Microsoft Sentinel 엔터티 형식 참조
이 문서에는 Azure Portal의 Microsoft Sentinel과 Defender 포털의 Microsoft Sentinel에 있는 엔터티 및 엔터티 형식에 대한 두 가지 정보 집합이 포함되어 있습니다.
- 엔터티 형식 및 식별자 테이블에는 경고 및 인시던트에서 식별할 수 있는 다양한 유형의 엔터티가 표시되어 추적 및 조사할 수 있습니다. 또한 각 엔터티 형식에 대해 엔터티를 식별하는 데 사용할 수 있는 다양한 식별자가 표에 표시됩니다.
- 엔터티 스키마 섹션에는 일반적으로 엔터티 및 특히 각 엔터티 형식에 대한 데이터 구조 및 스키마가 표시됩니다.
중요
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
다음 표에서는 Microsoft Sentinel에서 인식할 수 있는 엔터티 형식과 각 엔터티 형식에 대한 식별자로 사용할 수 있는 특성을 보여 있습니다.
Microsoft Sentinel은 분석 규칙의 엔터티 매핑에 의해 생성된 경고 및 인시던트에서 엔터티를 인식합니다. 또한 다른 원본에서 수집된 경고에서 이미 식별된 엔터티를 인식합니다.
현재 Microsoft Sentinel에서 엔터티 매핑을 만들 때 지정된 엔터티에 대해 최대 3개의 식별자를 사용할 수 있습니다. 강력한 식별자 만으로도 엔터티를 고유하게 식별할 수 있는 반면 , 약한 식별자는 다른 식별자와 함께만 식별할 수 있습니다. 강력한 식별자와 약한 식별자에 대해 자세히 알아봅니다. Microsoft Sentinel에서 엔터티 매핑을 만들 때 이 테이블의 모든 식별자를 사용할 수는 없지만 대부분 사용할 수 있습니다(각주 참조).
엔터티 형식 | 식별자 | 강력한 식별자 | 약한 식별자 |
---|---|---|---|
거래처 | 속성 FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+호스트 ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
속성 |
호스트 | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
IP | 주소 AddressScope |
주소 ** Address+AddressScope ** |
|
URL | Url | URL (절대 URL인 경우) ** | URL (상대 URL인 경우) ** |
Azure 리소스 (AzureResource) |
ResourceId | ResourceId | |
클라우드 애플리케이션 (CloudApplication) |
AppId 속성 InstanceName |
AppId 속성 AppId+InstanceName Name+InstanceName |
|
DNS 확인 (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
파일 | 디렉터리 속성 |
디렉터리+이름 | |
파일 해시 (FileHash) |
알고리즘 값 |
Algorithm+Value | |
맬웨어 | 속성 범주 |
Name+Category | |
처리 | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine(호스트 없음) ProcessId+CreationTimeUtc+ ImageFile (호스트 없음) |
레지스트리 키 (RegistryKey) |
Hive 키 |
Hive+키 | |
레지스트리 값 (RegistryValue) |
속성 값 ValueType |
Key+Name | 이름(키 없음) |
보안 그룹 (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
사서함 | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
메일 클러스터 (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 위협 쿼리 QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
메일 메시지 (MailMessage) |
받는 사람 URL 위협 보낸 사람 P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId 주제 BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 언어* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
제출 메일 (SubmissionMail) |
NetworkMessageId Timestamp 받는 사람 보낸 사람 SenderIp 주제 ReportType SubmissionId SubmissionDate 제출자 |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
Sentinel 엔터티 | 엔터티 | 엔터티 |
표 각주:
- * 이러한 식별자는 엔터티 매핑에 사용할 수 있는 식별자 목록에 표시되지만 엄격하게 말하면 엔터티 스키마의 일부가 아닙니다.
- ** 이러한 식별자는 특정 조건에서만 강력한 것으로 간주됩니다. 별표 링크를 따라 아래 엔터티 스키마 섹션의 관련 엔터티 목록에서 적용되는 조건을 확인합니다.
- 별표가 없는 기울임꼴 식별자 이름은 내부 엔터티를 나타냅니다. 즉, 한 엔터티 형식에 다른 엔터티 형식이 특성으로 있을 수 있습니다(아래 엔터티 스키마 섹션 참조). 식별자의 링크를 따라 내부 엔터티의 자체 스키마를 확인합니다.
다음 섹션에는 각 엔터티 형식의 전체 스키마에 대한 자세한 내용이 포함되어 있습니다. 이러한 스키마 중 상당수에는 다른 엔터티 형식에 대한 링크가 포함됩니다. 예를 들어 계정 스키마에는 사용자 계정의 한 특성이 정의된 호스트이므로 호스트 엔터티 형식에 대한 링크가 포함됩니다. 이러한 엔터티를 "내부 엔터티"라고 하며 엔터티 매핑의 식별자로 사용할 수는 없지만 엔터티 페이지 및 조사 그래프에서 엔터티의 전체 그림을 제공하는 데 매우 유용합니다.
참고
형식 열의 값 뒤에 있는 물음표는 null 허용 필드임을 나타냅니다.
- 거래처
- 호스트
- IP
- 맬웨어
- 파일
- 처리
- 클라우드 애플리케이션
- DNS 확인
- Azure 리소스
- 파일 해시
- 레지스트리 키
- 레지스트리 값
- 보안 그룹
- URL
- IoT 디바이스
- 사서함
- 메일 클러스터
- 메일 메시지
- 제출 메일
- Sentinel 엔터티
엔터티 이름: 계정
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'account' |
이름 | 문자열 | 계정 이름입니다. 이 필드는 도메인이 추가되지 않은 이름만 포함해야 합니다. |
FullName | -- | 스키마의 일부가 아니며, 이전 버전의 엔터티 매핑과의 호환성을 위해 포함되었습니다. |
NTDomain | 문자열 | 경고 형식인 domain\username에 표시되는 NETBIOS 도메인 이름입니다. 예: Finance, NT AUTHORITY |
DnsDomain | 문자열 | 정규화된 도메인 DNS 이름입니다. 예: finance.contoso.com |
UPNSuffix | 문자열 | 계정의 사용자 계정 이름 접미사입니다. 대부분의 경우 UPN 접미사는 도메인 이름이기도 합니다. 예: contoso.com |
호스트 | 엔터티(호스트) | 로컬 계정인 경우 계정이 포함된 호스트입니다. |
Sid | 문자열 | 계정의 보안 식별자입니다. |
AadTenantId | GUID? | 알려진 경우 Microsoft Entra 테넌트 ID입니다. |
AadUserId | GUID? | 알려진 경우 Microsoft Entra 계정 개체 ID입니다. |
PUID | GUID? | 알려진 경우 Microsoft Entra Passport 사용자 ID입니다. |
IsDomainJoined | 부울? | 계정이 도메인 계정인지 여부를 나타냅니다. |
DisplayName | -- | 스키마의 일부가 아니며, 이전 버전의 엔터티 매핑과의 호환성을 위해 포함되었습니다. |
ObjectGuid | GUID? | objectGUID 특성은 Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다. |
CloudAppAccountId | 문자열 | CloudApp 공급자의 경고에 있는 AccountID입니다. 다른 Microsoft 제품에서 지원되지 않는 타사 앱의 계정 ID를 참조합니다. |
IsAnonymized | 부울? | 사용자 이름이 익명화되었는지 여부를 나타냅니다. 선택 사항. 기본값: false . |
스트림 | 스트림 | 특정 계정과 관련된 검색 로그의 원본입니다. 선택 사항. |
- 이름 + UPNSuffix
- AadUserId
- Sid
** 이 식별자는 계정이 아래 참고에 나열된 기본 제공 계정 중 하나가 아닌 한 강력합니다. - Sid + 호스트
** 계정이 아래 참고에 나열된 기본 제공 계정 중 하나인 경우 이 식별자를 강력한 식별자로 만들려면 호스트 구성 요소가 필요합니다. - 이름 + NTDomain
** NTDomain은 기본 제공 도메인/작업 그룹이 아니며 호스트 이름과 다르므로 계정이 도메인 계정인 경우 이 조합은 강력한 식별자입니다. 이 경우 호스트 구성 요소가 없는 경우에도 강력한 식별자입니다. - 이름 + NTDomain + 호스트
** 호스트 구성 요소는 계정이 로컬 계정일 때 강력한 식별자를 만드는 데 필요합니다. 즉, NTDomain은 기본 제공 도메인/작업 그룹입니다. - 이름 + DnsDomain
- PUID
- ObjectGuid
- 속성
참고
계정 엔터티가 이름 식별자를 사용하여 정의되고 특정 엔터티의 이름 값이 다음과 같은 일반적인 기본 제공 계정 이름 중 하나인 경우 해당 엔터티는 경고에서 삭제됩니다.
- 관리
- 관리자
- SYSTEM
- 뿌리
- ANONYMOUS
- AUTHENTICATED USER
- 네트워크
- NULL
- 로컬 시스템
- LOCALSYSTEM
- NETWORK SERVICE
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: 호스트
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'host' |
IpInterfaces | 엔터티 나열<(IP)> | 호스트 컴퓨터의 모든 IP 인터페이스 목록입니다. |
DnsDomain | 문자열 | 이 호스트가 속한 DNS 도메인입니다. 알려진 경우 도메인에 대한 전체 DNS 접미사를 포함해야 합니다. |
NTDomain | 문자열 | 이 호스트가 속한 NT 도메인입니다. |
HostName | 문자열 | 도메인 접미사가 없는 호스트 이름입니다. |
NetBiosName | 문자열 | 호스트 이름(Windows 2000 이전)입니다. |
IoTDevice | 엔터티(IoT 디바이스) | IoT 디바이스 엔터티(이 호스트가 IoT 디바이스를 나타내는 경우)입니다. |
AzureID | 문자열 | 알려진 경우 VM의 Azure 리소스 ID입니다. |
OMSAgentID | 문자열 | 호스트에 OMS 에이전트가 설치된 경우 OMS 에이전트 ID입니다. |
OSFamily | 열거형? | 다음 값 중 하나입니다. |
OSVersion | 문자열 | 운영 체제의 자유 텍스트 표현입니다. 이 필드는 OSFamily보다 더 세분화된 특정 버전 또는 OSFamily 열거형에서 지원되지 않는 이후 값을 보유하기 위한 것입니다. |
IsDomainJoined | Bool | 이 호스트가 도메인에 속하는지 여부를 나타냅니다. |
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
- HostName
- NetBiosName
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: IP
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'ip' |
주소 | 문자열 | 예를 들어 IP 주소를 문자열로 지정합니다. 127.0.0.1(IPv4 또는 IPv6에서). |
AddressScope | 문자열 | 전역이 아닌 프라이빗 IP 주소에 대한 호스트, 서브넷 또는 프라이빗 네트워크의 이름입니다. 전역 IP 주소의 경우 Null이거나 비어 있습니다(기본값). |
위치 | 지리적 위치 | IP 엔터티에 연결된 지리적 위치 컨텍스트입니다. 자세한 내용은 REST API를 통해 지리적 위치 데이터로 Microsoft Sentinel의 엔터티 보강(공개 미리 보기)을 참조하세요. |
스트림 | 스트림 | 특정 IP와 관련된 검색 로그의 원본입니다. 선택 사항. |
- 주소
** 주소는 IP 주소가 전역 주소일 때 고유하고 강력한 식별자입니다. - Address + AddressScope
** 프라이빗/내부, 전역이 아닌 IP 주소의 경우 AddressScope 구성 요소는 이를 강력한 identifer로 만드는 데 필요합니다.
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: 맬웨어
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | '맬웨어' |
이름 | 문자열 | (검색?) 공급업체에서 할당한 맬웨어 이름(예: Win32/Toga!rfn . |
범주 | 문자열 | 예를 들어 (검색?) 공급업체에서 할당한 맬웨어 범주입니다. 트로이 목마. |
파일 | 엔터티 나열<(파일)> | 맬웨어가 발견된 연결된 파일 엔터티 목록입니다. 파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조에 대한 자세한 내용은 파일 엔터티를 참조하세요. |
프로세스 | 엔터티 나열<(프로세스)> | 맬웨어가 발견된 연결된 프로세스 엔터티 목록입니다. 이는 파일리스 작업에서 경고가 트리거될 때 자주 사용됩니다. 구조에 대한 자세한 내용은 프로세스 엔터티를 참조하세요. |
- 이름 + 범주
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: 파일
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'file' |
디렉터리 | 문자열 | 파일의 전체 경로입니다. |
이름 | 문자열 | 경로가 없는 파일 이름입니다(일부 경고에는 경로가 포함되지 않을 수 있음). |
AlternateDataStreamName | 문자열 | NTFS 파일 시스템의 파일 스트림 이름(주 스트림의 경우 null)입니다. |
호스트 | 엔터티(호스트) | 파일이 저장된 호스트입니다. |
HostUrl | 엔터티(URL) | 파일이 다운로드된 URL (웹의 표시). |
WindowsSecurityZoneType | WindowsSecurityZone | URL이 속한 Windows 보안 영역 (웹의 표시). |
ReferrerUrl | 엔터티(URL) | 파일 다운로드 HTTP 요청의 참조 URL (웹의 표시). |
SizeInBytes | 오래? | 파일의 크기입니다(바이트). |
FileHashes | 목록<엔터티(FileHash)> | 이 파일과 연결된 파일 해시입니다. |
- 이름 + 디렉터리
- Name + FileHash
- 이름 + 디렉터리 + FileHash
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: 프로세스
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'process' |
ProcessId | 문자열 | 프로세스 ID입니다. |
CommandLine | 문자열 | 프로세스를 만드는 데 사용되는 명령줄입니다. |
ElevationToken | 열거형? | 프로세스와 연결된 권한 상승 토큰입니다. 가능한 값: |
CreationTimeUtc | DateTime? | 프로세스가 실행되기 시작한 시간입니다. |
ImageFile | 엔터티(파일) | 파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조에 대한 자세한 내용은 파일 엔터티를 참조하세요. |
거래처 | 엔터티(계정) | 프로세스를 실행하는 계정입니다. 계정 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조에 대한 자세한 내용은 계정 엔터티를 참조하세요. |
ParentProcess | 엔터티(프로세스) | 부모 프로세스 엔터티입니다. 부분 데이터(예: PID만 포함)를 포함할 수 있습니다. |
호스트 | 엔터티(호스트) | 프로세스가 실행되고 있었던 호스트입니다. |
LogonSession | Entity(HostLogonSession) | 프로세스가 실행 중인 세션입니다. |
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
- ProcessId + CreationTimeUtc + CommandLine(및 Host 없음)
- ProcessId + CreationTimeUtc + ImageFile (호스트 없음)
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: CloudApplication
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | '클라우드 애플리케이션' |
AppId | 정수 | 되지 않는; 대신 SaasId 필드를 사용합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. 값은 선택 사항입니다. InstanceId를 포함하지 않아야 합니다. |
SaasId | 정수 | 사용되지 않는 AppId 필드를 대체합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. 값은 선택 사항입니다. InstanceId를 포함하지 않아야 합니다. |
이름 | 문자열 | 관련 클라우드 애플리케이션의 이름입니다. 값은 선택 사항입니다. |
InstanceName | 문자열 | 클라우드 애플리케이션의 사용자 정의 인스턴스 이름입니다. 고객이 가지고 있는 것과 동일한 유형의 여러 애플리케이션을 구분하는 데 자주 사용됩니다. |
InstanceId | 정수 | 애플리케이션의 특정 세션 식별자입니다. 0부터 시작하는 실행 번호입니다. 값은 선택 사항입니다. |
위험 | AppRisk? | 예를 들어 고위험 앱만 집중적으로 검토할 수 있도록 앱을 위험 점수별로 필터링할 수 있습니다. 낮음, 보통, 높음 또는 알 수 없음과 같은 가능한 값입니다. |
스트림 | 스트림 | 특정 클라우드 앱과 관련된 검색 로그의 원본입니다. 선택 사항. |
- AppId(InstanceName 제외)
- 이름(InstanceName 제외)
- AppId + InstanceName
- Name + InstanceName
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: DNS
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'dns' |
DomainName | 문자열 | 경고와 연결된 DNS 레코드의 이름입니다. |
IpAddress | 목록<엔터티(IP)> | 확인된 IP 주소에 해당하는 엔터티입니다. |
DnsServerIp | 엔터티(IP) | 요청을 확인하는 DNS 서버를 나타내는 엔터티입니다. |
HostIpAddress | 엔터티(IP) | DNS 요청 클라이언트를 나타내는 엔터티입니다. |
- DomainName + DnsServerIp + HostIpAddress
- DomainName + HostIpAddress
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: AzureResource
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'azure-resource' |
ResourceId | 문자열 | 리소스의 Azure 리소스 ID입니다. 필수. |
SubscriptionId | 문자열 | 리소스의 구독 ID입니다. |
ActiveContacts | ActiveContact 나열<> | 리소스와 연결된 활성 연락처입니다. |
ResourceType | 문자열 | 리소스의 형식입니다. |
ResourceName | 문자열 | 리소스의 이름입니다. |
- ResourceId
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: FileHash
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'filehash' |
알고리즘 | 열거형 | 해시 알고리즘 유형입니다. 필수. 가능한 값: |
값 | 문자열 | 해시 값입니다. 필수. |
- 알고리즘 + 값
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: RegistryKey
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'registry-key' |
Hive | 열거형? | 다음의 값 중 하나입니다. |
Key | 문자열 | 레지스트리 키 경로입니다. |
- Hive + 키
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: RegistryValue
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'registry-value' |
호스트 | 엔터티(호스트) | 레지스트리가 속한 호스트입니다. |
Key | Entity(RegistryKey) | 레지스트리 키 엔터티입니다. |
이름 | 문자열 | 레지스트리 값 이름입니다. |
값 | 문자열 | 값 데이터의 문자열 형식 표현입니다. |
ValueType | 열거형? | 다음의 값 중 하나입니다. 값은 Microsoft.Win32.RegistryValueKind 열거형을 따라야 합니다. |
- 키 + 이름
- 이름(키 제외)
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: SecurityGroup
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'security-group' |
DistinguishedName | 문자열 | 그룹 고유 이름입니다. |
SID | 문자열 | 그룹의 SID(보안 식별자)를 지정하는 단일 값 특성입니다. |
ObjectGuid | GUID? | Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다. |
- DistinguishedName
- SID
- ObjectGuid
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: URL
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'url' |
Url | URI | 엔터티가 가리키는 전체 URL입니다. 필수. |
- URL (** URL이 절대 URL인 경우 이 식별자는 강력합니다.)
- URL(** URL이 상대 URL인 경우 이 식별자는 약합니다.)
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: IoTDevice
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'iotdevice' |
IoTHub | Entity(AzureResource) | 디바이스가 속한 IoT Hub를 나타내는 AzureResource 엔터티입니다. |
DeviceId | 문자열 | IoT Hub의 컨텍스트에 있는 디바이스의 ID입니다. 필수. |
DeviceName | 문자열 | 디바이스의 이름입니다. |
소유자 | List<String> | 디바이스의 소유자입니다. |
IoTSecurityAgentId | GUID? | 디바이스에서 실행되는 Defender for IoT 에이전트의 ID입니다. |
DeviceType | 문자열 | 디바이스의 유형('온도 센서', '냉동고', '풍력 터빈' 등)입니다. |
DeviceTypeId | 문자열 | 디바이스 유형 자체가 표시 이름이며 비교에서 신뢰할 수 없으므로 디바이스 유형 스키마에 따라 각 디바이스 유형을 식별하는 고유 ID입니다. 가능한 값: 분류되지 않음 = 0 기타 = 1 네트워크 디바이스 = 2 프린터 = 3 오디오 및 비디오 = 4 미디어 및 감시 = 5 통신 = 7 스마트 어플라이언스 = 9 워크스테이션 = 10 서버 = 11 모바일 = 12 스마트 시설 = 13 산업용 = 14 운영 장비 = 15 |
Source | 문자열 | 디바이스 엔터티의 원본(Microsoft/Vendor)입니다. |
SourceRef | 엔터티(URL) | 디바이스가 관리되는 원본 항목에 대한 URL 참조입니다. |
제조업체 | 문자열 | 장치의 제조업체입니다. |
모델 | 문자열 | 디바이스의 모델입니다. |
OperatingSystem | 문자열 | 디바이스가 실행 중인 운영 체제입니다. |
IpAddress | 엔터티(IP) | 디바이스의 현재 IP 주소입니다. |
MacAddress | 문자열 | 디바이스의 MAC 주소입니다. |
Nics | 엔터티(Nic) | 디바이스의 현재 NIC입니다. |
프로토콜 | List<String> | 디바이스에서 지원하는 프로토콜 목록입니다. |
SerialNumber | 문자열 | 디바이스의 일련 번호입니다. |
사이트 | 문자열 | 디바이스의 사이트 위치입니다. |
영역 | 문자열 | 사이트 내 디바이스의 영역 위치입니다. |
센서 | 문자열 | 디바이스를 모니터링하는 센서입니다. |
중요성 | 열거형? | 다음의 값 중 하나입니다. |
PurdueLayer | 문자열 | 디바이스의 Purdue 계층입니다. |
IsProgramming | 부울? | 디바이스가 프로그래밍 디바이스로 분류되었는지 여부를 나타냅니다. |
IsAuthorized | 부울? | 디바이스가 권한 있는 디바이스로 분류되었는지 여부를 나타냅니다. |
IsScanner | 부울? | 디바이스가 스캐너 디바이스로 분류되었는지 여부를 나타냅니다. |
DevicePageLink | 엔터티(URL) | Defender for IoT 포털의 디바이스 페이지에 대한 URL입니다. |
DeviceSubType | 문자열 | 디바이스 하위 형식의 이름입니다. |
- IoTHub + DeviceId
- DeviceId(IoTHub 제외)
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: 사서함
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'mailbox' |
MailboxPrimaryAddress | 문자열 | 사서함의 기본 주소입니다. |
DisplayName | 문자열 | 사서함의 표시 이름입니다. |
Upn | 문자열 | 사서함의 UPN입니다. |
AadId | 문자열 | 사용자의 사서함의 Azure AD 식별자입니다. |
RiskLevel | RiskLevel? | 이 사서함의 위험 수준입니다. 가능한 값: |
ExternalDirectoryObjectId | GUID? | 사서함의 AzureAD 식별자입니다. 계정 엔터티의 AadUserId와 유사하지만 이 속성은 Office 쪽의 사서함 개체와 관련이 있습니다. |
- MailboxPrimaryAddress
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: MailCluster
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'mail-cluster' |
NetworkMessageIds | IList<문자열> | 메일 클러스터의 일부인 메일 메시지 ID입니다. |
CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 문자열 표현별 메일 메시지 수입니다. |
CountByThreatType | IDictionary<String,Int> | ThreatType 문자열 표현별 메일 메시지 수입니다. |
CountByProtectionStatus | IDictionary<String,long> | 보호 상태 문자열 표현별 메일 메시지 수입니다. |
CountByDeliveryLocation | IDictionary<String,long> | 배달 위치 문자열 표현별 메일 메시지 수입니다. |
위협 | IList<문자열> | 메일 클러스터의 일부인 메일 메시지의 위협입니다. |
쿼리 | 문자열 | 메일 클러스터의 메시지를 식별하는 데 사용된 쿼리입니다. |
QueryTime | DateTime? | 쿼리 시간입니다. |
MailCount | 정수? | 메일 클러스터의 일부인 메일 메시지 수입니다. |
IsVolumeAnomaly | 부울? | 메일 클러스터가 볼륨 변칙 메일 클러스터인지 여부를 나타냅니다. |
Source | 문자열 | 메일 클러스터의 원본(기본값은 )입니다 O365 ATP . |
- 쿼리 + 원본
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: MailMessage
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'mail-message' |
파일 | IList<엔터티(파일)> | 이 메일 메시지 첨부 파일의 파일 엔터티입니다. |
수령인 | 문자열 | 이 메일 메시지의 받는 사람입니다. 받는 사람이 여러 명인 경우 메일 메시지가 복사되고 각 복사본에는 한 명의 받는 사람이 있습니다. |
URL | IList<문자열> | 이 메일 메시지에 포함된 URL입니다. |
위협 | IList<문자열> | 이 메일 메시지에 포함된 위협입니다. |
보낸 사람 | 문자열 | 보낸 사람의 전자 메일 주소입니다. |
SenderIP | 문자열 | 보낸 사람의 IP 주소입니다. |
ReceivedDate | DateTime | 이 메시지를 받은 날짜입니다. |
NetworkMessageId | GUID? | 이 메일 메시지의 네트워크 메시지 ID입니다. |
InternetMessageId | 문자열 | 이 메일 메시지의 인터넷 메시지 ID입니다. |
주제 | 문자열 | 이 메일 메시지의 제목입니다. |
AntispamDirection | 열거형? | 이 메일 메시지의 방향성입니다. 가능한 값: |
DeliveryAction | 열거형? | 이 메일 메시지의 배달 작업입니다. 가능한 값: |
DeliveryLocation | 열거형? | 이 메일 메시지의 배달 위치입니다. 가능한 값: |
CampaignId | 문자열 | 이 메일 메시지가 있는 캠페인의 식별자입니다. |
SuspiciousRecipients | IList<문자열> | 의심스러운 것으로 검색된 받는 사람 목록입니다. |
ForwardedRecipients | IList<문자열> | 전달된 메일의 모든 받는 사람 목록입니다. |
ForwardingType | IList<문자열> | 메일의 전달 유형(예: SMTP, ETR 등)입니다. |
- NetworkMessageId + Recipient
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
엔터티 이름: SubmissionMail
필드 | 형식 | 설명 |
---|---|---|
Type | 문자열 | 'SubmissionMail' |
SubmissionId | GUID? | 제출 ID입니다. |
SubmissionDate | DateTime? | 이 제출에 대해 보고된 날짜/시간입니다. |
제출자 | 문자열 | 제출자 전자 메일 주소입니다. |
NetworkMessageId | GUID? | 제출이 속한 이메일의 네트워크 메시지 ID입니다. |
Timestamp | DateTime? | 메시지를 받은 타임스탬프(메일)입니다. |
수령인 | 문자열 | 메일의 받는 사람입니다. |
보낸 사람 | 문자열 | 메일의 보낸 사람입니다. |
SenderIp | 문자열 | 보낸 사람의 IP입니다. |
주제 | 문자열 | 제출 메일의 제목입니다. |
ReportType | 문자열 | 지정된 인스턴스에 대한 제출 형식입니다. 가능한 값은 정크, 피싱, 맬웨어 또는 NotJunk입니다. |
- SubmissionId, Submitter, NetworkMessageId, Recipient
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
필드 | 형식 | 설명 |
---|---|---|
엔터티 | 문자열 | 경고에서 식별된 엔터티 목록입니다. 이 목록은 SecurityAlert 스키마의 엔터티 열입니다(설명서 참조). |
엔터티 형식 스키마 | 목록으로 돌아가기 엔터티 식별자 테이블로 돌아가기
다음 목록에서는 알려진 클라우드 애플리케이션에 대한 식별자를 정의합니다. 앱 ID 값은 클라우드 애플리케이션 엔터티 식별자로 사용됩니다.
앱 ID | 속성 |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | Box |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | Cornerstone OnDemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft 온라인 서비스 |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | 비즈니스용 Microsoft OneDrive |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud 앱 |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Autodesk Fusion 수명 주기 |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft 비즈니스용 Skype |
25988 | Google Docs |
26055 | Microsoft 365 관리 센터 |
26060 | OPSWAT Gears |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google Drive |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Facebook의 작업 공간 |
28373 | CAS 프록시 에뮬레이터 |
28375 | Microsoft 팀 |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
이 문서에서는 Microsoft Sentinel의 엔터티 구조, 식별자 및 스키마에 대해 배웠습니다.