 식별자
type: string
- name: AttackTechniques
description: 알러트와 관련된 MITRE ATT&CK 기법
type: array
element:
type: string
indicators:
- ip
isEmbeddedJSON: true
- name: AuditSource
description: 감사 데이터 소스(예: session control, app connector)
type: string
- name: AuthenticationDetails
description: DMARC, DKIM, SPF 같은 이메일 인증 프로토콜 또는 여러 인증 유형의 조합(CompAuth)에 따른 통과/실패 판정 목록
type: string
- name: AwsResourceName
description: 장치의 AWS 리소스 이름
type: string
- name: AzureResourceId
description: 장치와 연결된 Azure 리소스 ID
type: string
- name: AzureVmId
description: 장치에 할당된 Azure VM ID
type: string
- name: AzureVmSubscriptionId
description: 장치의 Azure 구독 ID
type: string
- name: BehaviorId
description: 행동의 고유 식별자
type: string
- name: BulkComplaintLevel
description: 대량 메일 발송자 이메일에 할당된 임계값이며, 높은 bulk complaint level(BCL)은 해당 이메일이 불만을 유발할 가능성이 더 높고, 따라서 스팸일 가능성도 더 높음을 의미함
type: int
- name: Categories
description: 정보가 속한 범주 목록(JSON 배열 형식)
유형: json
isEmbeddedJSON: true
- name: Category
description: 알러트가 식별한 위협 지표 또는 침해 활동 유형
type: string
- name: CertificateCountersignatureTime
description: 인증서에 공동 서명된 날짜 및 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- name: CertificateCreationTime
description: 인증서가 생성된 날짜 및 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: CertificateExpirationTime
description: 인증서가 만료되는 날짜 및 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: CertificateSerialNumber
description: CA에서 발급한 인증서의 고유 식별자
type: string
- name: City
description: 클라이언트 IP 주소가 지리적 위치로 확인된 도시
type: string
- name: ClickAction
description: URL에 대한 사용자 상호 작용 유형(예: ClickedThrough, Blocked)
type: string
- name: ClickVerdict
description: URL 클릭 시 반환된 최종 판정(예: Malicious, Clean)
type: string
- name: ClientVersion
description: 장치에서 실행 중인 엔드포인트 에이전트 또는 센서의 버전
type: string
- name: CloudPlatform
description: 리소스가 속한 클라우드 플랫폼. Azure, Amazon Web Services 또는 Google Cloud Platform일 수 있음
type: string
- name: CloudPlatforms
description: 장치가 속한 클라우드 플랫폼
type: string
- name: CloudResource
description: 이벤트와 연결된 클라우드 리소스 이름
type: string
- name: ClusterId
description: 조사 중 이메일을 연관시키는 데 사용되는 클러스터 ID
type: string
- name: ConfidenceLevel
description: 스팸 또는 피싱 판정의 신뢰 수준 목록. 스팸의 경우 이 열은 스팸 신뢰 수준(SCL)을 표시하며, 이메일이 건너뛰어졌는지(-1), 스팸이 아닌 것으로 판별되었는지(0,1), 중간 신뢰도로 스팸으로 판별되었는지(5,6), 또는 높은 신뢰도로 스팸으로 판별되었는지(9)를 나타냄. 피싱의 경우 이 열은 신뢰 수준이 "High" 또는 "Low"인지 표시함.
type: string
- name: ConnectedNetwork
description: 연결과 관련된 네트워크 이름 또는 SSID
type: string
- name: ConnectionType
description: 네트워크 연결 유형(예: Ethernet, Wi-Fi, Loopback)
type: string
- name: ConnectivityType
description: 장치에서 클라우드로의 연결 유형
type: string
- name: Connectors
description: 조직의 메일 흐름과 이메일이 라우팅된 방식을 정의하는 사용자 지정 지침
type: string
- name: CountryCode
description: IP가 지리적으로 위치한 국가의 두 글자 코드
type: string
- name: CreatedProcessSessionId
description: 생성된 프로세스의 Windows 세션 ID
type: bigint
- name: CrlDistributionPointUrls
description: 인증서 또는 CRL이 포함된 네트워크 공유의 URL
유형: json
- name: DHCPServer
description: 장치에서 사용한 DHCP 서버의 IP 주소
type: string
indicators:
- ip
- name: DNSAddresses
description: 장치에 구성된 DNS 서버 목록(세미콜론으로 구분)
type: array
element:
type: string
indicators:
- ip
isEmbeddedJSON: true
- name: DataSources
description: 행동에 대한 정보를 제공한 제품 또는 서비스
type: string
- name: DefaultGateway
description: 장치에서 사용한 기본 게이트웨이 주소
type: string
indicators:
- ip
- name: DeliveryAction
description: 이메일의 최종 전달 결과
type: string
- name: DeliveryLocation
description: 이메일이 전달된 위치(예: Inbox, Junk, Quarantine)
type: string
- 이름: Description
description: 행동에 대한 설명
type: string
- name: DetailedEntityRole
description: 행동에서 엔터티의 역할
type: string
- name: DetectionMethods
description: 이메일에서 발견된 악성코드, 피싱 또는 기타 위협을 탐지하는 데 사용된 방법
type: string
- name: DetectionSource
description: 주목할 만한 구성 요소 또는 활동을 식별한 탐지 기술 또는 센서
type: string
- name: DeviceCategory
description: 장치 분류(Endpoint, IoT 등)
type: string
- name: DeviceDynamicTags
description: 동적으로 생성된 장치 태그
type: string
- name: DeviceId
description: 서비스 내 장치의 고유 식별자
type: string
- name: DeviceManualTags
description: 수동으로 생성된 장치 태그
type: string
- name: DeviceName
description: 이벤트가 발생한 장치의 정규화된 도메인 이름(FQDN)
type: string
- name: DeviceSubtype
description: 태블릿이나 스마트폰과 같은 추가 구분자
type: string
- name: DeviceType
description: 장치 유형(예: workstation, server)
type: string
- name: DiscoverySources
description: 장치를 감지한 제품 또는 서비스
type: string
- name: EmailAction
description: 이메일에 대해 수행된 작업(예: Delivered, Quarantined)
type: string
- name: EmailActionPolicy
description: 해당 작업을 트리거한 정책 이름
type: string
- name: EmailActionPolicyGuid
description: 최종 메일 작업을 결정한 정책의 고유 식별자
type: string
- name: EmailActionSource
description: 작업의 출처(예: User, Microsoft, Admin)
type: string
- name: EmailClusterId
description: 콘텐츠의 휴리스틱 분석을 기반으로 클러스터링된 유사 이메일 그룹의 식별자
type: string
- name: EmailDirection
description: 이메일의 방향(Inbound, Outbound, Intra-org)
type: string
- name: EmailLanguage
description: 감지된 이메일 콘텐츠 언어
type: string
- name: EmailSubject
description: URL이 포함된 이메일의 제목
type: string
- name: EndTime
description: 행동과 관련된 마지막 활동의 날짜 및 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- name: EntityRole
description: 엔터티가 영향을 받았는지 또는 단순히 관련된 것인지 표시
type: string
- name: EntityType
description: 파일, 프로세스, 장치 또는 사용자와 같은 개체 유형
type: string
- name: EvidenceDirection
description: 엔터티가 네트워크 연결의 출처인지 대상인지 표시
type: string
- name: EvidenceRole
description: 엔터티가 알러트에 어떻게 관련되는지, 즉 영향을 받았는지 또는 단순히 관련된 것인지 표시
type: string
- name: ExclusionReason
description: 장치 제외 사유
type: string
- name: ExposureLevel
description: 취약성 노출 수준(Low, Medium, High)
type: string
- name: FailureReason
description: 기록된 작업이 실패한 이유를 설명하는 정보
type: string
- name: FileExtension
description: 첨부 파일의 확장자
type: string
- name: FileName
description: 기록된 작업이 적용된 파일의 이름
type: string
- name: FileNames
description: 파일 첨부의 이름
type: array
element:
type: string
- name: FileOriginIP
description: 파일이 다운로드된 IP 주소
type: string
indicators:
- ip
- name: FileOriginReferrerUrl
description: 파일 다운로드를 위한 리퍼러 URL
type: string
indicators:
- URL
- name: FileOriginUrl
description: 파일이 다운로드된 URL
type: string
indicators:
- URL
- name: FileSize
description: 파일 크기(바이트)
type: bigint
- name: FolderPath
description: 기록된 작업이 적용된 파일이 들어 있는 폴더
type: string
- name: GcpFullResourceName
description: 장치의 GCP 전체 리소스 이름
type: string
- name: HardwareUuid
description: 장치의 하드웨어 UUID
type: string
- name: HostDeviceId
description: WSL 실행 중인 경우 호스트 장치의 ID
type: string
- name: IPAddress
description: 통신 중 장치에 할당된 IP 주소
type: string
indicators:
- ip
- name: IPAddressType
description: IP 주소 유형(Public, Private, Reserved 등)
type: string
- name: IPCategory
description: IP 주소에 대한 추가 정보
type: string
- name: IPTags
description: IP 주소 또는 범위에 대한 고객 정의 태그
유형: json
- name: IPv6Address
description: 네트워크 어댑터에 할당된 IPv6 주소
type: string
indicators:
- ip
- name: InitiatingProcessAccountDomain
description: 시작 프로세스를 실행한 계정의 도메인
type: string
- name: InitiatingProcessAccountName
description: 시작 프로세스를 실행한 계정의 사용자 이름
type: string
- name: InitiatingProcessAccountObjectId
description: 시작 계정의 Microsoft Entra 개체 ID
type: string
- name: InitiatingProcessAccountSid
description: 시작 계정의 보안 식별자(SID)
type: string
- name: InitiatingProcessAccountUpn
description: 시작 계정의 사용자 주체 이름(UPN)
type: string
indicators:
- email
- name: InitiatingProcessCommandLine
description: 시작 프로세스를 실행하는 데 사용된 명령줄
type: string
- name: InitiatingProcessCreationTime
description: 시작 프로세스가 시작된 날짜 및 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: InitiatingProcessFileName
description: 시작 프로세스의 파일 이름
type: string
- name: InitiatingProcessFileSize
description: 시작 프로세스 파일의 크기(바이트)
type: bigint
- name: InitiatingProcessFolderPath
description: 시작 프로세스가 포함된 폴더 경로
type: string
- name: InitiatingProcessId
description: 시작 프로세스의 PID
type: bigint
- name: InitiatingProcessIntegrityLevel
description: 이벤트를 시작한 프로세스의 무결성 수준
type: string
- name: InitiatingProcessLogonId
description: 이벤트를 시작한 프로세스의 로그온 세션 식별자
type: bigint
- name: InitiatingProcessMD5
description: 시작 프로세스의 MD5 해시
type: string
indicators:
- md5
- name: InitiatingProcessName
description: 변경을 시작한 프로세스의 이름
type: string
- name: InitiatingProcessParentAccountDomain
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 도메인
type: string
- name: InitiatingProcessParentAccountName
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 이름
type: string
- name: InitiatingProcessParentAccountObjectId
description: Microsoft Entra ID에서 계정의 고유 식별자
type: string
- name: InitiatingProcessParentAccountSid
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 보안 식별자(SID)
type: string
- name: InitiatingProcessParentAccountUpn
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 주체 이름(UPN)
type: string
indicators:
- email
- name: InitiatingProcessParentCreationTime
description: 상위 프로세스가 시작된 날짜 및 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: InitiatingProcessParentFileName
description: 상위 프로세스의 파일 이름 또는 경로
type: string
- name: InitiatingProcessParentFolderPath
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스(이미지 파일)가 들어 있는 폴더
type: string
- name: InitiatingProcessParentId
description: 상위 프로세스의 PID
type: bigint
- name: InitiatingProcessParentIntegrityLevel
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스의 무결성 수준
type: string
- name: InitiatingProcessParentLogonId
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스의 로그온 세션 식별자
type: int
- name: InitiatingProcessParentMD5
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스(이미지 파일)의 MD5 해시
type: string
indicators:
- md5
- name: InitiatingProcessParentSHA1
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-1
type: string
indicators:
- sha1
- name: InitiatingProcessParentSHA256
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-256
type: string
indicators:
- sha256
- name: InitiatingProcessParentTokenElevation
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스에 적용된 사용자 액세스 제어(UAC) 권한 상승의 유무를 나타내는 토큰 유형
type: string
- name: InitiatingProcessRemoteSessionDeviceName
description: RDP 세션이 시작된 장치 이름
type: string
- name: InitiatingProcessRemoteSessionIP
description: RDP 세션의 원격 장치 IP 주소
type: string
indicators:
- ip
- name: InitiatingProcessSHA1
description: 시작 프로세스의 SHA-1 해시
type: string
indicators:
- sha1
- name: InitiatingProcessSHA256
description: 시작 프로세스의 SHA-256 해시
type: string
indicators:
- sha256
- name: InitiatingProcessSessionId
description: 시작 프로세스의 Windows 세션 ID
type: bigint
- name: InitiatingProcessTokenElevation
description: UAC 권한 상승이 적용되었는지 여부를 나타냄
type: string
- name: InitiatingProcessUniqueId
description: 시작 프로세스의 고유 식별자(프로세스 시작 키와 동일)
type: string
- name: InitiatingProcessVersionInfoCompanyName
description: 시작 프로세스 버전 정보의 회사 이름
type: string
- name: InitiatingProcessVersionInfoFileDescription
description: 시작 프로세스 버전 정보의 파일 설명
type: string
- name: InitiatingProcessVersionInfoInternalFileName
description: 시작 프로세스 버전 정보의 내부 파일 이름
type: string
- name: InitiatingProcessVersionInfoOriginalFileName
description: 시작 프로세스 버전 정보의 원본 파일 이름
type: string
- name: InitiatingProcessVersionInfoProductName
description: 시작 프로세스 버전 정보의 제품 이름
type: string
- name: InitiatingProcessVersionInfoProductVersion
description: 시작 프로세스 버전 정보의 제품 버전
type: string
- name: InternetMessageId
description: Message-ID 헤더의 고유 메시지 식별자
type: string
- name: IsAdminOperation
description: 활동이 관리자에 의해 수행되었는지 여부를 나타냄
type: boolean
- name: IsAnonymousProxy
description: IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냄
type: boolean
- name: IsAzureADJoined
description: 장치가 Microsoft Entra ID에 조인되어 있는지 여부
type: boolean
- name: IsAzureInfoProtectionApplied
description: Azure Information Protection이 적용되었는지 여부를 나타냄
type: boolean
- name: IsDomainJoined
description: 장치가 도메인에 조인되어 있는지 여부
type: boolean
- name: IsExcluded
description: 장치가 취약성 관리에서 제외되었는지 여부
type: boolean
- name: IsExternalUser
description: 사용자가 조직 도메인 외부인지 여부를 나타냄
type: boolean
- name: IsImpersonated
description: 활동이 가장된 사용자에 의해 수행되었는지 여부를 나타냄
type: boolean
- name: IsInitiatingProcessRemoteSession
description: 시작 프로세스가 RDP 세션에서 실행되었는지 여부
type: boolean
- name: IsInternetFacing
description: 장치가 인터넷에 노출되어 있는지 여부
type: boolean
- name: IsLocalAdmin
description: 사용자가 장치의 로컬 관리자인지 여부
type: boolean
- name: IsLocalLogon
description: 로컬 계정을 사용하여 로그온이 발생했는지 여부
type: boolean
- name: IsProcessRemoteSession
description: 생성된 프로세스가 RDP에서 실행되었는지 여부
type: boolean
- name: IsRootSignerMicrosoft
description: 루트 인증서가 Microsoft에서 발급되었는지 여부를 나타냄
type: boolean
- name: IsSigned
description: 파일이 서명되었는지 여부를 나타냄
type: boolean
- name: IsTransient
description: 장치가 일시적이거나 수명이 짧은지 여부
type: boolean
- name: IsTrusted
description: 인증서 검증을 기반으로 파일이 신뢰되는지 여부를 나타냄
type: boolean
- name: Isp
description: IP 주소와 관련된 인터넷 서비스 제공업체
type: string
- name: Issuer
description: 발급 인증 기관(CA)에 대한 정보
type: string
- name: IssuerHash
description: 발급 인증 기관(CA)을 식별하는 고유 해시 값
type: string
- name: JoinType
description: Microsoft Entra ID 조인 유형
type: string
- name: LastSeenForUser
description: 사용자에 대한 마지막 확인 지표 속성
유형: json
- name: LatestDeliveryAction
description: 서비스 또는 관리자가 수동 복구를 통해 이메일에 대해 시도한 마지막으로 알려진 작업
type: string
- name: LatestDeliveryLocation
description: 이메일의 마지막으로 알려진 위치
type: string
- name: LocalIP
description: 통신 중 사용된 로컬 장치에 할당된 IP 주소
type: string
indicators:
- ip
- name: LocalPort
description: 통신에 사용된 로컬 장치의 TCP 포트
type: int
- name: LoggedOnUsers
description: JSON 배열 형식의 로그인된 사용자 목록
type: string
- name: LogonId
description: 로그온 세션의 고유 ID
type: bigint
- name: LogonType
description: 로그온 세션 유형(예: Interactive, RemoteInteractive, Network)
type: string
- name: MD5
description: 첨부 파일의 MD5 해시
type: string
indicators:
- md5
- 이름: MacAddress
설명: 네트워크 어댑터의 MAC 주소
type: string
- 이름: MachineGroup
설명: 역할 기반 액세스 제어에 사용되는 컴퓨터 그룹
type: string
- 이름: MalwareFamily
설명: 첨부 파일에서 식별된 멀웨어 패밀리의 이름
type: string
- 이름: MergedDeviceIds
설명: 동일한 디바이스에 할당된 이전 디바이스 ID
type: string
- 이름: MergedToDeviceId
설명: 해당 디바이스의 가장 최근 디바이스 ID
type: string
- 이름: MitigationStatus
설명: 디바이스에 적용된 완화 조치
type: string
- 이름: Model
설명: 디바이스의 모델 이름 또는 번호
type: string
- 이름: ModifiedProperties
설명: 변경된 특성의 키-값 맵
유형: json
- 이름: NetworkAdapterAlias
설명: 네트워크 어댑터의 사용자 친화적 이름 또는 별칭
type: string
- 이름: NetworkAdapterName
설명: 디바이스의 네트워크 어댑터 이름
type: string
- 이름: NetworkAdapterStatus
설명: 네트워크 어댑터의 현재 작동 상태
type: string
- 이름: NetworkMessageId
설명: Microsoft 365 Defender 전체에서 이메일의 고유 식별자
type: string
- 이름: NetworkMessageParentId
설명: 여러 수신자에게 보낸 메시지 간 중복 제거에 사용되는 식별자
type: string
- 이름: OAuthAppId
설명: OAuth 애플리케이션의 고유 식별자
type: string
- 이름: OAuthApplicationId
설명: 타사 OAuth 애플리케이션의 고유 식별자
type: string
- 이름: OSArchitecture
설명: 운영 체제의 아키텍처
type: string
- 이름: OSBuild
설명: 운영 체제의 빌드 버전
type: bigint
- 이름: OSDistribution
설명: Ubuntu 또는 RedHat과 같은 OS 배포판
type: string
- 이름: OSPlatform
설명: 디바이스의 운영 체제 플랫폼
type: string
- 이름: OSVersion
설명: 운영 체제 버전
type: string
- 이름: OSVersionInfo
설명: 추가 OS 버전 정보(예: 코드명)
type: string
- 이름: ObjectId
설명: 작업이 적용된 개체의 고유 식별자
type: string
- name: ObjectName
설명: 기록된 작업이 적용된 개체의 이름
type: string
- name: ObjectType
설명: 파일 또는 폴더와 같은 개체 유형
type: string
- 이름: OnboardingStatus
설명: Microsoft Defender for Endpoint 온보딩 상태
type: string
- 이름: OrgLevelAction
설명: 조직 전체 작업(예: ZAP를 정크/격리로 이동)
type: string
- 이름: OrgLevelPolicy
설명: 이메일에 적용된 작업을 트리거한 조직 정책
type: string
- 이름: OsBuildRevision
설명: 운영 체제의 빌드 개정판
type: string
- 이름: PreviousFileName
설명: 이름이 변경되기 전의 원래 파일 이름
type: string
- 이름: PreviousFolderPath
설명: 작업 전 파일의 원래 폴더
type: string
- 이름: PreviousRegistryValueData
설명: 기록된 변경 전 레지스트리 값에 저장된 데이터
type: string
- 이름: PreviousRegistryValueType
설명: 변경이 발생하기 전의 데이터 형식
type: string
- 이름: ProcessCommandLine
설명: 새 프로세스를 생성하는 데 사용된 명령줄
type: string
- 이름: ProcessCreationTime
설명: 프로세스가 생성된 날짜와 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: ProcessId
설명: 새로 생성된 프로세스의 프로세스 ID(PID)
type: int
- 이름: ProcessIntegrityLevel
설명: 새로 생성된 프로세스의 무결성 수준
type: string
- 이름: ProcessRemoteSessionDeviceName
설명: 생성된 프로세스를 시작한 RDP 세션의 디바이스 이름
type: string
- 이름: ProcessRemoteSessionIP
설명: 생성된 프로세스를 시작한 RDP 세션의 IP 주소
type: string
indicators:
- ip
- 이름: ProcessTokenElevation
설명: 새로 생성된 프로세스에 적용된 사용자 액세스 제어(UAC) 권한 상승의 존재 여부를 나타내는 토큰 유형
type: string
- 이름: ProcessUniqueId
설명: 프로세스의 고유 식별자(Process Start Key와 동일)
type: string
- 이름: Protocol
설명: 통신에 사용된 네트워크 프로토콜
type: string
- name: PublicIP
설명: 온보딩된 디바이스가 사용한 공용 IP 주소
type: string
indicators:
- ip
- 이름: Query
설명: 도메인 컨트롤러에서 실행된 실제 LDAP 쿼리
type: string
- 이름: QueryEngine
설명: 사용된 검색 엔진 또는 인터페이스(예: LDAP)
type: string
- 이름: QueryScope
설명: LDAP 쿼리의 범위(예: Base, OneLevel, Subtree)
type: string
- 이름: QueryTarget
설명: 쿼리의 고유 이름(DN) 또는 기준
type: string
- 이름: QueryTargetDeviceId
설명: 쿼리를 수신한 도메인 컨트롤러의 고유 식별자
type: string
- 이름: QueryTargetDeviceName
설명: 쿼리를 수신한 도메인 컨트롤러의 이름
type: string
- 이름: RawEventData
설명: 원본 애플리케이션 또는 서비스의 원시 이벤트 데이터
유형: json
- 이름: RecipientEmailAddress
설명: URL을 클릭한 사용자의 이메일 주소
type: string
indicators:
- email
- 이름: RecipientObjectId
설명: 수신자의 Microsoft Entra ID 개체 ID
type: string
- 이름: RegistryDeviceTag
설명: 레지스트리를 통해 추가된 디바이스 태그
type: string
- 이름: RegistryKey
설명: 기록된 작업이 적용된 레지스트리 키
type: string
- 이름: RegistryValueData
설명: 기록된 작업이 적용된 레지스트리 값의 데이터
type: string
- 이름: RegistryValueName
설명: 기록된 작업이 적용된 레지스트리 값의 이름
type: string
- 이름: RegistryValueType
설명: 레지스트리 값의 데이터 형식(예: REG_SZ, REG_DWORD)
type: string
- 이름: RemoteDeviceName
설명: 원격 디바이스의 이름(있는 경우)
type: string
- 이름: RemoteDnsDomain
설명: 원격 디바이스의 최상위 DNS 도메인
type: string
indicators:
- domain
- 이름: RemoteIP
설명: URL을 클릭한 시스템의 IP 주소
type: string
indicators:
- ip
- 이름: RemoteIPType
설명: IP 주소 분류(예: 공용, 사설)
type: string
- 이름: RemotePort
설명: 통신에 사용된 원격 디바이스의 TCP 포트
type: int
- 이름: RemoteUrl
설명: 연결하려던 URL 또는 정규화된 도메인 이름(FQDN)
type: string
indicators:
- URL
- 이름: ReportId
설명: 반복 카운터를 기반으로 한 이벤트 식별자
type: string
- 이름: RequestAccountDomain
설명: 원격 계정의 도메인
type: string
- 이름: RequestAccountName
설명: 원격 계정의 사용자 이름
type: string
- 이름: RequestAccountSid
설명: 원격 계정의 SID
type: string
- 이름: RequestProtocol
설명: 활동을 시작하는 데 사용된 네트워크 프로토콜
type: string
- 이름: RequestSourceIP
설명: 원격 디바이스의 소스 IP 주소
type: string
indicators:
- ip
- 이름: RequestSourcePort
설명: 원격 디바이스의 소스 포트
type: int
- 이름: ResourceID
설명: 클라우드 리소스의 고유 식별자
type: string
- 이름: ResourceType
설명: 클라우드 리소스의 유형
type: string
- 이름: SHA1
설명: 기록된 작업이 적용된 파일의 SHA-1
type: string
indicators:
- sha1
- 이름: SHA256
설명: 첨부 파일의 SHA-256 해시
type: string
indicators:
- sha256
- 이름: SenderDisplayName
설명: 보낸 사람의 표시 이름
type: string
- 이름: SenderFromAddress
설명: 이메일의 "From" 필드에 있는 이메일 주소
type: string
indicators:
- email
- 이름: SenderFromDomain
설명: 보낸 사람의 "From" 주소에서 가져온 도메인
type: string
indicators:
- domain
- 이름: SenderIP
설명: 보낸 사람의 IP 주소
type: string
indicators:
- ip
- 이름: SenderIPv4
설명: 메시지를 릴레이한 마지막으로 감지된 메일 서버의 IPv4 주소
type: string
indicators:
- ip
- 이름: SenderIPv6
설명: 메시지를 릴레이한 마지막으로 감지된 메일 서버의 IPv6 주소
type: string
indicators:
- ip
- 이름: SenderMailFromAddress
설명: 보낸 사람의 SMTP MAIL FROM 주소
type: string
indicators:
- email
- 이름: SenderMailFromDomain
설명: SMTP MAIL FROM 명령의 도메인
type: string
indicators:
- domain
- 이름: SenderObjectId
설명: Microsoft Entra ID에서 보낸 사람 계정의 고유 식별자
type: string
- 이름: SensitivityLabel
설명: 파일에 적용된 민감도 레이블
type: string
- 이름: SensitivitySubLabel
설명: 기본 민감도 레이블 아래에 적용된 하위 레이블
type: string
- 이름: SensorHealthState
설명: 디바이스의 EDR 센서 상태
type: string
- 이름: ServiceSource
설명: 알러트 정보를 제공한 제품 또는 서비스
type: string
- 이름: SessionData
설명: 액세스/세션 제어를 위한 Defender for Cloud Apps 세션 ID
유형: json
- 이름: Severity
설명: 알러트에서 식별된 위협 지표 또는 침해 활동의 잠재적 영향(높음, 중간 또는 낮음)을 나타냄
type: string
- 이름: ShareName
설명: 공유 폴더의 이름
type: string
- 이름: SignatureType
설명: 서명이 어떻게 가져왔는지 나타냄(포함됨 또는 카탈로그)
type: string
- 이름: Signer
설명: 파일 서명자에 대한 정보
type: string
- 이름: SignerHash
설명: 서명자를 식별하는 고유 해시 값
type: string
- 이름: Site
설명: 디바이스의 물리적 위치
type: string
- 이름: StartTime
설명: 해당 행위와 관련된 첫 번째 활동의 날짜와 시간
유형: 타임스탬프
timeFormats:
- '%Y-%m-%d %H:%M:%S.%N'
- rfc3339
- 이름: Subject
설명: 이메일의 제목
type: string
- 이름: SubnetPrefix
설명: 할당된 IP 주소와 연결된 서브넷 접두사 또는 넷마스크
type: string
- 이름: SubscriptionId
설명: 클라우드 서비스 구독의 고유 식별자
type: string
- 이름: TargetAccountDomain
설명: 수정된 개체의 도메인
type: string
indicators:
- domain
- 이름: TargetAccountName
설명: 수정된 개체의 이름
type: string
- 이름: TargetAccountObjectId
설명: 수정된 계정의 Microsoft Entra ID 개체 ID
type: string
- 이름: TargetAccountSid
설명: 수정된 개체의 SID
type: string
- 이름: TargetAccountUpn
설명: 수정된 개체의 UPN(해당하는 경우)
type: string
indicators:
- email
- 이름: ThreatFamily
설명: 의심스럽거나 악성인 파일 또는 프로세스가 분류된 멀웨어 패밀리
type: string
- 이름: ThreatNames
설명: 발견된 멀웨어 또는 기타 위협의 디택션 이름
type: string
- 이름: ThreatTypes
설명: URL과 연결된 감지된 위협(여러 개일 경우 세미콜론으로 구분)
type: string
- 이름: Timestamp
설명: URL 클릭 이벤트가 기록된 날짜와 시간
유형: 타임스탬프
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
isEventTime: true
- 이름: Title
설명: 알러트의 제목
type: string
- 이름: UncommonForUser
설명: 해당 사용자에게는 흔하지 않은 이벤트의 특성
유형: json
- 이름: Url
설명: 사용자가 클릭한 전체 URL
type: string
indicators:
- URL
- 이름: UrlCount
설명: 이메일에 포함된 URL 수
type: int
- 이름: UrlDomain
설명: 클릭한 URL에서 추출된 도메인
type: string
indicators:
- domain
- 이름: UserAgent
설명: 웹 브라우저 또는 클라이언트 앱의 사용자 에이전트
type: string
- 이름: UserAgentTags
설명: 오래된 브라우저나 OS 같은 클라이언트 정보가 포함된 태그
유형: json
- 이름: UserLevelAction
설명: 수신자가 정의한 사서함 정책과의 일치에 대응하여 이메일에 대해 취해진 조치
type: string
- 이름: UserLevelPolicy
설명: 이메일에 대해 취해진 조치를 트리거한 최종 사용자 사서함 정책
type: string
- 이름: Vendor
설명: 디바이스 공급업체 또는 제조업체
type: string
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft-defender-xdr.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.