Microsoft Sentinel 보안 경고 스키마 참조
Microsoft Sentinel 분석 규칙은 보안 경고의 결과로 인시던트를 생성합니다. 보안 경고는 서로 다른 원본에서 올 수 있으며, 이에 따라 각기 다른 종류의 분석 규칙을 사용하여 인시던트를 만듭니다
예약된 분석 규칙은 외부 원본에서 수집된 로그의 데이터를 정기적으로 쿼리한 결과로 경고를 생성하며, 이러한 동일한 규칙은 해당 경고를 통해 인시던트를 생성합니다. (이 문서의 목적을 위해 "예약된" 규칙 경고에는 NRT 규칙 경고가 포함됩니다.)
Microsoft 보안 분석 규칙은 다른 Microsoft 보안 제품(예: Microsoft Defender XDR 및 클라우드용 Microsoft Defender)에서 있는 그대로 수집되는 경고에서 인시던트 생성
원본에 관계없이 이러한 경고는 모두 Log Analytics 작업 영역의 SecurityAlert 테이블에 함께 저장됩니다. 이 문서에서는 이 테이블의 스키마에 대해 설명합니다.
경고는 많은 원본에서 제공되므로 모든 공급자가 모든 필드를 사용하는 것은 아닙니다. 일부 필드는 비워 둘 수 있습니다.
스키마 정의
| 열 이름 | Type | 설명 |
|---|---|---|
| AlertLink | string | 원본 제품 포털에서의 경고에 대한 링크입니다. |
| AlertName | string | 경고의 표시 이름입니다.
|
| AlertSeverity | string | 경고의 심각도입니다. [정보 제공/낮음/중간/높음] |
| AlertType | string | 경고의 유형입니다.
|
| CompromisedEntity | string | 경고를 받는 주 엔터티의 표시 이름입니다. |
| ConfidenceLevel | string | 이 경고의 신뢰 수준: 공급자가 이 경고가 가양성이 아닌지 확인합니다. |
| ConfidenceScore | real | 해당하는 경우 경고의 신뢰도 점수(0.0~1.0)입니다. 이 속성을 사용하면 ConfidenceLevel 필드에 비해 경고의 신뢰도 수준을 보다 세분화하여 표시할 수 있습니다. |
| 설명 | string | 경고에 대한 설명입니다. |
| DisplayName | string | 경고의 표시 이름입니다. AlertName과 동의어이지만 호환성을 위해 유지됩니다. |
| EndTime | 날짜/시간 | 경고의 영향 종료 시간입니다.
|
| 엔터티 | string | 경고에서 식별된 엔터티 목록입니다. 이 목록에는 다양한 형식의 엔터티 조합이 포함될 수 있습니다. 엔터티의 형식은 엔터티 설명서에 설명된 대로 스키마에 정의된 형식일 수 있습니다. |
| ExtendedLinks | string | 경고와 관련된 모든 링크를 포함하기 위한 모음(컬렉션). 이 모음에는 다양한 유형의 링크 조합이 포함될 수 있습니다. |
| ExtendedProperties | string | 사용자 정의 속성을 포함한 경고의 다른 속성 컬렉션입니다. 경고에 정의된 모든 사용자 지정 세부 정보 및 경고 세부 정보에 포함된 동적 콘텐츠는 여기에 저장됩니다. |
| IsIncident | 부울 값 | 사용되지 않음. 항상 false로 설정합니다. |
| ProcessingEndTime | 날짜/시간 | 경고가 게시되는 시간입니다.
|
| ProductComponentName | string | 경고를 생성한 제품의 구성 요소 이름입니다. |
| ProductName | string | 경고를 생성한 제품의 이름입니다. |
| ProviderName | string | 경고를 생성한 경고 공급자(제품 내의 서비스)의 이름입니다. |
| RemediationSteps | string | 경고를 수정하기 위해 수행하는 작업 항목의 목록입니다. |
| ResourceId | string | 경고의 대상이 되는 리소스를 위한 고유 식별자입니다. |
| SourceComputerId | string | 사용되지 않음. 경고를 만든 서버의 에이전트 ID였습니다. |
| SourceSystem | string | 사용되지 않음. 항상 문자열 "검색"으로 채워집니다. |
| StartTime | 날짜/시간 | 경고가 미치는 영향의 시작 시간입니다.
|
| 상태 | string | 수명 주기 내 경고의 상태입니다. [신규/진행 중/해결됨/해제됨/알 수 없음] |
| SystemAlertId | string | Microsoft Sentinel의 경고에 대한 내부 고유 ID입니다. |
| 전술 | string | 경고와 관련된 MITRE ATT&CK 전술의 쉼표로 구분된 목록입니다. |
| 기술 | string | 경고와 관련된 MITRE ATT&CK 기술의 쉼표로 구분된 목록입니다. |
| TenantId | string | 테넌트의 고유 ID입니다. |
| TimeGenerated | 날짜/시간 | 경고가 생성된 시간(UTC)입니다. |
| Type | string | 상수('SecurityAlert') |
| VendorName | string | 경고를 생성한 제품의 공급업체입니다. |
| VendorOriginalId | string | 원본 제품에서 설정한 특정 경고 인스턴스의 고유 ID입니다. |
| WorkspaceResourceGroup | string | 사용되지 않음 |
| WorkspaceSubscriptionId | string | 사용되지 않음 |
다음 단계
보안 경고 및 분석 규칙에 대해 자세히 알아봅니다.