SecurityEvent
Azure Security Center 또는 Azure Sentinel에서 Windows 머신에서 수집된 보안 이벤트입니다.
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 범주 | 보안 |
| 솔루션 | 보안, SecurityInsights |
| 기본 로그 | 아니요 |
| 수집 시간 변환 | 예 |
| 샘플 쿼리 | 예 |
열
| Column | Type | 설명 |
|---|---|---|
| AccessMask | string | 요청되거나 수행된 작업에 대한 16진수 마스크입니다. |
| 어카운트 | string | 서비스 또는 사용자에 대한 보안 컨텍스트입니다. |
| AccountDomain | string | 주체의 도메인 또는 컴퓨터 이름입니다. |
| AccountExpires | string | 계정이 만료되는 날짜입니다. |
| AccountName | string | "도메인 트러스트 제거" 작업을 요청한 계정의 이름입니다. |
| AccountSessionIdentifier | string | 세션을 만들 때 컴퓨터에서 생성되는 고유 식별자입니다. |
| AccountType | string | 계정이 컴퓨터 계정(컴퓨터) 또는 사용자의 계정인지 여부를 식별합니다. |
| 활동 | string | 이벤트의 설명 제목이 발생했습니다. |
| AdditionalInfo | string | 목록으로 표시되는 다른 필드에 매핑되지 않는 원본에서 제공하는 추가 정보입니다. |
| AdditionalInfo2 | string | 목록으로 표시되는 다른 필드에 매핑되지 않는 원본에서 제공하는 추가 정보입니다. |
| AllowedToDelegateTo | string | 이 계정이 위임된 자격 증명을 표시할 수 있는 SPN 목록입니다. |
| 특성 | string | 이벤트에 대한 추가 정보입니다. |
| AuditPolicyChanges | string | 파일 또는 레지스트리 키의 시스템 감사 정책 또는 감사 설정을 변경할 때 생성되는 이벤트입니다. |
| AuditsDiscarded | int | 삭제된 감사 메시지 수입니다. |
| AuthenticationLevel | int | 삭제된 감사 메시지 수입니다. |
| AuthenticationPackageName | string | 로드된 인증 패키지의 이름입니다. 형식은 DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | 인증 프로세스를 담당하는 공급자의 ID입니다(인증 기관, 사용자 이름, 암호 인증 시스템 등을 포함할 수 있습니다). |
| AuthenticationServer | string | 인증 공급자를 찾은 서버입니다. |
| AuthenticationService | int | 인증 공급자를 찾은 서비스입니다. |
| AuthenticationType | string | 이벤트에 사용된 인증 유형(2단계 인증, 생체 인식 인증 등)입니다. |
| AzureDeploymentID | string | 로그가 속한 클라우드 서비스의 Azure 배포 ID입니다. |
| _BilledSize | real | 레코드 크기(바이트) |
| CACertificateHash | string | 이벤트를 수행한 사용자를 인증하는 데 사용된 CA(인증 기관) 인증서의 해시 값입니다. |
| CalledStationID | string | 보안 이벤트로 이어진 작업을 시작한 스테이션의 ID에 대한 정보입니다. |
| CallerProcessId | string | 로그온을 시도한 프로세스의 16진수 프로세스 ID입니다. PID(프로세스 ID)는 운영 체제에서 활성 프로세스를 고유하게 식별하는 데 사용하는 숫자입니다. |
| CallerProcessName | string | 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다. |
| CallingStationID | string | 보안 이벤트로 이어진 작업을 시작한 스테이션의 ID에 대한 정보입니다. |
| CAPublicKeyHash | string | 인증서를 발급한 CA(인증 기관)의 공개 키를 식별하는 해시 값입니다. |
| CategoryId | string | 발생한 보안 이벤트의 범주입니다(로그인 시도, 데이터 위반 등). |
| CertificateDatabaseHash | string | 인증서를 발급한 데이터베이스를 식별하는 해시 값입니다. |
| 채널 | string | 이벤트가 기록된 채널입니다. |
| ClassId | string | 디바이스의 '클래스 Guid' 특성입니다. |
| 응용 프로그램 이름 | string | 디바이스의 '클래스' 특성입니다. |
| ClientAddress | string | TGT 요청을 받은 컴퓨터의 IP 주소입니다. |
| ClientIPAddress | string | 이벤트를 발생시킨 작업을 시작한 컴퓨터의 IP 주소입니다. |
| ClientName | string | 사용자가 다시 연결된 컴퓨터 이름입니다. 콘솔 세션에 대한 '알 수 없음' 값이 있습니다. |
| CommandLine | string | 이벤트에 관련된 애플리케이션 또는 프로세스에 전달된 명령줄 인수입니다. |
| CompatibleIds | string | 디바이스의 '호환 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| 컴퓨터 | string | 이벤트가 발생한 컴퓨터의 이름입니다. |
| Correlation | string | 소비자가 관련 이벤트를 그룹화하기 위해 사용할 수 있는 활동 식별자입니다. |
| DCDNSName | string | 이벤트에 관련된 도메인 컨트롤러의 DNS 이름입니다. |
| DeviceDescription | string | 이벤트에 관련된 디바이스에 대한 설명입니다. |
| DeviceId | string | 이벤트에 관련된 디바이스의 고유 식별자입니다. |
| DisplayName | string | 특정 계정의 주소록에 표시되는 이름입니다. 이는 일반적으로 사용자의 이름, 중간 이니셜 및 성의 조합입니다. |
| 심성 | string | 이벤트 결과/해결(예: 이벤트가 확인되었는지 여부 또는 이벤트에 대한 응답으로 어떤 작업이 수행되었는지 여부)입니다. |
| DomainBehaviorVersion | string | msDS-Behavior-Version 도메인 특성이 수정되었습니다. 숫자 값입니다. |
| DomainName | string | 제거된 신뢰할 수 있는 도메인의 이름입니다. |
| DomainPolicyChanged | string | 도메인 정책이 이벤트의 일부로 변경되었는지 여부를 나타냅니다(암호 정책, 보안 정책 등). |
| DomainSid | string | 트러스트 파트너의 SID입니다. 이 매개 변수는 이벤트에서 캡처되지 않을 수 있으며 이 경우 'NULL SID'로 표시됩니다. |
| EAPType | string | 이벤트 인증 프로세스에 사용된 EAP(Extensible Authentication Protocol) 형식입니다. |
| ElevatedToken | string | '예' 또는 '아니요' 플래그입니다. '예'이면 이 이벤트가 나타내는 세션이 상승되고 관리자 권한이 있습니다. |
| 오류 코드 | int | 오류 이벤트에 대한 오류 코드를 포함합니다. 성공 이벤트의 경우 이 매개 변수에는 '0x0' 값이 있습니다. |
| EventData | string | 이벤트와 연결된 이벤트별 데이터입니다. |
| EventID | int | 공급자가 이벤트를 식별하는 데 사용한 식별자입니다. |
| EventLevelName | string | 이벤트에 지정된 수준의 렌더링된 메시지 문자열입니다. |
| EventRecordId | string | 기록될 때 이벤트에 할당된 레코드 번호입니다. |
| EventSourceName | string | 이벤트를 기록하는 소프트웨어의 이름입니다(응용 프로그램 구성 요소). |
| ExtendedQuarantineState | string | 해당하는 경우 네트워크 격리 프로세스의 상태입니다. 네트워크 격리는 권한이 없는 디바이스가 특정 보안 요구 사항을 충족하거나 맬웨어를 검사할 때까지 네트워크에 액세스하지 못하게 하는 프로세스입니다. |
| FailureReason | string | 상태 필드 값에 대한 텍스트 설명입니다. 이 이벤트의 경우 일반적으로 '계정 잠금' 값이 있습니다. |
| FileHash | string | 이벤트의 일부로 액세스 또는 수정된 파일 또는 인증 또는 권한 부여 프로세스에 사용된 파일의 해시 값입니다. |
| FilePath | string | 작업이 수행된 키 파일의 전체 경로 및 파일 이름입니다. |
| FilePathNoUser | string | 사용자 이름 또는 기타 사용자별 정보를 제외한 이벤트와 관련된 파일의 경로입니다. |
| 필터 | string | 수행된 이벤트에 사용되는 필터입니다. |
| ForceLogoff | string | '\Security Settings\Local Policies\Security Options\Network security: force logoff when logon hours expire' group policy. |
| Fqbn | string | 이벤트와 관련된 모든 파일에 대한 FQBN(정규화된 이진 이름)입니다. |
| FullyQualifiedSubjectMachineName | string | 이벤트를 시작한 컴퓨터의 FQDN(정규화된 도메인 이름)입니다. |
| FullyQualifiedSubjectUserName | string | FQDN 형식으로 이벤트를 시작한 사용자 또는 서비스의 사용자 이름입니다. |
| GroupMembership | string | 기록된 계정이 속한 그룹 SID 목록입니다(멤버). 이벤트 뷰어 자동으로 SID를 확인하고 계정 이름을 표시하려고 시도합니다. SID를 확인할 수 없는 경우 이벤트에 원본 데이터가 표시됩니다. |
| HandleId | string | 개체 이름에 대한 핸들의 16진수 값입니다. 이 필드는 다른 이벤트와의 상관 관계에 사용할 수 있습니다. |
| HardwareIds | string | 디바이스의 '하드웨어 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| HomeDirectory | string | 사용자의 홈 디렉터리입니다. homeDrive 특성이 설정되고 드라이브 문자를 지정하는 경우 homeDirectory는 UNC 경로여야 합니다. 경로는 \Server\Share\Directory 형식의 네트워크 UNC여야 합니다. |
| HomePath | string | 사용자의 홈 경로입니다. 경로는 \Server\Share\Directory 형식의 네트워크 UNC여야 합니다. |
| InterfaceUuid | string | 이벤트에 사용된 네트워크 인터페이스의 UUID(고유 식별자)입니다. |
| IpAddress | string | 이벤트와 연결된 네트워크 주소(일반적으로 IPv4 또는 IPv6)입니다. |
| IpPort | string | 이벤트와 연결된 네트워크 포트 번호입니다. |
| _IsBillable | string | 데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 대한 요금이 청구되지 않습니다. |
| 키 길이 | int | NTLM 세션 보안 키의 길이입니다. 일반적으로 128비트 또는 56비트 길이입니다. |
| 키워드 | string | 이벤트에 정의된 키워드의 비트 마스크입니다. |
| 수준 | string | Windows는 모든 이벤트를 심각도 수준으로 분류합니다. 심각도 순서의 수준은 정보, 자세한 정보, 경고, 오류 및 숫자로 표현되는 위험입니다. |
| LmPackageName | string | 이벤트가 생성되는 컴퓨터에서 현재 LSA(로컬 보안 기관)를 사용하는 패키지 또는 소프트웨어 구성 요소의 이름입니다. |
| LocationInformation | string | 디바이스의 '위치 정보' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| LockoutDuration | string | '\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 기간' 그룹 정책입니다. 숫자 값입니다. |
| LockoutObservationWindow | string | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' group policy. 숫자 값입니다. |
| LockoutThreshold | string | '\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 임계값' 그룹 정책입니다. 숫자 값입니다. |
| LoggingResult | string | 로그온 프로세스의 결과입니다. |
| LogonGuid | string | 이 이벤트를 동일한 로그온 GUID를 포함할 수 있는 다른 이벤트와 상관 관계를 지정하는 데 도움이 되는 GUID입니다. |
| LogonHours | string | 계정이 도메인에 로그온할 수 있는 시간입니다. |
| LogonID | string | 이 이벤트를 동일한 로그온 ID를 포함할 수 있는 최근 이벤트와 상관 관계를 지정하는 데 도움이 되는 16진수 값입니다. |
| LogonProcessName | string | 등록된 로그온 프로세스의 이름입니다. |
| LogonType | int | 수행된 로그온 유형입니다. |
| LogonTypeName | string | 이벤트 로그에 의해 캡처되는 로그온 또는 인증 이벤트의 유형입니다(일반 값:Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | string | ms-DS-MachineAccountQuota 도메인 특성이 수정되었습니다. 숫자 값입니다. |
| MachineInventory | string | 이벤트가 생성되는 컴퓨터의 하드웨어 구성 및 소프트웨어 환경에 대한 정보입니다. 예를 들어 컴퓨터의 만들기 및 모델, 사용 가능한 RAM 또는 스토리지 공간의 양, 다양한 소프트웨어 애플리케이션의 버전 번호 등 다양한 데이터 요소를 포함할 수 있습니다. |
| MachineLogon | string | 컴퓨터의 성공적인 로그온 이벤트에 대한 정보입니다. |
| ManagementGroupName | string | 리소스 종류에 따른 추가 정보입니다. |
| MandatoryLabel | string | 새 프로세스에 할당된 무결성 레이블의 ID입니다. |
| MaxPasswordAge | string | 시스템에서 사용자가 암호를 변경하도록 요구하기 전에 암호를 사용할 수 있는 기간(일)입니다. |
| MemberName | string | 이벤트에 관련된 사용자 계정입니다. |
| MemberSid | string | 이벤트에 관련된 사용자 계정과 연결된 SID(보안 식별자)입니다. |
| MinPasswordAge | string | 시스템에서 사용자가 암호를 변경하도록 요구하기 전에 암호를 사용해야 하는 기간(일)입니다. |
| MinPasswordLength | string | 사용자 계정의 암호를 구성할 수 있는 최소 문자 수입니다. |
| MixedDomainMode | string | 시스템 또는 도메인 컨트롤러의 도메인 모드입니다. |
| NASIdentifier | string | 이벤트에 관련된 NAS(네트워크 액세스 서버)의 식별자입니다. |
| NASIPv4Address | string | 해당하는 경우 이벤트에 관련된 NAS(네트워크 액세스 서버)의 IPv4Address입니다. |
| NASIPv6Address | string | 해당하는 경우 이벤트에 관련된 NAS(네트워크 액세스 서버)의 IPv6Address입니다. |
| NASPort | string | 이벤트에 사용된 네트워크 액세스 서버의 포트입니다. |
| NASPortType | string | 이벤트에 사용되는 NAS(네트워크 액세스 서버) 유형입니다. |
| NetworkPolicyName | string | 이벤트와 연결된 네트워크 정책의 이름입니다. |
| NewDate | string | UTC 표준 시간대의 새 날짜입니다. 형식은 YYYY-MM-DD입니다. |
| NewMaxUsers | string | 이벤트의 리소스에 허용되는 새 최대 사용자 수입니다. |
| NewProcessId | string | 새 프로세스의 16진수 프로세스 ID입니다. PID(프로세스 ID)는 운영 체제에서 활성 프로세스를 고유하게 식별하는 데 사용하는 숫자입니다. |
| NewProcessName | string | 새 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다. |
| NewRemark | string | 네트워크 공유 '메모:' 필드의 새 값입니다. 설정되지 않은 경우 'N/A' 값이 있습니다. |
| NewShareFlags | string | 이벤트의 리소스와 연결된 공유 플래그(예: 리소스가 읽기 전용인지 읽기/쓰기인지 여부, 숨겨진지 여부 및 액세스 및 권한에 영향을 줄 수 있는 기타 매개 변수)에 대한 정보입니다. |
| NewTime | string | UTC 표준 시간대로 설정된 새 시간입니다. 형식은 YYYY-MM-DDThh:mm:ss.nnnnnnnZ입니다. |
| NewUacValue | string | 사용자 계정에 대한 암호, 잠금, 사용 안 함/사용, 스크립트 및 기타 동작을 제어하는 플래그를 지정합니다. |
| NewValue | string | 변경된 레지스트리 키 값에 대한 새 값입니다. |
| NewValueType | string | 변경된 레지스트리 키 값의 새 형식입니다. |
| ObjectName | string | 액세스가 요청된 개체의 이름 및 기타 식별 정보입니다. 예를 들어 파일의 경우 경로가 포함됩니다. |
| ObjectServer | string | 루틴을 호출하는 Windows 하위 시스템의 이름을 포함합니다. |
| ObjectType | string | 작업 중에 액세스한 개체의 형식입니다. |
| ObjectValueName | string | 수정된 레지스트리 키 값의 이름입니다. |
| OemInformation | string | 이벤트에서 디바이스 또는 시스템과 연결된 OEM(원래 장비 제조업체)입니다. |
| OldMaxUsers | string | 이벤트에서 리소스에 대해 허용된 이전 최대 사용자 수입니다. |
| OldRemark | string | 네트워크 공유 '메모:' 필드의 이전 값입니다. 설정되지 않은 경우 'N/A' 값이 있습니다. |
| OldShareFlags | string | 이벤트의 리소스와 연결된 이전 공유 플래그(예: 리소스가 읽기 전용인지 읽기/쓰기인지 여부, 숨겨진지 여부 및 액세스 및 권한에 영향을 줄 수 있는 기타 매개 변수)에 대한 정보입니다. |
| OldUacValue | string | 사용자 계정에 대한 암호, 잠금, 사용 안 함/사용, 스크립트 및 기타 동작을 제어하는 플래그를 지정합니다. 이 매개 변수는 사용자 개체의 userAccountControl 특성의 이전 값을 포함합니다. |
| OldValue | string | 변경된 레지스트리 키 값의 이전 값입니다. |
| OldValueType | string | 이전 유형의 변경된 레지스트리 키 값입니다. |
| Opcode | string | opcode 요소는 SystemPropertiesType 복합 형식으로 정의됩니다. |
| OperationType | string | 개체에서 수행된 작업의 형식입니다. |
| PackageName | string | 로그온하는 동안 사용된 LAN Manager 하위 패키지(NTLM 패밀리 프로토콜 이름)의 이름입니다. |
| ParentProcessName | string | 이벤트와 연결된 부모 프로세스의 이름입니다. |
| PasswordHistoryLength | string | \Security Settings\Account Policies\Password Policy\Enforce password history" group policy. 숫자 값입니다. |
| PasswordLastSet | string | 마지막으로 계정의 암호를 수정했습니다. |
| PasswordProperties | string | 이벤트와 연결된 암호 정책 또는 속성(예: 암호 길이, 복잡성 및 만료 날짜)입니다. |
| PreviousDate | string | 이벤트와 연결된 이전 날짜입니다. |
| PreviousTime | string | UTC 표준 시간대의 이전 시간입니다. 형식은 YYYY-MM-DDThh:mm:ss.nnnnnnnz입니다. |
| PrimaryGroupId | string | 사용자 개체 기본 그룹의 RID(상대 식별자)입니다. |
| PrivateKeyUsageCount | string | 프라이빗 키가 사용된 횟수입니다. |
| PrivilegeList | string | 이벤트와 연결된 사용자, 그룹 또는 시스템 권한을 포함한 권한입니다. |
| Process | string | 이벤트를 생성하는 프로세스의 이름입니다. |
| ProcessId | string | 이벤트를 생성한 프로세스를 식별합니다. |
| ProcessName | string | 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다. |
| ProfilePath | string | 계정 프로필의 경로를 지정합니다. 이 값은 null 문자열, 로컬 절대 경로 또는 UNC 경로일 수 있습니다. |
| 속성 | string | 개체 형식에 따라 다릅니다. 이 필드는 비어 있거나 액세스된 개체 속성 목록을 포함할 수 있습니다. |
| ProtocolSequence | string | 인증 시도에 사용되는 프로토콜에 대한 정보입니다. |
| ProxyPolicyName | string | 네트워크에 연결하기 위해 프록시 서버를 구성하는 데 사용된 정책의 이름입니다. |
| QuarantineHelpURL | string | 네트워크 격리 문제 해결에 도움이 되는 URL입니다. |
| QuarantineSessionID | string | 파일이 격리에 대해 평가된 세션의 식별자입니다. |
| QuarantineSessionIdentifier | string | 파일이 격리에 대해 평가된 세션의 식별자입니다. |
| QuarantineState | string | 파일이 격리되었는지 여부를 표시합니다. |
| QuarantineSystemHealthResult | string | 격리된 파일의 상태를 보여 주는 보고서입니다. |
| RelativeTargetName | string | 액세스한 대상 파일 또는 폴더의 상대 이름입니다. 이 파일 경로는 네트워크 공유를 기준으로 합니다. 공유 자체에 대한 액세스가 요청된 경우 이 필드는 ""로 표시됩니다. |
| RemoteIpAddress | string | 원격 연결을 시작한 컴퓨터의 IP 주소입니다. |
| RemotePort | string | 연결을 시작한 원격 컴퓨터의 포트 번호입니다. |
| 요청자 | string | 이벤트 요청자 식별자입니다. |
| RequestID | string | HTTP를 통해 만들어진 요청과 같은 특정 요청과 연결된 고유 식별자입니다. |
| _ResourceId | string | 레코드가 연결된 리소스의 고유 식별자입니다. |
| RestrictedAdminMode | string | RemoteInteractive 로그온 유형 세션에 대해서만 채워집니다. 제공된 자격 증명이 제한된 관리 모드를 사용하여 전달되었는지 여부를 나타내는 예/아니요 플래그입니다. 제한된 관리 모드가 Win8.1/2012R2에 추가되었지만 이 플래그는 Win10의 이벤트에 추가되었습니다. |
| RowsDeleted | string | 특정 작업의 일부로 삭제된 행 수입니다. |
| SamAccountName | string | 이전 버전의 Windows에서 클라이언트 및 서버를 지원하는 데 사용되는 계정의 로그온 이름(Windows 2000 이전 로그온 이름). |
| ScriptPath | string | 계정 로그온 스크립트의 경로를 지정합니다. |
| SecurityDescriptor | string | 특정 개체 또는 리소스의 보안 설정 및 권한에 대한 정보입니다. |
| ServiceAccount | string | 서비스가 시작될 때 실행되는 보안 컨텍스트입니다. |
| ServiceFileName | string | 서비스 제어 관리자에 등록된 서비스 유형을 나타냅니다. |
| ServiceName | string | 설치된 서비스의 이름입니다. |
| ServiceStartType | int | 특정 서비스를 자동으로 시작해야 하는지 또는 수동으로 시작해야 하는지에 대한 정보를 포함합니다. |
| ServiceType | string | 서비스 제어 관리자에 등록된 서비스 유형을 나타냅니다. |
| SessionName | string | 사용자가 다시 연결된 세션의 이름입니다. |
| ShareLocalPath | string | 액세스된 네트워크 공유의 로컬 경로입니다. |
| ShareName | string | 액세스된 네트워크 공유의 이름입니다. 형식은 \*\SHARE_NAME. |
| SidHistory | string | 개체가 다른 도메인에서 이동된 경우 개체에 사용된 이전 SID를 포함합니다. |
| SourceComputerId | string | Windows 도메인의 각 컴퓨터에 할당된 고유 식별자입니다. |
| SourceSystem | string | 이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics용 |
| 상태 | string | 로그온에 실패한 이유입니다. 이 이벤트의 경우 일반적으로 '0xC0000234' 값이 있습니다. 가장 일반적인 상태 코드는 표 12에 나열됩니다. Windows 로그온 상태 코드입니다. |
| StorageAccount | string | 스토리지 계정 액세스 키를 설정합니다. |
| SubcategoryGuid | string | 변경된 하위 범주의 고유 GUID입니다. |
| SubcategoryId | string | 특정 유형의 이벤트에 대한 고유 식별자입니다. |
| 주제 | string | 이벤트를 시작한 보안 주체(예: 사용자 계정)에 대한 정보입니다. |
| SubjectAccount | string | 이벤트를 시작하는 계정에 대한 정보입니다. |
| SubjectDomainName | string | 주체 계정이 속한 도메인 또는 작업 그룹에 대한 정보입니다. |
| SubjectKeyIdentifier | string | 특정 인증서 주체에 대한 고유 식별자입니다. |
| SubjectLogonId | string | 주체 계정과 연결된 로그온 세션의 고유 식별자입니다. |
| SubjectMachineName | string | 이벤트가 생성된 컴퓨터 또는 시스템에 대한 정보입니다. |
| SubjectMachineSID | string | 이벤트를 생성한 컴퓨터의 SID(보안 식별자)입니다. |
| SubjectUserName | string | 이벤트를 생성한 사용자 계정의 이름입니다. |
| SubjectUserSid | string | 이벤트를 생성한 사용자 계정에 대한 SID(보안 식별자)입니다. |
| _SubscriptionId | string | 레코드가 연결된 구독의 고유 식별자입니다. |
| SubStatus | string | 로그온 실패에 대한 추가 정보입니다. '표 12에 나열된 가장 일반적인 하위 상태 코드입니다. Windows 로그온 상태 코드'. |
| SystemProcessId | int | 이벤트를 생성한 프로세스를 식별합니다. |
| SystemThreadId | int | 이벤트를 생성한 스레드를 식별합니다. |
| SystemUserId | string | 이벤트를 담당하는 사용자의 ID입니다. |
| TableId | string | 이벤트 데이터가 저장되는 특정 데이터 테이블 식별자입니다. |
| TargetAccount | string | 이벤트(사용자 이름, 컴퓨터 이름 등)가 대상으로 하는 계정입니다. |
| TargetDomainName | string | 대상 계정이 속한 도메인의 이름입니다. |
| TargetInfo | string | 이벤트 대상에 대한 추가 정보(예: 파일 또는 폴더의 경로, 레지스트리 키 이름 등). |
| TargetLinkedLogonId | string | 로그온 시도 ID를 통해 관련 이벤트를 함께 연결하는 데 도움이 되는 정보입니다. 모든 관련 이벤트를 구성하고, 여러 세션에서 활동을 추적하고, 공격 원본을 식별하는 데 유용할 수 있습니다. |
| TargetLogonGuid | string | 이벤트와 관련된 로그온 세션과 연결된 GUID(Globally Unique Identifier)입니다. |
| TargetLogonId | string | 이벤트와 관련된 로그온 세션과 연결된 고유 식별자입니다. |
| TargetOutboundDomainName | string | 아웃바운드 인증을 시도하는 동안 TargetAccount 필드에 지정된 계정이 인증된 도메인입니다. |
| TargetOutboundUserName | string | 아웃바운드 인증 시도 중에 인증된 사용자 계정의 이름입니다. |
| TargetServerName | string | 새 프로세스가 실행된 서버의 이름입니다. 프로세스가 로컬로 실행된 경우 "localhost" 값이 있습니다. |
| TargetSid | string | 새 프로세스가 실행된 서버의 SID(보안 식별자)입니다. |
| TargetUser | string | 새 프로세스를 생성한 사용자 계정 식별자입니다. |
| TargetUserName | string | 새 프로세스를 생성한 사용자 계정의 이름입니다. |
| TargetUserSid | string | 이벤트에 관련된 사용자 또는 리소스와 연결된 SID(보안 식별자)입니다. |
| 작업 | int | 이벤트에 정의된 작업입니다. |
| TemplateContent | string | 구조적 형식의 이벤트 메시지 또는 알림 내용입니다. |
| TemplateDSObjectFQDN | string | GPO 템플릿을 나타내는 DS 개체의 FQDN입니다. |
| TemplateInternalName | string | GPO 템플릿의 내부 이름입니다. |
| TemplateOID | string | 이벤트를 만드는 데 사용된 템플릿의 고유 식별자입니다. |
| TemplateSchemaVersion | string | 이벤트에 포함할 데이터를 정의하는 템플릿 스키마의 버전입니다. |
| TemplateVersion | string | 이벤트에 포함할 데이터를 정의하는 템플릿의 버전입니다. |
| TenantId | string | Log Analytics 작업 영역 ID |
| TimeGenerated | 날짜/시간 | 컴퓨터에서 이벤트가 생성된 타임스탬프를 나타냅니다. |
| TokenElevationType | string | 사용자 계정 제어 정책에 따라 새 프로세스에 할당된 토큰 유형입니다. |
| TransmittedServices | string | 전송된 서비스 목록입니다. 로그온이 S4U(사용자용 서비스) 로그온 프로세스의 결과인 경우 전송된 서비스가 채워집니다. S4U는 애플리케이션 서비스가 사용자를 대신하여 Kerberos 서비스 티켓을 얻을 수 있도록 Kerberos 프로토콜에 대한 Microsoft 확장입니다. 가장 일반적으로 프런트 엔드 웹 사이트에서 사용자를 대신하여 내부 리소스에 액세스하기 위해 수행됩니다. S4U에 대한 자세한 내용은 다음을 참조하세요 https://msdn.microsoft.com/library/cc246072.aspx. |
| Type | string | 테이블의 이름입니다. |
| UserAccountControl | string | userAccountControl 특성의 변경 내용 목록을 표시합니다. 각 변경 내용에 대한 텍스트 줄이 표시됩니다. |
| UserParameters | string | 사용자 계정 속성<의 전화 접속 탭에서 Active Directory 사용자 및 컴퓨터 관리 콘솔 사용하여 설정을 변경하면 값이 변경되었지만 이 필드에는> 표시되지 않습니다. 로컬 계정의 경우 이 필드는 적용할 수 없으며 항상 값이 <설정> 되지 않았습니다. |
| UserPrincipalName | string | 인터넷 표준 RFC 822를 기반으로 하는 계정의 인터넷 스타일 로그인 이름입니다. 규칙에 따라 계정의 전자 메일 이름에 매핑됩니다. |
| UserWorkstations | string | 사용자가 로그온할 수 있는 컴퓨터의 NetBIOS 또는 DNS 이름 목록을 포함합니다. 각 컴퓨터 이름은 쉼표로 구분됩니다. 컴퓨터의 이름은 컴퓨터 개체의 sAMAccountName 속성입니다. |
| VendorIds | string | 디바이스의 '하드웨어 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| 버전 | int | 이벤트 정의의 버전 번호를 포함합니다. |
| VirtualAccount | string | '예' 또는 '아니요' 플래그는 계정이 'NetworkService'를 사용하는 대신 지정된 서비스에서 사용하는 계정을 식별하는 기능을 제공하기 위해 Windows 7 및 Windows Server 2008 R2에 도입된 가상 계정(예: '관리 서비스 계정')인지 여부를 나타냅니다. |
| 워크스테이션 | string | 이벤트를 수행하는 데 사용된 컴퓨터의 이름입니다. |
| WorkstationName | string | 로그온 시도가 수행된 컴퓨터 이름입니다. |