MDE(엔드포인트용 Microsoft Defender) 동작 테이블입니다. Microsoft 365 Defender의 컨텍스트에서 하나 이상의 원시 이벤트를 기반으로 하는 결론 또는 인사이트를 참조하는 동작에 대한 정보가 포함되어 있어 분석가가 조사에 더 많은 컨텍스트를 제공할 수 있습니다.
테이블 특성
| 특성 |
가치 |
| 리소스 종류 |
- |
| 범주 |
안전 |
| 솔루션 |
로그관리 |
| 기본 로그 |
예 |
| 인제션 시간 변환 |
아니오 |
| 샘플 쿼리 |
- |
칼럼
| 칼럼 |
유형 |
설명 |
| AccountObjectId |
문자열 |
Azure AD의 계정에 대한 고유 식별자입니다. |
| AccountUpn |
문자열 |
계정의 UPN(사용자 계정 이름)입니다. |
| 동작 유형 |
문자열 |
이벤트를 트리거한 활동의 유형입니다. 특정 MITRE ATT&CK 기술과 연결됩니다. |
| 추가 필드 |
문자열 |
엔터티 또는 이벤트에 대한 추가 정보입니다. |
| 공격기술 |
문자열 |
경고를 트리거한 활동과 관련된 MITRE ATT&CK 기술입니다. 엔터프라이즈용 MITRE ATT&CK 행렬에서 정의합니다. |
| BehaviorId |
문자열 |
동작에 대한 고유 식별자입니다. |
| _BilledSize |
진짜 |
레코드 크기(바이트) |
| 카테고리 |
문자열 |
경고로 식별되는 위협 지표 또는 위반 활동의 유형입니다. 엔터프라이즈용 MITRE ATT&CK 행렬에서 정의합니다. |
| 데이터 소스 |
문자열 |
동작에 대한 정보를 제공한 제품 또는 서비스입니다. |
| 설명 |
문자열 |
동작에 대한 설명입니다. |
| 탐지소스 |
문자열 |
주목할 만한 구성 요소 또는 활동을 식별하는 감지 기술 또는 센서입니다. |
| DeviceId |
문자열 |
서비스의 디바이스에 대한 고유 식별자입니다. |
| 종료 시간 |
날짜 및 시간 |
동작과 관련된 마지막 활동의 날짜 및 시간입니다. |
| _IsBillable (과금 가능 여부) |
문자열 |
데이터 섭취가 청구 가능한지를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| ServiceSource |
문자열 |
경고 정보를 제공한 제품 또는 서비스입니다. |
| SourceSystem |
문자열 |
이벤트를 수집한 에이전트의 종류. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| 시작 시간 |
날짜 및 시간 |
동작과 관련된 첫 번째 활동의 날짜 및 시간입니다. |
| 테넌트아이디 |
문자열 |
Log Analytics 작업 영역 ID |
| TimeGenerated |
날짜 및 시간 |
레코드가 생성된 날짜 및 시간입니다. |
| 유형 |
문자열 |
테이블의 이름입니다. |