Panther는 Microsoft Graph API에서 로그를 직접 가져오는 것을 지원합니다
개요
Panther는 다음의 Microsoft 보안 제품에서 보안 경고를 가져오기 위해 Microsoft Graph API 를 쿼리하여 Microsoft Graph 로그를 가져올 수 있습니다:
Azure Active Directory Identity Protection
Azure Information Protection
Microsoft 365(기본, Cloud App Security, 사용자 지정 경고)
Microsoft Defender for Cloud Apps
Microsoft Defender for Endpoint
Microsoft Defender for Identity
Microsoft Sentinel(이전 명칭: Azure Sentinel)
Microsoft Graph 로그를 Panther에 온보딩하는 방법
사전 요구 사항
Microsoft Defender for Endpoint 및 Identity 경고는 Panther로 경고 이벤트를 스트리밍하기 전에 추가 사용자 구성이 필요합니다. 자세한 내용은 Microsoft 문서 를 참조하세요.
Microsoft Defender for Endpoint는 Microsoft Graph Security API에서 요구하는 역할 외에 추가 사용자 역할이 필요합니다. Microsoft Defender for Endpoint와 Microsoft Graph Security API 역할 모두에 속한 사용자만 Microsoft Defender for Endpoint 데이터에 액세스할 수 있습니다. 애플리케이션 전용 인증은 이러한 제한을 받지 않기 때문에 애플리케이션 전용 인증 토큰 사용을 권장합니다.
Microsoft Defender for Identity 경고는 Microsoft Defender for Cloud Apps 통합을 통해 제공됩니다. 즉 Unified SecOps에 가입하고 Microsoft Defender for Identity를 Microsoft Defender for Cloud Apps에 연결한 경우에만 Microsoft Defender for Identity 경고를 받게 됩니다.
1단계: Microsoft Entra ID 애플리케이션 생성
다음에 로그인하세요 Azure 포털 로 이동하여 Microsoft Entra ID 서비스로 이동합니다.
클릭하세요 앱 등록(App Registrations) 왼쪽 사이드바에서.
클릭하세요 새 등록(New Registration).
필드를 작성하세요:
애플리케이션에 대한 설명적인 이름을 입력하세요.
다음에 대해 지원되는 계정 유형(Supported account types)에서 선택하세요 이 조직 디렉터리 내의 계정만(Accounts in this organizational directory only).
클릭하세요 등록(Register).
왼쪽 사이드바에서 인증서 및 암호(Certificates and Secrets).
클릭하세요 새 클라이언트 암호(New Client Secret).
암호에 대한 설명을 추가하세요(예: Panther 통합).
다음 항목을 설정하세요 만료(Expires) 필드를 24개월(24 Months).
클릭하세요 추가(Add).
이 페이지에서 벗어나면 클라이언트 암호는 숨겨집니다. 다음 값(Value) 필드를 복사하여 안전한 장소에 보관하세요 — 이후 2단계에서 클라이언트 암호(Client Secret) 값으로 사용합니다.
왼쪽 사이드바에서 API 권한(API Permissions) 그런 다음 권한 추가(Add a permission).
을 찾아 클릭하세요 Microsoft Graph API.
클릭하세요 위임된 권한(Delegated permissions) 을 선택하고 SecurityEvents.Read.All 권한을 선택하세요.
클릭하세요 애플리케이션 권한(Application permissions) 을 선택하고 SecurityEvents.Read.All 권한을 선택하세요.
클릭하세요 권한 추가(Add permissions) 를 페이지 하단에서 클릭하세요.
클릭하세요 관리자 동의 부여(Grant admin consent) 를 API 권한 페이지에서 클릭하세요.
동의가 부여된 후, 왼쪽 사이드바의 개요 탭을 클릭하여 애플리케이션(클라이언트) ID(Application (client) ID) 및 디렉터리(테넌트) ID(Directory (tenant) ID).
를 확인하세요. 다음 단계에서 Panther에 이 값을 제공해야 합니다.
2단계: Panther에서 새 Microsoft Graph 소스 생성
Panther 콘솔의 왼쪽 네비게이션 바에서 구성(Configure) > 로그 소스(Log Sources).
클릭하세요 새로 만들기(Create New)를 클릭하세요.
선택하세요 Microsoft Graph 사용 가능한 로그 소스 목록에서.
클릭하세요 설치 시작(Start Setup).
다음 화면에서 필드를 작성하세요:
이름(Name): 소스에 대한 설명적인 이름을 입력하세요. 예: 내 Microsoft Graph 로그(My Microsoft Graph logs).
테넌트 ID(Tenant ID): 테넌트 ID를 입력하세요.
로그 유형(Log Types): 최소 하나의 로그 유형을 선택하세요.
클릭하세요 설정(Setup).
다음 자격 증명(Credentials) 페이지에서 클라이언트 ID(Client ID) 및 클라이언트 암호(Client Secret).
를 입력하세요 클라이언트 암호(Client Secret) 는 1단계에서 저장한 값(Value) 필드입니다.
보안 경고에 대한 Microsoft 문서
필드:
- name: activityGroupName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
유형: 문자열
- name: activityGroupName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
- name: assignedTo
- name: azureSubscriptionId
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 이 경고가 Azure 리소스와 관련된 경우 존재하는 Azure 구독 ID
- name: azureTenantId
필수: true
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: Azure Active Directory 테넌트 ID
- name: category
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고의 범주(예: credentialTheft, ransomware 등)
- name: closedDateTime
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
시간 형식: rfc3339
- name: cloudAppStates
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
유형: 객체
- name: destinationServiceIp
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
- ip
- name: destinationServiceName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스 이름(예: 'Salesforce', 'DropBox' 등)
- name: riskScore
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스에 대해 제공자에 의해 생성/계산된 위험 점수. 권장 값 범위는 0-1(백분율에 해당)
- name: comments
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고에 대한 고객 제공 코멘트(고객의 경고 관리용)
- name: confidence
설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
유형: 정수
- name: azureTenantId
- name: createdDateTime
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
설명: 경고 제공자가 경고를 생성한 시간(UTC)
- name: description
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고 설명
- name: detectionIds
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 이 경고 엔터티와 관련된 경고 집합(각 경고는 SIEM으로 별도의 레코드로 푸시됨)
- name: azureTenantId
- name: eventDateTime
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
설명: 경고를 생성한 트리거가 발생한 이벤트의 시간(UTC)
isEventTime: true
- name: feedback
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '경고에 대한 분석가 피드백. 가능한 값: unknown, truePositive, falsePositive, benignPositive'
- name: fileStates
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 이 경고와 관련된 파일에 대해 제공자가 생성한 보안 관련 상태 정보
- name: fileHash
요소:
보안 경고에 대한 Microsoft 문서
설명: 파일 해시(암호화 및 위치 민감)를 포함하는 복합 타입
- name: hashType
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '파일 해시 유형. 가능한 값: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256'
- name: hashValue
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 파일 해시 값
- md5
- sha1
- sha256
- name: name
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 파일 이름(경로 제외)
- name: path
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스 이름(예: 'Salesforce', 'DropBox' 등)
설명: 파일/이미지 파일의 전체 파일 경로
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고 파일에 대해 제공자에 의해 생성/계산된 위험 점수. 권장 값 범위는 0-1(백분율에 해당)
- name: hostStates
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 이 경고와 관련된 호스트에 대해 제공자가 생성한 보안 관련 상태 정보
- name: fqdn
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 호스트의 FQDN(정규화된 도메인 이름)(예: machine.company.com)
- hostname
- name: isAzureAdJoined
설명: 호스트가 Azure Active Directory Domain Services에 도메인으로 조인되어 있으면 true
유형: 불리언
- name: isAzureAdRegistered
설명: 호스트가 Azure Active Directory Domain Services에 도메인으로 조인되어 있으면 true
설명: 호스트가 Azure Active Directory 디바이스 등록(BYOD 디바이스—기업에서 완전히 관리하지 않는)에 등록된 경우 true
- name: isHybridAzureDomainJoined
설명: 호스트가 Azure Active Directory Domain Services에 도메인으로 조인되어 있으면 true
설명: 호스트가 온프레미스 Active Directory 도메인에 도메인으로 조인된 경우 true
- name: netBiosName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 호스트의 FQDN(정규화된 도메인 이름)(예: machine.company.com)
설명: DNS 도메인 이름을 제외한 로컬 호스트 이름
- name: os
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 호스트 운영 체제(예: Windows10, MacOS, RHEL 등)
- name: privateIpAddress
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
설명: 경고 시점의 사설(라우팅 불가) IPv4 또는 IPv6 주소(RFC 1918 참조)
- name: publicIpAddress
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
설명: 클라우드 애플리케이션/서비스 이름(예: 'Salesforce', 'DropBox' 등)
설명: 경고 시점의 공용 라우팅 가능한 IPv4 또는 IPv6 주소
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 호스트에 대해 제공자에 의해 생성/계산된 위험 점수. 권장 값 범위는 0-1(백분율에 해당)
- name: azureTenantId
- name: id
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 제공자에 의해 생성된 GUID/고유 식별자
- name: incidentIds
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 현재 경고와 관련된 사고(인시던트)의 ID
- name: lastModifiedDateTime
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
설명: 경고 엔터티가 마지막으로 수정된 시간(UTC)
- name: malwareStates
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: Azure Active Directory 테넌트 ID
설명: 이 경고와 관련된 악성코드에 관한 위협 인텔리전스
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 제공자에 의해 생성된 악성코드 분류(예: 트로이목마, 랜섬웨어 등)
- name: family
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
- sha256
설명: 제공자에 의해 생성된 악성코드 패밀리(예: 'wannacry', 'notpetya' 등)
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 제공자에 의해 생성된 악성코드 변종 이름(예: Trojan:Win32/Powessere.H)
- name: severity
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 이 악성코드의 제공자 판정 심각도
- name: wasRunning
설명: 호스트가 Azure Active Directory Domain Services에 도메인으로 조인되어 있으면 true
설명: 감지된 파일(악성코드/취약점)이 탐지 시 실행 중이었는지 또는 디스크에 정지 상태로 존재했는지 여부를 나타냄
- name: networkConnections
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 이 경고와 관련된 네트워크 연결에 대해 제공자가 생성한 보안 관련 상태 정보
- name: applicationName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 네트워크 연결을 관리하는 애플리케이션 이름(예: Facebook 또는 SMTP)
- name: destinationAddress
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
설명: 목적지 IP 주소(네트워크 연결의)
- name: destinationLocation
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 네트워크 연결의 목적지와 연관된 위치(IP 주소 매핑 기준)
- name: destinationDomain
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
- domain
- name: destinationPort
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 목적지 포트(네트워크 연결의)
- name: destinationUrl
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 네트워크 연결의 URL/URI 문자열 - 파라미터 제외(예: 'www.contoso.com/products/default.html')
- url
- name: direction
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '네트워크 연결 방향. 가능한 값: unknown, inbound, outbound'
- name: domainRegisteredDateTime
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
설명: 목적지 도메인이 등록된 날짜(UTC)
- name: localDnsName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 호스트의 로컬 DNS 캐시에 나타나는 로컬 DNS 이름(예: 'hosts' 파일이 변조된 경우)
- name: natDestinationAddress
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
설명: 네트워크 주소 변환(NAT) 목적지 IP 주소
- name: natDestinationPort
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 네트워크 주소 변환(NAT) 목적지 포트
- name: natSourceAddress
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
설명: 네트워크 주소 변환(NAT) 소스 IP 주소
- name: natSourcePort
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 네트워크 주소 변환(NAT) 소스 포트
- name: protocol
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스 이름(예: 'Salesforce', 'DropBox' 등)
설명: '네트워크 프로토콜. 가능한 값: unknown, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spxII'
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 네트워크 연결에 대해 제공자에 의해 생성/계산된 위험 점수. 권장 값 범위는 0-1(백분율에 해당)
- name: sourceAddress
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
설명: 소스(즉, 출발지) IP 주소(네트워크 연결의)
- name: sourceLocation
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 네트워크 연결의 출발지와 연관된 위치(IP 주소 매핑 기준)
- name: sourcePort
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 소스(즉, 출발지) IP 포트(네트워크 연결의)
- name: status
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '네트워크 연결 상태. 가능한 값: unknown, attempted, succeeded, blocked, failed'
- name: urlParameters
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 네트워크 연결의 URL/URI 문자열 - 파라미터 제외(예: 'www.contoso.com/products/default.html')
설명: 목적지 URL의 파라미터(접미사)
- name: processes
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 이 경고와 관련된 프로세스에 대해 제공자가 생성한 보안 관련 상태 정보
- name: accountName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 사용자 계정 식별자(프로세스가 실행된 사용자 계정 문맥), 예: 계정 이름, SID 등
- username
- name: commandLine
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
유형: 정수
설명: 모든 파라미터를 포함한 전체 프로세스 실행 명령줄
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
설명: 이 경고와 관련된 파일에 대해 제공자가 생성한 보안 관련 상태 정보
- name: fileHash
요소:
보안 경고에 대한 Microsoft 문서
설명: 파일 해시(암호화 및 위치 민감)를 포함하는 복합 타입
- name: hashType
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '파일 해시 유형. 가능한 값: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256'
- name: hashValue
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 파일 해시 값
- md5
- sha1
설명: 프로세스가 시작된 시간(UTC)
- name: integrityLevel
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '프로세스의 무결성 수준. 가능한 값: unknown, untrusted, low, medium, high, system'
- name: isElevated
설명: 호스트가 Azure Active Directory Domain Services에 도메인으로 조인되어 있으면 true
- sha256
설명: 프로세스가 상승 권한(elevated)으로 실행된 경우 true
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 프로세스의 이미지 파일 이름
- name: parentProcessCreatedDateTime
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
설명: 부모 프로세스가 시작된 시점(UTC)
- name: parentProcessId
설명: 부모 프로세스의 프로세스 ID(PID)
유형: 정수(bigint)
- name: parentProcessName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 파일 이름(경로 제외)
설명: 부모 프로세스의 이미지 파일 이름
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 파일 이름을 포함한 전체 경로
- name: processId
설명: 부모 프로세스의 프로세스 ID(PID)
설명: 프로세스의 프로세스 ID(PID)
- name: recommendedActions
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고 결과로 취할 공급업체/제공자 권장 조치(예: 머신 격리, 2단계 인증 강제, 호스트 재이미지)
- name: registryKeyStates
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 이 경고와 관련된 레지스트리 키에 대해 제공자가 생성한 보안 관련 상태 정보
- name: hive
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 'Windows 레지스트리 하이브. 가능한 값: unknown, currentConfig, currentUser, localMachineSam, localMachineSecurity, localMachineSoftware, localMachineSystem, usersDefault'
- name: key
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 현재(즉, 변경된) 레지스트리 키(하이브 제외)
- name: oldKey
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 이전(즉, 변경 이전) 레지스트리 키(하이브 제외)
- name: oldValueData
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 이전(즉, 변경 이전) 레지스트리 키 값 데이터(내용)
- name: oldValueName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 이전(즉, 변경 이전) 레지스트리 키 값 이름
- name: operation
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 파일 이름을 포함한 전체 경로
설명: '레지스트리 키 이름 및/또는 값을 변경한 작업. 가능한 값: unknown, create, modify, delete'
설명: 부모 프로세스의 프로세스 ID(PID)
설명: 레지스트리 키를 수정한 프로세스의 프로세스 ID(PID) (프로세스 세부 정보는 경고의 'processes' 컬렉션에 표시됨)
- name: valueData
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 현재(즉, 변경된) 레지스트리 키 값 데이터(내용)
- name: valueName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 현재(즉, 변경된) 레지스트리 키 값 이름
- name: valueType
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '레지스트리 키 값 유형. 가능한 값: unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz'
- name: securityResources
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 현재 경고와 관련된 리소스. 예를 들어 일부 경고의 경우 Azure 리소스 값이 포함될 수 있음
- name: resource
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 현재 경고와 관련된 리소스의 이름
- name: resourceType
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 제공자에 의해 생성된 악성코드 변종 이름(예: Trojan:Win32/Powessere.H)
- name: azureTenantId
설명: '경고와 관련된 보안 리소스의 유형을 나타냄. 가능한 값: attacked, related'
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '경고 심각도 - 공급업체/제공자가 설정함. 가능한 값: unknown, informational, low, medium, high'
- name: sourceMaterials
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 네트워크 연결의 URL/URI 문자열 - 파라미터 제외(예: 'www.contoso.com/products/default.html')
설명: 소스(즉, 출발지) IP 포트(네트워크 연결의)
- name: azureTenantId
설명: 경고와 관련된 소스 자료에 대한 하이퍼링크(URI), 예: 공급자의 경고 UI 또는 로그 검색 등
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '경고 수명주기 상태(단계). 가능한 값: unknown, newAlert, inProgress, resolved'
- name: tags
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고에 적용할 수 있고 필터 조건으로 사용할 수 있는 사용자 정의 레이블(예: 'HVA', 'SAW' 등)
- name: azureTenantId
- name: title
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고 제목
- name: triggers
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
- sha256
설명: 경고를 트리거한 특정 속성에 대한 보안 관련 정보(경고에 나타나는 속성). 경고는 여러 사용자, 호스트, 파일, IP 주소에 대한 정보를 포함할 수 있습니다. 이 필드는 어떤 속성이 경고 생성을 트리거했는지를 나타냅니다
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 탐지 트리거로 작용하는 속성의 이름
- name: type
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 해석을 위한 키:값 쌍에서 속성의 유형(예: 문자열, 불리언 등)
- name: value
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 탐지 트리거로 작용하는 속성의 값
- name: userStates
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 이 경고와 관련된 사용자 계정에 대해 제공자가 생성한 보안 관련 상태 정보
- name: aadUserId
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 사용자 계정 식별자(프로세스가 실행된 사용자 계정 문맥), 예: 계정 이름, SID 등
설명: 이 경고와 관련된 프로세스에 대해 제공자가 생성한 보안 관련 상태 정보
설명: AAD 사용자 객체 식별자(GUID) - 물리적/다계정 사용자 엔터티를 나타냄
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 사용자 계정 식별자(프로세스가 실행된 사용자 계정 문맥), 예: 계정 이름, SID 등
설명: 사용자 계정의 계정 이름(Active Directory 도메인 또는 DNS 도메인 없이) - (mailNickName이라고도 함)
- name: domainName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 목적지 URL의 도메인 부분(예: 'www.contoso.com')
설명: "사용자 계정의 NetBIOS/Active Directory 도메인(도메인\계정 형식)"
- name: emailRole
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '이메일 관련 경고의 경우 - 사용자 계정의 이메일 "역할". 가능한 값: unknown, sender, recipient'
- name: isVpn
설명: 호스트가 Azure Active Directory Domain Services에 도메인으로 조인되어 있으면 true
설명: 사용자가 VPN을 통해 로그인했는지 여부를 나타냄
- name: logonDateTime
설명: 경고가 종료된 시간(UTC)
유형: 타임스탬프
설명: 로그인이 발생한 시간(UTC)
- name: logonId
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 사용자 계정 식별자(프로세스가 실행된 사용자 계정 문맥), 예: 계정 이름, SID 등
설명: 사용자 로그인 ID
- name: logonIp
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
지표:
설명: 로그인 요청이 발생한 IP 주소
- name: logonLocation
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 해당 사용자의 로그인 이벤트와 연관된 위치(IP 주소 매핑 기준)
- name: logonType
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: '사용자 로그인 방법. 가능한 값: unknown, interactive, remoteInteractive, network, batch, service'
- name: onPremisesSecurityIdentifier
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 사용자 계정 식별자(프로세스가 실행된 사용자 계정 문맥), 예: 계정 이름, SID 등
설명: 클라우드 애플리케이션/서비스 이름(예: 'Salesforce', 'DropBox' 등)
설명: 사용자의 Active Directory(온프레미스) 보안 식별자(SID)
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 사용자 계정에 대해 제공자에 의해 생성/계산된 위험 점수. 권장 값 범위는 0-1(백분율에 해당)
- name: userAccountType
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 'Windows 정의에 따른 사용자 계정 유형(그룹 멤버십). 가능한 값: unknown, standard, power, administrator'
- name: userPrincipalName
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 클라우드 애플리케이션/서비스로의 연결의 목적지 IP 주소
설명: 사용자 계정 식별자(프로세스가 실행된 사용자 계정 문맥), 예: 계정 이름, SID 등
설명: '사용자 로그인 이름 - 인터넷 형식: (사용자 계정 이름)@(사용자 계정 DNS 도메인 이름)'
- name: azureTenantId
- name: vendorInformation
요소:
보안 경고에 대한 Microsoft 문서
설명: 공급업체, 제공자 및 하위 제공자에 대한 세부 정보를 포함하는 복합 타입(예: vendor=Microsoft; provider=Windows Defender ATP; subProvider=AppLocker)
- name: provider
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 특정 제공자(제품/서비스 - 공급업체 회사가 아님); 예: WindowsDefenderATP
- name: providerVersion
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고를 생성한 제공자 또는 하위 제공자의 버전(존재하는 경우)
- name: subProvider
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 집계 제공자 아래의 특정 하위 제공자; 예: WindowsDefenderATP.SmartScreen
- name: vendor
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 경고 공급업체의 이름(예: Microsoft, Dell, FireEye)
- name: vulnerabilityStates
설명: 이 경고와 관련된 클라우드 애플리케이션에 대해 제공자가 생성한 보안 관련 상태 정보
유형: 배열
요소:
보안 경고에 대한 Microsoft 문서
설명: 이 경고와 관련된 하나 이상의 취약점에 관한 위협 인텔리전스
- name: cve
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 제공자에 의해 생성된 악성코드 변종 이름(예: Trojan:Win32/Powessere.H)
설명: 취약점에 대한 공통 취약점 및 노출(CVE)
설명: 이 경고가 귀속된 활동 그룹(공격자)의 이름 또는 별칭
설명: 이 악성코드의 제공자 판정 심각도
설명: 이 취약점에 대한 기본 공통 취약점 점수 체계(CVSS) 심각도 점수의 기본값(베이스 스코어)을 의미합니다. (원문에서 'Base Common Vulnerability Scoring System (CVSS) severity score for this vulnerability')
설명: 호스트가 Azure Active Directory Domain Services에 도메인으로 조인되어 있으면 true
