스키마: MicrosoftDefenderXDR.AdvancedHunting
설명: Microsoft Defender XDR용 고급 헌팅 스키마
참조 URL: https://learn.microsoft.com/en-us/defender-xdr/streaming-api-storage#the-schema-of-the-events-in-the-storage-account
필드:
- name: _TimeReceivedBySvc
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- '%Y-%m-%dT%H:%M:%S.%N'
- 이름: operationName
유형: 문자열
- name: Tenant
유형: 문자열
- 이름: time
필수: 예
설명: Microsoft Defender XDR가 이벤트를 수신한 시간
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- 이름: tenantId
필수: 예
설명: 조직의 테넌트 ID
유형: 문자열
설명: Azure Active Directory 테넌트 ID
필수: 예
설명: 'AdvancedHunting-' 접두사가 포함된 Advanced Hunting 테이블 이름
유형: 문자열
- 이름: properties
필수: 예
설명: Microsoft Defender XDR 고급 헌팅 이벤트 속성 (https://learn.microsoft.com/en-us/defender-xdr/supported-event-types#hunting-tables-support-status-in-event-streaming-api)
유형: 객체
필드:
- name: AadDeviceId
설명: Microsoft Entra ID에서 장치의 고유 식별자
유형: 문자열
- name: AccountDisplayName
설명: 로그온에 관여한 계정의 표시 이름
유형: 문자열
- name: AccountDomain
설명: 변경을 수행한 계정의 도메인
유형: 문자열
지표:
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
- name: AccountId
설명: Microsoft Defender for Cloud Apps의 계정 식별자
유형: 문자열
- name: AccountName
설명: 변경을 수행한 계정의 이름
유형: 문자열
- name: AccountObjectId
설명: 변경을 수행한 계정의 Microsoft Entra ID 객체 ID
유형: 문자열
- name: AccountSid
설명: 변경을 수행한 계정의 SID
유형: 문자열
- name: AccountType
설명: 사용자 계정 유형(일반, 시스템, 관리자, 애플리케이션)
유형: 문자열
- name: AccountUpn
설명: 변경을 수행한 계정의 UPN
유형: 문자열
지표:
- 이메일
- name: ActionType
설명: 디렉터리 변경 유형(예: AddMember, RemoveMember, ModifyGroup)
유형: 문자열
- name: ActivityObjects
설명: 기록된 활동에 관련된 객체 목록
유형: json
- name: ActivityType
설명: 이벤트를 트리거한 활동 유형
유형: 문자열
- name: AdditionalFields
설명: JSON 배열 형식의 추가 메타데이터
유형: json
isEmbeddedJSON: true
- name: AlertId
설명: 경고의 고유 식별자
유형: 문자열
- name: AppGuardContainerId
설명: Application Guard에서 사용되는 가상화된 컨테이너 식별자
유형: 문자열
- name: AppInstanceId
설명: 애플리케이션 인스턴스의 고유 식별자
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- 이름: Application
설명: 기록된 작업을 수행한 애플리케이션
유형: 문자열
- name: ApplicationId
설명: 애플리케이션의 고유 식별자
유형: bigint
- name: AssetValue
설명: 장치에 할당된 비즈니스 가치(낮음, 보통, 높음)
유형: 문자열
- name: AttachmentCount
설명: 이메일의 첨부 파일 수
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: AttachmentId
설명: 첨부 파일의 고유 식별자
유형: 문자열
- name: AttackTechniques
설명: 경고와 연관된 MITRE ATT&CK 기법
유형: 배열
요소:
유형: 문자열
지표:
- ip
isEmbeddedJSON: true
- name: AuditSource
설명: 감사 데이터 소스(예: 세션 제어, 앱 커넥터)
유형: 문자열
- name: AuthenticationDetails
설명: DMARC, DKIM, SPF와 같은 이메일 인증 프로토콜 또는 여러 인증 유형의 조합(CompAuth)에 대한 통과/실패 판정 목록
유형: 문자열
- name: AwsResourceName
설명: 장치의 AWS 리소스 이름
유형: 문자열
- name: AzureResourceId
설명: 장치에 연결된 Azure 리소스 ID
유형: 문자열
- name: AzureVmId
설명: 장치에 할당된 Azure VM ID
유형: 문자열
- name: AzureVmSubscriptionId
설명: 장치의 Azure 구독 ID
유형: 문자열
- name: BehaviorId
설명: 동작의 고유 식별자
유형: 문자열
- name: BulkComplaintLevel
설명: 대량 발송자 이메일에 할당된 임계값으로, 높은 대량 불만 수준(BCL)은 해당 이메일이 불만을 유발할 가능성이 더 높아 스팸일 가능성이 커짐을 의미합니다
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: Categories
설명: 정보가 속한 범주의 목록, JSON 배열 형식
유형: json
isEmbeddedJSON: true
- name: Category
설명: 경고가 식별한 위협 인디케이터 또는 침해 활동 유형
유형: 문자열
- name: CertificateCountersignatureTime
설명: 인증서에 대해 재서명(카운터서명)된 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- name: CertificateCreationTime
설명: 인증서가 생성된 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: CertificateExpirationTime
설명: 인증서가 만료되는 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: CertificateSerialNumber
설명: CA에서 발급한 인증서의 고유 식별자(일련번호)
유형: 문자열
- 이름: City
설명: 클라이언트 IP 주소가 지리적으로 위치한 도시
유형: 문자열
- name: ClickAction
설명: URL에 대한 사용자 상호작용 유형(예: 클릭하여 이동, 차단됨)
유형: 문자열
- name: ClickVerdict
설명: URL 클릭 시 반환된 최종 판정(예: 악성, 정상)
유형: 문자열
- name: ClientVersion
설명: 장치에서 실행 중인 엔드포인트 에이전트 또는 센서의 버전
유형: 문자열
- name: CloudPlatform
설명: 리소스가 속한 클라우드 플랫폼으로 Azure, Amazon Web Services 또는 Google Cloud Platform일 수 있습니다
유형: 문자열
- name: CloudPlatforms
설명: 장치가 속한 클라우드 플랫폼들
유형: 문자열
- name: CloudResource
설명: 이벤트와 관련된 클라우드 리소스 이름
유형: 문자열
- name: ClusterId
설명: 조사 중 이메일을 연관시키기 위해 사용된 클러스터 ID
유형: 문자열
- name: ConfidenceLevel
설명: 스팸 또는 피싱 판정의 신뢰도 수준 목록. 스팸의 경우 이 열은 스팸 신뢰도 수준(SCL)을 표시하며, 이메일이 건너뛰어진 경우(-1), 스팸이 아닌 것으로 판정된 경우(0,1), 중간 신뢰도로 스팸으로 판정된 경우(5,6), 높은 신뢰도로 스팸으로 판정된 경우(9)를 나타냅니다. 피싱의 경우 이 열은 신뢰도 수준이 "높음"인지 "낮음"인지를 표시합니다.
유형: 문자열
- name: ConnectedNetwork
설명: 연결과 관련된 네트워크 이름 또는 SSID
유형: 문자열
- name: ConnectionType
설명: 네트워크 연결 유형(예: 이더넷, Wi-Fi, 루프백)
유형: 문자열
- name: ConnectivityType
설명: 장치에서 클라우드로의 연결 유형
유형: 문자열
- name: Connectors
설명: 조직 메일 흐름과 이메일 라우팅 방식을 정의하는 사용자 지정 지침
유형: 문자열
- 이름: CountryCode
설명: IP가 지리적으로 위치한 국가의 두 글자 코드
유형: 문자열
- name: CreatedProcessSessionId
설명: 생성된 프로세스의 Windows 세션 ID
유형: bigint
- name: CrlDistributionPointUrls
설명: 인증서 또는 CRL을 포함하는 네트워크 공유의 URL
유형: json
- name: DHCPServer
설명: 장치가 사용한 DHCP 서버의 IP 주소
유형: 문자열
지표:
- ip
- name: DNSAddresses
설명: 장치에 구성된 DNS 서버 목록(세미콜론으로 구분)
유형: 배열
요소:
유형: 문자열
지표:
- ip
isEmbeddedJSON: true
- name: DataSources
설명: 동작에 대한 정보를 제공한 제품 또는 서비스
유형: 문자열
- name: DefaultGateway
설명: 장치가 사용한 기본 게이트웨이 주소
유형: 문자열
지표:
- ip
- name: DeliveryAction
설명: 이메일의 최종 배달 결과
유형: 문자열
- name: DeliveryLocation
설명: 이메일이 배달된 위치(예: 받은편지함, 정크, 격리)
유형: 문자열
- 이름: Description
설명: 동작에 대한 설명
유형: 문자열
- name: DetailedEntityRole
설명: 동작에서 엔터티의 역할들
유형: 문자열
- name: DetectionMethods
설명: 이메일에서 발견된 악성코드, 피싱 또는 기타 위협을 탐지하는 데 사용된 방법들
유형: 문자열
- name: DetectionSource
설명: 주목할 만한 구성 요소나 활동을 식별한 탐지 기술 또는 센서
유형: 문자열
- name: DeviceCategory
설명: 장치 분류(엔드포인트, IoT 등)
유형: 문자열
- name: DeviceDynamicTags
설명: 동적으로 생성된 장치 태그
유형: 문자열
- name: DeviceId
설명: 서비스에서 장치를 식별하는 고유 식별자
유형: 문자열
- name: DeviceManualTags
설명: 수동으로 생성된 장치 태그
유형: 문자열
- name: DeviceName
설명: 이벤트가 발생한 장치의 정규화된 도메인 이름(FQDN)
유형: 문자열
- name: DeviceSubtype
설명: 태블릿 또는 스마트폰과 같은 추가 수식어
유형: 문자열
- name: DeviceType
설명: 장치 유형(예: 워크스테이션, 서버)
유형: 문자열
- name: DiscoverySources
설명: 장치를 인식한 제품 또는 서비스들
유형: 문자열
- name: EmailAction
설명: 이메일에 대해 수행된 조치(예: 배달됨, 격리됨)
유형: 문자열
- name: EmailActionPolicy
설명: 조치를 트리거한 정책의 이름
유형: 문자열
- name: EmailActionPolicyGuid
설명: 최종 메일 조치를 결정한 정책의 고유 식별자
유형: 문자열
- name: EmailActionSource
설명: 조치의 출처(예: 사용자, Microsoft, 관리자)
유형: 문자열
- name: EmailClusterId
설명: 콘텐츠의 휴리스틱 분석을 기반으로 유사한 이메일 그룹을 클러스터링한 식별자
유형: 문자열
- name: EmailDirection
설명: 이메일의 방향(수신, 발신, 조직 내)
유형: 문자열
- name: EmailLanguage
설명: 이메일 내용의 감지된 언어
유형: 문자열
- name: EmailSubject
설명: URL을 포함한 이메일의 제목
유형: 문자열
- name: EndTime
설명: 동작과 관련된 마지막 활동의 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- name: EntityRole
설명: 엔터티가 영향을 받은 것인지 단순히 관련된 것인지를 나타냄
유형: 문자열
- name: EntityType
설명: 파일, 프로세스, 장치 또는 사용자와 같은 객체 유형
유형: 문자열
- name: EvidenceDirection
설명: 엔터티가 네트워크 연결의 출발지인지 목적지인지를 나타냄
유형: 문자열
- name: EvidenceRole
설명: 엔터티가 경고에 어떻게 관련되는지, 영향받았는지 또는 단순 관련인지 표시
유형: 문자열
- name: ExclusionReason
설명: 장치 제외 사유
유형: 문자열
- name: ExposureLevel
설명: 취약점 노출 수준(낮음, 중간, 높음)
유형: 문자열
- name: FailureReason
설명: 기록된 작업이 실패한 이유에 대한 정보
유형: 문자열
- name: FileExtension
설명: 첨부 파일의 확장자
유형: 문자열
- name: FileName
설명: 기록된 작업이 적용된 파일의 이름
유형: 문자열
- name: FileNames
설명: 첨부 파일들의 이름
유형: 배열
요소:
유형: 문자열
- name: FileOriginIP
설명: 파일이 다운로드된 IP 주소
유형: 문자열
지표:
- ip
- name: FileOriginReferrerUrl
설명: 파일 다운로드의 리퍼러 URL
유형: 문자열
지표:
- url
- name: FileOriginUrl
설명: 파일이 다운로드된 URL
유형: 문자열
지표:
- url
- name: FileSize
설명: 바이트 단위의 파일 크기
유형: bigint
- name: FolderPath
설명: 기록된 작업이 적용된 파일을 포함하는 폴더
유형: 문자열
- name: GcpFullResourceName
설명: 장치의 GCP 전체 리소스 이름
유형: 문자열
- name: HardwareUuid
설명: 장치의 하드웨어 UUID
유형: 문자열
- name: HostDeviceId
설명: WSL에서 실행 중인 경우 호스트 장치의 ID
유형: 문자열
- name: IPAddress
설명: 통신 중 장치에 할당된 IP 주소
유형: 문자열
지표:
- ip
- name: IPAddressType
설명: IP 주소 유형(퍼블릭, 프라이빗, 예약됨 등)
유형: 문자열
- name: IPCategory
설명: IP 주소에 대한 추가 정보
유형: 문자열
- name: IPTags
설명: IP 주소 또는 범위에 대한 고객 정의 태그
유형: json
- name: IPv6Address
설명: 네트워크 어댑터에 할당된 IPv6 주소
유형: 문자열
지표:
- ip
- name: InitiatingProcessAccountDomain
설명: 시작 프로세스를 실행한 계정의 도메인
유형: 문자열
- name: InitiatingProcessAccountName
설명: 시작 프로세스를 실행한 계정의 사용자 이름
유형: 문자열
- name: InitiatingProcessAccountObjectId
설명: 시작 계정의 Microsoft Entra 객체 ID
유형: 문자열
- name: InitiatingProcessAccountSid
설명: 시작 계정의 보안 식별자(SID)
유형: 문자열
- name: InitiatingProcessAccountUpn
설명: 시작 계정의 사용자 주체 이름(UPN)
유형: 문자열
지표:
- 이메일
- name: InitiatingProcessCommandLine
설명: 시작 프로세스를 실행하는 데 사용된 명령줄
유형: 문자열
- name: InitiatingProcessCreationTime
설명: 시작 프로세스가 시작된 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: InitiatingProcessFileName
설명: 시작 프로세스의 파일 이름
유형: 문자열
- name: InitiatingProcessFileSize
설명: 시작 프로세스 파일의 바이트 단위 크기
유형: bigint
- name: InitiatingProcessFolderPath
설명: 시작 프로세스를 포함하는 폴더 경로
유형: 문자열
- name: InitiatingProcessId
설명: 시작 프로세스의 PID
유형: bigint
- name: InitiatingProcessIntegrityLevel
설명: 이벤트를 유발한 프로세스의 무결성 수준
유형: 문자열
- name: InitiatingProcessLogonId
설명: 이벤트를 유발한 프로세스의 로그온 세션 식별자
유형: bigint
- name: InitiatingProcessMD5
설명: 시작 프로세스의 MD5 해시
유형: 문자열
지표:
설명: 파일 해시 값
- name: InitiatingProcessName
설명: 변경을 유발한 프로세스의 이름
유형: 문자열
- name: InitiatingProcessParentAccountDomain
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스를 실행한 계정의 도메인
유형: 문자열
- name: InitiatingProcessParentAccountName
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 이름
유형: 문자열
- name: InitiatingProcessParentAccountObjectId
설명: Microsoft Entra ID의 계정에 대한 고유 식별자
유형: 문자열
- name: InitiatingProcessParentAccountSid
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스를 실행한 계정의 보안 식별자(SID)
유형: 문자열
- name: InitiatingProcessParentAccountUpn
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스를 실행한 계정의 사용자 주체 이름(UPN)
유형: 문자열
지표:
- 이메일
- name: InitiatingProcessParentCreationTime
설명: 상위 프로세스가 시작된 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: InitiatingProcessParentFileName
설명: 상위 프로세스의 파일 이름 또는 경로
유형: 문자열
- name: InitiatingProcessParentFolderPath
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스(이미지 파일)를 포함하는 폴더
유형: 문자열
- name: InitiatingProcessParentId
설명: 상위 프로세스의 PID
유형: bigint
- name: InitiatingProcessParentIntegrityLevel
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스의 무결성 수준
유형: 문자열
- name: InitiatingProcessParentLogonId
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스의 로그온 세션 식별자
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: InitiatingProcessParentMD5
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스(이미지 파일)의 MD5 해시
유형: 문자열
지표:
설명: 파일 해시 값
- name: InitiatingProcessParentSHA1
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-1
유형: 문자열
지표:
- sha1
- name: InitiatingProcessParentSHA256
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스(이미지 파일)의 SHA-256
유형: 문자열
지표:
- sha256
- name: InitiatingProcessParentTokenElevation
설명: 이벤트를 유발한 프로세스를 생성한 상위 프로세스에 적용된 UAC 권한 상승의 존재 여부를 나타내는 토큰 유형
유형: 문자열
- name: InitiatingProcessRemoteSessionDeviceName
설명: RDP 세션이 시작된 장치의 이름
유형: 문자열
- name: InitiatingProcessRemoteSessionIP
설명: RDP 세션의 원격 장치 IP 주소
유형: 문자열
지표:
- ip
- name: InitiatingProcessSHA1
설명: 시작 프로세스의 SHA-1 해시
유형: 문자열
지표:
- sha1
- name: InitiatingProcessSHA256
설명: 시작 프로세스의 SHA-256 해시
유형: 문자열
지표:
- sha256
- name: InitiatingProcessSessionId
설명: 시작 프로세스의 Windows 세션 ID
유형: bigint
- name: InitiatingProcessTokenElevation
설명: UAC 권한 상승이 적용되었는지 여부를 나타냄
유형: 문자열
- name: InitiatingProcessUniqueId
설명: 시작 프로세스의 고유 식별자(프로세스 시작 키와 동일)
유형: 문자열
- name: InitiatingProcessVersionInfoCompanyName
설명: 시작 프로세스 버전 정보의 회사 이름
유형: 문자열
- name: InitiatingProcessVersionInfoFileDescription
설명: 시작 프로세스 버전 정보의 파일 설명
유형: 문자열
- name: InitiatingProcessVersionInfoInternalFileName
설명: 시작 프로세스 버전 정보의 내부 파일 이름
유형: 문자열
- name: InitiatingProcessVersionInfoOriginalFileName
설명: 시작 프로세스 버전 정보의 원래 파일 이름
유형: 문자열
- name: InitiatingProcessVersionInfoProductName
설명: 시작 프로세스 버전 정보의 제품 이름
유형: 문자열
- name: InitiatingProcessVersionInfoProductVersion
설명: 시작 프로세스 버전 정보의 제품 버전
유형: 문자열
- name: InternetMessageId
설명: Message-ID 헤더에서의 고유 메시지 식별자
유형: 문자열
- name: IsAdminOperation
설명: 활동이 관리자에 의해 수행되었는지 여부
유형: 불리언
- name: IsAnonymousProxy
설명: IP 주소가 알려진 익명 프록시에 속하는지 여부
유형: 불리언
- name: IsAzureADJoined
설명: 장치가 Microsoft Entra ID에 가입되어 있는지 여부
유형: 불리언
- name: IsAzureInfoProtectionApplied
설명: Azure 정보 보호가 적용되었는지 여부
유형: 불리언
- name: IsDomainJoined
설명: 장치가 도메인에 가입되어 있는지 여부
유형: 불리언
- name: IsExcluded
설명: 장치가 취약점 관리에서 제외되었는지 여부
유형: 불리언
- name: IsExternalUser
설명: 사용자가 조직 도메인 외부인지 여부
유형: 불리언
- name: IsImpersonated
설명: 활동이 가장된 사용자에 의해 수행되었는지 여부
유형: 불리언
- name: IsInitiatingProcessRemoteSession
설명: 시작 프로세스가 RDP 세션에서 실행되었는지 여부
유형: 불리언
- name: IsInternetFacing
설명: 장치가 인터넷에 노출되어 있는지 여부
유형: 불리언
- name: IsLocalAdmin
설명: 사용자가 장치의 로컬 관리자인지 여부
유형: 불리언
- name: IsLocalLogon
설명: 로그온이 로컬 계정을 사용하여 발생했는지 여부
유형: 불리언
- name: IsProcessRemoteSession
설명: 생성된 프로세스가 RDP에서 실행되었는지 여부
유형: 불리언
- name: IsRootSignerMicrosoft
설명: 루트 인증서가 Microsoft에 의해 발급되었는지 여부
유형: 불리언
- name: IsSigned
설명: 파일이 서명되었는지 여부
유형: 불리언
- name: IsTransient
설명: 장치가 일시적이거나 단기간 존재하는지 여부
유형: 불리언
- name: IsTrusted
설명: 인증서 검증을 기반으로 파일이 신뢰되는지 여부
유형: 불리언
- name: Isp
설명: IP 주소와 관련된 인터넷 서비스 제공자
유형: 문자열
- name: Issuer
설명: 인증서를 발급한 인증 기관(CA)에 대한 정보
유형: 문자열
- name: IssuerHash
설명: 인증서를 발급한 인증 기관(CA)을 식별하는 고유 해시 값
유형: 문자열
- name: JoinType
설명: Microsoft Entra ID 가입 유형
유형: 문자열
- name: LastSeenForUser
설명: 사용자에 대한 마지막 관측 지표
유형: json
- name: LatestDeliveryAction
설명: 서비스나 관리자가 수동 복구를 통해 시도한 이메일에 대한 마지막 알려진 조치
유형: 문자열
- name: LatestDeliveryLocation
설명: 이메일의 마지막 알려진 위치
유형: 문자열
- name: LocalIP
설명: 통신 중 로컬 장치에 할당된 IP 주소
유형: 문자열
지표:
- ip
- name: LocalPort
설명: 통신에 사용된 로컬 장치의 TCP 포트
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: LoggedOnUsers
설명: JSON 배열 형식의 로그인된 사용자 목록
유형: 문자열
- name: LogonId
설명: 로그온 세션의 고유 ID
유형: bigint
- name: LogonType
설명: 로그온 세션 유형(예: 대화형, 원격 대화형, 네트워크)
유형: 문자열
- name: MD5
설명: 첨부 파일의 MD5 해시
유형: 문자열
지표:
설명: 파일 해시 값
- name: MacAddress
description: 네트워크 어댑터의 MAC 주소
유형: 문자열
- name: MachineGroup
description: 역할 기반 액세스 제어에 사용되는 머신 그룹
유형: 문자열
- name: MalwareFamily
description: 첨부파일에서 식별된 악성코드 패밀리 이름
유형: 문자열
- name: MergedDeviceIds
description: 동일한 장치에 이전에 할당된 장치 ID들
유형: 문자열
- name: MergedToDeviceId
description: 해당 장치의 최신 장치 ID
유형: 문자열
- name: MitigationStatus
description: 장치에 적용된 완화 조치
유형: 문자열
- name: Model
description: 장치의 모델 이름 또는 번호
유형: 문자열
- name: ModifiedProperties
description: 변경된 속성들의 키-값 맵
유형: json
- name: NetworkAdapterAlias
description: 네트워크 어댑터의 사용자 친화적 이름 또는 별칭
유형: 문자열
- name: NetworkAdapterName
description: 장치의 네트워크 어댑터 이름
유형: 문자열
- name: NetworkAdapterStatus
description: 네트워크 어댑터의 현재 작동 상태
유형: 문자열
- name: NetworkMessageId
description: Microsoft 365 Defender 전반에서 이메일의 고유 식별자
유형: 문자열
- name: NetworkMessageParentId
description: 다수 수신자에게 전송된 메시지의 중복 제거에 사용되는 식별자
유형: 문자열
- name: OAuthAppId
description: OAuth 애플리케이션의 고유 식별자
유형: 문자열
- name: OAuthApplicationId
description: 타사 OAuth 애플리케이션의 고유 식별자
유형: 문자열
- name: OSArchitecture
description: 운영체제의 아키텍처
유형: 문자열
- name: OSBuild
description: 운영체제의 빌드 버전
유형: bigint
- name: OSDistribution
description: Ubuntu 또는 RedHat과 같은 OS 배포판
유형: 문자열
- name: OSPlatform
description: 장치의 운영체제 플랫폼
유형: 문자열
- name: OSVersion
description: 운영체제 버전
유형: 문자열
- name: OSVersionInfo
description: 추가 OS 버전 정보(예: 코드네임)
유형: 문자열
- name: ObjectId
description: 동작이 적용된 객체의 고유 식별자
유형: 문자열
- 이름: ObjectName
description: 기록된 동작이 적용된 객체의 이름
유형: 문자열
- 이름: ObjectType
description: 파일 또는 폴더와 같은 객체 유형
유형: 문자열
- name: OnboardingStatus
description: Microsoft Defender for Endpoint에 대한 온보딩 상태
유형: 문자열
- name: OrgLevelAction
description: 조직 전체 조치(예: ZAP에서 정크/격리로 이동)
유형: 문자열
- name: OrgLevelPolicy
description: 이메일에 대해 수행된 조치를 유발한 조직 정책
유형: 문자열
- name: OsBuildRevision
description: 운영체제의 빌드 리비전
유형: 문자열
- name: PreviousFileName
description: 이름이 변경되기 전의 원래 파일 이름
유형: 문자열
- name: PreviousFolderPath
description: 동작 이전의 파일이 있던 원래 폴더
유형: 문자열
- name: PreviousRegistryValueData
description: 기록된 변경 이전에 레지스트리 값에 저장되어 있던 데이터
유형: 문자열
- name: PreviousRegistryValueType
description: 변경이 발생하기 전에 저장된 데이터 유형
유형: 문자열
- name: ProcessCommandLine
description: 새 프로세스를 생성할 때 사용된 명령줄
유형: 문자열
- name: ProcessCreationTime
description: 프로세스가 생성된 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
- name: ProcessId
description: 새로 생성된 프로세스의 프로세스 ID(PID)
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: ProcessIntegrityLevel
description: 새로 생성된 프로세스의 무결성 수준
유형: 문자열
- name: ProcessRemoteSessionDeviceName
description: 생성된 프로세스를 시작한 RDP 세션의 장치 이름
유형: 문자열
- name: ProcessRemoteSessionIP
description: 생성된 프로세스를 시작한 RDP 세션의 IP 주소
유형: 문자열
지표:
- ip
- name: ProcessTokenElevation
description: 새로 생성된 프로세스에 적용된 사용자 계정 컨트롤(UAC) 권한 상승의 존재 여부를 나타내는 토큰 유형
유형: 문자열
- name: ProcessUniqueId
description: 프로세스의 고유 식별자(프로세스 시작 키와 동일)
유형: 문자열
- name: Protocol
description: 통신에 사용된 네트워크 프로토콜
유형: 문자열
- 이름: PublicIP
description: 온보딩된 장치가 사용한 공용 IP 주소
유형: 문자열
지표:
- ip
- name: Query
description: 도메인 컨트롤러에서 실행된 실제 LDAP 쿼리
유형: 문자열
- name: QueryEngine
description: 사용된 검색 엔진 또는 인터페이스(예: LDAP)
유형: 문자열
- name: QueryScope
description: LDAP 쿼리의 범위(예: Base, OneLevel, Subtree)
유형: 문자열
- name: QueryTarget
description: 쿼리의 구별 이름(DN) 또는 기준(base)
유형: 문자열
- name: QueryTargetDeviceId
description: 쿼리를 수신한 도메인 컨트롤러의 고유 식별자
유형: 문자열
- name: QueryTargetDeviceName
description: 쿼리를 수신한 도메인 컨트롤러의 이름
유형: 문자열
- name: RawEventData
description: 소스 애플리케이션 또는 서비스의 원시 이벤트 데이터
유형: json
- name: RecipientEmailAddress
description: URL을 클릭한 사용자의 이메일 주소
유형: 문자열
지표:
- 이메일
- name: RecipientObjectId
description: 수신자의 Microsoft Entra ID 객체 ID
유형: 문자열
- name: RegistryDeviceTag
description: 레지스트리를 통해 추가된 장치 태그
유형: 문자열
- name: RegistryKey
description: 기록된 동작이 적용된 레지스트리 키
유형: 문자열
- name: RegistryValueData
description: 기록된 동작이 적용된 레지스트리 값의 데이터
유형: 문자열
- name: RegistryValueName
description: 기록된 동작이 적용된 레지스트리 값의 이름
유형: 문자열
- name: RegistryValueType
description: 레지스트리 값의 데이터 유형(예: REG_SZ, REG_DWORD)
유형: 문자열
- name: RemoteDeviceName
description: 원격 장치의 이름(가능한 경우)
유형: 문자열
- name: RemoteDnsDomain
description: 원격 장치의 최상위 DNS 도메인
유형: 문자열
지표:
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
- name: RemoteIP
description: URL을 클릭한 시스템의 IP 주소
유형: 문자열
지표:
- ip
- name: RemoteIPType
description: IP 주소 분류(예: Public, Private)
유형: 문자열
- name: RemotePort
description: 통신에 사용된 원격 장치의 TCP 포트
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: RemoteUrl
description: 연결하려던 URL 또는 정규화된 도메인 이름(FQDN)
유형: 문자열
지표:
- url
- name: ReportId
description: 반복 카운터를 기반으로 한 이벤트 식별자
유형: 문자열
- name: RequestAccountDomain
description: 원격 계정의 도메인
유형: 문자열
- name: RequestAccountName
description: 원격 계정의 사용자 이름
유형: 문자열
- name: RequestAccountSid
description: 원격 계정의 SID
유형: 문자열
- name: RequestProtocol
description: 활동을 시작하는 데 사용된 네트워크 프로토콜
유형: 문자열
- name: RequestSourceIP
description: 원격 장치의 소스 IP 주소
유형: 문자열
지표:
- ip
- name: RequestSourcePort
description: 원격 장치의 소스 포트
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: ResourceID
description: 클라우드 리소스의 고유 식별자
유형: 문자열
- name: ResourceType
description: 클라우드 리소스의 유형
유형: 문자열
- name: SHA1
description: 기록된 동작이 적용된 파일의 SHA-1
유형: 문자열
지표:
- sha1
- name: SHA256
description: 첨부파일의 SHA-256 해시들
유형: 문자열
지표:
- sha256
- name: SenderDisplayName
description: 발신자의 표시 이름
유형: 문자열
- name: SenderFromAddress
description: 이메일의 "From" 필드에 있는 이메일 주소
유형: 문자열
지표:
- 이메일
- name: SenderFromDomain
description: 발신자의 "From" 주소에서의 도메인
유형: 문자열
지표:
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
- name: SenderIP
description: 발신자의 IP 주소
유형: 문자열
지표:
- ip
- name: SenderIPv4
description: 메시지를 중계한 마지막으로 감지된 메일 서버의 IPv4 주소
유형: 문자열
지표:
- ip
- name: SenderIPv6
description: 메시지를 중계한 마지막으로 감지된 메일 서버의 IPv6 주소
유형: 문자열
지표:
- ip
- name: SenderMailFromAddress
description: 발신자의 SMTP MAIL FROM 주소
유형: 문자열
지표:
- 이메일
- name: SenderMailFromDomain
description: SMTP MAIL FROM 명령의 도메인
유형: 문자열
지표:
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
- name: SenderObjectId
description: Microsoft Entra ID에서 발신자 계정의 고유 식별자
유형: 문자열
- name: SensitivityLabel
description: 파일에 적용된 민감도 레이블
유형: 문자열
- name: SensitivitySubLabel
description: 기본 민감도 레이블 아래에 적용된 하위 레이블
유형: 문자열
- name: SensorHealthState
description: 장치 EDR 센서의 상태(건강 상태)
유형: 문자열
- name: ServiceSource
description: 경고 정보를 제공한 제품 또는 서비스
유형: 문자열
- name: SessionData
description: 접근/세션 제어를 위한 Defender for Cloud Apps 세션 ID
유형: json
- name: Severity
description: 경고에서 식별된 위협 지표 또는 침해 활동의 잠재적 영향(높음, 보통, 낮음)을 나타냄
유형: 문자열
- name: ShareName
description: 공유 폴더의 이름
유형: 문자열
- name: SignatureType
description: 서명을 획득한 방법을 나타냄(내장 또는 카탈로그)
유형: 문자열
- name: Signer
description: 파일 서명자에 대한 정보
유형: 문자열
- name: SignerHash
description: 서명자를 식별하는 고유 해시 값
유형: 문자열
- name: Site
description: 장치의 물리적 위치
유형: 문자열
- name: StartTime
description: 동작과 관련된 첫 활동의 날짜 및 시간
유형: 타임스탬프
시간형식:
- '%Y-%m-%d %H:%M:%S.%N'
- rfc3339
- name: Subject
description: 이메일의 제목
유형: 문자열
- name: SubnetPrefix
description: 할당된 IP 주소와 관련된 서브넷 프리픽스 또는 넷마스크
유형: 문자열
- name: SubscriptionId
description: 클라우드 서비스 구독의 고유 식별자
유형: 문자열
- name: TargetAccountDomain
description: 수정된 객체의 도메인
유형: 문자열
지표:
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
- name: TargetAccountName
description: 수정된 객체의 이름
유형: 문자열
- name: TargetAccountObjectId
description: 수정된 계정의 Microsoft Entra ID 객체 ID
유형: 문자열
- name: TargetAccountSid
description: 수정된 객체의 SID
유형: 문자열
- name: TargetAccountUpn
description: 수정된 객체의 UPN(해당되는 경우)
유형: 문자열
지표:
- 이메일
- name: ThreatFamily
description: 의심스럽거나 악성인 파일 또는 프로세스가 분류된 악성코드 패밀리
유형: 문자열
- name: ThreatNames
description: 발견된 악성코드 또는 기타 위협의 탐지 이름
유형: 문자열
- name: ThreatTypes
description: URL과 관련하여 탐지된 위협들(여러 개일 경우 세미콜론으로 구분)
유형: 문자열
- 이름: Timestamp
description: URL 클릭 이벤트가 기록된 날짜 및 시간
유형: 타임스탬프
시간형식:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
isEventTime: true
- name: Title
description: 경고의 제목
유형: 문자열
- name: UncommonForUser
description: 사용자에게 드문 이벤트의 속성들
유형: json
- name: Url
description: 사용자가 클릭한 전체 URL
유형: 문자열
지표:
- url
- name: UrlCount
description: 이메일에 포함된 임베디드 URL의 수
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
- name: UrlDomain
description: 클릭된 URL에서 추출된 도메인
유형: 문자열
지표:
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
- name: UserAgent
description: 웹 브라우저 또는 클라이언트 앱의 사용자 에이전트
유형: 문자열
- name: UserAgentTags
description: 구형 브라우저 또는 OS와 같은 클라이언트 정보 태그
유형: json
- name: UserLevelAction
description: 수신자가 정의한 사서함 정책과의 일치에 대해 이메일에 취해진 조치
유형: 문자열
- name: UserLevelPolicy
description: 이메일에 대해 수행된 조치를 유발한 최종 사용자 사서함 정책
유형: 문자열
- name: Vendor
description: 장치 공급업체 또는 제조업체
유형: 문자열
