# Microsoft Graph 로그
## 개요
Panther는 다음을 쿼리하여 Microsoft Graph 로그를 가져올 수 있습니다. [Microsoft Graph API](https://docs.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0) 다음 Microsoft 보안 제품에서 보안 경고를 가져오려면:
* Azure Active Directory Identity Protection
* Azure Information Protection
* Microsoft 365(기본, Cloud App Security, 사용자 지정 경고)
* Microsoft Defender for Cloud Apps
* Microsoft Defender for Endpoint
* Microsoft Defender for Identity
* Microsoft Sentinel(이전의 Azure Sentinel)
## Microsoft Graph 로그를 Panther에 연결하는 방법
### 필수 조건
* Microsoft Defender for Endpoint 및 Identity 경고는 경고 이벤트를 Panther로 스트리밍하기 전에 추가 사용자 구성이 필요합니다. 자세한 내용은 [Microsoft의 문서](https://docs.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0#alerts) 를 참조하세요.
* Microsoft Defender for Endpoint는 Microsoft Graph Security API에 필요한 권한 외에 추가 사용자 역할이 필요합니다. Microsoft Defender for Endpoint 역할과 Microsoft Graph Security API 역할을 모두 가진 사용자만 Microsoft Defender for Endpoint 데이터에 액세스할 수 있습니다. 애플리케이션 전용 인증은 이 제한을 받지 않으므로, 애플리케이션 전용 인증 토큰을 사용하는 것이 좋습니다.
* Microsoft Defender for Identity 경고는 Microsoft Defender for Cloud Apps 통합을 통해 사용할 수 있습니다. 즉, Unified SecOps에 참여하고 Microsoft Defender for Identity를 Microsoft Defender for Cloud Apps에 연결한 경우에만 Microsoft Defender for Identity 경고를 받을 수 있습니다.
### 1단계: Microsoft Entra ID 애플리케이션 만들기
1. 다음에 로그인하세요. [Azure 포털](https://portal.azure.com) 로 이동한 다음 **Microsoft Entra ID** 서비스로 이동하세요.\
2. 다음을 클릭하세요. **앱 등록** 을 왼쪽 사이드바에서.
3. 다음을 클릭하세요. **새 등록**.
4. 다음 필드를 입력하세요:
* 애플리케이션에 대한 설명적 이름을 입력하세요.
* 대해서는 **지원되는 계정 유형**,을 선택하세요. **이 조직 디렉터리의 계정만**.
5. 다음을 클릭하세요. **등록**.
6. 왼쪽 사이드바에서 다음을 클릭하세요. **인증서 및 비밀**.
7. 다음을 클릭하세요. **새 클라이언트 비밀**.
* 비밀에 대한 설명을 추가하세요(예: Panther 통합).
* 다음을 설정하세요. **만료** 필드를 `24개월`.
8. 다음을 클릭하세요. **추가**.
* 이 페이지를 벗어나면 클라이언트 비밀이 숨겨집니다. 다음을 복사해 두세요. **값** 필드를 복사하여 안전한 위치에 저장하세요. 이는 다음 항목으로 사용됩니다. **클라이언트 비밀** 값을 2단계에서 사용합니다.
9. 왼쪽 사이드바에서 다음을 클릭하세요. **API 권한** 그리고 나서 **권한 추가**.
10. 찾아서 클릭하세요 **Microsoft Graph APIs**.
11. 다음을 클릭하세요. **위임된 권한** 그리고 다음을 선택하세요 **SecurityAlert.Read.All** 권한.
12. 다음을 클릭하세요. **애플리케이션 권한** 그리고 다음을 선택하세요 **SecurityAlert.Read.All** 권한.
13. 다음을 클릭하세요. **권한 추가** 페이지 하단에서.
14. 다음을 클릭하세요. **관리자 동의 부여** API 권한 페이지에서.\
15. 동의가 부여된 후, 다음을 클릭하여 **개요** 왼쪽 사이드바의 탭에서 다음을 확인하세요 **애플리케이션(클라이언트) ID** 및 **디렉터리(테넌트) ID**.
* 다음 단계에서 이 정보들을 Panther에 제공해야 합니다.\
### 2단계: Panther에 새 Microsoft Graph 소스 만들기
1. Panther Console의 왼쪽 탐색 표시줄에서 다음을 클릭하세요 **구성** > **로그 소스**.
2. 다음을 클릭하세요. **새로 만들기.**
3. 선택하세요 **Microsoft Graph** 사용 가능한 로그 소스 목록에서.
4. 다음을 클릭하세요. **설정 시작**.
5. 다음 화면에서 필드를 입력하세요:
* **이름**: 소스에 대한 설명적인 이름을 입력하세요. 예: `My Microsoft Graph logs`.
* **테넌트 ID**: 테넌트 ID를 입력하세요.
* **로그 유형**: 하나 이상의 로그 유형을 선택하세요.
6. 다음을 클릭하세요. **설정**.
7. 다음에서 **자격 증명** 페이지에 다음을 입력하세요. **클라이언트 ID** 및 **클라이언트 비밀**.
* 다음 **클라이언트 비밀** 은 **값** 1단계에서 저장한 필드입니다.
8. 다음을 클릭하세요. **설정**.
9. Panther의 성공 화면으로 리디렉션됩니다:\\
* 선택적으로 하나 이상의 [탐지 팩](https://docs.panther.com/detections/panther-managed/packs).
* 다음 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정의 기본값은 **YES**. 이 기능을 활성화한 상태로 두는 것을 권장합니다. 일정 시간이 지나 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되기 때문입니다. 시간 범위는 설정할 수 있으며, 기본값은 24시간입니다.\\
## 지원되는 로그 유형
### MicrosoftGraph.SecurityAlert
Microsoft 또는 파트너 보안 솔루션이 식별한 고객의 테넌트 내 잠재적인 보안 문제를 나타냅니다.
참조: [보안 경고에 대한 Microsoft 문서](https://learn.microsoft.com/en-us/graph/api/resources/security-alert?view=graph-rest-1.0).
```yaml
스키마: MicrosoftGraph.SecurityAlertV2
description: /security/alerts_v2 엔드포인트(microsoft.graph.security.alert)에서 반환된 통합 Microsoft 365 Defender 알러트.
참조URL: https://learn.microsoft.com/en-us/graph/api/resources/security-알러트?view=graph-rest-1.0
필드:
- name: actorDisplayName
description: 이 알러트와 연관된 적대자 또는 활동 그룹입니다.
type: string
- name: additionalData
description: 공급자별 속성의 자유 형식 묶음(키에 공백이 포함될 수 있으며, 원문 그대로 유지됨).
type: json
- name: alertPolicyId
description: 알러트를 생성한 정책의 ID입니다. 특정 정책이 생성한 경우에만 채워집니다.
type: string
- name: alertWebUrl
description: Microsoft 365 Defender 포털의 알러트 페이지 URL입니다.
type: string
- name: assignedTo
description: 알러트의 소유자, 또는 소유자가 할당되지 않은 경우 null.
type: string
- name: category
description: 알러트가 속하는 MITRE ATT&CK에 맞춘 공격 킬 체인 범주.
type: string
- name: classification
description: '알러트가 실제 위협을 나타내는지 지정합니다. 가능한 값: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.'
type: string
- name: comments
description: SecOps 팀이 만든 댓글 배열.
type: array
element:
유형: 객체
필드:
- 이름: comment
설명: 댓글 텍스트.
type: string
- 이름: createdByDisplayName
설명: 댓글을 작성한 사용자의 표시 이름.
type: string
- 이름: createdDateTime
설명: 댓글이 작성된 시간.
유형: 타임스탬프
시간 형식:
- rfc3339
- 이름: createdDateTime
설명: Microsoft 365 Defender가 알러트를 생성한 시각.
유형: 타임스탬프
시간 형식:
- rfc3339
- 이름: customDetails
설명: 값이 포함된 사용자 정의 사용자 지정 필드.
type: json
- 이름: description
설명: 알러트를 설명하는 문자열 값.
type: string
- 이름: detectionSource
설명: 눈에 띄는 구성 요소 또는 활동을 식별한 디택션 기술 또는 센서.
type: string
- 이름: detectorId
설명: 알러트를 트리거한 디텍터의 ID.
type: string
- 이름: determination
설명: 조사 결과. 가능한 값에는 apt, malware, securityTesting, multiStagedAttack 등이 포함됩니다.
type: string
- 이름: evidence
설명: 알러트와 관련된 증거의 모음. @odata.type로 구분됩니다.
type: array
element:
유형: 객체
필드:
- 이름: at_sign_odata_type
설명: alertEvidence 하위 유형을 식별하는 구분자(예: #microsoft.graph.security.deviceEvidence).
이름 변경:
에서: '@odata.type'
type: string
- 이름: createdDateTime
설명: 증거가 생성되어 알러트에 추가된 시간입니다.
유형: 타임스탬프
시간 형식:
- rfc3339
- 이름: verdict
설명: 자동화된 조사 결과의 판정. 가능한 값: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue.
type: string
- 이름: remediationStatus
설명: 증거에 대해 수행된 수정 조치의 상태입니다.
type: string
- 이름: remediationStatusDetails
설명: 수정 상태에 대한 세부 정보입니다.
type: string
- 이름: roles
설명: 알러트에서 증거가 수행하는 역할(예: attacker, source, destination).
type: array
element:
type: string
- 이름: detailedRoles
설명: 증거에 대한 상세 역할 설명자입니다.
type: array
element:
type: string
- 이름: tags
설명: 증거와 연결된 사용자 지정 태그입니다.
type: array
element:
type: string
- 이름: amazonAccountId
설명: AWS 계정 ID(amazonResourceEvidence).
type: string
표시기:
- aws_account_id
- 이름: amazonResourceId
설명: AWS ARN(amazonResourceEvidence).
type: string
표시기:
- aws_arn
- 이름: resourceId
설명: 리소스 ID(azureResourceEvidence).
type: string
- 이름: resourceName
설명: 리소스 이름(azureResourceEvidence, amazonResourceEvidence, googleCloudResourceEvidence).
type: string
- 이름: resourceType
설명: 리소스 유형(azureResourceEvidence, amazonResourceEvidence, googleCloudResourceEvidence).
type: string
- 이름: fullResourceName
설명: 전체 리소스 이름(googleCloudResourceEvidence).
type: string
- 이름: location
설명: '위치: googleCloudResourceEvidence의 경우 문자열; ipEvidence의 경우 geoLocation 객체.'
type: json
- 이름: locationType
설명: 위치 유형, 예: 지역/가용 영역(googleCloudResourceEvidence).
type: string
- 이름: projectId
설명: GCP 프로젝트 ID(googleCloudResourceEvidence).
type: string
- 이름: projectNumber
설명: GCP 프로젝트 번호(googleCloudResourceEvidence).
유형: bigint
- 이름: name
설명: 리소스 이름(blobContainerEvidence, blobEvidence, kubernetesClusterEvidence, kubernetesNamespaceEvidence, kubernetesPodEvidence, kubernetesServiceEvidence, malwareEvidence).
type: string
- 이름: url
설명: 리소스의 URL(blobContainerEvidence, blobEvidence, urlEvidence).
type: string
표시기:
- url
- 이름: storageResource
설명: 백업 저장소 계정 참조, azureResourceEvidence (blobContainerEvidence).
type: json
- name: blobContainer
설명: 포함된 blob 컨테이너, blobContainerEvidence (blobEvidence).
type: json
- name: etag
설명: Blob ETag (blobEvidence).
type: string
- name: fileHashes
설명: fileHash 객체 배열 (blobEvidence).
type: json
- name: args
설명: 컨테이너 명령 인수 (containerEvidence).
type: array
element:
type: string
- name: command
설명: 컨테이너 명령 (containerEvidence).
type: array
element:
type: string
- name: containerId
설명: 컨테이너 ID (containerEvidence).
type: string
- name: image
설명: 컨테이너 이미지, containerImageEvidence (containerEvidence).
type: json
- name: isPrivileged
설명: 컨테이너가 권한 있는 상태로 실행되는지 여부 (containerEvidence).
형식: boolean
- name: pod
설명: 포함된 pod, kubernetesPodEvidence (containerEvidence).
type: json
- name: digestImage
설명: 다이제스트 이미지, containerImageEvidence (containerImageEvidence).
type: json
- name: imageId
설명: 이미지 ID (containerImageEvidence).
type: string
- name: registry
설명: 컨테이너 레지스트리 참조 (containerImageEvidence).
type: json
- name: azureAdDeviceId
설명: Microsoft Entra 디바이스 ID (deviceEvidence).
type: string
- name: defenderAvStatus
설명: Defender Antivirus 상태 (deviceEvidence).
type: string
- name: deviceDnsName
설명: 디바이스 DNS 이름 (deviceEvidence).
type: string
표시기:
- hostname
- name: dnsDomain
설명: 디바이스의 DNS 도메인 (deviceEvidence).
type: string
표시기:
- domain
- name: firstSeenDateTime
설명: 디바이스가 처음 관찰된 시각 (deviceEvidence).
유형: 타임스탬프
시간 형식:
- rfc3339
- name: healthStatus
설명: 디바이스 상태 (deviceEvidence).
type: string
- name: hostName
설명: 호스트 이름 (deviceEvidence).
type: string
표시기:
- hostname
- name: ipInterfaces
설명: 디바이스 인터페이스의 IP 주소 (deviceEvidence).
type: array
element:
type: string
표시기:
- ip
- name: lastExternalIpAddress
설명: 마지막으로 관찰된 외부 IP (deviceEvidence).
type: string
표시기:
- ip
- name: lastIpAddress
설명: 마지막으로 알려진 IP (deviceEvidence).
type: string
표시기:
- ip
- name: loggedOnUsers
설명: 현재 디바이스에 로그인한 사용자 (deviceEvidence).
type: json
- name: mdeDeviceId
설명: Microsoft Defender for Endpoint 디바이스 ID (deviceEvidence, fileEvidence, processEvidence).
type: string
- name: ntDomain
설명: NT 도메인 (deviceEvidence).
type: string
- name: onboardingStatus
설명: MDE 온보딩 상태 (deviceEvidence).
type: string
- name: osBuild
설명: OS 빌드 번호 (deviceEvidence).
유형: bigint
- name: osPlatform
설명: OS 플랫폼 (deviceEvidence).
type: string
- name: rbacGroupId
설명: MDE RBAC 그룹 ID (deviceEvidence).
형식: int
- name: rbacGroupName
설명: MDE RBAC 그룹 이름 (deviceEvidence).
type: string
- name: resourceAccessEvents
설명: 디바이스의 리소스 액세스 이벤트 (deviceEvidence).
type: json
- name: riskScore
설명: 디바이스 위험 점수 (deviceEvidence).
type: string
- name: version
설명: 버전 (deviceEvidence, kubernetesClusterEvidence).
type: string
- name: vmMetadata
설명: 클라우드 호스팅 디바이스의 VM 메타데이터 (deviceEvidence).
type: json
- name: dnsServerIp
설명: DNS 서버, ipEvidence 객체 (dnsEvidence).
type: json
- name: domainName
설명: 조회된 DNS 도메인 (dnsEvidence).
type: string
표시기:
- domain
- name: hostIpAddress
설명: 쿼리를 발생시킨 호스트, ipEvidence 객체 (dnsEvidence).
type: json
- name: ipAddresses
설명: 확인된 IP 주소, ipEvidence 배열 (dnsEvidence).
type: json
- name: detectionStatus
설명: 디택션 상태 (fileEvidence, processEvidence).
type: string
- name: fileDetails
설명: 파일 세부 정보 (fileEvidence).
유형: 객체
필드:
- name: fileName
설명: 경로를 제외한 파일 이름.
type: string
- name: filePath
설명: 전체 파일 경로.
type: string
- name: filePublisher
설명: 파일 게시자.
type: string
- name: fileSize
설명: 바이트 단위의 파일 크기.
유형: bigint
- name: issuer
설명: 파일에 서명한 인증서 발급자.
type: string
- name: md5
설명: 파일의 MD5 해시.
type: string
표시기:
- md5
- name: sha1
설명: 파일의 SHA1 해시.
type: string
표시기:
- sha1
- name: sha256
설명: 파일의 SHA256 해시.
type: string
표시기:
- sha256
- name: sha256Ac
설명: 파일의 활성화 컨텍스트 SHA256.
type: string
- name: signer
설명: 파일에 서명한 인증서 서명자.
type: string
- name: algorithm
설명: 해시 알고리즘 (fileHashEvidence).
type: string
- name: value
설명: 해시 값 (fileHashEvidence).
type: string
표시기:
- md5
- sha1
- sha256
- name: countryLetterCode
설명: 두 글자 국가 코드 (ipEvidence).
type: string
- name: ipAddress
설명: IP 주소 (ipEvidence).
type: string
표시기:
- ip
- name: stream
설명: 스트림 메타데이터 (ipEvidence, userEvidence).
type: json
- name: cloudResource
설명: 클러스터의 기반 클라우드 리소스, cloud resource evidence (kubernetesClusterEvidence).
type: json
- name: distribution
설명: 클러스터 배포판, 예: AKS / EKS / GKE (kubernetesClusterEvidence).
type: string
- name: platform
설명: 클러스터 플랫폼 (kubernetesClusterEvidence).
type: string
- name: cluster
설명: 포함된 클러스터, kubernetesClusterEvidence (kubernetesNamespaceEvidence).
type: json
- name: labels
설명: 리소스 레이블 (kubernetesNamespaceEvidence, kubernetesPodEvidence, kubernetesServiceEvidence).
type: json
- name: containers
설명: pod 내 컨테이너, containerEvidence 배열 (kubernetesPodEvidence).
type: json
- name: controller
설명: pod 컨트롤러 참조 (kubernetesPodEvidence).
type: json
- name: ephemeralContainers
설명: pod의 임시 컨테이너 (kubernetesPodEvidence).
type: json
- name: initContainers
설명: pod의 init 컨테이너 (kubernetesPodEvidence).
type: json
- name: namespace
설명: 포함된 네임스페이스, kubernetesNamespaceEvidence (kubernetesPodEvidence, kubernetesServiceEvidence).
type: json
- name: podIp
설명: pod IP 주소, ipEvidence (kubernetesPodEvidence).
type: json
- name: serviceAccount
설명: pod 서비스 계정 참조 (kubernetesPodEvidence).
type: json
- name: clusterIP
설명: 클러스터 내부 서비스 IP (kubernetesServiceEvidence).
type: string
표시기:
- ip
- name: externalIPs
설명: 외부 IP (kubernetesServiceEvidence).
type: array
element:
type: string
표시기:
- ip
- name: selector
설명: 서비스 레이블 선택기 (kubernetesServiceEvidence).
type: json
- name: servicePorts
설명: 서비스 포트 (kubernetesServiceEvidence).
type: json
- name: serviceType
설명: 서비스 유형, 예: ClusterIP / NodePort / LoadBalancer (kubernetesServiceEvidence).
type: string
- name: category
설명: 악성코드 범주, 예: trojan / ransomware (malwareEvidence).
type: string
- name: files
설명: 악성코드와 연관된 파일, fileEvidence 배열 (malwareEvidence).
type: json
- name: processes
설명: 악성코드와 연관된 프로세스, processEvidence 배열 (malwareEvidence).
type: json
- name: destinationAddress
설명: 대상 ipEvidence 객체 (networkConnectionEvidence).
type: json
- name: destinationPort
설명: 대상 포트 (networkConnectionEvidence).
형식: int
- name: protocol
설명: 네트워크 프로토콜 (networkConnectionEvidence).
type: string
- name: sourceAddress
설명: 소스 ipEvidence 객체 (networkConnectionEvidence).
type: json
- name: sourcePort
설명: 소스 포트 (networkConnectionEvidence).
형식: int
- name: imageFile
설명: 프로세스의 이미지 파일 (processEvidence).
유형: 객체
필드:
- name: fileName
설명: 경로를 제외한 파일 이름.
type: string
- name: filePath
설명: 전체 파일 경로.
type: string
- name: filePublisher
설명: 파일 게시자.
type: string
- name: fileSize
설명: 바이트 단위의 파일 크기.
유형: bigint
- name: issuer
설명: 파일에 서명한 인증서 발급자.
type: string
- name: md5
설명: 파일의 MD5 해시.
type: string
표시기:
- md5
- name: sha1
설명: 파일의 SHA1 해시.
type: string
표시기:
- sha1
- name: sha256
설명: 파일의 SHA256 해시.
type: string
표시기:
- sha256
- name: sha256Ac
설명: 파일의 활성화 컨텍스트 SHA256.
type: string
- name: signer
설명: 파일에 서명한 인증서 서명자.
type: string
- name: parentProcessCreationDateTime
설명: 부모 프로세스 생성 시각 (processEvidence).
유형: 타임스탬프
시간 형식:
- rfc3339
- name: parentProcessId
설명: 부모 프로세스 ID (processEvidence).
유형: bigint
- name: parentProcessImageFile
설명: 부모 프로세스 이미지 파일 (processEvidence).
유형: 객체
필드:
- name: fileName
설명: 경로를 제외한 파일 이름.
type: string
- name: filePath
설명: 전체 파일 경로.
type: string
- name: filePublisher
설명: 파일 게시자.
type: string
- name: fileSize
설명: 바이트 단위의 파일 크기.
유형: bigint
- name: issuer
설명: 파일에 서명한 인증서 발급자.
type: string
- name: md5
설명: 파일의 MD5 해시.
type: string
표시기:
- md5
- name: sha1
설명: 파일의 SHA1 해시.
type: string
표시기:
- sha1
- name: sha256
설명: 파일의 SHA256 해시.
type: string
표시기:
- sha256
- name: sha256Ac
설명: 파일의 활성화 컨텍스트 SHA256.
type: string
- name: signer
설명: 파일에 서명한 인증서 서명자.
type: string
- name: processCommandLine
설명: 프로세스 명령줄 (processEvidence).
type: string
- name: processCreationDateTime
설명: 프로세스 생성 시각 (processEvidence).
유형: 타임스탬프
시간 형식:
- rfc3339
- name: processId
설명: 프로세스 ID (processEvidence).
유형: bigint
- name: userAccount
설명: 증거와 연관된 사용자 계정 (processEvidence, userEvidence).
유형: 객체
필드:
- name: accountName
설명: 사용자 계정 이름.
type: string
표시기:
- username
- name: activeDirectoryObjectGuid
설명: 온프레미스 AD 개체 GUID.
type: string
- name: azureAdUserId
설명: Microsoft Entra 사용자 개체 ID.
type: string
- name: displayName
설명: 사용자 표시 이름.
type: string
- name: domainName
설명: 사용자 도메인 이름.
type: string
표시기:
- domain
- name: userPrincipalName
설명: 사용자 주체 이름(UPN).
type: string
표시기:
- email
- name: userSid
설명: 사용자의 보안 식별자(SID).
type: string
- name: resourceAccessEvents
설명: 사용자 계정과 연관된 리소스 액세스 이벤트.
type: json
- 이름: firstActivityDateTime
필수: true
설명: 알러트와 관련된 가장 이른 활동입니다. p_event_time으로 사용됩니다.
유형: 타임스탬프
시간 형식:
- rfc3339
isEventTime: true
- 이름: id
필수: true
설명: 알러트에 할당된 고유 식별자입니다.
type: string
- 이름: incidentId
설명: 이 알러트와 관련된 사건의 고유 식별자입니다.
type: string
- 이름: incidentWebUrl
설명: Microsoft 365 Defender 포털의 사건 페이지 URL입니다.
type: string
- 이름: investigationState
설명: 자동화된 조사 상태입니다.
type: string
- 이름: lastActivityDateTime
설명: 알러트와 관련된 가장 최근 활동입니다.
유형: 타임스탬프
시간 형식:
- rfc3339
- 이름: lastUpdateDateTime
설명: 알러트가 마지막으로 업데이트된 시각입니다. p_event_time이 아니라 풀러가 페이지네이션 필드로 사용합니다.
유형: 타임스탬프
시간 형식:
- rfc3339
- 이름: mitreTechniques
설명: MITRE ATT&CK 프레임워크에 맞춰진 공격 기법입니다.
type: array
element:
type: string
표시기:
- mitre_attack_technique
- 이름: productName
설명: 알러트를 게시한 제품입니다(예: 'Microsoft Defender for Cloud').
type: string
- 이름: providerAlertId
설명: 이를 생성한 보안 공급자 제품에 표시되는 알러트의 ID입니다.
type: string
- 이름: recommendedActions
설명: 이 알러트가 생성된 경우 취해야 할 권장 대응 및 수정 조치입니다.
type: string
- 이름: resolvedDateTime
설명: 알러트가 해결된 시각입니다.
유형: 타임스탬프
시간 형식:
- rfc3339
- 이름: serviceSource
설명: 알러트를 생성한 서비스 또는 제품입니다(예: microsoftDefenderForCloud, microsoftDefenderForEndpoint).
type: string
- 이름: severity
설명: '자산에 미칠 수 있는 영향입니다. 가능한 값: informational, low, medium, high, unknownFutureValue.'
type: string
- 이름: status
설명: '알러트의 수명 주기 상태입니다. 가능한 값: new, inProgress, resolved, unknownFutureValue.'
type: string
- 이름: systemTags
설명: 알러트와 관련된 시스템 태그입니다.
type: array
element:
type: string
- 이름: tenantId
필수: true
설명: 알러트가 생성된 Microsoft Entra 테넌트입니다.
type: string
- 이름: threatDisplayName
설명: 이 알러트와 관련된 위협입니다.
type: string
- 이름: threatFamilyName
설명: 이 알러트와 관련된 위협 계열입니다.
type: string
- 이름: title
설명: 알러트를 설명하는 간단한 식별 문자열입니다.
type: string
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/microsoftgraph.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.