클라우드용 Microsoft Defender 경고
클라우드용 Microsoft Defender는 데이터 센터의 보안 태세를 강화하고 온-프레미스뿐만 아니라 Azure에 있든 없든 클라우드의 하이브리드 워크로드에서 고급 위협 방지를 제공하는 통합 인프라 보안 관리 시스템입니다.
이 커넥터는 다음 제품 및 지역에서 사용할 수 있습니다.
| 서비스 | 클래스 | Regions |
|---|---|---|
| 논리 앱 | 스탠다드 | 다음을 제외한 모든 Logic Apps 지역 : - 미국 국방부(DoD) |
| 연락처 | |
|---|---|
| 이름 | Microsoft |
| URL |
Microsoft LogicApps 지원 |
| 커넥터 메타데이터 | |
|---|---|
| 게시자 | Microsoft |
| 더 알아보세요> | https://docs.microsoft.com/connectors/ascalert |
| 웹 사이트 | https://azure.microsoft.com/services/security-center/ |
제한 한도
| Name | 호출 | 갱신 기간 |
|---|---|---|
| 연결당 API 호출 | 100 | 60초 |
트리거
| 클라우드용 Microsoft Defender 경고가 생성되거나 트리거되는 경우 |
경고가 클라우드용 Microsoft Defender에서 생성되고 자동화에 구성된 평가 조건과 일치하거나 특정 경고에서 수동으로 실행할 때 트리거됩니다. 참고: 이 트리거를 자동화하려면 클라우드용 Microsoft Defender에서 자동화를 사용하도록 설정하고 예비 단계로 워크로드 보호 계획을 사용하도록 설정해야 합니다. 이렇게 하려면 클라우드용 Microsoft Defender를 방문하세요. |
클라우드용 Microsoft Defender 경고가 생성되거나 트리거되는 경우
경고가 클라우드용 Microsoft Defender에서 생성되고 자동화에 구성된 평가 조건과 일치하거나 특정 경고에서 수동으로 실행할 때 트리거됩니다. 참고: 이 트리거를 자동화하려면 클라우드용 Microsoft Defender에서 자동화를 사용하도록 설정하고 예비 단계로 워크로드 보호 계획을 사용하도록 설정해야 합니다. 이렇게 하려면 클라우드용 Microsoft Defender를 방문하세요.
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
경고 URI
|
AlertUri | string |
Azure Portal의 클라우드용 Microsoft Defender에서 모든 세부 정보가 포함된 경고를 보는 직접 링크입니다. |
|
경고 표시 이름
|
AlertDisplayName | string |
경고의 표시 이름이며, 이 값은 as-is 또는 추가 매개 변수를 사용하여 사용자에게 표시됩니다. (예를 들어 자리 표시자 서식은 Notes 섹션에 참조). 경고는 AlertType 필드에 따라 집계되고 최종 사용자에게 표시될 수 있으므로 AlertDisplayName 필드에 자리 표시자를 배치하지 않고 동일한 AlertType 값을 공유하는 모든 경고에 대해 동일한 값을 가지는 것이 좋습니다. |
|
경고 유형
|
AlertType | string |
경고의 형식 이름입니다. 동일한 유형의 경고는 이름이 같아야 합니다. 이 필드는 경고 인스턴스가 아닌 경고의 범주 또는 유형을 나타내는 키 문자열입니다. 동일한 검색 논리/분석의 모든 경고 인스턴스는 경고 유형에 대해 동일한 값을 공유해야 합니다. |
|
손상된 엔터티
|
CompromisedEntity | string |
보고되는 주요 엔터티의 이름을 표시합니다. 이 필드는 사용자 AS-IS 표시되며 형식을 준수할 필요가 없습니다. 컴퓨터, IP 주소, VM 또는 경고 공급자가 제시하기로 결정한 모든 항목을 보유할 수 있습니다. |
|
Description
|
Description | string |
경고 설명에는 매개 변수 자리 표시자가 있을 수 있습니다(예: 노트 섹션에 표시된 자리 표시자 서식에 대한 예) |
|
종료 시간(UTC)
|
EndTimeUtc | date-time |
경고의 영향 종료 시간(경고에 기여하는 마지막 이벤트의 시간)입니다. |
|
의향
|
Intent | string |
경고 뒤에 킬 체인 관련 의도를 지정하는 선택적 필드입니다. 지원되는 값 목록은 Kill Chain Intent 열거형 섹션에 있습니다. 이 필드에서 여러 값을 선택할 수 있습니다. 이 필드의 JSON 형식은 열거형 값을 문자열로 직렬화해야 합니다. 여러 값은 쉼표(예: 검색, 악용)로 구분해야 합니다. |
|
제품 이름
|
ProductName | string |
이 경고를 게시한 제품의 이름(예: ASC, WDATP, MCAS)입니다. |
|
심각도
|
Severity | string |
공급자가 보고하는 경고의 심각도입니다. 가능한 값: 정보(자동), 낮음, 중간, 높음 |
|
시작 시간(UTC)
|
StartTimeUtc | date-time |
경고의 영향 시작 시간(경고에 기여하는 첫 번째 이벤트의 시간)입니다. |
|
시스템 경고 ID
|
SystemAlertId | string |
제품에 대한 경고의 제품 식별자를 보유합니다. 일반적으로 외부에서도 고객 또는 외부 시스템의 경고를 쿼리하는 데 사용할 수 있는 경고 식별자입니다. 제품 내부인 경고 게시자는 단일 제품의 범위에서 사용할 식별자를 보고하기 위해 ProviderAlertId 필드를 사용해야 합니다. |
|
생성된 시간(UTC)
|
TimeGenerated | date-time |
경고가 생성된 시간입니다. 이 시간에는 경고 공급자가 생성한 시간이 포함되어야 합니다. 시스템이 누락된 경우 처리를 위해 수신된 시간을 할당합니다. |
|
공급업체 이름
|
VendorName | string |
경고를 발생시키는 공급업체의 이름입니다. 이 값은 사용자에게 있는 그대로 표시됩니다(예: Microsoft 또는 Deep Security Agent 또는 Microsoft 맬웨어 방지 프로그램 등). |
|
Entities
|
Entities | array of object |
경고와 관련된 엔터티 목록입니다. 이 목록에는 다양한 형식의 엔터티가 혼합되어 있습니다. 엔터티 형식은 엔터티 섹션에 정의된 모든 형식일 수 있습니다. 아래 목록에 없는 엔터티도 보낼 수 있지만 처리된다는 보장은 없습니다(그러나 경고는 유효성 검사에 실패하지 않음). null로 설정할 수 없습니다(대신 빈 열거 가능으로 설정됨). |
|
확장 링크
|
ExtendedLinks | array of object |
경고와 관련된 모든 링크에 대한 모음입니다. 이 가방은 다양한 유형에 대한 링크의 혼합물을 보유 할 수 있습니다. 아래 목록에 없는 링크도 보낼 수 있지만 해당 링크가 처리될 것이라고 보장하지는 않습니다(그러나 경고가 유효성 검사에 실패하지 않음). null로 설정할 수 없습니다(대신 빈 열거 가능으로 설정됨). |
|
수정 단계
|
RemediationSteps | array of string |
경고를 수정하기 위해 수행할 수동 작업 항목입니다. 매개 변수 자리 표시자가 있을 수 있습니다. (예를 들어 자리 표시자 서식은 Notes 섹션에 참조). |
|
리소스 식별자
|
ResourceIdentifiers | array of object |
경고를 올바른 제품 노출 그룹(작업 영역, 구독 등)으로 전송하는 데 사용할 수 있는 이 경고의 리소스 식별자입니다. 경고당 서로 다른 유형의 여러 식별자가 있을 수 있습니다. 자세한 내용은 리소스 식별자를 참조하세요. |