> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft-defender-xdr.md).
# Microsoft Defender XDR 로그 (Beta)
## 개요
{% hint style="info" %}
Panther 버전 1.114부터 Microsoft Defender XDR 로그 수집이 오픈 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원 팀과 공유해 주세요.
{% endhint %}
Panther는 수집을 지원합니다 [Microsoft Defender XDR](https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-xdr) 공통을 통한 로그 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports) 옵션, 예를 들어 Azure [Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 그리고 [Blob Storage](/ko/data-onboarding/data-transports/azure/blob-storage.md).
## Microsoft Defender XDR 로그를 Panther에 온보드하는 방법
먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, Azure를 구성하여 해당 위치로 로그를 내보냅니다.
### 사전 요구 사항
Microsoft Defender XDR 로그를 Panther에 온보드하기 전에 다음을 확인하세요:
* Azure 구독이 있고 사용자에게 다음 역할이 있습니다 [Owner](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#owner) 또는 [Contributor](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#contributor) 역할.
* Defender XDR 로그를 다음을 통해 수집할 계획이라면 [Event Hub Data Transport](/ko/data-onboarding/data-transports/azure/event-hub.md), 이미 생성된 [Event Hubs namespace](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#namespace) 및 Event Hub가 있습니다(다음에 지정된 대로 [전제 조건](/ko/data-onboarding/data-transports/azure/event-hub.md#prerequisites)).
* Defender XDR 로그를 다음을 통해 수집할 계획이라면 [Blob Storage Data Transport](/ko/data-onboarding/data-transports/azure/blob-storage.md), 스토리지 계정을 미리 생성할 필요는 없습니다.
* 사용자에게 네임스페이스 또는 스토리지 계정에 메시지를 게시할 권한이 있습니다.
### 1단계: Panther에서 Microsoft Defender XDR 소스 만들기
1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**.
2. 다음을 클릭합니다: **새로 만들기**.
3. “Microsoft Defender XDR”를 검색한 다음 해당 타일을 클릭합니다.
* 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **Azure Event Hub** 옵션. 이 선택을 그대로 두거나 **Azure Blob Storage**.
4. 다음을 클릭합니다: **설정 시작**.
5. Panther의 지침에 따라 [Azure Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 또는 [Azure Blob Storage Source](/ko/data-onboarding/data-transports/azure/blob-storage.md).
* Azure Blob Storage를 선택하고 동안 [2단계: 필요한 Azure 인프라 만들기](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure) Azure 리소스를 수동으로 만들기로 선택한 경우(Terraform을 사용하는 대신), [Azure 컨테이너를 만드는 단계는 건너뛰세요](https://docs.panther.com/data-onboarding/data-transports/azure/blob-storage#step-5-create-container-and-add-permission). 아래 2단계에서 스토리지 계정에 자동으로 하나가 생성되기 때문입니다.
### 2단계: 스트리밍 API로 Microsoft Defender XDR 로그 내보내기
Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요.
{% hint style="info" %}
추가 지원은 Microsoft를 참조하세요 [Advanced Hunting 이벤트를 Event Hubs 및/또는 Azure 스토리지 계정으로 스트리밍](https://learn.microsoft.com/en-us/defender-xdr/streaming-api#stream-advanced-hunting-events-to-event-hubs-andor-azure-storage-account) 문서.
{% endhint %}
1. Azure Portal에서 다음의 Microsoft Defender 포털로 이동하세요 [https://security.microsoft.com/](https://intune.microsoft.com/).
2. 왼쪽 탐색 막대에서 다음을 클릭하세요 **설정**.\
3. 다음을 클릭합니다: **Microsoft Defender XDR**.\
4. 다음에서 **일반**, 다음을 클릭하세요 **스트리밍 API**.\
5. 다음에서 **스트리밍 API**, 다음을 클릭하세요 **+ 추가**.
6. 양식을 작성하세요:
* **이름**: 설명적인 이름을 입력하세요. 예: `Panther 포워더`.
* 둘 중 하나를 선택합니다 **이벤트를 Azure Storage로 전달** 또는 **이벤트를 Event Hub로 전달**— Panther에서 만든 로그 소스 유형에 따라 [1단계](#step-1-create-the-microsoft-defender-xdr-source-in-panther).
* 선택하는 경우 **이벤트를 Azure Storage로 전달**,에서 **스토리지 계정 리소스 ID** 필드에 스토리지 계정 ID를 입력하세요.
* 선택하는 경우 **이벤트를 Event Hub로 전달**,에서 **Event-Hub 리소스 ID** 필드에 이벤트 허브 ID를 입력하세요.
* **이벤트 유형**: Panther로 보내려는 로그 범주를 선택하세요. [전체 이벤트 유형 목록은 여기에서 확인하세요](https://learn.microsoft.com/en-us/defender-xdr/supported-event-types).\
7. 다음을 클릭합니다: **제출**.
## 지원되는 로그 유형
### MicrosoftDefenderXDR.AdvancedHunting
```yaml
schema: MicrosoftDefenderXDR.AdvancedHunting
description: Microsoft Defender XDR용 Advanced hunting 스키마
referenceURL: https://learn.microsoft.com/en-us/defender-xdr/streaming-api-storage#the-schema-of-the-events-in-the-storage-account
fields:
- 이름: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- '%Y-%m-%dT%H:%M:%S.%N'
- 이름: operationName
type: string
- 이름: Tenant
type: string
- 이름: time
required: true
description: Microsoft Defender XDR가 이벤트를 수신한 시간
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: tenantId
required: true
description: 조직의 테넌트 ID
type: string
- name: category
required: true
description: 'AdvancedHunting-' 접두사가 붙은 Advanced Hunting 테이블 이름
type: string
- 이름: properties
required: true
description: Microsoft Defender XDR Advanced Hunting 이벤트 속성 (https://learn.microsoft.com/en-us/defender-xdr/supported-event-types#hunting-tables-support-status-in-event-streaming-api)
type: object
fields:
- 이름: AadDeviceId
description: Microsoft Entra ID에서 장치의 고유 식별자
type: string
- 이름: AccountDisplayName
description: 로그온에 관련된 계정의 표시 이름
type: string
- 이름: AccountDomain
description: 변경을 수행한 계정의 도메인
type: string
표시자:
- domain
- name: AccountId
description: Microsoft Defender for Cloud Apps의 계정 식별자
type: string
- 이름: AccountName
description: 변경을 수행한 계정의 이름
type: string
- 이름: AccountObjectId
description: 변경을 수행한 계정의 Microsoft Entra ID 개체 ID
type: string
- 이름: AccountSid
description: 변경을 수행한 계정의 SID
type: string
- 이름: AccountType
description: 사용자 계정 유형(일반, 시스템, 관리자, 애플리케이션)
type: string
- 이름: AccountUpn
description: 변경을 수행한 계정의 UPN
type: string
표시자:
- 이메일
- 이름: ActionType
description: 디렉터리 변경 유형(예: AddMember, RemoveMember, ModifyGroup)
type: string
- 이름: ActivityObjects
description: 기록된 활동에 관련된 개체 목록
유형: json
- 이름: ActivityType
description: 이벤트를 트리거한 활동 유형
type: string
- 이름: AdditionalFields
description: JSON 배열 형식의 추가 메타데이터
유형: json
중첩 JSON: true
- 이름: 알러트Id
description: 알러트의 고유 식별자
type: string
- 이름: AppGuardContainerId
description: Application Guard에서 사용하는 가상화된 컨테이너의 식별자
type: string
- 이름: AppInstanceId
description: 애플리케이션 인스턴스의 고유 식별자
유형: int
- 이름: Application
description: 기록된 작업을 수행한 애플리케이션
type: string
- 이름: ApplicationId
description: 애플리케이션의 고유 식별자
type: bigint
- 이름: AssetValue
description: 장치에 할당된 비즈니스 가치(낮음, 보통, 높음)
type: string
- 이름: AttachmentCount
description: 이메일의 첨부 파일 수
유형: int
- 이름: AttachmentId
description: 첨부 파일의 고유 식별자
type: string
- 이름: AttackTechniques
description: 알러트와 관련된 MITRE ATT&CK 기법
type: array
element:
type: string
표시자:
- ip
중첩 JSON: true
- 이름: AuditSource
description: 감사 데이터 원본(예: 세션 제어, 앱 커넥터)
type: string
- 이름: AuthenticationDetails
description: DMARC, DKIM, SPF 같은 이메일 인증 프로토콜 또는 여러 인증 유형의 조합(CompAuth)에 대한 통과/실패 판정 목록
type: string
- 이름: AwsResourceName
description: 장치의 AWS 리소스 이름
type: string
- 이름: AzureResourceId
description: 장치와 연결된 Azure 리소스 ID
type: string
- 이름: AzureVmId
description: 장치에 할당된 Azure VM ID
type: string
- 이름: AzureVmSubscriptionId
description: 장치의 Azure 구독 ID
type: string
- 이름: BehaviorId
description: 행위의 고유 식별자
type: string
- 이름: BulkComplaintLevel
description: 대량 발송 메일러로부터 온 이메일에 할당된 임계값으로, 높은 대량 불만 수준(BCL)은 해당 이메일이 불만을 유발할 가능성이 더 높고, 따라서 스팸일 가능성도 더 높음을 의미합니다
유형: int
- 이름: Categories
description: 해당 정보가 속한 범주의 목록(JSON 배열 형식)
유형: json
중첩 JSON: true
- 이름: Category
description: 알러트에 의해 식별된 위협 지표 또는 침해 활동 유형
type: string
- 이름: CertificateCountersignatureTime
description: 인증서가 공동 서명된 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- 이름: CertificateCreationTime
description: 인증서가 생성된 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: CertificateExpirationTime
description: 인증서가 만료되는 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: CertificateSerialNumber
description: CA에서 발급한 인증서의 고유 식별자
type: string
- 이름: City
description: 클라이언트 IP 주소의 지리적 위치가 있는 도시
type: string
- 이름: ClickAction
description: URL과의 사용자 상호 작용 유형(예: ClickedThrough, Blocked)
type: string
- 이름: ClickVerdict
description: URL을 클릭했을 때 반환된 최종 판정(예: 악성, 정상)
type: string
- 이름: ClientVersion
description: 장치에서 실행 중인 엔드포인트 에이전트 또는 센서의 버전
type: string
- 이름: CloudPlatform
description: 리소스가 속한 클라우드 플랫폼으로, Azure, Amazon Web Services 또는 Google Cloud Platform일 수 있음
type: string
- 이름: CloudPlatforms
description: 장치가 속한 클라우드 플랫폼
type: string
- 이름: CloudResource
description: 이벤트와 연결된 클라우드 리소스 이름
type: string
- 이름: ClusterId
description: 조사 중 이메일을 연결하는 데 사용하는 클러스터 ID
type: string
- 이름: ConfidenceLevel
description: 스팸 또는 피싱 판정의 신뢰도 수준 목록입니다. 스팸의 경우 이 열은 스팸 신뢰도 수준(SCL)을 표시하며, 이메일이 건너뛰어졌는지(-1), 스팸이 아닌 것으로 판정되었는지(0,1), 중간 신뢰도로 스팸으로 판정되었는지(5,6), 또는 높은 신뢰도로 스팸으로 판정되었는지(9)를 나타냅니다. 피싱의 경우 이 열은 신뢰도 수준이 "High"인지 "Low"인지를 표시합니다.
type: string
- 이름: ConnectedNetwork
description: 연결과 관련된 네트워크 이름 또는 SSID
type: string
- 이름: ConnectionType
description: 네트워크 연결 유형(예: Ethernet, Wi-Fi, Loopback)
type: string
- 이름: ConnectivityType
description: 장치에서 클라우드로의 연결 유형
type: string
- 이름: Connectors
description: 조직의 메일 흐름과 이메일이 라우팅된 방식을 정의하는 사용자 지정 지침
type: string
- 이름: CountryCode
description: IP의 지리적 위치가 있는 국가를 나타내는 두 글자 코드
type: string
- 이름: CreatedProcessSessionId
description: 생성된 프로세스의 Windows 세션 ID
type: bigint
- 이름: CrlDistributionPointUrls
description: 인증서 또는 CRL이 포함된 네트워크 공유의 URL
유형: json
- 이름: DHCPServer
description: 장치에서 사용한 DHCP 서버의 IP 주소
type: string
표시자:
- ip
- 이름: DNSAddresses
description: 장치에 구성된 DNS 서버 목록(세미콜론으로 구분)
type: array
element:
type: string
표시자:
- ip
중첩 JSON: true
- 이름: DataSources
description: 행위에 대한 정보를 제공한 제품 또는 서비스
type: string
- 이름: DefaultGateway
description: 장치에서 사용한 기본 게이트웨이 주소
type: string
표시자:
- ip
- 이름: DeliveryAction
description: 이메일의 최종 전달 결과
type: string
- 이름: DeliveryLocation
description: 이메일이 전달된 위치(예: 받은 편지함, 정크, 격리)
type: string
- name: Description
description: 행위에 대한 설명
type: string
- 이름: DetailedEntityRole
description: 행위에서 엔터티의 역할
type: string
- 이름: 디택션Methods
description: 이메일에서 발견된 멀웨어, 피싱 또는 기타 위협을 탐지하는 데 사용된 방법
type: string
- 이름: 디택션Source
description: 눈에 띄는 구성 요소나 활동을 식별한 탐지 기술 또는 센서
type: string
- 이름: DeviceCategory
description: 장치의 분류(Endpoint, IoT 등)
type: string
- 이름: DeviceDynamicTags
description: 동적으로 생성된 장치 태그
type: string
- 이름: DeviceId
description: 서비스 내 장치의 고유 식별자
type: string
- 이름: DeviceManualTags
description: 수동으로 생성된 장치 태그
type: string
- 이름: DeviceName
description: 이벤트가 발생한 장치의 정규화된 도메인 이름(FQDN)
type: string
- 이름: DeviceSubtype
description: 태블릿이나 스마트폰 같은 추가 구분자
type: string
- 이름: DeviceType
description: 장치 유형(예: 워크스테이션, 서버)
type: string
- 이름: DiscoverySources
description: 장치를 감지한 제품 또는 서비스
type: string
- 이름: EmailAction
description: 이메일에 대해 수행된 작업(예: 전달됨, 격리됨)
type: string
- 이름: EmailActionPolicy
description: 작업을 트리거한 정책 이름
type: string
- 이름: EmailActionPolicyGuid
description: 최종 메일 작업을 결정한 정책의 고유 식별자
type: string
- 이름: EmailActionSource
description: 작업의 출처(예: 사용자, Microsoft, 관리자)
type: string
- 이름: EmailClusterId
description: 내용의 휴리스틱 분석을 기반으로 클러스터링된 유사 이메일 그룹의 식별자
type: string
- 이름: EmailDirection
description: 이메일의 방향(수신, 발신, 조직 내)
type: string
- 이름: EmailLanguage
description: 이메일 내용의 탐지된 언어
type: string
- 이름: EmailSubject
description: URL이 포함된 이메일의 제목
type: string
- 이름: EndTime
description: 행위와 관련된 마지막 활동의 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- 이름: EntityRole
description: 엔터티가 영향을 받는지 아니면 단순히 관련된 것인지를 나타냄
type: string
- 이름: EntityType
description: 파일, 프로세스, 장치 또는 사용자와 같은 개체 유형
type: string
- 이름: EvidenceDirection
description: 엔터티가 네트워크 연결의 원본인지 대상인지 나타냄
type: string
- 이름: EvidenceRole
description: 엔터티가 알러트에 어떻게 관련되는지, 영향을 받는지 아니면 단순히 관련된 것인지를 나타냄
type: string
- 이름: ExclusionReason
description: 장치 제외 사유
type: string
- 이름: ExposureLevel
description: 취약성 노출 수준(낮음, 중간, 높음)
type: string
- 이름: FailureReason
description: 기록된 작업이 실패한 이유를 설명하는 정보
type: string
- 이름: FileExtension
description: 첨부된 파일의 확장자
type: string
- 이름: FileName
description: 기록된 작업이 적용된 파일의 이름
type: string
- 이름: FileNames
description: 파일 첨부의 이름
type: array
element:
type: string
- 이름: FileOriginIP
description: 파일이 다운로드된 IP 주소
type: string
표시자:
- ip
- 이름: FileOriginReferrerUrl
description: 파일 다운로드를 위한 리퍼러 URL
type: string
표시자:
- url
- 이름: FileOriginUrl
description: 파일이 다운로드된 URL
type: string
표시자:
- url
- 이름: FileSize
description: 파일 크기(바이트)
type: bigint
- 이름: FolderPath
description: 기록된 작업이 적용된 파일이 들어 있는 폴더 경로
type: string
- 이름: GcpFullResourceName
description: 장치의 GCP 전체 리소스 이름
type: string
- 이름: HardwareUuid
description: 장치의 하드웨어 UUID
type: string
- 이름: HostDeviceId
description: WSL이 실행 중인 경우 호스트 장치의 ID
type: string
- 이름: IPAddress
description: 통신 중 장치에 할당된 IP 주소
type: string
표시자:
- ip
- 이름: IPAddressType
description: IP 주소 유형(공용, 사설, 예약됨 등)
type: string
- 이름: IPCategory
description: IP 주소에 대한 추가 정보
type: string
- 이름: IPTags
description: IP 주소 또는 범위에 대한 고객 정의 태그
유형: json
- 이름: IPv6Address
description: 네트워크 어댑터에 할당된 IPv6 주소
type: string
표시자:
- ip
- 이름: InitiatingProcessAccountDomain
description: 초기 프로세스를 실행한 계정의 도메인
type: string
- 이름: InitiatingProcessAccountName
description: 초기 프로세스를 실행한 계정의 사용자 이름
type: string
- 이름: InitiatingProcessAccountObjectId
description: 초기 계정의 Microsoft Entra 개체 ID
type: string
- 이름: InitiatingProcessAccountSid
description: 초기 계정의 보안 식별자(SID)
type: string
- 이름: InitiatingProcessAccountUpn
description: 초기 계정의 사용자 주체 이름(UPN)
type: string
표시자:
- 이메일
- 이름: InitiatingProcessCommandLine
description: 초기 프로세스를 실행하는 데 사용된 명령줄
type: string
- 이름: InitiatingProcessCreationTime
description: 초기 프로세스가 시작된 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: InitiatingProcessFileName
description: 초기 프로세스의 파일 이름
type: string
- 이름: InitiatingProcessFileSize
description: 초기 프로세스 파일의 크기(바이트)
type: bigint
- 이름: InitiatingProcessFolderPath
description: 초기 프로세스가 들어 있는 폴더 경로
type: string
- 이름: InitiatingProcessId
description: 초기 프로세스의 PID
type: bigint
- 이름: InitiatingProcessIntegrityLevel
description: 이벤트를 시작한 프로세스의 무결성 수준
type: string
- 이름: InitiatingProcessLogonId
description: 이벤트를 시작한 프로세스의 로그온 세션 식별자
type: bigint
- 이름: InitiatingProcessMD5
description: 초기 프로세스의 MD5 해시
type: string
표시자:
- md5
- 이름: InitiatingProcessName
description: 변경을 시작한 프로세스의 이름
type: string
- 이름: InitiatingProcessParentAccountDomain
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 도메인
type: string
- 이름: InitiatingProcessParentAccountName
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 이름
type: string
- 이름: InitiatingProcessParentAccountObjectId
description: Microsoft Entra ID의 계정 고유 식별자
type: string
- 이름: InitiatingProcessParentAccountSid
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 보안 식별자(SID)
type: string
- 이름: InitiatingProcessParentAccountUpn
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 주체 이름(UPN)
type: string
표시자:
- 이메일
- 이름: InitiatingProcessParentCreationTime
description: 상위 프로세스가 시작된 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: InitiatingProcessParentFileName
description: 상위 프로세스의 파일 이름 또는 경로
type: string
- 이름: InitiatingProcessParentFolderPath
description: 이벤트의 원인이 된 프로세스를 생성한 상위 프로세스(이미지 파일)가 들어 있는 폴더
type: string
- 이름: InitiatingProcessParentId
description: 상위 프로세스의 PID
type: bigint
- 이름: InitiatingProcessParentIntegrityLevel
설명: 이벤트를 담당하는 프로세스를 생성한 상위 프로세스의 무결성 수준
type: string
- 이름: InitiatingProcessParentLogonId
설명: 이벤트를 담당하는 프로세스를 생성한 상위 프로세스의 로그온 세션 식별자
유형: int
- 이름: InitiatingProcessParentMD5
설명: 이벤트를 담당하는 프로세스를 생성한 상위 프로세스(이미지 파일)의 MD5 해시
type: string
표시자:
- md5
- 이름: InitiatingProcessParentSHA1
설명: 이벤트를 담당하는 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-1
type: string
표시자:
- sha1
- 이름: InitiatingProcessParentSHA256
설명: 이벤트를 담당하는 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-256
type: string
표시자:
- sha256
- 이름: InitiatingProcessParentTokenElevation
설명: 이벤트를 담당하는 프로세스를 생성한 상위 프로세스에 적용된 사용자 계정 컨트롤(UAC) 권한 상승의 적용 여부를 나타내는 토큰 유형
type: string
- 이름: InitiatingProcessRemoteSessionDeviceName
설명: RDP 세션이 시작된 디바이스 이름
type: string
- 이름: InitiatingProcessRemoteSessionIP
설명: RDP 세션의 원격 디바이스 IP 주소
type: string
표시자:
- ip
- 이름: InitiatingProcessSHA1
설명: 시작 프로세스의 SHA-1 해시
type: string
표시자:
- sha1
- 이름: InitiatingProcessSHA256
설명: 시작 프로세스의 SHA-256 해시
type: string
표시자:
- sha256
- 이름: InitiatingProcessSessionId
설명: 시작 프로세스의 Windows 세션 ID
type: bigint
- 이름: InitiatingProcessTokenElevation
설명: 사용자 계정 컨트롤(UAC) 권한 상승이 적용되었는지 여부를 나타냄
type: string
- 이름: InitiatingProcessUniqueId
설명: 시작 프로세스의 고유 식별자(프로세스 시작 키와 같음)
type: string
- 이름: InitiatingProcessVersionInfoCompanyName
설명: 시작 프로세스 버전 정보의 회사 이름
type: string
- 이름: InitiatingProcessVersionInfoFileDescription
설명: 시작 프로세스 버전 정보의 파일 설명
type: string
- 이름: InitiatingProcessVersionInfoInternalFileName
설명: 시작 프로세스 버전 정보의 내부 파일 이름
type: string
- 이름: InitiatingProcessVersionInfoOriginalFileName
설명: 시작 프로세스 버전 정보의 원본 파일 이름
type: string
- 이름: InitiatingProcessVersionInfoProductName
설명: 시작 프로세스 버전 정보의 제품 이름
type: string
- 이름: InitiatingProcessVersionInfoProductVersion
설명: 시작 프로세스 버전 정보의 제품 버전
type: string
- 이름: InternetMessageId
설명: Message-ID 헤더의 고유 메시지 식별자
type: string
- 이름: IsAdminOperation
설명: 활동이 관리자에 의해 수행되었는지 여부를 나타냄
유형: boolean
- 이름: IsAnonymousProxy
설명: IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냄
유형: boolean
- 이름: IsAzureADJoined
설명: 디바이스가 Microsoft Entra ID에 가입되어 있는지 여부
유형: boolean
- 이름: IsAzureInfoProtectionApplied
설명: Azure Information Protection이 적용되었는지 여부를 나타냄
유형: boolean
- 이름: IsDomainJoined
설명: 디바이스가 도메인에 가입되어 있는지 여부
유형: boolean
- 이름: IsExcluded
설명: 디바이스가 취약성 관리에서 제외되었는지 여부
유형: boolean
- 이름: IsExternalUser
설명: 사용자가 조직의 도메인 외부인지 여부를 나타냄
유형: boolean
- 이름: IsImpersonated
설명: 활동이 가장된 사용자에 의해 수행되었는지 여부를 나타냄
유형: boolean
- 이름: IsInitiatingProcessRemoteSession
설명: 시작 프로세스가 RDP 세션에서 실행되었는지 여부
유형: boolean
- 이름: IsInternetFacing
설명: 디바이스가 인터넷에 노출되어 있는지 여부
유형: boolean
- 이름: IsLocalAdmin
설명: 사용자가 디바이스의 로컬 관리자인지 여부
유형: boolean
- 이름: IsLocalLogon
설명: 로컬 계정을 사용하여 로그온했는지 여부
유형: boolean
- 이름: IsProcessRemoteSession
설명: 생성된 프로세스가 RDP에서 실행되었는지 여부
유형: boolean
- 이름: IsRootSignerMicrosoft
설명: 루트 인증서가 Microsoft에서 발급되었는지 여부를 나타냄
유형: boolean
- 이름: IsSigned
설명: 파일이 서명되었는지 여부를 나타냄
유형: boolean
- 이름: IsTransient
설명: 디바이스가 일시적이거나 단명인지 여부
유형: boolean
- 이름: IsTrusted
설명: 인증서 유효성 검사에 따라 파일이 신뢰되는지 여부를 나타냄
유형: boolean
- 이름: Isp
설명: IP 주소와 연결된 인터넷 서비스 제공업체
type: string
- 이름: Issuer
설명: 발급 인증 기관(CA)에 대한 정보
type: string
- 이름: IssuerHash
설명: 발급 인증 기관(CA)을 식별하는 고유 해시 값
type: string
- 이름: JoinType
설명: Microsoft Entra ID 가입 유형
type: string
- 이름: LastSeenForUser
설명: 사용자의 마지막 확인 지표 특성
유형: json
- 이름: LatestDeliveryAction
설명: 서비스 또는 관리자가 수동 수정 작업을 통해 이메일에 대해 시도한 마지막으로 알려진 작업
type: string
- 이름: LatestDeliveryLocation
설명: 이메일의 마지막으로 알려진 위치
type: string
- 이름: LocalIP
설명: 통신 중 사용된 로컬 디바이스에 할당된 IP 주소
type: string
표시자:
- ip
- 이름: LocalPort
설명: 통신에 사용된 로컬 디바이스의 TCP 포트
유형: int
- 이름: LoggedOnUsers
설명: JSON 배열 형식의 로그온한 사용자 목록
type: string
- 이름: LogonId
설명: 로그온 세션의 고유 ID
type: bigint
- 이름: LogonType
설명: 로그온 세션 유형(예: Interactive, RemoteInteractive, Network)
type: string
- 이름: MD5
설명: 첨부 파일의 MD5 해시
type: string
표시자:
- md5
- 이름: MacAddress
설명: 네트워크 어댑터의 MAC 주소
type: string
- 이름: MachineGroup
설명: 역할 기반 액세스 제어에 사용된 컴퓨터 그룹
type: string
- 이름: MalwareFamily
설명: 첨부 파일에서 식별된 맬웨어 패밀리 이름
type: string
- 이름: MergedDeviceIds
설명: 동일한 디바이스에 이전에 할당된 디바이스 ID
type: string
- 이름: MergedToDeviceId
설명: 디바이스의 가장 최근 디바이스 ID
type: string
- 이름: MitigationStatus
설명: 디바이스에 적용된 완화 작업
type: string
- 이름: Model
설명: 디바이스의 모델 이름 또는 번호
type: string
- 이름: ModifiedProperties
설명: 변경된 특성의 키-값 맵
유형: json
- 이름: NetworkAdapterAlias
설명: 네트워크 어댑터의 사용자 친화적 이름 또는 별칭
type: string
- 이름: NetworkAdapterName
설명: 디바이스의 네트워크 어댑터 이름
type: string
- 이름: NetworkAdapterStatus
설명: 네트워크 어댑터의 현재 운영 상태
type: string
- 이름: NetworkMessageId
설명: Microsoft 365 Defender 전반에서 이메일의 고유 식별자
type: string
- 이름: NetworkMessageParentId
설명: 여러 수신자에게 전송된 메시지 간 중복 제거에 사용되는 식별자
type: string
- 이름: OAuthAppId
설명: OAuth 애플리케이션의 고유 식별자
type: string
- 이름: OAuthApplicationId
설명: 타사 OAuth 애플리케이션의 고유 식별자
type: string
- 이름: OSArchitecture
설명: 운영 체제의 아키텍처
type: string
- 이름: OSBuild
설명: 운영 체제의 빌드 버전
type: bigint
- 이름: OSDistribution
설명: Ubuntu 또는 RedHat과 같은 OS 배포판
type: string
- 이름: OSPlatform
설명: 디바이스의 운영 체제 플랫폼
type: string
- 이름: OSVersion
설명: 운영 체제 버전
type: string
- 이름: OSVersionInfo
설명: 추가 OS 버전 정보(예: 코드명)
type: string
- 이름: ObjectId
설명: 작업이 적용된 개체의 고유 식별자
type: string
- 이름: ObjectName
설명: 기록된 작업이 적용된 개체의 이름
type: string
- 이름: ObjectType
설명: 파일 또는 폴더와 같은 개체 유형
type: string
- 이름: OnboardingStatus
설명: Microsoft Defender for Endpoint 온보딩 상태
type: string
- 이름: OrgLevelAction
설명: 조직 전체 작업(예: ZAP를 정크/격리로 이동)
type: string
- 이름: OrgLevelPolicy
설명: 이메일에 대해 수행된 작업을 트리거한 조직 정책
type: string
- 이름: OsBuildRevision
설명: 운영 체제의 빌드 개정판
type: string
- 이름: PreviousFileName
설명: 이름이 변경되기 전의 원본 파일 이름
type: string
- 이름: PreviousFolderPath
설명: 작업 전 파일의 원래 폴더
type: string
- 이름: PreviousRegistryValueData
설명: 기록된 변경 전 레지스트리 값에 저장된 데이터
type: string
- 이름: PreviousRegistryValueType
설명: 변경이 발생하기 전에 저장된 데이터 형식
type: string
- 이름: ProcessCommandLine
설명: 새 프로세스를 생성하는 데 사용된 명령줄
type: string
- 이름: ProcessCreationTime
설명: 프로세스가 생성된 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: ProcessId
설명: 새로 생성된 프로세스의 프로세스 ID(PID)
유형: int
- 이름: ProcessIntegrityLevel
설명: 새로 생성된 프로세스의 무결성 수준
type: string
- 이름: ProcessRemoteSessionDeviceName
설명: 생성된 프로세스를 시작한 RDP 세션의 디바이스 이름
type: string
- 이름: ProcessRemoteSessionIP
설명: 생성된 프로세스를 시작한 RDP 세션의 IP 주소
type: string
표시자:
- ip
- 이름: ProcessTokenElevation
설명: 새로 생성된 프로세스에 적용된 사용자 계정 컨트롤(UAC) 권한 상승의 적용 여부를 나타내는 토큰 유형
type: string
- 이름: ProcessUniqueId
설명: 프로세스의 고유 식별자(프로세스 시작 키와 같음)
type: string
- 이름: Protocol
설명: 통신에 사용된 네트워크 프로토콜
type: string
- 이름: PublicIP
설명: 온보딩된 디바이스가 사용한 공용 IP 주소
type: string
표시자:
- ip
- 이름: Query
설명: 도메인 컨트롤러에서 실행된 실제 LDAP 쿼리
type: string
- 이름: QueryEngine
설명: 사용된 검색 엔진 또는 인터페이스(예: LDAP)
type: string
- 이름: QueryScope
설명: LDAP 쿼리의 범위(예: Base, OneLevel, Subtree)
type: string
- 이름: QueryTarget
설명: 쿼리의 구별 이름(DN) 또는 기준
type: string
- 이름: QueryTargetDeviceId
설명: 쿼리를 수신한 도메인 컨트롤러의 고유 식별자
type: string
- 이름: QueryTargetDeviceName
설명: 쿼리를 수신한 도메인 컨트롤러의 이름
type: string
- 이름: RawEventData
설명: 원본 애플리케이션 또는 서비스의 원시 이벤트 데이터
유형: json
- 이름: RecipientEmailAddress
설명: URL을 클릭한 사용자의 이메일 주소
type: string
표시자:
- 이메일
- 이름: RecipientObjectId
설명: 수신자의 Microsoft Entra ID 개체 ID
type: string
- 이름: RegistryDeviceTag
설명: 레지스트리를 통해 추가된 디바이스 태그
type: string
- 이름: RegistryKey
설명: 기록된 작업이 적용된 레지스트리 키
type: string
- 이름: RegistryValueData
설명: 기록된 작업이 적용된 레지스트리 값의 데이터
type: string
- 이름: RegistryValueName
설명: 기록된 작업이 적용된 레지스트리 값의 이름
type: string
- 이름: RegistryValueType
설명: 레지스트리 값의 데이터 형식(예: REG_SZ, REG_DWORD)
type: string
- 이름: RemoteDeviceName
설명: 원격 디바이스 이름(가능한 경우)
type: string
- 이름: RemoteDnsDomain
설명: 원격 디바이스의 최상위 DNS 도메인
type: string
표시자:
- domain
- 이름: RemoteIP
설명: URL을 클릭한 시스템의 IP 주소
type: string
표시자:
- ip
- 이름: RemoteIPType
설명: IP 주소 분류(예: 공용, 사설)
type: string
- 이름: RemotePort
설명: 통신에 사용된 원격 디바이스의 TCP 포트
유형: int
- 이름: RemoteUrl
설명: 연결 대상이었던 URL 또는 정규화된 도메인 이름(FQDN)
type: string
표시자:
- url
- 이름: ReportId
설명: 반복 카운터를 기반으로 한 이벤트 식별자
type: string
- 이름: RequestAccountDomain
설명: 원격 계정의 도메인
type: string
- 이름: RequestAccountName
설명: 원격 계정의 사용자 이름
type: string
- 이름: RequestAccountSid
설명: 원격 계정의 SID
type: string
- 이름: RequestProtocol
설명: 활동을 시작하는 데 사용된 네트워크 프로토콜
type: string
- 이름: RequestSourceIP
설명: 원격 디바이스의 원본 IP 주소
type: string
표시자:
- ip
- 이름: RequestSourcePort
설명: 원격 디바이스의 원본 포트
유형: int
- 이름: ResourceID
설명: 클라우드 리소스의 고유 식별자
type: string
- 이름: ResourceType
설명: 클라우드 리소스의 유형
type: string
- 이름: SHA1
설명: 기록된 작업이 적용된 파일의 SHA-1
type: string
표시자:
- sha1
- 이름: SHA256
설명: 첨부 파일의 SHA-256 해시
type: string
표시자:
- sha256
- 이름: SenderDisplayName
설명: 보낸 사람의 표시 이름
type: string
- 이름: SenderFromAddress
설명: 이메일의 "From" 필드에 있는 이메일 주소
type: string
표시자:
- 이메일
- 이름: SenderFromDomain
설명: 보낸 사람의 "From" 주소의 도메인
type: string
표시자:
- domain
- 이름: SenderIP
설명: 보낸 사람의 IP 주소
type: string
표시자:
- ip
- 이름: SenderIPv4
설명: 메시지를 중계한 마지막으로 감지된 메일 서버의 IPv4 주소
type: string
표시자:
- ip
- 이름: SenderIPv6
설명: 메시지를 중계한 마지막으로 감지된 메일 서버의 IPv6 주소
type: string
표시자:
- ip
- 이름: SenderMailFromAddress
설명: 보낸 사람의 SMTP MAIL FROM 주소
type: string
표시자:
- 이메일
- 이름: SenderMailFromDomain
설명: SMTP MAIL FROM 명령의 도메인
type: string
표시자:
- domain
- 이름: SenderObjectId
설명: Microsoft Entra ID에서 보낸 사람 계정의 고유 식별자
type: string
- 이름: SensitivityLabel
설명: 파일에 적용된 민감도 레이블
type: string
- 이름: SensitivitySubLabel
설명: 기본 민감도 레이블 아래에 적용된 하위 레이블
type: string
- 이름: SensorHealthState
설명: 디바이스의 EDR 센서 상태
type: string
- 이름: ServiceSource
설명: 알러트 정보를 제공한 제품 또는 서비스
type: string
- 이름: SessionData
설명: 액세스/세션 제어를 위한 Defender for Cloud Apps 세션 ID
유형: json
- 이름: Severity
설명: 알러트가 식별한 위협 지표 또는 침해 활동의 잠재적 영향(높음, 중간 또는 낮음)을 나타냄
type: string
- 이름: ShareName
설명: 공유 폴더의 이름
type: string
- 이름: SignatureType
설명: 서명이 어떻게 획득되었는지(내장 또는 카탈로그)를 나타냄
type: string
- 이름: Signer
설명: 파일 서명자에 대한 정보
type: string
- 이름: SignerHash
설명: 서명자를 식별하는 고유 해시 값
type: string
- 이름: Site
설명: 디바이스의 물리적 위치
type: string
- 이름: StartTime
설명: 동작과 관련된 첫 번째 활동의 날짜와 시간
type: timestamp
timeFormats:
- '%Y-%m-%d %H:%M:%S.%N'
- rfc3339
- 이름: Subject
설명: 이메일 제목
type: string
- 이름: SubnetPrefix
설명: 할당된 IP 주소와 연결된 서브넷 접두사 또는 넷마스크
type: string
- 이름: SubscriptionId
설명: 클라우드 서비스 구독의 고유 식별자
type: string
- 이름: TargetAccountDomain
설명: 수정된 개체의 도메인
type: string
표시자:
- domain
- 이름: TargetAccountName
설명: 수정된 개체의 이름
type: string
- 이름: TargetAccountObjectId
설명: 수정된 계정의 Microsoft Entra ID 개체 ID
type: string
- 이름: TargetAccountSid
설명: 수정된 개체의 SID
type: string
- 이름: TargetAccountUpn
설명: 수정된 개체의 UPN(해당되는 경우)
type: string
표시자:
- 이메일
- 이름: ThreatFamily
설명: 의심스럽거나 악성인 파일 또는 프로세스가 분류된 악성코드 계열
type: string
- 이름: ThreatNames
설명: 발견된 악성코드 또는 기타 위협의 디택션 이름
type: string
- 이름: ThreatTypes
설명: URL과 관련된 감지된 위협(여러 개인 경우 세미콜론으로 구분)
type: string
- 이름: Timestamp
설명: URL 클릭 이벤트가 기록된 날짜 및 시간
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
isEventTime: true
- 이름: Title
설명: 알러트 제목
type: string
- 이름: UncommonForUser
설명: 사용자에게 일반적이지 않은 이벤트의 속성
유형: json
- 이름: Url
설명: 사용자가 클릭한 전체 URL
type: string
표시자:
- url
- 이름: UrlCount
설명: 이메일에 포함된 임베디드 URL 수
유형: int
- 이름: UrlDomain
설명: 클릭한 URL에서 추출된 도메인
type: string
표시자:
- domain
- 이름: UserAgent
설명: 웹 브라우저 또는 클라이언트 앱의 사용자 에이전트
type: string
- 이름: UserAgentTags
설명: 오래된 브라우저 또는 OS와 같은 클라이언트 정보가 포함된 태그
유형: json
- 이름: UserLevelAction
설명: 수신자가 정의한 사서함 정책과의 일치에 대응하여 이메일에 대해 수행된 작업
type: string
- 이름: UserLevelPolicy
설명: 이메일에 대해 수행된 작업을 트리거한 최종 사용자 사서함 정책
type: string
- 이름: Vendor
설명: 장치 공급업체 또는 제조업체
type: string
```
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft-defender-xdr.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.