Microsoft Sentinel 엔터티 형식 참조

아티클
10/31/2023

이 문서에는 Microsoft Sentinel의 엔터티 및 엔터티 형식에 대한 두 가지 정보 집합이 포함되어 있습니다.

엔터티 형식 및 식별자 테이블에는 분석 규칙과 헌팅 모두에서 엔터티 매핑에 사용할 수 있는 다양한 유형의 엔터티가 표시됩니다. 또한 각 엔터티 형식에 대해 엔터티를 식별하는 데 사용할 수 있는 다양한 식별자가 표에 표시됩니다.
엔터티 스키마 섹션에는 엔터티 매핑 기능에 표시되지 않는 일부 형식을 포함하여 일반적으로 엔터티 및 각 엔터티 형식에 대한 데이터 구조 및 스키마가 표시됩니다.

엔터티 형식 및 식별자

다음 표에서는 현재 Microsoft Sentinel에서 매핑에 사용할 수 있는 엔터티 형식과 각 엔터티 형식에 대한 식별자로 사용할 수 있는 특성을 보여 있습니다. 이러한 특성은 거의 모두 분석 규칙 마법사의 엔터티 매핑 섹션에 있는 식별자 드롭다운 목록에 표시됩니다(예외는 각주 참조).

단일 엔터티 매핑에 최대 3개의 식별자를 사용할 수 있습니다. 강력한 식별자 만으로도 엔터티를 고유하게 식별할 수 있는 반면 , 약한 식별자는 다른 식별자와 함께만 식별할 수 있습니다.

강력한 식별자와 약한 식별자에 대해 자세히 알아봅니다.

엔터티 형식	식별자	강력한 식별자	약한 식별자
계정	이름 Fullname* NTDo기본 DnsDo기본 UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid	Name+UPNSuffix AADUserId Sid ** Sid+호스트** Name+Host+NTDo기본 Name+NTDo기본 Name+DnsDo기본 PUID ObjectGuid	이름
호스트	DnsDo기본 NTDo기본 HostName Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined	HostName+NTDo기본 HostName+DnsDo기본 NetBiosName+NTDo기본 NetBiosName+DnsDo기본 AzureID OMSAgentID	HostName NetBiosName
IP	주소 AddressScope	주소 Address+AddressScope
URL	Url	URL (절대 URL인 경우)**	URL (상대 URL인 경우)**
Azure 리소스 (AzureResource)	ResourceId	ResourceId
클라우드 애플리케이션 (CloudApplication)	AppId 이름 InstanceName	AppId 이름 AppId+InstanceName Name+InstanceName
DNS 확인 (DNS)	DomainName	Do기본Name+DnsServerIp+HostIpAddress	Do기본Name+HostIpAddress
파일	디렉터리 이름	디렉터리+이름
파일 해시 (FileHash)	알고리즘 값	Algorithm+Value
맬웨어	이름 범주	Name+Category
처리	ProcessId CommandLine ElevationToken CreationTimeUtc	Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash	ProcessId+CreationTimeUtc+ CommandLine(호스트 없음) ProcessId+CreationTimeUtc+ ImageFile (호스트 없음)
레지스트리 키 (RegistryKey)	Hive 키	Hive+키
레지스트리 값 (RegistryValue)	속성 값 ValueType	Key+Name	이름(키 없음)
보안 그룹 (SecurityGroup)	DistinguishedName SID ObjectGuid	DistinguishedName SID ObjectGuid
사서함	MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel	MailboxPrimaryAddress
메일 클러스터 (MailCluster)	NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 위협 쿼리 QueryTime MailCount IsVolumeAnomaly 원본 ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup *	Query+Source
메일 메시지 (MailMessage)	받는 사람 Url 위협 보낸 사람 P1Sender * P1SenderDisplayName * P1SenderDo기본 * SenderIP P2Sender * P2SenderDisplayName * P2SenderDo기본 * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 언어* ThreatDetectionMethods *	NetworkMessageId+Recipient
제출 메일 (SubmissionMail)	NetworkMessageId 타임스탬프 받는 사람 보낸 사람 SenderIp Subject ReportType SubmissionId SubmissionDate 제출자	SubmissionId+NetworkMessageId+ Recipient+Submitter
Sentinel 엔터티	엔터티	엔터티

표 각주:

* 이러한 식별자는 엔터티 매핑에 사용할 수 있는 식별자 목록에 표시되지만 엄격하게 말하면 엔터티 스키마의 일부가 아닙니다.
** 이러한 식별자는 특정 조건에서만 강력한 것으로 간주됩니다. 별표 링크를 따라 아래 엔터티 스키마 섹션의 관련 엔터티 목록에서 적용되는 조건을 확인합니다.
별표가 없는 기울임꼴 식별자 이름은 내부 엔터티를 나타냅니다. 즉, 한 엔터티 형식에 다른 엔터티 형식이 특성으로 있을 수 있습니다(아래 엔터티 스키마 섹션 참조). 식별자의 링크를 따라 내부 엔터티의 자체 스키마를 확인합니다.

엔터티 형식 스키마

다음 섹션에는 각 엔터티 형식의 전체 스키마에 대한 자세한 내용이 포함되어 있습니다. 이러한 스키마 중 상당수에는 다른 엔터티 형식에 대한 링크가 포함됩니다. 예를 들어 계정 스키마에는 사용자 계정의 한 특성이 정의된 호스트이므로 호스트 엔터티 형식에 대한 링크가 포함됩니다. 이러한 엔터티를 "내부 엔터티"라고 하며 엔터티 매핑의 식별자로 사용할 수는 없지만 엔터티 페이지 및 조사 그래프에서 엔터티의 전체 그림을 제공하는 데 매우 유용합니다.

참고 항목

형식 열의 값 뒤에 있는 물음표는 null 허용 필드임을 나타냅니다.

엔터티 형식 스키마 목록

계정
호스트
IP
맬웨어
파일
처리
클라우드 애플리케이션
DNS 확인
Azure 리소스
파일 해시
레지스트리 키
레지스트리 값
보안 그룹
URL
IoT 디바이스
사서함
메일 클러스터
메일 메시지
제출 메일
Sentinel 엔터티

어카운트

엔터티 이름: 계정

필드	형식	Description
Type	문자열	'account'
이름	문자열	계정 이름입니다. 이 필드는 도메인이 추가되지 않은 이름만 포함해야 합니다.
FullName	--	스키마의 일부가 아니며, 이전 버전의 엔터티 매핑과의 호환성을 위해 포함되었습니다.
NTDo기본	문자열	NETBIOS는 경고 형식(do기본\username)에 표시되는 이름을 기본. 예: Finance, NT AUTHORITY
DnsDo기본	문자열	정규화된 do기본 DNS 이름입니다. 예: finance.contoso.com
UPNSuffix	문자열	계정의 사용자 계정 이름 접미사입니다. 대부분의 경우 UPN 접미사는 do기본 이름이기도 합니다. 예: contoso.com
호스트	엔터티(호스트)	로컬 계정인 경우 계정이 포함된 호스트입니다.
Sid	문자열	계정의 보안 식별자입니다.
AadTenantId	GUID?	알려진 경우 Microsoft Entra 테넌트 ID입니다.
AadUserId	GUID?	알려진 경우 Microsoft Entra 계정 개체 ID입니다.
PUID	GUID?	알려진 경우 Microsoft Entra Passport 사용자 ID입니다.
IsDo기본조인	부울?	계정이 do기본 계정인지 여부를 나타냅니다.
DisplayName	--	스키마의 일부가 아니며, 이전 버전의 엔터티 매핑과의 호환성을 위해 포함되었습니다.
Objectguid	GUID?	objectGUID 특성은 Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다.
CloudAppAccountId	문자열	CloudApp 공급자의 경고에 있는 AccountID입니다. 다른 Microsoft 제품에서 지원되지 않는 타사 앱의 계정 ID를 참조합니다.
IsAnonymized	부울?	사용자 이름이 익명화되었는지 여부를 나타냅니다. 선택 사항. 기본값: `false`.
스트림	스트림	특정 계정과 관련된 검색 로그의 원본입니다. 선택 사항.

계정 엔터티의 강력한 식별자

이름 + UPNSuffix
AadUserId
Sid
** 이 식별자는 계정이 아래 참고에 나열된 기본 제공 계정 중 하나가 아닌 한 강력합니다.
Sid + 호스트
** 계정이 아래 참고에 나열된 기본 제공 계정 중 하나인 경우 이 식별자를 강력한 식별자로 만들려면 호스트 구성 요소가 필요합니다.
이름 + NTDo기본
** 이 조합은 계정이 do기본 계정인 경우 강력한 식별자입니다. NTDo기본는 기본 제공 do기본/workgroup이 아니며 호스트 이름과 다릅니다. 이 경우 호스트 구성 요소가 없는 경우에도 강력한 식별자입니다.
이름 + NTDo기본 + 호스트
** 호스트 구성 요소는 계정이 로컬 계정인 경우 강력한 식별자를 만드는 데 필요합니다. 즉, NTDo기본는 기본 제공 do기본/workgroup입니다.
이름 + DnsDo기본
PUID
Objectguid

계정 엔터티의 약한 식별자

이름

참고 항목

계정 엔터티가 이름 식별자를 사용하여 정의되고 특정 엔터티의 이름 값이 다음과 같은 일반적인 기본 제공 계정 이름 중 하나인 경우 해당 엔터티는 경고에서 삭제됩니다.

관리
관리자
SYSTEM
루트
ANONYMOUS
인증된 사용자
네트워크
NULL
로컬 시스템
Localsystem
NETWORK SERVICE

필드	형식	Description
Type	문자열	'host'
IpInterfaces	엔터티 나열<(IP)>	호스트 컴퓨터의 모든 IP 인터페이스 목록입니다.
DnsDo기본	문자열	DNS는 이 호스트가 속한 기본. do기본(알려진 경우)에 대한 전체 DNS 접미사를 포함해야 합니다.
NTDo기본	문자열	이 호스트가 속한 NT 도메인입니다.
HostName	문자열	할 일기본 접미사가 없는 호스트 이름입니다.
NetBiosName	문자열	호스트 이름(Windows 2000 이전)입니다.
IoTDevice	엔터티(IoT 디바이스)	IoT 디바이스 엔터티(이 호스트가 IoT 디바이스를 나타내는 경우)입니다.
AzureID	문자열	알려진 경우 VM의 Azure 리소스 ID입니다.
OMSAgentID	문자열	호스트에 OMS 에이전트가 설치된 경우 OMS 에이전트 ID입니다.
OSFamily	열거형?	다음 값 중 하나입니다. Linux Windows Android iOS Mac
OSVersion	문자열	운영 체제의 자유 텍스트 표현입니다. 이 필드는 OSFamily보다 더 세분화된 특정 버전 또는 OSFamily 열거형에서 지원되지 않는 이후 값을 보유하기 위한 것입니다.
IsDo기본조인	Bool	이 호스트가 할 일기본 속하는지 여부를 나타냅니다.

필드	형식	Description
Type	문자열	'ip'
주소	문자열	예를 들어 IP 주소를 문자열로 지정합니다. 127.0.0.1(IPv4 또는 IPv6에서).
AddressScope	문자열	전역이 아닌 프라이빗 IP 주소에 대한 호스트, 서브넷 또는 프라이빗 네트워크의 이름입니다. 전역 IP 주소의 경우 Null이거나 비어 있습니다(기본값).
위치	지리적 위치	IP 엔터티에 연결된 지리적 위치 컨텍스트입니다. 자세한 내용은 REST API를 통해 지리적 위치 데이터로 Microsoft Sentinel의 엔터티 보강(공개 미리 보기)을 참조하세요.
스트림	스트림	특정 IP와 관련된 검색 로그의 원본입니다. 선택 사항.

필드	형식	Description
Type	문자열	'맬웨어'
이름	문자열	(검색?) 공급업체에서 할당한 맬웨어 이름(예: `Win32/Toga!rfn`.
범주	문자열	예를 들어 (검색?) 공급업체에서 할당한 맬웨어 범주입니다. 트로이 목마.
파일	엔터티 나열<(파일)>	맬웨어가 발견된 연결된 파일 엔터티 목록입니다. 파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조에 대한 자세한 내용은 파일 엔터티를 참조하세요.
프로세스	엔터티 나열<(프로세스)>	맬웨어가 발견된 연결된 프로세스 엔터티 목록입니다. 이는 파일리스 작업에서 경고가 트리거될 때 자주 사용됩니다. 구조에 대한 자세한 내용은 프로세스 엔터티를 참조하세요.

필드	형식	Description
Type	문자열	'file'
디렉터리	문자열	파일의 전체 경로입니다.
이름	문자열	경로가 없는 파일 이름입니다(일부 경고에는 경로가 포함되지 않을 수 있음).
AlternateDataStreamName	문자열	NTFS 파일 시스템의 파일 스트림 이름(기본 스트림의 경우 null)입니다.
호스트	엔터티(호스트)	파일이 저장된 호스트입니다.
HostUrl	엔터티(URL)	파일이 다운로드된 URL (웹의 표시).
WindowsSecurityZoneType	WindowsSecurityZone	URL이 속한 Windows 보안 영역 (웹의 표시).
ReferrerUrl	엔터티(URL)	파일 다운로드 HTTP 요청의 참조 URL (웹의 표시).
SizeInBytes	긴?	파일의 크기입니다(바이트).
FileHashes	목록<엔터티(FileHash)>	이 파일과 연결된 파일 해시입니다.

필드	형식	Description
Type	문자열	'process'
ProcessId	문자열	프로세스 ID입니다.
CommandLine	문자열	프로세스를 만드는 데 사용되는 명령줄입니다.
ElevationToken	열거형?	프로세스와 연결된 권한 상승 토큰입니다. 가능한 값: TokenElevationTypeDefault TokenElevationTypeFull TokenElevationTypeLimited
CreationTimeUtc	DateTime?	프로세스가 실행되기 시작한 시간입니다.
ImageFile	엔터티(파일)	파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조에 대한 자세한 내용은 파일 엔터티를 참조하세요.
계정	엔터티(계정)	프로세스를 실행하는 계정입니다. 계정 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조에 대한 자세한 내용은 계정 엔터티를 참조하세요.
ParentProcess	엔터티(프로세스)	부모 프로세스 엔터티입니다. 부분 데이터(예: PID만 포함)를 포함할 수 있습니다.
호스트	엔터티(호스트)	프로세스가 실행되고 있었던 호스트입니다.
LogonSession	Entity(HostLogonSession)	프로세스가 실행 중인 세션입니다.

필드	형식	Description
Type	문자열	'클라우드 애플리케이션'
AppId	정수	되지 않는; 대신 SaasId 필드를 사용합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. 값은 선택 사항입니다. InstanceId를 포함하지 않아야 합니다.
SaasId	정수	사용되지 않는 AppId 필드를 대체합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. 값은 선택 사항입니다. InstanceId를 포함하지 않아야 합니다.
이름	문자열	관련 클라우드 애플리케이션의 이름입니다. 값은 선택 사항입니다.
InstanceName	문자열	클라우드 애플리케이션의 사용자 정의 인스턴스 이름입니다. 고객이 가지고 있는 것과 동일한 유형의 여러 애플리케이션을 구분하는 데 자주 사용됩니다.
InstanceId	정수	애플리케이션의 특정 세션 식별자입니다. 0부터 시작하는 실행 번호입니다. 값은 선택 사항입니다.
위험	AppRisk?	예를 들어 고위험 앱만 집중적으로 검토할 수 있도록 앱을 위험 점수별로 필터링할 수 있습니다. 낮음, 보통, 높음 또는 알 수 없음과 같은 가능한 값입니다.
스트림	스트림	특정 클라우드 앱과 관련된 검색 로그의 원본입니다. 선택 사항.

필드	형식	Description
Type	문자열	'dns'
DomainName	문자열	경고와 연결된 DNS 레코드의 이름입니다.
IpAddress	목록<엔터티(IP)>	확인된 IP 주소에 해당하는 엔터티입니다.
DnsServerIp	엔터티(IP)	요청을 확인하는 DNS 서버를 나타내는 엔터티입니다.
HostIpAddress	엔터티(IP)	DNS 요청 클라이언트를 나타내는 엔터티입니다.

필드	형식	Description
Type	문자열	'azure-resource'
ResourceId	문자열	리소스의 Azure 리소스 ID입니다. 필수.
SubscriptionId	문자열	리소스의 구독 ID입니다.
ActiveContacts	ActiveContact 나열<>	리소스와 연결된 활성 연락처입니다.
ResourceType	문자열	리소스의 형식입니다.
ResourceName	문자열	리소스의 이름입니다.

필드	형식	Description
Type	문자열	'filehash'
알고리즘	열거형	해시 알고리즘 유형입니다. 필수. 가능한 값: Unknown MD5 SHA1 SHA256 SHA256AC
값	문자열	해시 값입니다. 필수.

필드	형식	Description
Type	문자열	'registry-key'
Hive	열거형?	다음 값 중 하나: HKEY_LOCAL_MACHINE HKEY_CLASSES_ROOT HKEY_CURRENT_CONFIG HKEY_USERS HKEY_CURRENT_USER_LOCAL_SETTINGS HKEY_PERFORMANCE_DATA HKEY_PERFORMANCE_NLSTEXT HKEY_PERFORMANCE_TEXT HKEY_A HKEY_CURRENT_USER
Key	문자열	레지스트리 키 경로입니다.

필드	형식	Description
Type	문자열	'iotdevice'
IoTHub	Entity(AzureResource)	디바이스가 속한 IoT Hub를 나타내는 AzureResource 엔터티입니다.
DeviceId	문자열	IoT Hub의 컨텍스트에 있는 디바이스의 ID입니다. 필수.
Devicename	문자열	디바이스의 이름입니다.
소유자	List<String>	디바이스의 소유자입니다.
IoTSecurityAgentId	GUID?	디바이스에서 실행되는 Defender for IoT 에이전트의 ID입니다.
DeviceType	문자열	디바이스의 유형('온도 센서', '냉동고', '풍력 터빈' 등)입니다.
DeviceTypeId	문자열	디바이스 유형 자체가 표시 이름이며 비교에서 신뢰할 수 없으므로 디바이스 유형 스키마에 따라 각 디바이스 유형을 식별하는 고유 ID입니다. 가능한 값: 분류되지 않음 = 0 기타 = 1 네트워크 디바이스 = 2 프린터 = 3 오디오 및 비디오 = 4 미디어 및 감시 = 5 통신 = 7 스마트 어플라이언스 = 9 워크스테이션 = 10 서버 = 11 모바일 = 12 스마트 시설 = 13 산업용 = 14 운영 장비 = 15
Source	문자열	디바이스 엔터티의 원본(Microsoft/Vendor)입니다.
SourceRef	엔터티(URL)	디바이스가 관리되는 원본 항목에 대한 URL 참조입니다.
제조업체	문자열	디바이스의 제조업체입니다.
모델	문자열	디바이스의 모델입니다.
OperatingSystem	문자열	디바이스가 실행 중인 운영 체제입니다.
IpAddress	엔터티(IP)	디바이스의 현재 IP 주소입니다.
MacAddress	문자열	디바이스의 MAC 주소입니다.
Nic	엔터티(Nic)	디바이스의 현재 NIC입니다.
프로토콜	List<String>	디바이스에서 지원하는 프로토콜 목록입니다.
SerialNumber	문자열	디바이스의 일련 번호입니다.
사이트	문자열	디바이스의 사이트 위치입니다.
영역	문자열	사이트 내 디바이스의 영역 위치입니다.
센서	문자열	디바이스를 모니터링하는 센서입니다.
중요성	열거형?	다음 값 중 하나: 낮음 일반 높음
PurdueLayer	문자열	디바이스의 Purdue 계층입니다.
IsProgramming	부울?	디바이스가 프로그래밍 디바이스로 분류되었는지 여부를 나타냅니다.
Isauthorized	부울?	디바이스가 권한 있는 디바이스로 분류되었는지 여부를 나타냅니다.
IsScanner	부울?	디바이스가 스캐너 디바이스로 분류되었는지 여부를 나타냅니다.
DevicePageLink	엔터티(URL)	Defender for IoT 포털의 디바이스 페이지에 대한 URL입니다.
DeviceSubType	문자열	디바이스 하위 형식의 이름입니다.

필드	형식	Description
Type	문자열	'mailbox'
MailboxPrimaryAddress	문자열	사서함의 기본 주소입니다.
DisplayName	문자열	사서함의 표시 이름입니다.
Upn	문자열	사서함의 UPN입니다.
AadId	문자열	사용자의 사서함의 Azure AD 식별자입니다.
RiskLevel	RiskLevel?	이 사서함의 위험 수준입니다. 가능한 값: 없음 낮음 중간 높음
ExternalDirectoryObjectId	GUID?	사서함의 AzureAD 식별자입니다. 계정 엔터티의 AadUserId와 유사하지만 이 속성은 Office 쪽의 사서함 개체와 관련이 있습니다.

필드	형식	Description
Type	문자열	'mail-cluster'
NetworkMessageIds	IList<문자열>	메일 클러스터의 일부인 메일 메시지 ID입니다.
CountByDeliveryStatus	IDictionary<String,Int>	DeliveryStatus 문자열 표현별 메일 메시지 수입니다.
CountByThreatType	IDictionary<String,Int>	ThreatType 문자열 표현별 메일 메시지 수입니다.
CountByProtectionStatus	IDictionary<String,long>	보호 상태 문자열 표현별 메일 메시지 수입니다.
CountByDeliveryLocation	IDictionary<String,long>	배달 위치 문자열 표현별 메일 메시지 수입니다.
위협	IList<문자열>	메일 클러스터의 일부인 메일 메시지의 위협입니다.
쿼리	문자열	메일 클러스터의 메시지를 식별하는 데 사용된 쿼리입니다.
QueryTime	DateTime?	쿼리 시간입니다.
MailCount	정수?	메일 클러스터의 일부인 메일 메시지 수입니다.
IsVolumeAnomaly	부울?	메일 클러스터가 볼륨 변칙 메일 클러스터인지 여부를 나타냅니다.
Source	문자열	메일 클러스터의 원본(기본값은 )입니다 `O365 ATP`.

필드	형식	Description
Type	문자열	'mail-message'
파일	IList<엔터티(파일)>	이 메일 메시지 첨부 파일의 파일 엔터티입니다.
받는 사람	문자열	이 메일 메시지의 받는 사람입니다. 받는 사람이 여러 명인 경우 메일 메시지가 복사되고 각 복사본에는 한 명의 받는 사람이 있습니다.
Url	IList<문자열>	이 메일 메시지에 포함된 URL입니다.
위협	IList<문자열>	이 메일 메시지에 포함된 위협입니다.
보낸 사람	문자열	보낸 사람의 전자 메일 주소입니다.
SenderIP	문자열	보낸 사람의 IP 주소입니다.
ReceivedDate	DateTime	이 메시지를 받은 날짜입니다.
NetworkMessageId	GUID?	이 메일 메시지의 네트워크 메시지 ID입니다.
InternetMessageId	문자열	이 메일 메시지의 인터넷 메시지 ID입니다.
주제	문자열	이 메일 메시지의 제목입니다.
AntispamDirection	열거형?	이 메일 메시지의 방향성입니다. 가능한 값: Unknown 인바운드 아웃바운드 Intraorg(내부)
DeliveryAction	열거형?	이 메일 메시지의 배달 작업입니다. 가능한 값: Unknown DeliveredAsSpam 전달됨 차단됨 Replaced
DeliveryLocation	열거형?	이 메일 메시지의 배달 위치입니다. 가능한 값: Unknown 받은 편지함 JunkFolder DeletedFolder 격리 외부 실패함 Dropped 전달됨
CampaignId	문자열	이 메일 메시지가 있는 캠페인의 식별자입니다.
SuspiciousRecipients	IList<문자열>	의심스러운 것으로 검색된 받는 사람 목록입니다.
ForwardedRecipients	IList<문자열>	전달된 메일의 모든 받는 사람 목록입니다.
ForwardingType	IList<문자열>	메일의 전달 유형(예: SMTP, ETR 등)입니다.

필드	형식	Description
Type	문자열	'registry-value'
호스트	엔터티(호스트)	레지스트리가 속한 호스트입니다.
Key	Entity(RegistryKey)	레지스트리 키 엔터티입니다.
이름	문자열	레지스트리 값 이름입니다.
값	문자열	값 데이터의 문자열 형식 표현입니다.
ValueType	열거형?	다음 값 중 하나: 문자열 이진 Dword Qword MultiString ExpandString 없음 Unknown 값은 Microsoft.Win32.RegistryValueKind 열거형을 따라야 합니다.

필드	형식	Description
Type	문자열	'security-group'
DistinguishedName	문자열	그룹 고유 이름입니다.
SID	문자열	그룹의 SID(보안 식별자)를 지정하는 단일 값 특성입니다.
Objectguid	GUID?	Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다.

필드	형식	Description
Type	문자열	'url'
Url	URI	엔터티가 가리키는 전체 URL입니다. 필수.

필드	형식	Description
Type	문자열	'SubmissionMail'
SubmissionId	GUID?	제출 ID입니다.
SubmissionDate	DateTime?	이 제출에 대해 보고된 날짜/시간입니다.
제출자	문자열	제출자 전자 메일 주소입니다.
NetworkMessageId	GUID?	제출이 속한 이메일의 네트워크 메시지 ID입니다.
Timestamp	DateTime?	메시지를 받은 타임스탬프(메일)입니다.
받는 사람	문자열	메일의 받는 사람입니다.
보낸 사람	문자열	메일의 보낸 사람입니다.
SenderIp	문자열	보낸 사람의 IP입니다.
주제	문자열	제출 메일의 제목입니다.
ReportType	문자열	지정된 인스턴스에 대한 제출 형식입니다. 가능한 값은 정크, 피싱, 맬웨어 또는 NotJunk입니다.

앱 ID	이름
10026	DocuSign
10395	Anaplan
10489	Box
10549	Cisco Webex
10618	Atlassian
10915	Cornerstone OnDemand
10921	Zendesk
10980	Okta
11042	Jive Software
11114	Salesforce
11161	Office 365
11162	Microsoft OneNote Online
11394	Microsoft 온라인 서비스
11522	Yammer
11599	Amazon Web Services
11627	Dropbox
11713	Expensify
11770	G Suite
12005	SuccessFactors
12260	Microsoft Azure
12275	Workday
13843	LivePerson
13979	Concur
14509	ServiceNow
15570	Tableau
15600	비즈니스용 Microsoft OneDrive
15782	Citrix ShareFile
17152	Amazon
17865	Ariba Inc
18432	Zscaler
19688	Xactly
20595	Microsoft Defender for Cloud 앱
20892	Microsoft SharePoint Online
20893	Microsoft Exchange Online
20940	Active Directory
20941	Adallom CPanel
22110	Google Cloud Platform
22930	Gmail
23004	Autodesk Fusion 수명 주기
23043	Slack
23233	Microsoft Office Online
25275	Microsoft 비즈니스용 Skype
25988	Google Docs
26055	Microsoft 365 관리 센터
26060	OPSWAT Gears
26061	Microsoft Word Online
26062	Microsoft PowerPoint Online
26063	Microsoft Excel Online
26069	Google Drive
26206	Workiva
26311	Microsoft Dynamics
26318	Microsoft Entra ID
26320	Microsoft Office Sway
26321	Microsoft Delve
26324	Microsoft Power BI
27548	Microsoft Forms
27592	Microsoft Flow
27593	Microsoft PowerApps
28353	Facebook의 작업 공간
28373	CAS 프록시 에뮬레이터
28375	Microsoft Teams
32780	Microsoft Dynamics 365
33626	Google
34127	Microsoft AppSource
34667	HighQ
35395	Microsoft Dynamics Talent

Microsoft Sentinel 엔터티 형식 참조

엔터티 형식 및 식별자

엔터티 형식 스키마

엔터티 형식 스키마 목록

어카운트

계정 엔터티의 강력한 식별자

계정 엔터티의 약한 식별자

Host

호스트 엔터티의 강력한 식별자

호스트 엔터티의 약한 식별자

IP

IP 엔터티의 강력한 식별자

맬웨어

맬웨어 엔터티의 강력한 식별자

파일

파일 엔터티의 강력한 식별자

Process

프로세스 엔터티의 강력한 식별자

프로세스 엔터티의 약한 식별자

클라우드 애플리케이션

클라우드 애플리케이션 엔터티의 강력한 식별자

DNS 확인

DNS 엔터티의 강력한 식별자

DNS 엔터티의 약한 식별자

Azure 리소스

Azure 리소스 엔터티의 강력한 식별자

파일 해시

파일 해시 엔터티의 강력한 식별자

레지스트리 키

레지스트리 키 엔터티의 강력한 식별자

레지스트리 값

레지스트리 값 엔터티의 강력한 식별자

레지스트리 값 엔터티의 약한 식별자

보안 그룹

보안 그룹 엔터티의 강력한 식별자

URL

URL 엔터티의 강력한 식별자

URL 엔터티의 약한 식별자

IoT 장치

IoT 디바이스 엔터티의 강력한 식별자

IoT 디바이스 엔터티의 약한 식별자

Mailbox

사서함 엔터티의 강력한 식별자

메일 클러스터

메일 클러스터 엔터티의 강력한 식별자

Mail message

메일 메시지 엔터티의 강력한 식별자

메일 제출

SubmissionMail 엔터티의 강력한 식별자

Sentinel 엔터티

클라우드 애플리케이션 식별자

다음 단계

추가 리소스