영어로 읽기

다음을 통해 공유


Microsoft Defender XDR 인시던트 API 나열

적용 대상:

참고

MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

API 설명

인시던트 목록 API를 사용하면 인시던트를 정렬하여 정보에 입각한 사이버 보안 대응을 만들 수 있습니다. 환경 보존 정책에서 지정한 시간 범위 내에서 네트워크에 플래그가 지정된 인시던트 컬렉션을 노출합니다. 가장 최근의 인시던트가 목록 맨 위에 표시됩니다. 각 인시던트에는 관련 경고 및 관련 엔터티의 배열이 포함됩니다.

API는 다음 OData 연산자를 지원합니다.

  • $filter, createdTime, statusassignedTo 속성에서 lastUpdateTime
  • $top최대값이 100
  • $skip

제한 사항

  1. 최대 페이지 크기는 100개 인시던트입니다.
  2. 요청의 최대 속도는 분당 50개 호출시간당 1500개 호출입니다.

권한

이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법을 포함하여 자세한 내용은 액세스 Microsoft Defender XDR API를 참조하세요.

사용 권한 유형 사용 권한 사용 권한 표시 이름
응용 프로그램 Incident.Read.All 모든 인시던트 읽기
응용 프로그램 Incident.ReadWrite.All 모든 인시던트 읽기 및 쓰기
위임됨(회사 또는 학교 계정) Incident.Read 인시던트 읽기
위임됨(회사 또는 학교 계정) Incident.ReadWrite 인시던트 읽기 및 쓰기

참고

사용자 자격 증명을 사용하여 토큰을 가져오는 경우:

  • 사용자에게 포털에서 인시던트에 대한 보기 권한이 있어야 합니다.
  • 응답에는 사용자가 노출되는 인시던트만 포함됩니다.

HTTP 요청

GET /api/incidents

요청 헤더

이름 유형 설명
권한 부여 String 전달자 {token}. 필수

요청 본문

없음

응답

성공하면 이 메서드는 및 응답 본문의 인시던트 목록을 반환200 OK합니다.

스키마 매핑

인시던트 메타데이터

필드 이름 설명 예제 값
incidentId 인시던트 표시할 고유 식별자 924565
redirectIncidentId 인시던트가 인시던트 처리 논리의 일부로 다른 인시던트와 함께 그룹화되는 경우에만 채워집니다. 924569
incidentName 모든 인시던트에 사용할 수 있는 문자열 값입니다. 랜섬웨어 활동
createdTime 인시던트가 처음 만들어진 시간입니다. 2020-09-06T14:46:57.0733333Z
lastUpdateTime 백 엔드에서 인시던트가 마지막으로 업데이트된 시간입니다.

이 필드는 인시던트가 검색되는 시간 범위에 대한 요청 매개 변수를 설정할 때 사용할 수 있습니다.

2020-09-06T14:46:57.29Z
assignedTo 인시던트 소유자이거나, 소유자가 할당되지 않은 경우 null 입니다. secop2@contoso.com
분류 인시던트에 대한 사양입니다. 속성 값은 알 수 없음, FalsePositive, TruePositive입니다. 알 수 없음
결정 인시던트 결정을 지정합니다. 속성 값은 NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other입니다. NotAvailable
detectionSource 검색 원본을 지정합니다. Defender for Cloud Apps
상태 인시던트( 활성 또는 해결됨)로 분류합니다. 인시던트에 대한 응답을 구성하고 관리하는 데 도움이 될 수 있습니다. 활성
심각도 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지게됩니다. 일반적으로 심각도가 높은 항목은 가장 즉각적인 주의가 필요합니다.

정보, 낮음, *보통 및 높음 값 중 하나입니다.

보통
태그 인시던트에 연결된 사용자 지정 태그의 배열입니다(예: 일반적인 특성을 가진 인시던트 그룹에 플래그 지정). []
코멘트 인시던트 관리 시 secops에서 만든 주석의 배열입니다(예: 분류 선택에 대한 추가 정보). []
경고 인시던트와 관련된 모든 경고와 심각도, 경고에 관련된 엔터티 및 경고의 원본과 같은 기타 정보를 포함하는 배열입니다. [] (아래 경고 필드에 대한 세부 정보 참조)

경고 메타데이터

필드 이름 설명 예제 값
alertId 경고를 나타내는 고유 식별자 caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId 이 경고가 연결된 인시던트 표시를 나타내는 고유 식별자 924565
serviceSource 경고가 시작되는 서비스(예: 엔드포인트용 Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity 또는 Office 365용 Microsoft Defender. MicrosoftCloudAppSecurity
creationTime 경고가 처음 만들어진 시간입니다. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime 백 엔드에서 경고가 마지막으로 업데이트된 시간입니다. 2020-09-06T14:46:57.2433333Z
resolvedTime 경고가 해결된 시간입니다. 2020-09-10T05:22:59Z
firstActivity 경고가 백 엔드에서 활동이 업데이트되었다고 처음 보고한 시간입니다. 2020-09-04T05:22:59Z
title 각 경고에 사용할 수 있는 문자열 값을 간략하게 식별합니다. 랜섬웨어 활동
description 각 경고를 설명하는 문자열 값입니다. 사용자 테스트 User2(testUser2@contoso.com)는 일반적이지 않은 확장명 herunterladen으로 끝나는 여러 확장명으로 99개의 파일을 조작했습니다. 이는 비정상적인 수의 파일 조작이며 잠재적인 랜섬웨어 공격을 나타냅니다.
범주 킬 체인을 따라 공격이 얼마나 진행되었는지에 대한 시각적 및 숫자 보기입니다. MITRE ATT&CK 프레임워크에™ 정렬됩니다. 영향
상태 경고를 새로 만들기,활성 또는 해결됨으로 분류합니다. 경고에 대한 응답을 구성하고 관리하는 데 도움이 될 수 있습니다. 신규
심각도 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지게됩니다. 일반적으로 심각도가 높은 항목은 가장 즉각적인 주의가 필요합니다.
정보 ,낮음, 중간높음 값 중 하나입니다.
보통
investigationId 이 경고에 의해 트리거되는 자동화된 조사 ID입니다. 1234
investigationState 조사의 현재 상태 대한 정보입니다. 다음 값 중 하나: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedAlertType, UnsupportedAlertType, SuppressedAlert. UnsupportedAlertType
분류 인시던트에 대한 사양입니다. 속성 값은 알 수 없음, FalsePositive, TruePositive 또는 null입니다. 알 수 없음
결정 인시던트 결정을 지정합니다. 속성 값은 NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other 또는 null입니다. Apt
assignedTo 인시던트 소유자이거나, 소유자가 할당되지 않은 경우 null 입니다. secop2@contoso.com
actorName 이 경고와 연결된 활동 그룹(있는 경우)입니다. 붕 소
threatFamilyName 이 경고와 연결된 위협 패밀리입니다. null
mitreTechniques MITRE ATT&CK™ 프레임워크와 일치하는 공격 기술입니다. []
디바이스 인시던트 관련 경고가 전송된 모든 디바이스. [] (아래 엔터티 필드에 대한 세부 정보 참조)

디바이스 형식

필드 이름 설명 예제 값
DeviceId 엔드포인트용 Microsoft Defender 지정된 디바이스 ID입니다. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId Microsoft Entra ID 지정된 디바이스 ID입니다. 도메인에 가입된 디바이스에만 사용할 수 있습니다. null
deviceDnsName 디바이스의 정규화된 도메인 이름입니다. user5cx.middleeast.corp.contoso.com
osPlatform 디바이스가 실행 중인 OS 플랫폼입니다. WindowsServer2016
osBuild 디바이스가 실행 중인 OS의 빌드 버전입니다. 14393
rbacGroupName 디바이스와 연결된 RBAC( 역할 기반 액세스 제어 ) 그룹입니다. WDATP-Ring0
firstSeen 디바이스를 처음 본 시간입니다. 2020-02-06T14:16:01.9330135Z
healthStatus 디바이스의 상태입니다. 활성
riskScore 디바이스의 위험 점수입니다. 높음
엔터티 지정된 경고의 일부 또는 관련으로 식별된 모든 엔터티입니다. [] (아래 엔터티 필드에 대한 세부 정보 참조)

엔터티 형식

필드 이름 설명 예제 값
Entitytype 지정된 경고의 일부 또는 관련으로 식별된 엔터티입니다.
속성 값은 User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry입니다.
사용자
sha1 entityType이 File인 경우 사용할 수 있습니다.
파일 또는 프로세스와 연결된 경고에 대한 파일 해시입니다.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 entityType이 File인 경우 사용할 수 있습니다.
파일 또는 프로세스와 연결된 경고에 대한 파일 해시입니다.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
파일 entityType이 File인 경우 사용할 수 있습니다.
파일 또는 프로세스와 연결된 경고의 파일 이름
Detector.UnitTests.dll
Filepath entityType이 File인 경우 사용할 수 있습니다.
파일 또는 프로세스와 연결된 경고의 파일 경로
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId entityType이 Process인 경우 사용할 수 있습니다. 24348
processCommandLine entityType이 Process인 경우 사용할 수 있습니다. "파일을 Download_1911150169.exe 준비가 완료되었습니다."
processCreationTime entityType이 Process인 경우 사용할 수 있습니다. 2020-07-18T03:25:38.5269993Z
parentProcessId entityType이 Process인 경우 사용할 수 있습니다. 16840
parentProcessCreationTime entityType이 Process인 경우 사용할 수 있습니다. 2020-07-18T02:12:32.8616797Z
Ipaddress entityType이 Ip인 경우 사용할 수 있습니다.
네트워크 이벤트와 관련된 경고(예: 악의적인 네트워크 대상에 대한 통신)의 IP 주소입니다.
62.216.203.204
url entityType이 URL인 경우 사용할 수 있습니다.
네트워크 이벤트와 관련된 경고(예: 악의적인 네트워크 대상에 대한 통신)의 URL입니다.
down.esales360.cn
accountName entityType이 User인 경우 사용할 수 있습니다. testUser2
domainName entityType이 User인 경우 사용할 수 있습니다. europe.corp.contoso
userSid entityType이 User인 경우 사용할 수 있습니다. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId entityType이 User인 경우 사용할 수 있습니다. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName entityType이 User/MailBox/MailMessage인 경우 사용할 수 있습니다. testUser2@contoso.com
mailboxDisplayName entityType이 MailBox인 경우 사용할 수 있습니다. test User2
mailboxAddress entityType이 User/MailBox/MailMessage인 경우 사용할 수 있습니다. testUser2@contoso.com
clusterBy entityType이 MailCluster인 경우 사용할 수 있습니다. 제목; P2SenderDomain; Contenttype
보낸 사람 entityType이 User/MailBox/MailMessage인 경우 사용할 수 있습니다. user.abc@mail.contoso.co.in
받는 사람 entityType이 MailMessage인 경우 사용할 수 있습니다. testUser2@contoso.com
subject entityType이 MailMessage인 경우 사용할 수 있습니다. [EXTERNAL] 관심
deliveryAction entityType이 MailMessage인 경우 사용할 수 있습니다. 배달됨
securityGroupId entityType이 SecurityGroup인 경우 사용할 수 있습니다. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName entityType이 SecurityGroup인 경우 사용할 수 있습니다. 네트워크 구성 연산자
registryHive entityType이 레지스트리인 경우 사용할 수 있습니다. HKEY_LOCAL_MACHINE
Registrykey entityType이 레지스트리인 경우 사용할 수 있습니다. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType entityType이 레지스트리인 경우 사용할 수 있습니다. String
registryValue entityType이 레지스트리인 경우 사용할 수 있습니다. 31-00-00-00
deviceId 엔터티와 관련된 디바이스의 ID(있는 경우)입니다. 986e5df8b73dacd43c8917d17e523e76b13c75cd

예제

요청 예제

GET https://api.security.microsoft.com/api/incidents

응답 예제

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.