이 문서에는 defender 포털의 Azure Portal 및 Microsoft Sentinel Microsoft Sentinel 엔터티 및 엔터티 형식에 대한 두 가지 정보 집합이 포함되어 있습니다.
- 엔터티 형식 및 식별자 테이블에는 경고 및 인시던트에서 식별할 수 있는 다양한 유형의 엔터티가 표시되어 추적 및 조사할 수 있습니다. 또한 테이블에는 각 엔터티 형식에 대해 엔터티를 식별하는 데 사용할 수 있는 다양한 식별자가 표시됩니다.
- 엔터티 스키마 섹션에는 엔터티의 데이터 구조와 스키마가 일반적으로 표시되고 특히 각 엔터티 형식에 대한 스키마가 표시됩니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
엔터티 형식 및 식별자
다음 표에서는 Microsoft Sentinel 인식할 수 있는 엔터티 형식과 각 엔터티 형식의 식별자로 사용할 수 있는 특성을 보여 있습니다.
Microsoft Sentinel 분석 규칙의 엔터티 매핑에 의해 생성된 경고 및 인시던트에서 엔터티를 인식합니다. 또한 다른 원본에서 수집된 경고에서 이미 식별된 엔터티를 인식합니다.
현재 Microsoft Sentinel 엔터티 매핑을 만들 때 지정된 엔터티에 대해 최대 3개의 식별자를 사용할 수 있습니다. 강력한 식별자 만으로도 엔터티를 고유하게 식별할 수 있는 반면 약한 식별자는 다른 식별자와 함께만 식별할 수 있습니다. 강력하고 약한 식별자에 대해 자세히 알아봅니다. Microsoft Sentinel 엔터티 매핑을 만들 때 이 테이블의 모든 식별자를 사용할 수 있는 것은 아닙니다(각주 참조).
| 엔터티 형식 | 식별자 | 강력한 식별자 | 약한 식별자 |
|---|---|---|---|
| Account | 이름 Fullname* NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId Puid IsDomainJoined Displayname* Objectguid |
Name+UPNSuffix AADUserId Sid ** Sid+호스트** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain Puid Objectguid |
이름 |
| 호스트 | DnsDomain NTDomain HostName Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| 엔터티 형식 | 식별자 | 강력한 식별자 | 약한 식별자 |
| IP | 주소 AddressScope |
전역 주소: 주소** 개인 주소: Address+AddressScope** |
개인 주소: 주소** |
| URL | Url | URL (절대 URL인 경우)** | URL (상대 URL인 경우)** |
|
리소스 Azure (AzureResource) |
Resourceid | Resourceid | |
|
클라우드 애플리케이션 (CloudApplication) |
Appid 이름 InstanceName |
Appid 이름 AppId+InstanceName Name+InstanceName |
|
|
DNS 확인 (DNS) |
Domainname | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | 디렉터리 이름 |
디렉터리+이름 | |
|
파일 해시 (FileHash) |
알고리즘 값 |
Algorithm+Value | |
| 맬웨어 | 이름 범주 |
Name+Category | |
| 엔터티 형식 | 식별자 | 강력한 식별자 | 약한 식별자 |
| 프로세스 | ProcessId 명령줄 ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc 호스트+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine(호스트 없음) ProcessId+CreationTimeUtc+ ImageFile (호스트 없음) |
|
레지스트리 키 (RegistryKey) |
Hive 키 |
Hive+키 | |
|
레지스트리 값 (RegistryValue) |
이름 값 Valuetype |
키+이름 | 이름(키 없음) |
|
보안 그룹 (SecurityGroup) |
DistinguishedName Sid Objectguid |
DistinguishedName Sid Objectguid |
|
| 메일함 | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| 엔터티 형식 | 식별자 | 강력한 식별자 | 약한 식별자 |
|
메일 클러스터 (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 위협 쿼리 QueryTime MailCount IsVolumeAnomaly 원본 ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
메일 메시지 (MailMessage) |
받는 사람 Url 위협 보낸 사람 P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId 제목 BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 언어* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
제출 메일 (SubmissionMail) |
NetworkMessageId Timestamp 받는 사람 보낸 사람 SenderIp 제목 ReportType SubmissionId SubmissionDate 제출자 |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| 엔터티 Sentinel | 항목 | 항목 |
표 각주:
- * 이러한 식별자는 엔터티 매핑에 사용할 수 있는 식별자 목록에 표시되지만 엄밀히 말하면 엔터티 스키마의 일부가 아닙니다.
- ** 이러한 식별자는 특정 조건에서만 강력한 것으로 간주됩니다. 별표 링크를 따라 아래 엔터티 스키마 섹션의 관련 엔터티 목록에서 적용되는 조건을 확인합니다.
- 기울임꼴 식별자 이름(별표 없음)은 내부 엔터티를 나타냅니다. 즉, 한 엔터티 형식에 다른 엔터티 형식이 특성으로 포함될 수 있습니다(아래 엔터티 스키마 섹션 참조). 식별자의 링크를 따라 내부 엔터티의 자체 스키마를 확인합니다.
- 다른 엔터티는 스키마에 있을 수 있습니다. 이 스키마는 Microsoft Sentinel 외에도 많은 항목을 지원하는 일반적인 스키마입니다. Microsoft Sentinel 사용할 수 있는 엔터티만 이 문서에 나열되어 있습니다.
엔터티 형식 스키마
다음 섹션에는 각 엔터티 형식의 전체 스키마에 대한 자세한 내용이 포함되어 있습니다. 이러한 스키마 중 상당수에는 다른 엔터티 형식에 대한 링크가 포함되어 있습니다. 예를 들어 계정 스키마에는 사용자 계정의 한 특성이 정의된 호스트이므로 호스트 엔터티 형식에 대한 링크가 포함됩니다. 이러한 엔터티를 "내부 엔터티"라고 하며 엔터티 매핑의 식별자로 사용할 수는 없지만 엔터티 페이지 및 조사 그래프에서 엔터티의 전체 그림을 제공하는 데 매우 유용합니다.
참고
Type 열의 값 다음에 있는 물음표는 필드가 null 허용임을 나타냅니다.
엔터티 형식 스키마 목록
- Account
- Host(호스트)
- IP
- 맬웨어
- 파일
- 프로세스
- 클라우드 애플리케이션
- DNS 확인
- 리소스 Azure
- 파일 해시
- 레지스트리 키
- 레지스트리 값
- 보안 그룹
- URL
- IoT 디바이스
- 메일함
- 메일 클러스터
- 메일 메시지
- 제출 메일
- 엔터티 Sentinel
Account
엔터티 이름: 계정
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'account' |
| 이름 | String | 계정의 이름입니다. 이 필드는 도메인을 추가하지 않고 이름만 보유해야 합니다. |
| Fullname | -- | 이전 버전의 엔터티 매핑과의 호환성을 위해 포함된 스키마의 일부가 아닙니다. |
| NTDomain | String | 경고 형식으로 표시되는 NETBIOS 도메인 이름(domain\username)입니다. 예제: Finance, NT AUTHORITY |
| DnsDomain | String | 정규화된 도메인 DNS 이름입니다. 예: finance.contoso.com |
| UPNSuffix | String | 계정의 사용자 계정 이름 접미사입니다. 대부분의 경우 UPN 접미사는 도메인 이름이기도 합니다. 예: contoso.com |
| Host(호스트) | 엔터티(호스트) | 로컬 계정인 경우 계정이 포함된 호스트입니다. |
| Sid | String | 계정의 보안 식별자입니다. |
| AadTenantId | Guid? | 알려진 경우 Microsoft Entra 테넌트 ID입니다. |
| AadUserId | Guid? | Microsoft Entra 계정 개체 ID(알려진 경우)입니다. |
| Puid | Guid? | Microsoft Entra Passport 사용자 ID(알려진 경우)입니다. |
| IsDomainJoined | Bool? | 계정이 도메인 계정인지 여부를 나타냅니다. |
| DisplayName | -- | 이전 버전의 엔터티 매핑과의 호환성을 위해 포함된 스키마의 일부가 아닙니다. |
| Objectguid | Guid? | objectGUID 특성은 Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다. |
| CloudAppAccountId | String | CloudApp 공급자의 경고에 있는 AccountID입니다. 다른 Microsoft 제품에서 지원되지 않는 타사 앱의 계정 ID를 참조합니다. |
| IsAnonymized | Bool? | 사용자 이름이 익명화되었는지 여부를 나타냅니다. 선택 사항. 기본값: false. |
| Stream | Stream | 특정 계정과 관련된 검색 로그의 원본입니다. 선택 사항. |
계정 엔터티의 강력한 식별자
- 이름 + UPNSuffix
- AadUserId
-
Sid
** 이 식별자는 계정이 아래 참고에 나열된 기본 제공 계정 중 하나가 아닌 한 강력합니다. -
Sid + 호스트
** 계정이 아래 참고 에 나열된 기본 제공 계정 중 하나인 경우 이 식별자를 강력한 계정으로 만들기 위해 호스트 구성 요소가 필요합니다. -
이름 + NTDomain
** 이 조합은 NTDomain이 기본 제공 도메인/작업 그룹이 아니며 호스트 이름과 다르므로 계정이 도메인 계정일 때 강력한 식별자입니다. 이 경우 호스트 구성 요소가 없더라도 강력한 식별자입니다. -
이름 + NTDomain + 호스트
** 호스트 구성 요소는 계정이 로컬 계정일 때 강력한 식별자를 만드는 데 필요합니다. 즉, NTDomain은 기본 제공 도메인/작업 그룹입니다. - 이름 + DnsDomain
- Puid
- Objectguid
계정 엔터티의 약한 식별자
- 이름
참고
계정 엔터티가 이름 식별자를 사용하여 정의되고 특정 엔터티의 Name 값이 다음과 같은 일반적인 기본 제공 계정 이름 중 하나인 경우 해당 엔터티는 해당 경고에서 삭제됩니다.
- 관리자
- 관리자
- SYSTEM
- 루트
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- Localsystem
- NETWORK SERVICE
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
호스트
엔터티 이름: 호스트
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'host' |
| IpInterfaces | 목록<엔터티(IP)> | 호스트 컴퓨터의 모든 IP 인터페이스 목록입니다. |
| DnsDomain | String | 이 호스트가 속한 DNS 도메인입니다. 알려진 경우 도메인에 대한 전체 DNS 접미사를 포함해야 합니다. |
| NTDomain | String | 이 호스트가 속한 NT 도메인입니다. |
| HostName | String | 도메인 접미사가 없는 호스트 이름입니다. |
| NetBiosName | String | 호스트 이름(Windows 2000 이전)입니다. |
| IoTDevice | 엔터티(IoT 디바이스) | IoT 디바이스 엔터티(이 호스트가 IoT 디바이스를 나타내는 경우)입니다. |
| AzureID | String | 알려진 경우 VM의 Azure 리소스 ID입니다. |
| OMSAgentID | String | 호스트에 OMS 에이전트가 설치된 경우 OMS 에이전트 ID입니다. |
| OSFamily | 열거형? | 다음 값 중 하나 |
| OSVersion | String | 운영 체제의 자유 텍스트 표현입니다. 이 필드는 OSFamily보다 더 세분화된 특정 버전 또는 OSFamily 열거형에서 지원되지 않는 이후 값을 보유하기 위한 것입니다. |
| IsDomainJoined | 부울 | 이 호스트가 도메인에 속하는지 여부를 나타냅니다. |
호스트 엔터티의 강력한 식별자
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
호스트 엔터티의 약한 식별자
- HostName
- NetBiosName
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
IP
엔터티 이름: IP
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'ip' |
| 주소 | String | IP 주소를 문자열(IPv4 또는 IPv6)으로 지정합니다. 예제: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | String | 전역이 아닌 프라이빗 IP 주소에 대한 호스트, 서브넷 또는 프라이빗 네트워크의 이름입니다. 전역 IP 주소의 경우 Null이거나 비어 있습니다(기본값). 예제: /27, 255.255.255.128 |
| 위치 | Geolocation | IP 엔터티에 연결된 지리적 위치 컨텍스트입니다. 자세한 내용은 REST API(공개 미리 보기)를 통해 지리적 위치 데이터를 사용하여 Microsoft Sentinel 엔터티 보강을 참조하세요. |
| Stream | Stream | 특정 IP와 관련된 검색 로그의 원본입니다. 선택 사항. |
IP 엔터티의 강력한 식별자
-
주소
IP 주소가 전역 주소인 경우 주소 식별자 자체는 고유하고 강력한 식별자입니다. -
Address + AddressScope
프라이빗/내부, 비 전역 IP 주소의 경우 이를 강력한 식별자로 만들려면 AddressScope 구성 요소가 필요합니다.
IP 엔터티의 약한 식별자
-
주소
IP 주소가 전역이 아닌 프라이빗/내부 IP 주소인 경우 주소 식별자 자체가 약한 식별자입니다.
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
맬웨어
엔터티 이름: 맬웨어
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | '맬웨어' |
| 이름 | String | (검색?) 공급업체에서 할당한 맬웨어 이름(예: Win32/Toga!rfn)입니다. |
| 범주 | String | 예를 들어 (검색?) 공급업체에서 할당한 맬웨어 범주입니다. 트로이 목마. |
| 파일 | 목록<엔터티(파일)> | 맬웨어가 발견된 연결된 파일 엔터티 목록입니다. 파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조체에 대한 자세한 내용은 파일 엔터티를 참조하세요. |
| 프로세스 | 목록<엔터티(프로세스)> | 맬웨어가 발견된 연결된 프로세스 엔터티 목록입니다. 파일리스 활동에서 경고가 트리거될 때 자주 사용됩니다. 구조체에 대한 자세한 내용은 프로세스 엔터티를 참조하세요. |
맬웨어 엔터티의 강력한 식별자
- 이름 + 범주
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
File
엔터티 이름: 파일
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'file' |
| Directory | String | 파일의 전체 경로입니다. |
| 이름 | String | 경로가 없는 파일 이름입니다(일부 경고에는 경로가 포함되지 않을 수 있습니다). |
| AlternateDataStreamName | String | NTFS 파일 시스템의 파일 스트림 이름(주 스트림의 경우 null)입니다. |
| Host(호스트) | 엔터티(호스트) | 파일이 저장된 호스트입니다. |
| HostUrl | 엔터티(URL) | 파일이 다운로드된 URL (웹의 표시). |
| WindowsSecurityZoneType | WindowsSecurityZone | URL이 속한 Windows 보안 영역 (웹의 표시). |
| ReferrerUrl | 엔터티(URL) | 파일 다운로드 HTTP 요청의 참조 URL (웹의 표시). |
| SizeInBytes | 긴? | 파일의 크기(바이트)입니다. |
| FileHashes | 목록<엔터티(FileHash)> | 이 파일과 연결된 파일 해시입니다. |
파일 엔터티의 강력한 식별자
- 이름 + 디렉터리
- Name + FileHash
- 이름 + 디렉터리 + FileHash
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
프로세스
엔터티 이름: 프로세스
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'process' |
| ProcessId | String | 프로세스 ID입니다. |
| 명령줄 | String | 프로세스를 만드는 데 사용되는 명령줄입니다. |
| ElevationToken | 열거형? | 프로세스와 연결된 권한 상승 토큰입니다. 사용 가능한 값: |
| CreationTimeUtc | Datetime? | 프로세스가 실행되기 시작한 시간입니다. |
| ImageFile | 엔터티(파일) | 파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조체에 대한 자세한 내용은 파일 엔터티를 참조하세요. |
| Account | 엔터티(계정) | 프로세스를 실행하는 계정입니다. 계정 엔터티를 인라인 또는 참조로 포함할 수 있습니다. 구조에 대한 자세한 내용은 계정 엔터티를 참조하세요. |
| ParentProcess | 엔터티(프로세스) | 부모 프로세스 엔터티입니다. 부분 데이터(예: PID만 포함)를 포함할 수 있습니다. |
| Host(호스트) | 엔터티(호스트) | 프로세스가 실행 중인 호스트입니다. |
| LogonSession | Entity(HostLogonSession) | 프로세스가 실행 중인 세션입니다. |
프로세스 엔터티의 강력한 식별자
- Host + ProcessId + CreationTimeUtc
- 호스트 + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
프로세스 엔터티의 약한 식별자
- ProcessId + CreationTimeUtc + CommandLine(호스트 없음)
- ProcessId + CreationTimeUtc + ImageFile (호스트 없음)
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
클라우드 애플리케이션
엔터티 이름: CloudApplication
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'cloud-application' |
| Appid | 임계값 | 되지 않는; 대신 SaasId 필드를 사용합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. 값은 선택 사항입니다. InstanceId를 포함하면 안 됩니다. |
| SaasId | 임계값 | 사용되지 않는 AppId 필드를 대체합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. 값은 선택 사항입니다. InstanceId를 포함하면 안 됩니다. |
| 이름 | String | 관련 클라우드 애플리케이션의 이름입니다. 값은 선택 사항입니다. |
| InstanceName | String | 클라우드 애플리케이션의 사용자 정의 instance 이름입니다. 고객이 가지고 있는 것과 동일한 유형의 여러 애플리케이션을 구분하는 데 사용되는 경우가 많습니다. |
| Instanceid | 임계값 | 애플리케이션의 특정 세션 식별자입니다. 0부터 시작하는 실행 번호입니다. 값은 선택 사항입니다. |
| 위험 | AppRisk? | 예를 들어 매우 위험한 앱만 검토하는 데 집중할 수 있도록 위험 점수별로 앱을 필터링할 수 있습니다. 낮음, 중간, 높음 또는 알 수 없음과 같은 가능한 값입니다. |
| Stream | Stream | 특정 클라우드 앱과 관련된 검색 로그의 원본입니다. 선택 사항. |
클라우드 애플리케이션 엔터티의 강력한 식별자
- AppId(InstanceName 제외)
- 이름(InstanceName 제외)
- AppId + InstanceName
- Name + InstanceName
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
DNS 확인
엔터티 이름: DNS
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'dns' |
| Domainname | String | 경고와 연결된 DNS 레코드의 이름입니다. |
| Ipaddress | 목록<엔터티(IP)> | 확인된 IP 주소에 해당하는 엔터티입니다. |
| DnsServerIp | 엔터티(IP) | 요청을 확인하는 DNS 서버를 나타내는 엔터티입니다. |
| HostIpAddress | 엔터티(IP) | DNS 요청 클라이언트를 나타내는 엔터티입니다. |
DNS 엔터티의 강력한 식별자
- DomainName + DnsServerIp + HostIpAddress
DNS 엔터티의 약한 식별자
- DomainName + HostIpAddress
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
리소스 Azure
엔터티 이름: AzureResource
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'azure-resource' |
| Resourceid | String | 리소스의 Azure 리소스 ID입니다. 필수. |
| SubscriptionId | String | 리소스의 구독 ID입니다. |
| ActiveContacts | ActiveContact 나열<> | 리소스와 연결된 활성 연락처입니다. |
| ResourceType | String | 리소스의 형식입니다. |
| ResourceName | String | 리소스의 이름입니다. |
Azure 리소스 엔터티의 강력한 식별자
- Resourceid
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
파일 해시
엔터티 이름: FileHash
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'filehash' |
| 알고리즘 | 열거형 | 해시 알고리즘 유형입니다. 필수. 사용 가능한 값: |
| 값 | String | 해시 값입니다. 필수. |
파일 해시 엔터티의 강력한 식별자
- 알고리즘 + 값
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
레지스트리 키
엔터티 이름: RegistryKey
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'registry-key' |
| Hive | 열거형? | 다음 값 중 하나 |
| 키 | String | 레지스트리 키 경로입니다. |
레지스트리 키 엔터티의 강력한 식별자
- Hive + 키
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
레지스트리 값
엔터티 이름: RegistryValue
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'registry-value' |
| Host(호스트) | 엔터티(호스트) | 레지스트리가 속한 호스트입니다. |
| 키 | Entity(RegistryKey) | 레지스트리 키 엔터티입니다. |
| 이름 | String | 레지스트리 값 이름입니다. |
| 값 | String | 값 데이터의 문자열 형식 표현입니다. |
| Valuetype | 열거형? | 다음 값 중 하나 값은 Microsoft.Win32.RegistryValueKind 열거형을 따라야 합니다. |
레지스트리 값 엔터티의 강력한 식별자
- 키 + 이름
레지스트리 값 엔터티의 약한 식별자
- 이름(키 없음)
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
보안 그룹
엔터티 이름: SecurityGroup
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'security-group' |
| DistinguishedName | String | 그룹 고유 이름입니다. |
| Sid | String | 그룹의 SID(보안 식별자)를 지정하는 단일 값 특성입니다. |
| Objectguid | Guid? | Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다. |
보안 그룹 엔터티의 강력한 식별자
- DistinguishedName
- Sid
- Objectguid
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
URL
엔터티 이름: URL
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'url' |
| Url | Uri | 엔터티가 가리키는 전체 URL입니다. 필수. |
URL 엔터티의 강력한 식별자
- URL (** URL이 절대 URL인 경우 이 식별자는 강력합니다.)
URL 엔터티의 약한 식별자
- URL(** URL이 상대 URL인 경우 이 식별자는 약합니다.)
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
IoT 디바이스
엔터티 이름: IoTDevice
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'iotdevice' |
| IoTHub | Entity(AzureResource) | 디바이스가 속한 IoT Hub 나타내는 AzureResource 엔터티입니다. |
| DeviceId | String | IoT Hub 컨텍스트에서 디바이스의 ID입니다. 필수. |
| Devicename | String | 디바이스의 식별 이름입니다. |
| 소유자 | 목록<문자열> | 디바이스의 소유자입니다. |
| IoTSecurityAgentId | Guid? | 디바이스에서 실행되는 Defender for IoT 에이전트의 ID입니다. |
| DeviceType | String | 디바이스의 유형('온도 센서', '냉동고', '풍력 터빈' 등)입니다. |
| DeviceTypeId | String | 디바이스 유형 자체가 표시 이름이며 비교할 때 신뢰할 수 없으므로 디바이스 유형 스키마에 따라 각 디바이스 유형을 식별하는 고유 ID입니다. 사용 가능한 값: 분류되지 않음 = 0 기타 = 1 네트워크 디바이스 = 2 프린터 = 3 오디오 및 비디오 = 4 미디어 및 감시 = 5 통신 = 7 스마트 어플라이언스 = 9 워크스테이션 = 10 서버 = 11 모바일 = 12 스마트 시설 = 13 산업용 = 14 운영 장비 = 15 |
| 원본 | String | 디바이스 엔터티의 원본(Microsoft/Vendor)입니다. |
| SourceRef | 엔터티(URL) | 디바이스가 관리되는 원본 항목에 대한 URL 참조입니다. |
| 제조업체 | String | 디바이스의 제조업체입니다. |
| 모델 | String | 디바이스의 모델입니다. |
| OperatingSystem | String | 디바이스가 실행 중인 운영 체제입니다. |
| Ipaddress | 엔터티(IP) | 디바이스의 현재 IP 주소입니다. |
| MacAddress | String | 디바이스의 MAC 주소입니다. |
| Nic | 엔터티(Nic) | 디바이스의 현재 NIC입니다. |
| 프로토콜 | 목록<문자열> | 디바이스에서 지원하는 프로토콜 목록입니다. |
| SerialNumber | String | 디바이스의 일련 번호입니다. |
| Site | String | 디바이스의 사이트 위치입니다. |
| Zone | String | 사이트 내 디바이스의 영역 위치입니다. |
| 센서 | String | 디바이스를 모니터링하는 센서입니다. |
| 중요도 | 열거형? | 다음 값 중 하나 |
| PurdueLayer | String | 디바이스의 Purdue 계층입니다. |
| IsProgramming | Bool? | 디바이스가 프로그래밍 디바이스로 분류되었는지 여부를 나타냅니다. |
| Isauthorized | Bool? | 디바이스가 권한 있는 디바이스로 분류되었는지 여부를 나타냅니다. |
| IsScanner | Bool? | 디바이스가 스캐너 디바이스로 분류되었는지 여부를 나타냅니다. |
| DevicePageLink | 엔터티(URL) | Defender for IoT 포털의 디바이스 페이지에 대한 URL입니다. |
| DeviceSubType | String | 디바이스 하위 형식의 이름입니다. |
IoT 디바이스 엔터티의 강력한 식별자
- IoTHub + DeviceId
IoT 디바이스 엔터티의 약한 식별자
- DeviceId(IoTHub 없음)
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
메일함
엔터티 이름: 사서함
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | '사서함' |
| MailboxPrimaryAddress | String | 사서함의 기본 주소입니다. |
| DisplayName | String | 사서함의 표시 이름입니다. |
| Upn | String | 사서함의 UPN입니다. |
| AadId | String | 사용자의 사서함 Azure AD 식별자입니다. |
| RiskLevel | RiskLevel(정수) | 이 사서함의 위험 수준입니다. 사용 가능한 값: |
| ExternalDirectoryObjectId | Guid? | 사서함의 AzureAD 식별자입니다. 계정 엔터티의 AadUserId와 비슷하지만 이 속성은 Office 쪽의 사서함 개체에만 해당됩니다. |
사서함 엔터티의 강력한 식별자
- MailboxPrimaryAddress
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
메일 클러스터
엔터티 이름: MailCluster
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'mail-cluster' |
| NetworkMessageIds | IList<문자열> | 메일 클러스터의 일부인 메일 메시지 ID입니다. |
| CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 문자열 표현별 메일 메시지 수입니다. |
| CountByThreatType | IDictionary<String,Int> | ThreatType 문자열 표현별 메일 메시지 수입니다. |
| CountByProtectionStatus | IDictionary<String,long> | 보호 상태 문자열 표현별 메일 메시지 수입니다. |
| CountByDeliveryLocation | IDictionary<String,long> | 배달 위치 문자열 표현별 메일 메시지 수입니다. |
| 위협 | IList<문자열> | 메일 클러스터의 일부인 메일 메시지의 위협입니다. |
| Query | String | 메일 클러스터의 메시지를 식별하는 데 사용된 쿼리입니다. |
| QueryTime | Datetime? | 쿼리 시간입니다. |
| MailCount | Int? | 메일 클러스터의 일부인 메일 메시지 수입니다. |
| IsVolumeAnomaly | Bool? | 메일 클러스터가 볼륨 변칙 메일 클러스터인지 여부를 나타냅니다. |
| 원본 | String | 메일 클러스터의 원본입니다(기본값은 O365 ATP). |
메일 클러스터 엔터티의 강력한 식별자
- 쿼리 + 원본
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
메일 메시지
엔터티 이름: MailMessage
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'mail-message' |
| 파일 | IList<엔터티(파일)> | 이 메일 메시지 첨부 파일의 파일 엔터티입니다. |
| 받는 사람 | String | 이 메일 메시지의 받는 사람입니다. 여러 받는 사람의 경우 메일 메시지가 복사되고 각 복사본에는 하나의 받는 사람이 있습니다. |
| Url | IList<문자열> | 이 메일 메시지에 포함된 URL입니다. |
| 위협 | IList<문자열> | 이 메일 메시지에 포함된 위협입니다. |
| 보낸 사람 | String | 보낸 사람의 전자 메일 주소입니다. |
| SenderIP | String | 보낸 사람의 IP 주소입니다. |
| ReceivedDate | 날짜/시간 | 이 메시지의 수신 날짜입니다. |
| NetworkMessageId | Guid? | 이 메일 메시지의 네트워크 메시지 ID입니다. |
| InternetMessageId | String | 이 메일 메시지의 인터넷 메시지 ID입니다. |
| 제목 | String | 이 메일 메시지의 제목입니다. |
| AntispamDirection | 열거형? | 이 메일 메시지의 방향성입니다. 사용 가능한 값: |
| DeliveryAction | 열거형? | 이 메일 메시지의 배달 작업입니다. 사용 가능한 값: |
| DeliveryLocation | 열거형? | 이 메일 메시지의 배달 위치입니다. 사용 가능한 값: |
| CampaignId | String | 이 메일 메시지가 있는 캠페인의 식별자입니다. |
| SuspiciousRecipients | IList<문자열> | 의심스러운 것으로 검색된 수신자 목록입니다. |
| ForwardedRecipients | IList<문자열> | 전달된 메일의 모든 받는 사람 목록입니다. |
| ForwardingType | IList<문자열> | 메일의 전달 유형(예: SMTP, ETR 등) |
메일 메시지 엔터티의 강력한 식별자
- NetworkMessageId + Recipient
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
제출 메일
엔터티 이름: SubmissionMail
| 필드 | 유형 | 설명 |
|---|---|---|
| 유형 | String | 'SubmissionMail' |
| SubmissionId | Guid? | 제출 ID입니다. |
| SubmissionDate | Datetime? | 이 제출의 보고 날짜 시간입니다. |
| 제출자 | String | 제출자 전자 메일 주소입니다. |
| NetworkMessageId | Guid? | 제출이 속한 전자 메일의 네트워크 메시지 ID입니다. |
| Timestamp | Datetime? | 메시지가 수신될 때의 타임스탬프를 반환합니다(메일). |
| 받는 사람 | String | 메일의 받는 사람입니다. |
| 보낸 사람 | String | 메일의 보낸 사람입니다. |
| SenderIp | String | 보낸 사람의 IP입니다. |
| 제목 | String | 제출 메일의 제목입니다. |
| ReportType | String | 지정된 instance 대한 제출 유형입니다. 가능한 값은 정크, 피시, 맬웨어 또는 NotJunk입니다. |
SubmissionMail 엔터티의 강력한 식별자
- SubmissionId, Submitter, NetworkMessageId, Recipient
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
엔터티 Sentinel
| 필드 | 유형 | 설명 |
|---|---|---|
| 엔터티 | String | 경고에서 식별된 엔터티 목록입니다. 이 목록은 SecurityAlert 스키마의 엔터티 열입니다(설명서 참조). |
엔터티 형식 스키마 목록으로 | 돌아가기엔터티 식별자 테이블로 돌아가기
클라우드 애플리케이션 식별자
다음 목록에서는 알려진 클라우드 애플리케이션에 대한 식별자를 정의합니다. 앱 ID 값은 클라우드 애플리케이션 엔터티 식별자로 사용됩니다.
| 앱 ID | 이름 |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | 동의 |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft 비즈니스용 OneDrive |
| 15782 | Citrix ShareFile |
| 17152 | 아마존 |
| 17865 | Ariba Inc. |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | PowerShell 연결 |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion 수명 주기 |
| 23043 | 여유 시간 |
| 23233 | Microsoft Office Online |
| 25275 | 비즈니스용 Microsoft Skype |
| 25988 | Google Docs |
| 26055 | Microsoft 365 관리 센터 |
| 26060 | OPSWAT 기어 |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | 작업 공간별 Facebook |
| 28373 | CAS 프록시 에뮬레이터 |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
다음 단계
이 문서에서는 Microsoft Sentinel 엔터티 구조, 식별자 및 스키마에 대해 알아보았습니다.