Microsoft Graph 보안(사용되지 않음) [사용되지 않음]
Microsoft Graph Security 커넥터는 통합 스키마를 사용하여 다양한 Microsoft 및 파트너 보안 제품 및 서비스를 연결하여 보안 작업을 간소화하고 위협 방지, 검색 및 대응 기능을 개선하는 데 도움이 됩니다. Microsoft Graph Security API https://aka.ms/graphsecuritydocs 와의 통합에 대한 자세한 정보(사용되지 않음)
이 커넥터는 다음 제품 및 지역에서 사용할 수 있습니다.
| 서비스 | 클래스 | Regions |
|---|---|---|
| Copilot Studio | Premium | 다음을 제외한 모든 Power Automate 지역 : - 미국 정부(GCC) - 미국 정부(GCC High) - 21Vianet에서 운영하는 중국 클라우드 - 미국 국방부(DoD) |
| 논리 앱 | 스탠다드 | 다음을 제외한 모든 Logic Apps 지역 : - Azure Government 지역 - Azure 중국 지역 - 미국 국방부(DoD) |
| Power Apps | Premium | 다음을 제외한 모든 Power Apps 지역 : - 미국 정부(GCC) - 미국 정부(GCC High) - 21Vianet에서 운영하는 중국 클라우드 - 미국 국방부(DoD) |
| Power Automate | Premium | 다음을 제외한 모든 Power Automate 지역 : - 미국 정부(GCC) - 미국 정부(GCC High) - 21Vianet에서 운영하는 중국 클라우드 - 미국 국방부(DoD) |
| 연락처 | |
|---|---|
| 이름 | Microsoft |
| URL |
Microsoft LogicApps 지원 Microsoft Power Automate 지원 Microsoft Power Apps 지원 |
| 전자 메일 | sipsisgdev@microsoft.com |
| 커넥터 메타데이터 | |
|---|---|
| 게시자 | Microsoft |
| 웹 사이트 | https://www.microsoft.com/security/business/graph-security-api |
Microsoft Graph 보안 커넥터와 연결하기 위한 필수 구성 요소
Microsoft Graph 보안 API에 대해 자세히 알아보세요.
Microsoft Graph 보안 커넥터 작업을 사용하려면 되풀이 트리거와 같은 트리거로 시작합니다.
Microsoft Graph 보안 커넥터를 사용하려면 Microsoft Graph 보안 인증 요구 사항의 일부로 Microsoft Entra ID 테넌트 관리자 동의를 제공해야 합니다.
Microsoft Graph Security 커넥터 애플리케이션 ID 및 이름(Microsoft Entra ID의 https://portal.azure.com경우)은 Microsoft Entra ID 관리자 동의에 대해 다음과 같습니다.
- 애플리케이션 이름 - MicrosoftGraphSecurityConnector
- 애플리케이션 ID - c4829704-0edc-4c3d-a347-7c4a67586f3c
- 테넌트 관리자는 위에서 언급한 애플리케이션에 Microsoft Entra ID 애플리케이션에 대한 테넌트 관리자 동의를 부여하는 데 설명된 단계를 따르거나 애플리케이션 동의 환경에 따라 Microsoft Graph Security 커넥터를 사용하여 워크플로를 처음 실행할 때 사용 권한을 부여할 수 있습니다.
이제 Microsoft Graph 보안 커넥터를 사용할 준비가 되었습니다.
커넥터 심층 분석
커넥터에 대한 자세한 내용은 자세한 섹션을 참조하세요.
연결을 만드는 중
커넥터는 다음 인증 유형을 지원합니다.
| 기본값 | 연결을 만들기 위한 매개 변수입니다. | 모든 지역 | 공유할 수 없음 |
기본값
적용 가능: 모든 지역
연결을 만들기 위한 매개 변수입니다.
공유 가능한 연결이 아닙니다. 전원 앱이 다른 사용자와 공유되면 다른 사용자에게 새 연결을 명시적으로 만들라는 메시지가 표시됩니다.
제한 한도
| Name | 호출 | 갱신 기간 |
|---|---|---|
| 연결당 API 호출 | 100 | 60초 |
동작
|
ID로 ti |
지정된 ID(사용되지 않음)에 해당하는 위협 인텔리전스 표시기를 가져옵니다. |
|
ID로 ti |
지정된 ID에 해당하는 위협 인텔리전스 표시기를 삭제합니다(사용되지 않음). |
|
ID로 여러 ti |
지정된 ID에 해당하는 여러 위협 인텔리전스 표시기를 삭제합니다(사용되지 않음). |
| ID별 경고 가져오기(사용되지 않음) [사용되지 않음] |
지정된 ID(사용되지 않음)에 해당하는 보안 경고를 가져옵니다. |
|
ti |
tiIndicators 컬렉션에 게시하여 새 위협 인텔리전스 지표를 만듭니다(사용되지 않음). |
|
ti |
위협 인텔리전스 표시기의 특정 속성을 업데이트합니다. tiIndicator에 필요한 필드는 ID, expirationDateTime 및 targetProduct(사용되지 않음)입니다. |
|
ti |
이 Microsoft Entra ID 테넌트에 대한 위협 인텔리전스 지표 목록을 가져옵니다. 다른 쿼리 매개 변수(사용되지 않음)와 함께 사용합니다. |
| 경고 가져오기(사용되지 않음) [사용되지 않음] |
이 Microsoft Entra ID 테넌트에 대한 보안 경고 목록을 가져옵니다. 다른 쿼리 매개 변수(사용되지 않음)와 함께 사용합니다. |
| 구독 만들기(사용되지 않음) [사용되지 않음] |
Microsoft Graph 웹후크 구독을 만듭니다(사용되지 않음). |
| 구독 삭제(사용되지 않음) [사용되지 않음] |
특정 Microsoft Graph 웹후크 구독을 삭제합니다(사용되지 않음). |
| 구독 업데이트(사용되지 않음) [사용되지 않음] |
만료 시간(사용되지 않음)을 업데이트하여 Microsoft Graph 웹후크 구독을 갱신합니다. |
| 업데이트 경고(사용되지 않음) [사용되지 않음] |
보안 경고의 특정 속성을 업데이트합니다(사용되지 않음). |
|
여러 ti |
여러 위협 인텔리전스 지표의 특정 속성을 업데이트합니다. 각 tiIndicator에 필요한 필드는 ID, expirationDateTime 및 targetProduct(사용되지 않음)입니다. |
|
여러 ti |
tiIndicators 컬렉션을 게시하여 새로운 위협 인텔리전스 지표를 만듭니다. 각 tiIndicator에 필요한 필드는 action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel(사용되지 않음)입니다. |
|
외부 ID로 여러 ti |
지정된 외부 ID에 해당하는 여러 위협 인텔리전스 표시기를 삭제합니다(사용되지 않음). |
| 활성 구독 가져오기(사용되지 않음) [사용되지 않음] |
이 Microsoft Entra ID 테넌트에 대한 미공개 구독 목록을 가져옵니다(사용되지 않음). |
ID로 tiIndicator 가져오기(사용되지 않음) [사용되지 않음]
지정된 ID(사용되지 않음)에 해당하는 위협 인텔리전스 표시기를 가져옵니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
위협 인텔리전스 표시기 ID 지정 |
반환
반환된 단일 TiIndicator 엔터티
- TiIndicator
- TiIndicator
ID로 tiIndicator 삭제(사용되지 않음) [사용되지 않음]
지정된 ID에 해당하는 위협 인텔리전스 표시기를 삭제합니다(사용되지 않음).
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
위협 인텔리전스 표시기 ID 지정 |
ID로 여러 tiIndicator 삭제(사용되지 않음) [사용되지 않음]
지정된 ID에 해당하는 여러 위협 인텔리전스 표시기를 삭제합니다(사용되지 않음).
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
코드
|
value.code | integer |
결과 코드 |
|
message
|
value.message | string |
메시지 |
|
서브코드
|
value.subcode | integer |
결과 하위 코드 |
ID별 경고 가져오기(사용되지 않음) [사용되지 않음]
지정된 ID(사용되지 않음)에 해당하는 보안 경고를 가져옵니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
경고 ID
|
alert-id | True | string |
경고 ID를 지정합니다. |
반환
반환된 단일 경고 엔터티
- Alert
- Alert
tiIndicator 만들기(사용되지 않음) [사용되지 않음]
tiIndicators 컬렉션에 게시하여 새 위협 인텔리전스 지표를 만듭니다(사용되지 않음).
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
조치
|
action | True | string |
targetProduct 보안 도구 내에서 표시기가 일치하는 경우 적용할 작업입니다. 값: (알 수 없음, 허용, 차단, 경고). |
|
활동 그룹 이름
|
activityGroupNames | array of string |
위협 지표에서 다루는 악의적인 활동을 담당하는 당사자의 사이버 위협 인텔리전스 이름입니다. |
|
|
추가 정보
|
additionalInformation | string |
다른 tiIndicator 속성에서 다루지 않는 표시기의 추가 데이터를 배치할 수 있습니다. |
|
|
Azure 테넌트 ID
|
azureTenantId | string |
클라이언트 제출의 Microsoft Entra ID 테넌트 ID입니다. |
|
|
신뢰
|
confidence | integer |
검색 논리의 신뢰도(0-100 사이의 백분율)입니다. |
|
|
Description
|
description | True | string |
TiIndicator 설명(100자 이하). |
|
다이아몬드 모델
|
diamondModel | string |
이 표시기가 있는 다이아몬드 모델의 영역입니다. 값: (알 수 없음, 악의적인 사용자, 기능, 인프라, 피해자). |
|
|
만료 날짜 시간
|
expirationDateTime | True | date-time |
표시기가 만료되는 시간(UTC)입니다. |
|
외부 식별자
|
externalId | string |
표시기를 표시기 공급자의 시스템에 다시 연결하는 ID 번호입니다(예: 외래 키). |
|
|
수집된 날짜 시간
|
ingestedDateTime | date-time |
표시기가 수집되는 시간(UTC)입니다. |
|
|
활성 상태
|
isActive | boolean |
기본적으로 제출된 모든 표시기는 활성으로 설정됩니다. 그러나 공급자는 시스템에서 표시기를 비활성화하기 위해 이 집합이 'False'로 설정된 기존 표시기를 제출할 수 있습니다. |
|
|
킬 체인
|
killChain | array of string |
이 표시기를 대상으로 하는 Kill Chain의 점 또는 지점을 설명하는 문자열입니다. 값: (작업, C2, 배달, 악용, 설치, 정찰, 무기화). |
|
|
알려진 가양성
|
knownFalsePositives | string |
표시기가 가양성으로 인해 발생할 수 있는 시나리오입니다. |
|
|
마지막으로 보고된 날짜 시간
|
lastReportedDateTime | date-time |
표시기가 마지막으로 표시된 시간(UTC)입니다. |
|
|
맬웨어 패밀리 이름
|
malwareFamilyNames | array of string |
표시기(있는 경우)와 연결된 맬웨어 패밀리 이름입니다. |
|
|
수동 전용
|
passiveOnly | boolean |
표시기가 최종 사용자에게 표시되는 이벤트를 트리거해야 하는지 여부를 결정합니다. |
|
|
심각도
|
severity | integer |
표시기 내의 데이터로 식별되는 악의적인 동작의 심각도입니다. 값은 0에서 5이고 5는 가장 심각합니다. 기본값은 3입니다. |
|
|
태그들
|
tags | array of string | ||
|
대상 제품
|
targetProduct | True | string |
표시기를 적용해야 하는 단일 보안 제품입니다. 허용되는 값은 Azure Sentinel, Microsoft Defender ATP입니다. |
|
위협 유형
|
threatType | string |
각 지표에는 유효한 표시기 위협 유형이 있어야 합니다. 가능한 값은 Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList입니다. |
|
|
Tlp 수준
|
tlpLevel | string |
표시기용 신호등 프로토콜 값입니다. 가능한 값은 알 수 없음, 흰색, 녹색, 주황색, 빨간색입니다. |
|
|
전자 메일 인코딩
|
emailEncoding | string |
전자 메일에 사용되는 텍스트 인코딩의 형식입니다. |
|
|
메일 언어
|
emailLanguage | string |
전자 메일의 언어입니다. |
|
|
전자 메일 받는 사람
|
emailRecipient | string |
받는 사람 전자 메일 주소입니다. |
|
|
전자 메일 보낸 사람 주소
|
emailSenderAddress | string |
공격자|피해자의 전자 메일 주소입니다. |
|
|
전자 메일 보낸 사람 이름
|
emailSenderName | string |
공격자|victim의 이름이 표시됩니다. |
|
|
전자 메일 원본 도메인
|
emailSourceDomain | string |
전자 메일에 사용되는 도메인입니다. |
|
|
전자 메일 원본 IP 주소
|
emailSourceIpAddress | string |
전자 메일의 원본 IP 주소입니다. |
|
|
이메일 제목
|
emailSubject | string |
전자 메일의 제목 줄입니다. |
|
|
이메일 XMailer
|
emailXMailer | string |
전자 메일에 사용되는 X-Mailer 값입니다. |
|
|
파일 컴파일 날짜 시간
|
fileCompileDateTime | date-time |
파일이 컴파일된 DateTime입니다. |
|
|
파일 생성 날짜 시간
|
fileCreatedDateTime | date-time |
파일이 만들어진 날짜/시간입니다. |
|
|
파일 해시 형식
|
fileHashType | string |
fileHashValue에 저장된 해시의 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph입니다. |
|
|
파일 해시 값
|
fileHashValue | string |
파일 해시 값입니다. |
|
|
파일 뮤텍스 이름
|
fileMutexName | string |
파일 기반 검색에 사용되는 뮤텍스 이름입니다. |
|
|
파일 이름
|
fileName | string |
표시기가 파일 기반인 경우 파일의 이름입니다. |
|
|
파일 패커
|
filePacker | string |
해당 파일을 빌드하는 데 사용되는 Packer입니다. |
|
|
파일 경로
|
filePath | string |
손상 여부를 나타내는 파일의 경로입니다. Windows 또는 *nix 스타일 경로일 수 있습니다. |
|
|
파일 크기
|
fileSize | integer |
파일의 크기(바이트)입니다. |
|
|
파일 형식
|
fileType | string |
파일 형식에 대한 텍스트 설명입니다. 예를 들어 "Word 문서" 또는 "이진"입니다. |
|
|
도메인 이름
|
domainName | string |
이 표시기와 연결된 도메인 이름입니다. |
|
|
네트워크 cidr 블록
|
networkCidrBlock | string |
이 표시기에서 참조되는 네트워크의 CIDR 블록 표기법 표현입니다. |
|
|
네트워크 대상 Asn
|
networkDestinationAsn | integer |
표시기에서 참조되는 네트워크의 대상 자율 시스템 식별자입니다. |
|
|
네트워크 대상 cidr 블록
|
networkDestinationCidrBlock | string |
이 표시기에서 대상 네트워크의 CIDR 블록 표기법 표현입니다. |
|
|
네트워크 대상 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 주소 대상입니다. |
|
|
네트워크 대상 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 주소 대상입니다. |
|
|
네트워크 대상 포트
|
networkDestinationPort | integer |
TCP 포트 대상입니다. |
|
|
네트워크 IPv4
|
networkIPv4 | string |
IPv4 IP 주소입니다. |
|
|
네트워크 IPv6
|
networkIPv6 | string |
IPv6 IP 주소입니다. |
|
|
네트워크 포트
|
networkPort | integer |
TCP 포트. |
|
|
네트워크 프로토콜
|
networkProtocol | integer |
IPv4 헤더에 있는 프로토콜 필드의 10진수 표현입니다. |
|
|
네트워크 원본 Asn
|
networkSourceAsn | integer |
표시기에서 참조되는 네트워크의 원본 자율 시스템 식별자입니다. |
|
|
네트워크 원본 cidr 블록
|
networkSourceCidrBlock | string |
이 표시기에서 원본 네트워크의 CIDR 블록 표기법 표현입니다. |
|
|
네트워크 원본 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 주소 원본입니다. |
|
|
네트워크 대상 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 주소 원본입니다. |
|
|
네트워크 원본 포트
|
networkSourcePort | integer |
TCP 포트 원본입니다. |
|
|
웹 주소
|
url | string |
Uniform Resource Locator. |
|
|
사용자 에이전트
|
userAgent | string |
손상되었음을 나타낼 수 있는 웹 요청의 문자열을 User-Agent. |
반환
반환된 단일 TiIndicator 엔터티
- TiIndicator
- TiIndicator
tiIndicator 업데이트(사용되지 않음) [사용되지 않음]
위협 인텔리전스 표시기의 특정 속성을 업데이트합니다. tiIndicator에 필요한 필드는 ID, expirationDateTime 및 targetProduct(사용되지 않음)입니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
위협 인텔리전스 표시기 ID를 지정합니다. |
|
조치
|
action | string |
targetProduct 보안 도구 내에서 표시기가 일치하는 경우 적용할 작업입니다. 값: (알 수 없음, 허용, 차단, 경고). |
|
|
활동 그룹 이름
|
activityGroupNames | array of string |
위협 지표에서 다루는 악의적인 활동을 담당하는 당사자의 사이버 위협 인텔리전스 이름입니다. |
|
|
추가 정보
|
additionalInformation | string |
다른 tiIndicator 속성에서 다루지 않는 표시기의 추가 데이터를 배치할 수 있습니다. |
|
|
신뢰
|
confidence | integer |
검색 논리의 신뢰도(0-100 사이의 백분율)입니다. |
|
|
Description
|
description | string |
TiIndicator 설명(100자 이하). |
|
|
다이아몬드 모델
|
diamondModel | string |
이 표시기가 있는 다이아몬드 모델의 영역입니다. 값: (알 수 없음, 악의적인 사용자, 기능, 인프라, 피해자). |
|
|
만료 날짜 시간
|
expirationDateTime | True | date-time |
표시기가 만료되는 시간(UTC 형식입니다. 예를 들어 2020-03-01T00:00:00Z). |
|
외부 식별자
|
externalId | string |
표시기를 표시기 공급자의 시스템에 다시 연결하는 ID 번호입니다(예: 외래 키). |
|
|
활성 상태
|
isActive | boolean |
기본적으로 제출된 모든 표시기는 활성으로 설정됩니다. 그러나 공급자는 시스템에서 표시기를 비활성화하기 위해 이 집합이 'False'로 설정된 기존 표시기를 제출할 수 있습니다. |
|
|
킬 체인
|
killChain | array of string |
이 표시기를 대상으로 하는 Kill Chain의 점 또는 지점을 설명하는 문자열입니다. 값: (작업, C2, 배달, 악용, 설치, 정찰, 무기화). |
|
|
알려진 가양성
|
knownFalsePositives | string |
표시기가 가양성으로 인해 발생할 수 있는 시나리오입니다. |
|
|
마지막으로 보고된 날짜 시간
|
lastReportedDateTime | date-time |
표시기가 마지막으로 표시된 시간(UTC)입니다. |
|
|
맬웨어 패밀리 이름
|
malwareFamilyNames | array of string |
표시기(있는 경우)와 연결된 맬웨어 패밀리 이름입니다. |
|
|
수동 전용
|
passiveOnly | boolean |
표시기가 최종 사용자에게 표시되는 이벤트를 트리거해야 하는지 여부를 결정합니다. |
|
|
심각도
|
severity | integer |
표시기 내의 데이터로 식별되는 악의적인 동작의 심각도입니다. 값은 0에서 5이고 5는 가장 심각합니다. 기본값은 3입니다. |
|
|
태그들
|
tags | array of string | ||
|
Tlp 수준
|
tlpLevel | string |
표시기용 신호등 프로토콜 값입니다. 가능한 값은 알 수 없음, 흰색, 녹색, 주황색, 빨간색입니다. |
|
|
대상 제품
|
targetProduct | True | string |
표시기를 적용해야 하는 단일 보안 제품입니다. 허용되는 값은 Azure Sentinel, Microsoft Defender ATP입니다. |
tiIndicators 가져오기(사용되지 않음) [사용되지 않음]
이 Microsoft Entra ID 테넌트에 대한 위협 인텔리전스 지표 목록을 가져옵니다. 다른 쿼리 매개 변수(사용되지 않음)와 함께 사용합니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
tiIndicator 필터링
|
$filter | string |
threatType eq 'WatchList'와 같은 위협 인텔리전스 지표에 대한 필터링 조건 지정 |
|
|
상위 tiIndicators
|
$top | integer |
검색할 위협 인텔리전스 지표의 최근 상위 개수 지정 |
|
|
tiIndicator 속성 선택
|
$select | string |
결과에 포함할 위협 인텔리전스 표시기 속성을 지정합니다. |
|
|
반환된 tiIndicator 수 포함
|
$count | string |
응답에 반환된 위협 인텔리전스 표시기 수를 포함하도록 지정합니다. |
|
|
"n" 결과를 건너뜁니다.
|
$skip | integer |
건너뛸 결과 수를 지정합니다. 페이지 매김에 유용합니다. |
|
|
정렬 순서
|
$orderby | string |
결과의 정렬 순서를 지정합니다. |
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
TiIndicator 개수
|
@odata.count | integer |
반환된 TiIndicator의 수 |
|
TiIndicators
|
value | array of TiIndicator |
반환된 TiIndicator |
|
다음 링크
|
@odata.nextLink | string |
요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크 |
경고 가져오기(사용되지 않음) [사용되지 않음]
이 Microsoft Entra ID 테넌트에 대한 보안 경고 목록을 가져옵니다. 다른 쿼리 매개 변수(사용되지 않음)와 함께 사용합니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
경고 필터링
|
$filter | string |
심각도 eq "High"와 같은 경고에 대한 필터링 조건을 지정합니다. |
|
|
상위 경고
|
$top | integer |
각 공급자에서 검색할 가장 최근 상위 경고 수를 지정합니다. |
|
|
경고 속성 선택
|
$select | string |
결과에 포함할 경고 속성을 지정합니다. |
|
|
정렬 순서
|
$orderby | string |
결과의 정렬 순서를 지정합니다. |
|
|
"n" 결과를 건너뜁니다.
|
$skip | integer |
건너뛸 결과 수를 지정합니다. 페이지 매김에 유용합니다. |
|
|
반환된 경고 수 포함
|
$count | string |
응답에 반환된 경고 수를 포함하도록 지정합니다. |
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
경고 수
|
@odata.count | integer |
반환된 경고 수 |
|
경고
|
value | array of Alert |
반환된 경고 |
|
다음 링크
|
@odata.nextLink | string |
요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크 |
구독 만들기(사용되지 않음) [사용되지 않음]
Microsoft Graph 웹후크 구독을 만듭니다(사용되지 않음).
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
리소스 URL
|
resource | True | string |
변경 내용을 모니터링할 리소스를 지정합니다. 기본 URL( |
|
유형 변경
|
changeType | True | string |
구독된 리소스에서 변경될 때 알림을 발생시켜야 하는 속성 유형을 지정합니다. |
|
클라이언트 상태
|
clientState | string |
클라이언트 상태를 지정하여 알림 원본을 확인합니다. |
|
|
알림 URL
|
notificationUrl | True | string |
알림을 받을 엔드포인트의 올바른 형식 URL을 지정합니다. |
|
만료 날짜 시간
|
expirationDateTime | True | date-time |
웹후크 구독이 만료되는 날짜 시간을 지정합니다. 은 현재 시간보다 크고 30일 이내에 날짜 시간이어야 합니다. |
반환
반환된 단일 구독 엔터티
- Subscription
- Subscription
구독 삭제(사용되지 않음) [사용되지 않음]
특정 Microsoft Graph 웹후크 구독을 삭제합니다(사용되지 않음).
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
구독 ID
|
Subscription Id | True | string |
Microsoft Graph 웹후크 구독 ID를 지정합니다. |
구독 업데이트(사용되지 않음) [사용되지 않음]
만료 시간(사용되지 않음)을 업데이트하여 Microsoft Graph 웹후크 구독을 갱신합니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
구독 ID
|
Subscription Id | True | string |
Microsoft Graph Webhook 구독 ID를 지정합니다. |
|
만료 날짜 시간
|
expirationDateTime | string |
Microsoft Graph 웹후크 구독이 만료되는 날짜 및 시간을 UTC 형식으로 지정합니다. 보안 경고의 최대 만료 시간은 43200분(30일 미만)입니다. |
반환
반환된 단일 구독 엔터티
- Subscription
- Subscription
업데이트 경고(사용되지 않음) [사용되지 않음]
보안 경고의 특정 속성을 업데이트합니다(사용되지 않음).
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
경고 ID
|
alert-id | True | string |
경고 ID를 지정합니다. |
|
할당 대상
|
assignedTo | string |
심사, 조사 또는 수정을 위해 경고가 할당된 분석가의 이름을 지정합니다. |
|
|
Closed dateTime
|
closedDateTime | string |
경고가 닫힌 시간을 지정합니다. 타임스탬프 형식은 ISO 8601 형식을 사용하는 날짜 및 시간 정보를 나타내며 항상 UTC 시간입니다. |
|
|
comments
|
comments | array of string |
코멘트 |
|
|
태그들
|
tags | array of string |
경고에 적용할 수 있고 필터 조건(예: "HVA", "SAW" 등)으로 사용할 수 있는 사용자 정의 레이블을 지정합니다. |
|
|
Feedback
|
feedback | string |
경고에 대한 분석가 피드백을 지정합니다. |
|
|
상태
|
status | string |
경고 수명 주기 상태(단계)를 추적할 상태를 지정합니다. |
|
|
공급자 이름
|
provider | True | string |
특정 공급자(제품/서비스 - 공급업체 회사가 아님); 예를 들어 WindowsDefenderATP입니다. |
|
공급자 버전
|
providerVersion | string |
경고를 생성한 공급자 또는 하위 프로비더의 버전을 지정합니다. |
|
|
하위 공급자 이름
|
subProvider | string |
특정 하위 프로젝트(집계 공급자 아래); 예를 들어 WindowsDefenderATP.SmartScreen입니다. |
|
|
공급업체 이름
|
vendor | True | string |
경고 공급업체의 이름(예: Microsoft, Dell, FireEye)을 지정합니다. |
여러 tiIndicator 업데이트(사용되지 않음) [사용되지 않음]
여러 위협 인텔리전스 지표의 특정 속성을 업데이트합니다. 각 tiIndicator에 필요한 필드는 ID, expirationDateTime 및 targetProduct(사용되지 않음)입니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
아이디
|
id | True | string |
TiIndicator-id |
|
조치
|
action | string |
targetProduct 보안 도구 내에서 표시기가 일치하는 경우 적용할 작업입니다. 값: (알 수 없음, 허용, 차단, 경고). |
|
|
활동 그룹 이름
|
activityGroupNames | array of string |
위협 지표에서 다루는 악의적인 활동을 담당하는 당사자의 사이버 위협 인텔리전스 이름입니다. |
|
|
추가 정보
|
additionalInformation | string |
다른 tiIndicator 속성에서 다루지 않는 표시기의 추가 데이터를 배치할 수 있습니다. |
|
|
신뢰
|
confidence | integer |
검색 논리의 신뢰도(0-100 사이의 백분율)입니다. |
|
|
Description
|
description | string |
TiIndicator 설명(100자 이하). |
|
|
다이아몬드 모델
|
diamondModel | string |
이 표시기가 있는 다이아몬드 모델의 영역입니다. 값: (알 수 없음, 악의적인 사용자, 기능, 인프라, 피해자). |
|
|
만료 날짜 시간
|
expirationDateTime | True | date-time |
표시기가 만료되는 시간(UTC)입니다. |
|
대상 제품
|
targetProduct | True | string |
표시기를 적용해야 하는 단일 보안 제품입니다. 허용되는 값은 Azure Sentinel, Microsoft Defender ATP입니다. |
|
외부 식별자
|
externalId | string |
표시기를 표시기 공급자의 시스템에 다시 연결하는 ID 번호입니다(예: 외래 키). |
|
|
활성 상태
|
isActive | boolean |
기본적으로 제출된 모든 표시기는 활성으로 설정됩니다. 그러나 공급자는 시스템에서 표시기를 비활성화하기 위해 이 집합이 'False'로 설정된 기존 표시기를 제출할 수 있습니다. |
|
|
킬 체인
|
killChain | array of string |
이 표시기를 대상으로 하는 Kill Chain의 점 또는 지점을 설명하는 문자열입니다. 값: (작업, C2, 배달, 악용, 설치, 정찰, 무기화). |
|
|
알려진 가양성
|
knownFalsePositives | string |
표시기가 가양성으로 인해 발생할 수 있는 시나리오입니다. |
|
|
마지막으로 보고된 날짜 시간
|
lastReportedDateTime | date-time |
표시기가 마지막으로 표시된 시간(UTC)입니다. |
|
|
맬웨어 패밀리 이름
|
malwareFamilyNames | array of string |
표시기(있는 경우)와 연결된 맬웨어 패밀리 이름입니다. |
|
|
수동 전용
|
passiveOnly | boolean |
표시기가 최종 사용자에게 표시되는 이벤트를 트리거해야 하는지 여부를 결정합니다. |
|
|
심각도
|
severity | integer |
표시기 내의 데이터로 식별되는 악의적인 동작의 심각도입니다. 값은 0에서 5이고 5는 가장 심각합니다. 기본값은 3입니다. |
|
|
태그들
|
tags | array of string | ||
|
Tlp 수준
|
tlpLevel | string |
표시기용 신호등 프로토콜 값입니다. 가능한 값은 알 수 없음, 흰색, 녹색, 주황색, 빨간색입니다. |
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
업데이트된 TiIndicators |
여러 tiIndicator 제출(사용되지 않음) [사용되지 않음]
tiIndicators 컬렉션을 게시하여 새로운 위협 인텔리전스 지표를 만듭니다. 각 tiIndicator에 필요한 필드는 action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel(사용되지 않음)입니다.
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
조치
|
action | True | string |
targetProduct 보안 도구 내에서 표시기가 일치하는 경우 적용할 작업입니다. 값: (알 수 없음, 허용, 차단, 경고). |
|
활동 그룹 이름
|
activityGroupNames | array of string |
위협 지표에서 다루는 악의적인 활동을 담당하는 당사자의 사이버 위협 인텔리전스 이름입니다. |
|
|
추가 정보
|
additionalInformation | string |
다른 tiIndicator 속성에서 다루지 않는 표시기의 추가 데이터를 배치할 수 있습니다. |
|
|
Azure 테넌트 ID
|
azureTenantId | string |
클라이언트 제출의 Microsoft Entra ID 테넌트 ID입니다. |
|
|
신뢰
|
confidence | integer |
검색 논리의 신뢰도(0-100 사이의 백분율)입니다. |
|
|
Description
|
description | True | string |
TiIndicator 설명(100자 이하). |
|
다이아몬드 모델
|
diamondModel | string |
이 표시기가 있는 다이아몬드 모델의 영역입니다. 값: (알 수 없음, 악의적인 사용자, 기능, 인프라, 피해자). |
|
|
만료 날짜 시간
|
expirationDateTime | True | date-time |
표시기가 만료되는 시간(UTC)입니다. |
|
외부 식별자
|
externalId | string |
표시기를 표시기 공급자의 시스템에 다시 연결하는 ID 번호입니다(예: 외래 키). |
|
|
수집된 날짜 시간
|
ingestedDateTime | date-time |
표시기가 수집되는 시간(UTC)입니다. |
|
|
활성 상태
|
isActive | boolean |
기본적으로 제출된 모든 표시기는 활성으로 설정됩니다. 그러나 공급자는 시스템에서 표시기를 비활성화하기 위해 이 집합이 'False'로 설정된 기존 표시기를 제출할 수 있습니다. |
|
|
킬 체인
|
killChain | array of string |
이 표시기를 대상으로 하는 Kill Chain의 점 또는 지점을 설명하는 문자열입니다. 값: (작업, C2, 배달, 악용, 설치, 정찰, 무기화). |
|
|
알려진 가양성
|
knownFalsePositives | string |
표시기가 가양성으로 인해 발생할 수 있는 시나리오입니다. |
|
|
마지막으로 보고된 날짜 시간
|
lastReportedDateTime | date-time |
표시기가 마지막으로 표시된 시간(UTC)입니다. |
|
|
맬웨어 패밀리 이름
|
malwareFamilyNames | array of string |
표시기(있는 경우)와 연결된 맬웨어 패밀리 이름입니다. |
|
|
수동 전용
|
passiveOnly | boolean |
표시기가 최종 사용자에게 표시되는 이벤트를 트리거해야 하는지 여부를 결정합니다. |
|
|
심각도
|
severity | integer |
표시기 내의 데이터로 식별되는 악의적인 동작의 심각도입니다. 값은 0에서 5이고 5는 가장 심각합니다. 기본값은 3입니다. |
|
|
태그들
|
tags | array of string | ||
|
대상 제품
|
targetProduct | True | string |
표시기를 적용해야 하는 단일 보안 제품입니다. 허용되는 값은 Azure Sentinel, Microsoft Defender ATP입니다. |
|
위협 유형
|
threatType | string |
각 지표에는 유효한 표시기 위협 유형이 있어야 합니다. 가능한 값은 Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList입니다. |
|
|
Tlp 수준
|
tlpLevel | string |
표시기용 신호등 프로토콜 값입니다. 가능한 값은 알 수 없음, 흰색, 녹색, 주황색, 빨간색입니다. |
|
|
전자 메일 인코딩
|
emailEncoding | string |
전자 메일에 사용되는 텍스트 인코딩의 형식입니다. |
|
|
메일 언어
|
emailLanguage | string |
전자 메일의 언어입니다. |
|
|
전자 메일 받는 사람
|
emailRecipient | string |
받는 사람 전자 메일 주소입니다. |
|
|
전자 메일 보낸 사람 주소
|
emailSenderAddress | string |
공격자|피해자의 전자 메일 주소입니다. |
|
|
전자 메일 보낸 사람 이름
|
emailSenderName | string |
공격자|victim의 이름이 표시됩니다. |
|
|
전자 메일 원본 도메인
|
emailSourceDomain | string |
전자 메일에 사용되는 도메인입니다. |
|
|
전자 메일 원본 IP 주소
|
emailSourceIpAddress | string |
전자 메일의 원본 IP 주소입니다. |
|
|
이메일 제목
|
emailSubject | string |
전자 메일의 제목 줄입니다. |
|
|
이메일 XMailer
|
emailXMailer | string |
전자 메일에 사용되는 X-Mailer 값입니다. |
|
|
파일 컴파일 날짜 시간
|
fileCompileDateTime | date-time |
파일이 컴파일된 DateTime입니다. |
|
|
파일 생성 날짜 시간
|
fileCreatedDateTime | date-time |
파일이 만들어진 날짜/시간입니다. |
|
|
파일 해시 형식
|
fileHashType | string |
fileHashValue에 저장된 해시의 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph입니다. |
|
|
파일 해시 값
|
fileHashValue | string |
파일 해시 값입니다. |
|
|
파일 뮤텍스 이름
|
fileMutexName | string |
파일 기반 검색에 사용되는 뮤텍스 이름입니다. |
|
|
파일 이름
|
fileName | string |
표시기가 파일 기반인 경우 파일의 이름입니다. |
|
|
파일 패커
|
filePacker | string |
해당 파일을 빌드하는 데 사용되는 Packer입니다. |
|
|
파일 경로
|
filePath | string |
손상 여부를 나타내는 파일의 경로입니다. Windows 또는 *nix 스타일 경로일 수 있습니다. |
|
|
파일 크기
|
fileSize | integer |
파일의 크기(바이트)입니다. |
|
|
파일 형식
|
fileType | string |
파일 형식에 대한 텍스트 설명입니다. 예를 들어 "Word 문서" 또는 "이진"입니다. |
|
|
도메인 이름
|
domainName | string |
이 표시기와 연결된 도메인 이름입니다. |
|
|
네트워크 cidr 블록
|
networkCidrBlock | string |
이 표시기에서 참조되는 네트워크의 CIDR 블록 표기법 표현입니다. |
|
|
네트워크 대상 Asn
|
networkDestinationAsn | integer |
표시기에서 참조되는 네트워크의 대상 자율 시스템 식별자입니다. |
|
|
네트워크 대상 cidr 블록
|
networkDestinationCidrBlock | string |
이 표시기에서 대상 네트워크의 CIDR 블록 표기법 표현입니다. |
|
|
네트워크 대상 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 주소 대상입니다. |
|
|
네트워크 대상 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 주소 대상입니다. |
|
|
네트워크 대상 포트
|
networkDestinationPort | integer |
TCP 포트 대상입니다. |
|
|
네트워크 IPv4
|
networkIPv4 | string |
IPv4 IP 주소입니다. |
|
|
네트워크 IPv6
|
networkIPv6 | string |
IPv6 IP 주소입니다. |
|
|
네트워크 포트
|
networkPort | integer |
TCP 포트. |
|
|
네트워크 프로토콜
|
networkProtocol | integer |
IPv4 헤더에 있는 프로토콜 필드의 10진수 표현입니다. |
|
|
네트워크 원본 Asn
|
networkSourceAsn | integer |
표시기에서 참조되는 네트워크의 원본 자율 시스템 식별자입니다. |
|
|
네트워크 원본 cidr 블록
|
networkSourceCidrBlock | string |
이 표시기에서 원본 네트워크의 CIDR 블록 표기법 표현입니다. |
|
|
네트워크 원본 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 주소 원본입니다. |
|
|
네트워크 대상 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 주소 원본입니다. |
|
|
네트워크 원본 포트
|
networkSourcePort | integer |
TCP 포트 원본입니다. |
|
|
웹 주소
|
url | string |
Uniform Resource Locator. |
|
|
사용자 에이전트
|
userAgent | string |
손상되었음을 나타낼 수 있는 웹 요청의 문자열을 User-Agent. |
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
제출된 TiIndicators |
외부 ID로 여러 tiIndicator 삭제(사용되지 않음) [사용되지 않음]
지정된 외부 ID에 해당하는 여러 위협 인텔리전스 표시기를 삭제합니다(사용되지 않음).
매개 변수
| Name | 키 | 필수 | 형식 | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
코드
|
value.code | integer |
결과 코드 |
|
message
|
value.message | string |
메시지 |
|
서브코드
|
value.subcode | integer |
결과 하위 코드 |
활성 구독 가져오기(사용되지 않음) [사용되지 않음]
이 Microsoft Entra ID 테넌트에 대한 미공개 구독 목록을 가져옵니다(사용되지 않음).
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
기존 구독 수
|
@odata.count | integer |
반환된 구독 수 |
|
Subscription
|
value | array of Subscription |
반환된 구독 엔터티 |
|
다음 링크
|
@odata.nextLink | string |
요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크 |
트리거
| 모든 새 경고(사용되지 않음) [사용되지 않음] |
모든 새 경고에 대한 트리거(사용되지 않음) |
| 새로운 높은 심각도 경고(사용되지 않음) [사용되지 않음] |
새로운 높은 심각도 경고에 대한 트리거(사용되지 않음) |
모든 새 경고(사용되지 않음) [사용되지 않음]
모든 새 경고에 대한 트리거(사용되지 않음)
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
경고 수
|
@odata.count | integer |
반환된 경고 수 |
|
경고
|
value | array of Alert |
반환된 경고 |
|
다음 링크
|
@odata.nextLink | string |
요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크 |
새로운 높은 심각도 경고(사용되지 않음) [사용되지 않음]
새로운 높은 심각도 경고에 대한 트리거(사용되지 않음)
반환
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
경고 수
|
@odata.count | integer |
반환된 경고 수 |
|
경고
|
value | array of Alert |
반환된 경고 |
|
다음 링크
|
@odata.nextLink | string |
요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크 |
정의
Alert
반환된 단일 경고 엔터티
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
Azure 구독 ID
|
azureSubscriptionId | string |
이 경고가 Azure 리소스와 관련된 경우 표시되는 Azure 구독 ID입니다. |
|
태그들
|
tags | array of string |
경고에 적용할 수 있고 필터 조건(예: "HVA", "SAW" 등)으로 사용할 수 있는 사용자 정의 레이블입니다. |
|
아이디
|
id | string |
공급자가 생성한 GUID/고유 식별자입니다. |
|
Azure 테넌트 ID
|
azureTenantId | string |
Microsoft Entra ID 테넌트 ID입니다. |
|
활동 그룹 이름
|
activityGroupName | string |
이 경고의 특성은 활동 그룹(공격자)의 이름 또는 별칭입니다. |
|
할당 대상
|
assignedTo | string |
심사, 조사 또는 수정을 위해 경고가 할당된 분석가의 이름입니다. |
|
카테고리
|
category | string |
경고 범주(예: credentialTheft, 랜섬웨어 등). |
|
종료 날짜 시간
|
closedDateTime | date-time |
경고가 닫힌 시간(UTC)입니다. |
|
코멘트
|
comments | array of string |
경고에 대한 고객이 제공한 의견(고객 경고 관리용). |
|
신뢰
|
confidence | integer |
검색 논리의 신뢰도(1~100 사이의 백분율)입니다. |
|
만든 날짜 시간
|
createdDateTime | date-time |
경고가 생성된 시간(UTC)입니다. |
|
Description
|
description | string |
경고 설명입니다. |
|
검색 ID
|
detectionIds | array of string |
이 경고 엔터티와 관련된 경고 집합입니다. |
|
이벤트 날짜 시간
|
eventDateTime | date-time |
경고를 생성하기 위한 트리거 역할을 한 이벤트가 발생한 시간(UTC)입니다. |
|
Feedback
|
feedback | string |
경고에 대한 분석가 피드백입니다. 가능한 값은 unknown, truePositive, falsePositive, benignPositive입니다. |
|
마지막으로 수정한 날짜 시간
|
lastModifiedDateTime | date-time |
경고 엔터티가 마지막으로 수정된 시간(UTC)입니다. |
|
권장 작업
|
recommendedActions | array of string |
공급업체/공급자는 경고의 결과로 수행할 작업(예: 컴퓨터 격리, enforce2FA, 이미지 다시 설치 호스트 등)을 권장합니다. |
|
심각도
|
severity | string |
경고 심각도 - 공급업체/공급자가 설정합니다. 값: (높음, 중간, 낮음, 정보) 여기서 "정보"는 경고가 실행 가능하지 않다고 유추합니다. |
|
원본 자료
|
sourceMaterials | array of string |
경고와 관련된 원본 자료(예: 공급자 조사 UI 등)에 대한 하이퍼링크(URI) |
|
상태
|
status | string |
경고 수명 주기 상태(단계). 값: (unknown, newAlert, inProgress, resolved). |
|
제목
|
title | string |
경고 제목. |
|
공급자 이름
|
vendorInformation.provider | string |
특정 공급자(제품/서비스 - 공급업체 회사가 아님); 예를 들어 WindowsDefenderATP입니다. |
|
공급자 버전
|
vendorInformation.providerVersion | string |
공급자 또는 하위 프로비더의 버전입니다. |
|
하위 공급자 이름
|
vendorInformation.subProvider | string |
특정 하위 프로젝트(집계 공급자 아래); 예를 들어 WindowsDefenderATP.SmartScreen입니다. |
|
공급업체 이름
|
vendorInformation.vendor | string |
경고 공급업체의 이름(예: Microsoft, Dell, FireEye). |
|
클라우드 앱 상태
|
cloudAppStates | array of object |
이 경고와 관련된 클라우드 애플리케이션/s에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
대상 서비스 IP
|
cloudAppStates.destinationServiceIp | string |
클라우드 앱/서비스에 대한 연결의 대상 IP 주소입니다. |
|
대상 서비스 이름
|
cloudAppStates.destinationServiceName | string |
대상 클라우드 앱/서비스 이름입니다. |
|
위험 점수
|
cloudAppStates.riskScore | string |
클라우드 애플리케이션/서비스의 공급자 생성/계산 위험 점수입니다. |
|
파일 상태
|
fileStates | array of object |
이 경고와 관련된 파일에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
이름
|
fileStates.name | string |
파일 이름(경로 없음) |
|
경로
|
fileStates.path | string |
파일/imageFile의 전체 파일 경로입니다. |
|
위험 점수
|
fileStates.riskScore | string |
경고 파일의 공급자 생성/계산된 위험 점수입니다. |
|
유형
|
fileStates.fileHash.type | string |
파일 해시 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256입니다. |
|
가치
|
fileStates.fileHash.value | string |
파일 해시의 값입니다. |
|
호스트 상태
|
hostStates | array of object |
이 경고와 관련된 호스트에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
정규화된 도메인 이름
|
hostStates.fqdn | string |
호스트 FQDN(정규화된 도메인 이름). |
|
azureAd가 조인되어 있는지 확인
|
hostStates.isAzureAdJoined | boolean |
호스트가 Microsoft Entra ID Domain Services에 가입된 도메인인 경우 True입니다. |
|
azureAd가 등록되어 있는지 확인합니다.
|
hostStates.isAzureAdRegistered | boolean |
True이면 Microsoft Entra ID 디바이스 등록(예: BYOD)에 등록된 호스트가 엔터프라이즈에서 완전히 관리되지 않습니다. |
|
하이브리드 Azure 도메인이 가입되어 있습니까?
|
hostStates.isHybridAzureDomainJoined | boolean |
호스트가 온-프레미스 Microsoft Entra ID 도메인에 가입된 도메인이면 True입니다. |
|
Net bios 이름
|
hostStates.netBiosName | string |
DNS 도메인 이름이 없는 로컬 호스트 이름입니다. |
|
운영 체제 이름
|
hostStates.os | string |
호스트 운영 체제. |
|
개인 IP 주소
|
hostStates.privateIpAddress | string |
경고 시 프라이빗(라우팅할 수 없음) IPv4 또는 IPv6 주소입니다. |
|
공용 IP 주소
|
hostStates.publicIpAddress | string |
경고 시 공개적으로 라우팅 가능한 IPv4 또는 IPv6 주소입니다. |
|
위험 점수
|
hostStates.riskScore | string |
호스트의 공급자 생성/계산된 위험 점수입니다. |
|
맬웨어 상태
|
malwareStates | array of object |
이 경고와 관련된 맬웨어에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
카테고리
|
malwareStates.category | string |
공급자가 생성한 맬웨어 범주(예: 트로이 목마, 랜섬웨어 등). |
|
패밀리
|
malwareStates.family | string |
공급자가 생성한 맬웨어 패밀리(예: "wannacry", "notpetya" 등). |
|
이름
|
malwareStates.name | string |
공급자가 생성한 맬웨어 변형 이름(예: 트로이 목마:Win32/Powessere.H). |
|
심각도
|
malwareStates.severity | string |
공급자가 결정한 이 맬웨어의 심각도입니다. |
|
실행 중
|
malwareStates.wasRunning | boolean |
검색된 파일(맬웨어/취약성)이 검색 시 실행 중이거나 디스크에서 미사용 시 검색되었는지 여부를 나타냅니다. |
|
네트워크 연결
|
networkConnections | array of object |
이 경고와 관련된 파일에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
애플리케이션 이름
|
networkConnections.applicationName | string |
네트워크 연결을 관리하는 애플리케이션의 이름입니다(예: Facebook, SMTP 등). |
|
대상 주소
|
networkConnections.destinationAddress | string |
네트워크 연결의 대상 IP 주소입니다. |
|
대상 도메인
|
networkConnections.destinationDomain | string |
대상 URL의 대상 도메인 부분입니다. (예: "www.contoso.com"). |
|
목적지 포트
|
networkConnections.destinationPort | string |
네트워크 연결의 대상 포트입니다. |
|
대상 URL
|
networkConnections.destinationUrl | string |
네트워크 연결 URL/URI 문자열 - 매개 변수 제외 |
|
방향
|
networkConnections.direction | string |
네트워크 연결 방향입니다. 가능한 값은 알 수 없음, 인바운드, 아웃바운드입니다. |
|
도메인 등록 dateTime
|
networkConnections.domainRegisteredDateTime | date-time |
대상 도메인이 등록된 날짜(UTC)입니다. |
|
로컬 dns 이름
|
networkConnections.localDnsName | string |
호스트 로컬 DNS 캐시에 표시되는 로컬 DNS 이름 확인(예: "hosts" 파일이 변조된 경우). |
|
Nat 대상 주소
|
networkConnections.natDestinationAddress | string |
네트워크 주소 변환 대상 IP 주소입니다. |
|
Nat 대상 포트
|
networkConnections.natDestinationPort | string |
네트워크 주소 변환 대상 포트입니다. |
|
Nat 원본 주소
|
networkConnections.natSourceAddress | string |
네트워크 주소 변환 원본 IP 주소입니다. |
|
Nat 원본 포트
|
networkConnections.natSourcePort | string |
네트워크 주소 변환 원본 포트입니다. |
|
프로토콜
|
networkConnections.protocol | string |
네트워크 프로토콜. 가능한 값은 알 수 없음, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spxII. |
|
위험 점수
|
networkConnections.riskScore | string |
네트워크 연결의 공급자 생성/계산된 위험 점수입니다. |
|
원본 주소
|
networkConnections.sourceAddress | string |
네트워크 연결의 원본(예: 원본) IP 주소입니다. |
|
원본 포트
|
networkConnections.sourcePort | string |
네트워크 연결의 원본(예: 원본) IP 포트입니다. |
|
상태
|
networkConnections.status | string |
네트워크 연결 상태입니다. 가능한 값은 알 수 없음, 시도됨, 성공, 차단됨, 실패입니다. |
|
URL 매개 변수
|
networkConnections.urlParameters | string |
대상 URL의 매개 변수(접미사)를 문자열로 사용합니다. |
|
Processes
|
processes | array of object |
이 경고와 관련된 프로세스 또는 프로세스에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
계정 이름
|
processes.accountName | string |
사용자 계정 식별자(프로세스가 실행된 사용자 계정 컨텍스트)(예: AccountName, SID 등) |
|
명령줄
|
processes.commandLine | string |
모든 매개 변수를 포함하는 전체 프로세스 호출 명령줄입니다. |
|
만든 날짜 시간
|
processes.createdDateTime | date-time |
부모 프로세스가 시작된 DateTime(UTC)입니다. |
|
무결성 수준
|
processes.integrityLevel | string |
프로세스의 무결성 수준입니다. 가능한 값은 알 수 없음, 신뢰할 수 없음, 낮음, 중간, 높음, 시스템입니다. |
|
상승됨
|
processes.isElevated | boolean |
프로세스가 상승하면 True입니다. |
|
이름
|
processes.name | string |
프로세스 이미지 파일의 이름입니다. |
|
부모 프로세스에서 만든 날짜 시간
|
processes.parentProcessCreatedDateTime | date-time |
프로세스가 시작된 시간(UTC)입니다. |
|
부모 프로세스 ID
|
processes.parentProcessId | integer |
부모 프로세스의 PID(프로세스 ID)입니다. |
|
부모 프로세스 이름
|
processes.parentProcessName | string |
부모 프로세스의 이미지 파일 이름입니다. |
|
경로
|
processes.path | string |
파일 이름을 포함한 전체 경로입니다. |
|
프로세스 ID
|
processes.processId | integer |
프로세스의 PID(프로세스 ID)입니다. |
|
유형
|
processes.fileHash.type | string |
파일 해시 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256입니다. |
|
가치
|
processes.fileHash.value | string |
파일 해시의 값입니다. |
|
레지스트리 키 상태
|
registryKeyStates | array of object |
이 경고와 관련된 레지스트리 키에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
프로세스
|
registryKeyStates.process | string |
레지스트리 키를 수정한 프로세스의 프로세스 ID(PID)입니다(프로세스 세부 정보는 경고 "프로세스" 컬렉션에 표시됨). |
|
수술
|
registryKeyStates.operation | string |
레지스트리 키 이름 및/또는 값(추가, 수정, 삭제)을 변경한 작업입니다. |
|
값 유형
|
registryKeyStates.valueType | string |
레지스트리 키 값 형식입니다. 가능한 값은 unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz입니다. |
|
레지스트리 하이브
|
registryKeyStates.hive | string |
Windows 레지스트리 하이브. 가능한 값은 unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault입니다. |
|
Key
|
registryKeyStates.key | string |
현재(즉, 변경된) 레지스트리 키(HIVE 제외)입니다. |
|
값의 이름
|
registryKeyStates.valueName | string |
현재(즉, 변경된) 레지스트리 키 값 이름입니다. |
|
값 데이터
|
registryKeyStates.valueData | string |
현재(즉, 변경된) 레지스트리 키 값 데이터(콘텐츠)입니다. |
|
이전 키
|
registryKeyStates.oldKey | string |
이전(즉, 변경 전) 레지스트리 키(HIVE 제외). |
|
이전 값 이름
|
registryKeyStates.oldValueName | string |
이전(예: 변경 전) 레지스트리 키 값 이름입니다. |
|
이전 값 데이터
|
registryKeyStates.oldValueData | string |
이전(즉, 변경 전) 레지스트리 키 값 데이터(콘텐츠)입니다. |
|
유발 요소
|
triggers | array of object |
경고를 트리거한 특정 속성(경고에 나타나는 속성)에 대한 보안 관련 정보입니다. 경고에는 여러 사용자, 호스트, 파일, IP 주소에 대한 정보가 포함될 수 있습니다. 이 필드는 경고 생성을 트리거한 속성을 나타냅니다. |
|
이름
|
triggers.name | string |
검색 트리거 역할을 하는 속성의 이름입니다. |
|
유형
|
triggers.type | string |
해석을 위한 키:값 쌍의 특성 유형(예: 문자열, 부울 등)입니다. |
|
가치
|
triggers.value | string |
검색 트리거 역할을 하는 특성의 값입니다. |
|
사용자 상태
|
userStates | array of object |
이 경고와 관련된 로그온한 사용자 또는 사용자에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다. |
|
Microsoft Entra ID 사용자 ID
|
userStates.aadUserId | string |
Microsoft Entra ID GUID(사용자 개체 식별자) - 물리적/다중 계정 사용자 엔터티를 나타냅니다. |
|
계정 이름
|
userStates.accountName | string |
사용자 계정의 계정 이름(Microsoft Entra ID 도메인 또는 DNS 도메인 제외) - ("mailNickName"이라고도 함) |
|
도메인 이름
|
userStates.domainName | string |
사용자 계정의 NetBIOS/Microsoft Entra ID 도메인(즉, domain\account 형식). |
|
전자 메일 역할
|
userStates.emailRole | string |
전자 메일 관련 경고의 경우 - 사용자 계정 전자 메일 역할입니다. |
|
Vpn인 경우
|
userStates.isVpn | boolean |
사용자가 VPN을 통해 로그온했는지 여부를 나타냅니다. |
|
로그온 날짜 시간
|
userStates.logonDateTime | date-time |
로그온이 발생한 시간(UTC)입니다. |
|
로그온 ID
|
userStates.logonId | string |
사용자 로그인 ID입니다. |
|
로그온 IP
|
userStates.logonIp | string |
IP 로그온 요청의 주소를 지정합니다. |
|
로그온 위치
|
userStates.logonLocation | string |
이 사용자가 사용자 로그인 이벤트와 연결된 위치(IP 주소 매핑 기준)입니다. |
|
로그온 유형
|
userStates.logonType | string |
사용자 로그인 방법입니다. 가능한 값은 알 수 없음, 대화형, remoteInteractive, 네트워크, 일괄 처리, 서비스입니다. |
|
온-프레미스 보안 식별자
|
userStates.onPremisesSecurityIdentifier | string |
사용자의 Microsoft Entra ID(온-프레미스) SID(보안 식별자)입니다. |
|
위험 점수
|
userStates.riskScore | string |
사용자 계정의 공급자 생성/계산 위험 점수입니다. |
|
사용자 계정 유형
|
userStates.userAccountType | string |
Windows 정의당 사용자 계정 유형(그룹 멤버 자격)입니다. 가능한 값은 알 수 없음, 표준, 전원, 관리자입니다. |
|
사용자 주 이름
|
userStates.userPrincipalName | string |
사용자 로그인 이름 - 인터넷 형식: <사용자 계정 이름>@<사용자 계정 DNS 도메인 이름>입니다. |
|
취약성 상태
|
vulnerabilityStates | array of object |
이 경고와 관련된 하나 이상의 취약성과 관련된 위협 인텔리전스입니다. |
|
Cve
|
vulnerabilityStates.cve | string |
취약성에 대한 CVE(일반적인 취약성 및 노출)입니다. |
|
실행 중
|
vulnerabilityStates.wasRunning | boolean |
검색 시 검색된 취약성(파일)이 실행 중인지 또는 디스크의 미사용 파일인지 여부를 나타냅니다. |
|
심각도
|
vulnerabilityStates.severity | string |
이 취약성에 대한 기본 CVSS(Common Vulnerability Scoring System) 심각도 점수입니다. |
Subscription
반환된 단일 구독 엔터티
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
아이디
|
id | string |
구독에 대한 고유 식별자입니다. |
|
Resource
|
resource | string |
변경 내용을 모니터링할 리소스를 지정합니다. |
|
애플리케이션 ID
|
applicationId | string |
구독을 만드는 데 사용되는 애플리케이션의 식별자입니다. |
|
유형 변경
|
changeType | string |
알림을 발생시킬 구독된 리소스의 변경 유형을 나타냅니다. |
|
클라이언트 상태
|
clientState | string |
각 알림에서 서비스에서 보낸 clientState 속성의 값을 지정합니다. 최대 길이는 128자입니다. 클라이언트는 구독과 전송된 clientState 속성의 값을 각 알림과 함께 받은 clientState 속성의 값과 비교하여 서비스에서 알림이 제공된 것을 확인할 수 있습니다. |
|
알림 URL
|
notificationUrl | string |
알림을 받을 엔드포인트의 URL입니다. 이 URL은 HTTPS 프로토콜을 사용해야 합니다. |
|
만료 날짜 시간
|
expirationDateTime | string |
웹후크 구독이 만료되는 날짜 및 시간(UTC)을 지정합니다. |
|
작성자 ID
|
creatorId | string |
구독을 만든 사용자 또는 서비스 주체의 식별자입니다. 앱에서 위임된 권한을 사용하여 구독을 만든 경우 이 필드에는 앱이 대신 호출한 로그인한 사용자의 ID가 포함됩니다. 앱에서 애플리케이션 권한을 사용한 경우 이 필드에는 앱에 해당하는 서비스 주체의 ID가 포함됩니다. |
TiIndicator
반환된 단일 TiIndicator 엔터티
| Name | 경로 | 형식 | Description |
|---|---|---|---|
|
조치
|
action | string |
targetProduct 보안 도구 내에서 표시기가 일치하는 경우 적용할 작업입니다. 값: (알 수 없음, 허용, 차단, 경고). |
|
활동 그룹 이름
|
activityGroupNames | array of string |
위협 지표에서 다루는 악의적인 활동을 담당하는 당사자의 사이버 위협 인텔리전스 이름입니다. |
|
추가 정보
|
additionalInformation | string |
다른 tiIndicator 속성에서 다루지 않는 표시기의 추가 데이터를 배치할 수 있습니다. |
|
Azure 테넌트 ID
|
azureTenantId | string |
클라이언트 제출의 Microsoft Entra ID 테넌트 ID입니다. |
|
신뢰
|
confidence | integer |
검색 논리의 신뢰도(0-100 사이의 백분율)입니다. |
|
Description
|
description | string |
TiIndicator 설명(100자 이하). |
|
다이아몬드 모델
|
diamondModel | string |
이 표시기가 있는 다이아몬드 모델의 영역입니다. 값: (알 수 없음, 악의적인 사용자, 기능, 인프라, 피해자). |
|
만료 날짜 시간
|
expirationDateTime | date-time |
표시기가 만료되는 시간(UTC)입니다. |
|
외부 식별자
|
externalId | string |
표시기를 표시기 공급자의 시스템에 다시 연결하는 ID 번호입니다(예: 외래 키). |
|
아이디
|
id | string |
표시기가 수집될 때 시스템에서 생성됩니다. 생성된 GUID/고유 식별자입니다. |
|
수집된 날짜 시간
|
ingestedDateTime | date-time |
표시기가 수집되는 시간(UTC)입니다. |
|
활성 상태
|
isActive | boolean |
기본적으로 제출된 모든 표시기는 활성으로 설정됩니다. 그러나 공급자는 시스템에서 표시기를 비활성화하기 위해 이 집합이 'False'로 설정된 기존 표시기를 제출할 수 있습니다. |
|
킬 체인
|
killChain | array of string |
이 표시기를 대상으로 하는 Kill Chain의 점 또는 지점을 설명하는 문자열입니다. 값: (작업, C2, 배달, 악용, 설치, 정찰, 무기화). |
|
알려진 가양성
|
knownFalsePositives | string |
표시기가 가양성으로 인해 발생할 수 있는 시나리오입니다. |
|
마지막으로 보고된 날짜 시간
|
lastReportedDateTime | date-time |
표시기가 마지막으로 표시된 시간(UTC)입니다. |
|
맬웨어 패밀리 이름
|
malwareFamilyNames | array of string |
표시기(있는 경우)와 연결된 맬웨어 패밀리 이름입니다. |
|
수동 전용
|
passiveOnly | boolean |
표시기가 최종 사용자에게 표시되는 이벤트를 트리거해야 하는지 여부를 결정합니다. |
|
심각도
|
severity | integer |
표시기 내의 데이터로 식별되는 악의적인 동작의 심각도입니다. 값은 0에서 5이고 5는 가장 심각합니다. 기본값은 3입니다. |
|
태그들
|
tags | array of string | |
|
대상 제품
|
targetProduct | string |
표시기를 적용해야 하는 단일 보안 제품입니다. 허용되는 값은 Azure Sentinel, Microsoft Defender ATP입니다. |
|
위협 유형
|
threatType | string |
각 지표에는 유효한 표시기 위협 유형이 있어야 합니다. 가능한 값은 Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList입니다. |
|
Tlp 수준
|
tlpLevel | string |
표시기용 신호등 프로토콜 값입니다. 가능한 값은 알 수 없음, 흰색, 녹색, 주황색, 빨간색입니다. |
|
전자 메일 인코딩
|
emailEncoding | string |
전자 메일에 사용되는 텍스트 인코딩의 형식입니다. |
|
메일 언어
|
emailLanguage | string |
전자 메일의 언어입니다. |
|
전자 메일 받는 사람
|
emailRecipient | string |
받는 사람 전자 메일 주소입니다. |
|
전자 메일 보낸 사람 주소
|
emailSenderAddress | string |
공격자|피해자의 전자 메일 주소입니다. |
|
전자 메일 보낸 사람 이름
|
emailSenderName | string |
공격자|victim의 이름이 표시됩니다. |
|
전자 메일 원본 도메인
|
emailSourceDomain | string |
전자 메일에 사용되는 도메인입니다. |
|
전자 메일 원본 IP 주소
|
emailSourceIpAddress | string |
전자 메일의 원본 IP 주소입니다. |
|
이메일 제목
|
emailSubject | string |
전자 메일의 제목 줄입니다. |
|
이메일 XMailer
|
emailXMailer | string |
전자 메일에 사용되는 X-Mailer 값입니다. |
|
파일 컴파일 날짜 시간
|
fileCompileDateTime | date-time |
파일이 컴파일된 DateTime입니다. |
|
파일 생성 날짜 시간
|
fileCreatedDateTime | date-time |
파일이 만들어진 날짜/시간입니다. |
|
파일 해시 형식
|
fileHashType | string |
fileHashValue에 저장된 해시의 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph입니다. |
|
파일 해시 값
|
fileHashValue | string |
파일 해시 값입니다. |
|
파일 뮤텍스 이름
|
fileMutexName | string |
파일 기반 검색에 사용되는 뮤텍스 이름입니다. |
|
파일 이름
|
fileName | string |
표시기가 파일 기반인 경우 파일의 이름입니다. |
|
파일 패커
|
filePacker | string |
해당 파일을 빌드하는 데 사용되는 Packer입니다. |
|
파일 경로
|
filePath | string |
손상 여부를 나타내는 파일의 경로입니다. Windows 또는 *nix 스타일 경로일 수 있습니다. |
|
파일 크기
|
fileSize | integer |
파일의 크기(바이트)입니다. |
|
파일 형식
|
fileType | string |
파일 형식에 대한 텍스트 설명입니다. 예를 들어 "Word 문서" 또는 "이진"입니다. |
|
도메인 이름
|
domainName | string |
이 표시기와 연결된 도메인 이름입니다. |
|
네트워크 cidr 블록
|
networkCidrBlock | string |
이 표시기에서 참조되는 네트워크의 CIDR 블록 표기법 표현입니다. |
|
네트워크 대상 Asn
|
networkDestinationAsn | integer |
표시기에서 참조되는 네트워크의 대상 자율 시스템 식별자입니다. |
|
네트워크 대상 cidr 블록
|
networkDestinationCidrBlock | string |
이 표시기에서 대상 네트워크의 CIDR 블록 표기법 표현입니다. |
|
네트워크 대상 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 주소 대상입니다. |
|
네트워크 대상 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 주소 대상입니다. |
|
네트워크 대상 포트
|
networkDestinationPort | integer |
TCP 포트 대상입니다. |
|
네트워크 IPv4
|
networkIPv4 | string |
IPv4 IP 주소입니다. |
|
네트워크 IPv6
|
networkIPv6 | string |
IPv6 IP 주소입니다. |
|
네트워크 포트
|
networkPort | integer |
TCP 포트. |
|
네트워크 프로토콜
|
networkProtocol | integer |
IPv4 헤더에 있는 프로토콜 필드의 10진수 표현입니다. |
|
네트워크 원본 Asn
|
networkSourceAsn | integer |
표시기에서 참조되는 네트워크의 원본 자율 시스템 식별자입니다. |
|
네트워크 원본 cidr 블록
|
networkSourceCidrBlock | string |
이 표시기에서 원본 네트워크의 CIDR 블록 표기법 표현입니다. |
|
네트워크 원본 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 주소 원본입니다. |
|
네트워크 대상 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 주소 원본입니다. |
|
네트워크 원본 포트
|
networkSourcePort | integer |
TCP 포트 원본입니다. |
|
웹 주소
|
url | string |
Uniform Resource Locator. |
|
사용자 에이전트
|
userAgent | string |
손상되었음을 나타낼 수 있는 웹 요청의 문자열을 User-Agent. |