Microsoft Defender XDR 인시던트 API 나열
적용 대상:
참고
MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
API 설명
인시던트 목록 API를 사용하면 인시던트를 정렬하여 정보에 입각한 사이버 보안 대응을 만들 수 있습니다. 환경 보존 정책에서 지정한 시간 범위 내에서 네트워크에 플래그가 지정된 인시던트 컬렉션을 노출합니다. 가장 최근의 인시던트가 목록 맨 위에 표시됩니다. 각 인시던트에는 관련 경고 및 관련 엔터티의 배열이 포함됩니다.
API는 다음 OData 연산자를 지원합니다.
$filter,createdTime,status및assignedTo속성에서lastUpdateTime$top최대값이 100인$skip
제한 사항
- 최대 페이지 크기는 100개 인시던트입니다.
- 요청의 최대 속도는 분당 50개 호출 및 시간당 1500개 호출입니다.
권한
이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법을 포함하여 자세한 내용은 액세스 Microsoft Defender XDR API를 참조하세요.
| 사용 권한 유형 | 사용 권한 | 사용 권한 표시 이름 |
|---|---|---|
| 응용 프로그램 | Incident.Read.All | 모든 인시던트 읽기 |
| 응용 프로그램 | Incident.ReadWrite.All | 모든 인시던트 읽기 및 쓰기 |
| 위임됨(회사 또는 학교 계정) | Incident.Read | 인시던트 읽기 |
| 위임됨(회사 또는 학교 계정) | Incident.ReadWrite | 인시던트 읽기 및 쓰기 |
참고
사용자 자격 증명을 사용하여 토큰을 가져오는 경우:
- 사용자에게 포털에서 인시던트에 대한 보기 권한이 있어야 합니다.
- 응답에는 사용자가 노출되는 인시던트만 포함됩니다.
HTTP 요청
GET /api/incidents
요청 헤더
| 이름 | 유형 | 설명 |
|---|---|---|
| 권한 부여 | String | 전달자 {token}. 필수 |
요청 본문
없음
응답
성공하면 이 메서드는 및 응답 본문의 인시던트 목록을 반환200 OK합니다.
스키마 매핑
인시던트 메타데이터
| 필드 이름 | 설명 | 예제 값 |
|---|---|---|
| incidentId | 인시던트 표시할 고유 식별자 | 924565 |
| redirectIncidentId | 인시던트가 인시던트 처리 논리의 일부로 다른 인시던트와 함께 그룹화되는 경우에만 채워집니다. | 924569 |
| incidentName | 모든 인시던트에 사용할 수 있는 문자열 값입니다. | 랜섬웨어 활동 |
| createdTime | 인시던트가 처음 만들어진 시간입니다. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | 백 엔드에서 인시던트가 마지막으로 업데이트된 시간입니다. 이 필드는 인시던트가 검색되는 시간 범위에 대한 요청 매개 변수를 설정할 때 사용할 수 있습니다. |
2020-09-06T14:46:57.29Z |
| assignedTo | 인시던트 소유자이거나, 소유자가 할당되지 않은 경우 null 입니다. | secop2@contoso.com |
| 분류 | 인시던트에 대한 사양입니다. 속성 값은 알 수 없음, FalsePositive, TruePositive입니다. | 알 수 없음 |
| 결정 | 인시던트 결정을 지정합니다. 속성 값은 NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other입니다. | NotAvailable |
| detectionSource | 검색 원본을 지정합니다. | Defender for Cloud Apps |
| 상태 | 인시던트( 활성 또는 해결됨)로 분류합니다. 인시던트에 대한 응답을 구성하고 관리하는 데 도움이 될 수 있습니다. | 활성 |
| 심각도 | 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지게됩니다. 일반적으로 심각도가 높은 항목은 가장 즉각적인 주의가 필요합니다. 정보, 낮음, *보통 및 높음 값 중 하나입니다. |
보통 |
| 태그 | 인시던트에 연결된 사용자 지정 태그의 배열입니다(예: 일반적인 특성을 가진 인시던트 그룹에 플래그 지정). | [] |
| 코멘트 | 인시던트 관리 시 secops에서 만든 주석의 배열입니다(예: 분류 선택에 대한 추가 정보). | [] |
| 경고 | 인시던트와 관련된 모든 경고와 심각도, 경고에 관련된 엔터티 및 경고의 원본과 같은 기타 정보를 포함하는 배열입니다. | [] (아래 경고 필드에 대한 세부 정보 참조) |
경고 메타데이터
| 필드 이름 | 설명 | 예제 값 |
|---|---|---|
| alertId | 경고를 나타내는 고유 식별자 | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | 이 경고가 연결된 인시던트 표시를 나타내는 고유 식별자 | 924565 |
| serviceSource | 경고가 시작되는 서비스(예: 엔드포인트용 Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity 또는 Office 365용 Microsoft Defender. | MicrosoftCloudAppSecurity |
| creationTime | 경고가 처음 만들어진 시간입니다. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | 백 엔드에서 경고가 마지막으로 업데이트된 시간입니다. | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | 경고가 해결된 시간입니다. | 2020-09-10T05:22:59Z |
| firstActivity | 경고가 백 엔드에서 활동이 업데이트되었다고 처음 보고한 시간입니다. | 2020-09-04T05:22:59Z |
| title | 각 경고에 사용할 수 있는 문자열 값을 간략하게 식별합니다. | 랜섬웨어 활동 |
| description | 각 경고를 설명하는 문자열 값입니다. | 사용자 테스트 User2(testUser2@contoso.com)는 일반적이지 않은 확장명 herunterladen으로 끝나는 여러 확장명으로 99개의 파일을 조작했습니다. 이는 비정상적인 수의 파일 조작이며 잠재적인 랜섬웨어 공격을 나타냅니다. |
| 범주 | 킬 체인을 따라 공격이 얼마나 진행되었는지에 대한 시각적 및 숫자 보기입니다. MITRE ATT&CK 프레임워크에™ 정렬됩니다. | 영향 |
| 상태 | 경고를 새로 만들기,활성 또는 해결됨으로 분류합니다. 경고에 대한 응답을 구성하고 관리하는 데 도움이 될 수 있습니다. | 신규 |
| 심각도 | 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지게됩니다. 일반적으로 심각도가 높은 항목은 가장 즉각적인 주의가 필요합니다. 정보 ,낮음, 중간 및 높음 값 중 하나입니다. |
보통 |
| investigationId | 이 경고에 의해 트리거되는 자동화된 조사 ID입니다. | 1234 |
| investigationState | 조사의 현재 상태 대한 정보입니다. 다음 값 중 하나: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedAlertType, UnsupportedAlertType, SuppressedAlert. | UnsupportedAlertType |
| 분류 | 인시던트에 대한 사양입니다. 속성 값은 알 수 없음, FalsePositive, TruePositive 또는 null입니다. | 알 수 없음 |
| 결정 | 인시던트 결정을 지정합니다. 속성 값은 NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other 또는 null입니다. | Apt |
| assignedTo | 인시던트 소유자이거나, 소유자가 할당되지 않은 경우 null 입니다. | secop2@contoso.com |
| actorName | 이 경고와 연결된 활동 그룹(있는 경우)입니다. | 붕 소 |
| threatFamilyName | 이 경고와 연결된 위협 패밀리입니다. | null |
| mitreTechniques | MITRE ATT&CK™ 프레임워크와 일치하는 공격 기술입니다. | [] |
| 디바이스 | 인시던트 관련 경고가 전송된 모든 디바이스. | [] (아래 엔터티 필드에 대한 세부 정보 참조) |
디바이스 형식
| 필드 이름 | 설명 | 예제 값 |
|---|---|---|
| DeviceId | 엔드포인트용 Microsoft Defender 지정된 디바이스 ID입니다. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Microsoft Entra ID 지정된 디바이스 ID입니다. 도메인에 가입된 디바이스에만 사용할 수 있습니다. | null |
| deviceDnsName | 디바이스의 정규화된 도메인 이름입니다. | user5cx.middleeast.corp.contoso.com |
| osPlatform | 디바이스가 실행 중인 OS 플랫폼입니다. | WindowsServer2016 |
| osBuild | 디바이스가 실행 중인 OS의 빌드 버전입니다. | 14393 |
| rbacGroupName | 디바이스와 연결된 RBAC( 역할 기반 액세스 제어 ) 그룹입니다. | WDATP-Ring0 |
| firstSeen | 디바이스를 처음 본 시간입니다. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | 디바이스의 상태입니다. | 활성 |
| riskScore | 디바이스의 위험 점수입니다. | 높음 |
| 엔터티 | 지정된 경고의 일부 또는 관련으로 식별된 모든 엔터티입니다. | [] (아래 엔터티 필드에 대한 세부 정보 참조) |
엔터티 형식
| 필드 이름 | 설명 | 예제 값 |
|---|---|---|
| Entitytype | 지정된 경고의 일부 또는 관련으로 식별된 엔터티입니다. 속성 값은 User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry입니다. |
사용자 |
| sha1 | entityType이 File인 경우 사용할 수 있습니다. 파일 또는 프로세스와 연결된 경고에 대한 파일 해시입니다. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | entityType이 File인 경우 사용할 수 있습니다. 파일 또는 프로세스와 연결된 경고에 대한 파일 해시입니다. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| 파일 | entityType이 File인 경우 사용할 수 있습니다. 파일 또는 프로세스와 연결된 경고의 파일 이름 |
Detector.UnitTests.dll |
| Filepath | entityType이 File인 경우 사용할 수 있습니다. 파일 또는 프로세스와 연결된 경고의 파일 경로 |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| processId | entityType이 Process인 경우 사용할 수 있습니다. | 24348 |
| processCommandLine | entityType이 Process인 경우 사용할 수 있습니다. | "파일을 Download_1911150169.exe 준비가 완료되었습니다." |
| processCreationTime | entityType이 Process인 경우 사용할 수 있습니다. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | entityType이 Process인 경우 사용할 수 있습니다. | 16840 |
| parentProcessCreationTime | entityType이 Process인 경우 사용할 수 있습니다. | 2020-07-18T02:12:32.8616797Z |
| Ipaddress | entityType이 Ip인 경우 사용할 수 있습니다. 네트워크 이벤트와 관련된 경고(예: 악의적인 네트워크 대상에 대한 통신)의 IP 주소입니다. |
62.216.203.204 |
| url | entityType이 URL인 경우 사용할 수 있습니다. 네트워크 이벤트와 관련된 경고(예: 악의적인 네트워크 대상에 대한 통신)의 URL입니다. |
down.esales360.cn |
| accountName | entityType이 User인 경우 사용할 수 있습니다. | testUser2 |
| domainName | entityType이 User인 경우 사용할 수 있습니다. | europe.corp.contoso |
| userSid | entityType이 User인 경우 사용할 수 있습니다. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | entityType이 User인 경우 사용할 수 있습니다. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | entityType이 User/MailBox/MailMessage인 경우 사용할 수 있습니다. | testUser2@contoso.com |
| mailboxDisplayName | entityType이 MailBox인 경우 사용할 수 있습니다. | test User2 |
| mailboxAddress | entityType이 User/MailBox/MailMessage인 경우 사용할 수 있습니다. | testUser2@contoso.com |
| clusterBy | entityType이 MailCluster인 경우 사용할 수 있습니다. | 제목; P2SenderDomain; Contenttype |
| 보낸 사람 | entityType이 User/MailBox/MailMessage인 경우 사용할 수 있습니다. | user.abc@mail.contoso.co.in |
| 받는 사람 | entityType이 MailMessage인 경우 사용할 수 있습니다. | testUser2@contoso.com |
| subject | entityType이 MailMessage인 경우 사용할 수 있습니다. | [EXTERNAL] 관심 |
| deliveryAction | entityType이 MailMessage인 경우 사용할 수 있습니다. | 배달됨 |
| securityGroupId | entityType이 SecurityGroup인 경우 사용할 수 있습니다. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | entityType이 SecurityGroup인 경우 사용할 수 있습니다. | 네트워크 구성 연산자 |
| registryHive | entityType이 레지스트리인 경우 사용할 수 있습니다. | HKEY_LOCAL_MACHINE |
| Registrykey | entityType이 레지스트리인 경우 사용할 수 있습니다. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | entityType이 레지스트리인 경우 사용할 수 있습니다. | String |
| registryValue | entityType이 레지스트리인 경우 사용할 수 있습니다. | 31-00-00-00 |
| deviceId | 엔터티와 관련된 디바이스의 ID(있는 경우)입니다. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
예제
요청 예제
GET https://api.security.microsoft.com/api/incidents
응답 예제
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
관련 문서
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.