Incidents - List Entities
인시던트에 대한 모든 엔터티를 가져옵니다.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/entities?api-version=2024-03-01URI 매개 변수
| Name | In(다음 안에) | 필수 | 형식 | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
인시던트 ID |
|
resource
|
path | True |
string |
리소스 그룹의 이름. 이름은 대소문자를 구분하지 않습니다. |
|
subscription
|
path | True |
string uuid |
대상 구독의 ID입니다. 값은 UUID여야 합니다. |
|
workspace
|
path | True |
string |
작업 영역의 이름 regex 패턴: |
|
api-version
|
query | True |
string |
이 작업에 사용할 API 버전입니다. |
응답
| Name | 형식 | Description |
|---|---|---|
| 200 OK |
정상 |
|
| Other Status Codes |
작업이 실패한 이유를 설명하는 오류 응답입니다. |
보안
azure_auth
Azure Active Directory OAuth2 Flow
형식:
oauth2
Flow:
implicit
권한 부여 URL:
https://login.microsoftonline.com/common/oauth2/authorize
범위
| Name | Description |
|---|---|
| user_impersonation | 사용자 계정 가장 |
예제
Gets all incident related entities
샘플 요청
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/entities?api-version=2024-03-01
샘플 응답
{
"entities": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain"
}
}
],
"metaData": [
{
"entityKind": "Account",
"count": 1
}
]
}정의
| Name | Description |
|---|---|
|
Account |
계정 엔터티를 나타냅니다. |
|
Alert |
경고의 심각도 |
|
Alert |
경고의 수명 주기 상태. |
|
Antispam |
이 메일 메시지의 방향성 |
|
Attack |
이 경고 규칙에서 만든 경고의 심각도입니다. |
|
Azure |
Azure 리소스 엔터티를 나타냅니다. |
|
Cloud |
클라우드 애플리케이션 엔터티를 나타냅니다. |
|
Cloud |
오류 응답 구조. |
|
Cloud |
오류 세부 정보입니다. |
|
Confidence |
이 경고의 신뢰도 수준입니다. |
|
Confidence |
신뢰도 이유 |
|
Confidence |
신뢰도 점수 계산은 상태. 즉, 이 경고에 대해 점수 계산이 보류 중인지 여부(적용 가능하거나 최종적이지 않음)를 나타냅니다. |
|
created |
리소스를 만든 ID 유형입니다. |
|
Delivery |
배달됨, 차단됨, 교체 등과 같은 이 메일 메시지의 배달 작업 |
|
Delivery |
받은 편지함, JunkFolder 등과 같은 이 메일 메시지의 배달 위치 |
|
Dns |
dns 엔터티를 나타냅니다. |
|
Elevation |
프로세스와 연결된 권한 상승 토큰입니다. |
|
Entity |
집계된 엔터티의 종류입니다. |
|
File |
파일 엔터티를 나타냅니다. |
|
File |
해시 알고리즘 형식입니다. |
|
File |
파일 해시 엔터티를 나타냅니다. |
|
Geo |
IP 엔터티에 연결된 지리적 위치 컨텍스트 |
|
Host |
호스트 엔터티를 나타냅니다. |
|
Hunting |
헌팅 책갈피 엔터티를 나타냅니다. |
|
Incident |
인시던트 관련 엔터티 응답입니다. |
|
Incident |
인시던트 관련 엔터티 결과의 특정 집계 정보입니다. |
|
Incident |
책갈피에 대한 관련 인시던트 정보를 설명합니다. |
|
Incident |
인시던트의 심각도 |
|
Io |
IoT 디바이스 엔터티를 나타냅니다. |
|
Ip |
IP 엔터티를 나타냅니다. |
|
Kill |
이 경고에 대한 경고 의도 단계 매핑을 보유합니다. |
|
Mailbox |
사서함 엔터티를 나타냅니다. |
|
Mail |
메일 클러스터 엔터티를 나타냅니다. |
|
Mail |
메일 메시지 엔터티를 나타냅니다. |
|
Malware |
맬웨어 엔터티를 나타냅니다. |
| OSFamily |
운영 체제 유형입니다. |
|
Process |
프로세스 엔터티를 나타냅니다. |
|
Registry |
레지스트리 키를 보유하는 하이브입니다. |
|
Registry |
레지스트리 키 엔터티를 나타냅니다. |
|
Registry |
레지스트리 값 엔터티를 나타냅니다. |
|
Registry |
레지스트리에 값을 저장할 때 사용할 데이터 형식을 지정하거나 레지스트리 값의 데이터 형식을 나타냅니다. |
|
Security |
보안 경고 엔터티를 나타냅니다. |
|
Security |
보안 그룹 엔터티를 나타냅니다. |
|
Submission |
제출 메일 엔터티를 나타냅니다. |
|
system |
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다. |
|
Threat |
ThreatIntelligence 속성 모음. |
|
Url |
URL 엔터티를 나타냅니다. |
|
User |
일부 작업을 수행한 사용자 정보 |
AccountEntity
계정 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Account |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.aadTenantId |
string |
Azure Active Directory 테넌트 ID입니다. |
| properties.aadUserId |
string |
Azure Active Directory 사용자 ID입니다. |
| properties.accountName |
string |
계정의 이름입니다. 이 필드는 도메인을 추가하지 않은 이름(예: 관리자)만 보유해야 합니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.displayName |
string |
계정의 표시 이름입니다. |
| properties.dnsDomain |
string |
정규화된 도메인 DNS 이름입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hostEntityId |
string |
도메인에 가입되지 않은 로컬 계정인 경우 계정이 포함된 호스트 엔터티 ID입니다. |
| properties.isDomainJoined |
boolean |
도메인 계정인지 여부를 확인합니다. |
| properties.ntDomain |
string |
경고 형식인 domain\username에 표시되는 NetBIOS 도메인 이름입니다. 예: NT AUTHORITY. |
| properties.objectGuid |
string |
objectGUID 특성은 Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다. |
| properties.puid |
string |
Azure Active Directory Passport 사용자 ID입니다. |
| properties.sid |
string |
계정 보안 식별자(예: S-1-5-18). |
| properties.upnSuffix |
string |
계정의 사용자 계정 이름 접미사이며 경우에 따라 도메인 이름이기도 합니다. 예: contoso.com. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
AlertSeverity
경고의 심각도
| Name | 형식 | Description |
|---|---|---|
| High |
string |
높은 심각도 |
| Informational |
string |
정보 심각도 |
| Low |
string |
낮은 심각도 |
| Medium |
string |
중간 심각도 |
AlertStatus
경고의 수명 주기 상태.
| Name | 형식 | Description |
|---|---|---|
| Dismissed |
string |
가양성으로 해제된 경고 |
| InProgress |
string |
경고가 처리되고 있습니다. |
| New |
string |
새 경고 |
| Resolved |
string |
처리 후 경고 닫힘 |
| Unknown |
string |
알 수 없는 값 |
AntispamMailDirection
이 메일 메시지의 방향성
| Name | 형식 | Description |
|---|---|---|
| Inbound |
string |
인바운드 |
| Intraorg |
string |
Intraorg |
| Outbound |
string |
아웃바운드 |
| Unknown |
string |
Unknown |
AttackTactic
이 경고 규칙에서 만든 경고의 심각도입니다.
| Name | 형식 | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
AzureResourceEntity
Azure 리소스 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Azure |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.resourceId |
string |
리소스의 Azure 리소스 ID |
| properties.subscriptionId |
string |
리소스의 구독 ID |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
CloudApplicationEntity
클라우드 애플리케이션 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Cloud |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.appId |
integer |
애플리케이션의 기술 식별자입니다. |
| properties.appName |
string |
관련 클라우드 애플리케이션의 이름입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.instanceName |
string |
사용자가 정의한 클라우드 애플리케이션의 instance 이름입니다. 고객이 보유한 동일한 유형의 여러 애플리케이션을 구별하는 데 자주 사용됩니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
CloudError
오류 응답 구조.
| Name | 형식 | Description |
|---|---|---|
| error |
오류 데이터 |
CloudErrorBody
오류 세부 정보입니다.
| Name | 형식 | Description |
|---|---|---|
| code |
string |
오류의 식별자입니다. 코드는 고정이며 프로그래밍 방식으로 사용하기 위한 것입니다. |
| message |
string |
사용자 인터페이스에 표시하기에 적합한 오류를 설명하는 메시지입니다. |
ConfidenceLevel
이 경고의 신뢰도 수준입니다.
| Name | 형식 | Description |
|---|---|---|
| High |
string |
경고가 참 긍정 악성이라는 높은 신뢰도 |
| Low |
string |
신뢰도가 낮음, 이는 실제로 악의적이거나 공격의 일부라는 의심이 있다는 것을 의미합니다. |
| Unknown |
string |
알 수 없는 신뢰도, 는 기본값입니다. |
ConfidenceReasons
신뢰도 이유
| Name | 형식 | Description |
|---|---|---|
| reason |
string |
이유 설명 |
| reasonType |
string |
이유의 형식(범주) |
ConfidenceScoreStatus
신뢰도 점수 계산은 상태. 즉, 이 경고에 대해 점수 계산이 보류 중인지 여부(적용 가능하거나 최종적이지 않음)를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| Final |
string |
최종 점수가 계산되고 사용 가능 |
| InProcess |
string |
아직 점수가 설정되지 않았으며 계산이 진행 중입니다. |
| NotApplicable |
string |
이 경고는 가상 분석가가 지원하지 않으므로 점수가 계산되지 않습니다. |
| NotFinal |
string |
점수가 계산되고 경고의 일부로 표시되지만 추가 데이터 처리 후 나중에 다시 업데이트될 수 있습니다. |
createdByType
리소스를 만든 ID 유형입니다.
| Name | 형식 | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
DeliveryAction
배달됨, 차단됨, 교체 등과 같은 이 메일 메시지의 배달 작업
| Name | 형식 | Description |
|---|---|---|
| Blocked |
string |
차단 |
| Delivered |
string |
배달됨 |
| DeliveredAsSpam |
string |
DeliveredAsSpam |
| Replaced |
string |
대체됨 |
| Unknown |
string |
Unknown |
DeliveryLocation
받은 편지함, JunkFolder 등과 같은 이 메일 메시지의 배달 위치
| Name | 형식 | Description |
|---|---|---|
| DeletedFolder |
string |
DeletedFolder |
| Dropped |
string |
Dropped |
| External |
string |
외부 |
| Failed |
string |
실패 |
| Forwarded |
string |
Forwarded |
| Inbox |
string |
받은 편지함 |
| JunkFolder |
string |
JunkFolder |
| Quarantine |
string |
격리 |
| Unknown |
string |
Unknown |
DnsEntity
dns 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Dns |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.dnsServerIpEntityId |
string |
요청을 확인하는 dns 서버의 IP 엔터티 ID |
| properties.domainName |
string |
경고와 연결된 dns 레코드의 이름입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hostIpAddressEntityId |
string |
dns 요청 클라이언트에 대한 IP 엔터티 ID |
| properties.ipAddressEntityIds |
string[] |
확인된 IP 주소에 대한 IP 엔터티 식별자입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
ElevationToken
프로세스와 연결된 권한 상승 토큰입니다.
| Name | 형식 | Description |
|---|---|---|
| Default |
string |
기본 권한 상승 토큰 |
| Full |
string |
전체 권한 상승 토큰 |
| Limited |
string |
제한된 권한 상승 토큰 |
EntityKindEnum
집계된 엔터티의 종류입니다.
| Name | 형식 | Description |
|---|---|---|
| Account |
string |
엔터티는 시스템의 계정을 나타냅니다. |
| AzureResource |
string |
엔터티는 시스템의 Azure 리소스를 나타냅니다. |
| Bookmark |
string |
엔터티는 시스템의 책갈피를 나타냅니다. |
| CloudApplication |
string |
엔터티는 시스템의 클라우드 애플리케이션을 나타냅니다. |
| DnsResolution |
string |
엔터티는 시스템의 DNS 확인을 나타냅니다. |
| File |
string |
엔터티는 시스템의 파일을 나타냅니다. |
| FileHash |
string |
엔터티는 시스템의 파일 해시를 나타냅니다. |
| Host |
string |
엔터티는 시스템의 호스트를 나타냅니다. |
| IoTDevice |
string |
엔터티는 시스템의 IoT 디바이스를 나타냅니다. |
| Ip |
string |
엔터티는 시스템의 IP를 나타냅니다. |
| MailCluster |
string |
엔터티는 시스템의 메일 클러스터를 나타냅니다. |
| MailMessage |
string |
엔터티는 시스템의 메일 메시지를 나타냅니다. |
| Mailbox |
string |
엔터티는 시스템의 사서함을 나타냅니다. |
| Malware |
string |
엔터티는 시스템의 맬웨어를 나타냅니다. |
| Process |
string |
엔터티는 시스템의 프로세스를 나타냅니다. |
| RegistryKey |
string |
엔터티는 시스템의 레지스트리 키를 나타냅니다. |
| RegistryValue |
string |
엔터티는 시스템의 레지스트리 값을 나타냅니다. |
| SecurityAlert |
string |
엔터티는 시스템의 보안 경고를 나타냅니다. |
| SecurityGroup |
string |
엔터티는 시스템의 보안 그룹을 나타냅니다. |
| SubmissionMail |
string |
엔터티는 시스템의 제출 메일을 나타냅니다. |
| Url |
string |
엔터티는 시스템의 URL을 나타냅니다. |
FileEntity
파일 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
File |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.directory |
string |
파일의 전체 경로입니다. |
| properties.fileHashEntityIds |
string[] |
이 파일과 연결된 파일 해시 엔터티 식별자 |
| properties.fileName |
string |
경로가 없는 파일 이름입니다(일부 경고에는 경로가 포함되지 않을 수 있습니다). |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hostEntityId |
string |
파일이 속한 호스트 엔터티 ID |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
FileHashAlgorithm
해시 알고리즘 형식입니다.
| Name | 형식 | Description |
|---|---|---|
| MD5 |
string |
MD5 해시 유형 |
| SHA1 |
string |
SHA1 해시 유형 |
| SHA256 |
string |
SHA256 해시 유형 |
| SHA256AC |
string |
SHA256 Authenticode 해시 유형 |
| Unknown |
string |
알 수 없는 해시 알고리즘 |
FileHashEntity
파일 해시 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
File |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.algorithm |
해시 알고리즘 형식입니다. |
|
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hashValue |
string |
파일 해시 값입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
GeoLocation
IP 엔터티에 연결된 지리적 위치 컨텍스트
| Name | 형식 | Description |
|---|---|---|
| asn |
integer |
자치 시스템 번호 |
| city |
string |
도시 이름 |
| countryCode |
string |
ISO 3166 형식에 따른 국가 코드 |
| countryName |
string |
ISO 3166 Alpha 2에 따른 국가 이름: 영어 짧은 이름의 소문자 |
| latitude |
number |
식별된 위치의 경도는 -180에서 180까지의 범위가 있는 부동 소수점 숫자로 표현되며, 양수는 동쪽을 나타내고 음수는 서쪽을 나타냅니다. 위도 및 경도는 도시 또는 우편 번호에서 파생됩니다. |
| longitude |
number |
식별된 위치의 위도는 범위가 90~90인 부동 소수점 숫자로 표현되며, 북쪽을 나타내는 양수와 남쪽을 나타내는 음수입니다. 위도 및 경도는 도시 또는 우편 번호에서 파생됩니다. |
| state |
string |
상태 이름 |
HostEntity
호스트 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Host |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.azureID |
string |
VM의 azure 리소스 ID입니다. |
| properties.dnsDomain |
string |
이 호스트가 속한 DNS 도메인입니다. 도메인에 대한 경쟁 DNS 접미사를 포함해야 합니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hostName |
string |
도메인 접미사가 없는 호스트 이름입니다. |
| properties.isDomainJoined |
boolean |
이 호스트가 도메인에 속하는지 여부를 확인합니다. |
| properties.netBiosName |
string |
호스트 이름(windows2000 이전)입니다. |
| properties.ntDomain |
string |
이 호스트가 속한 NT 도메인입니다. |
| properties.omsAgentID |
string |
호스트에 OMS 에이전트가 설치된 경우 OMS 에이전트 ID입니다. |
| properties.osFamily |
운영 체제 유형입니다. |
|
| properties.osVersion |
string |
운영 체제의 자유 텍스트 표현입니다. 이 필드는 OSFamily 또는 OSFamily 열거형에서 지원되지 않는 이후 값보다 세분화된 특정 버전을 보유하기 위한 것입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
HuntingBookmark
헌팅 책갈피 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Bookmark |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.created |
string |
책갈피를 만든 시간 |
| properties.createdBy |
책갈피를 만든 사용자를 설명합니다. |
|
| properties.displayName |
string |
책갈피의 표시 이름 |
| properties.eventTime |
string |
이벤트 시간 |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.incidentInfo |
책갈피와 관련된 인시던트를 설명합니다. |
|
| properties.labels |
string[] |
이 책갈피와 관련된 레이블 목록 |
| properties.notes |
string |
책갈피의 노트 |
| properties.query |
string |
책갈피의 쿼리입니다. |
| properties.queryResult |
string |
책갈피의 쿼리 결과입니다. |
| properties.updated |
string |
책갈피가 마지막으로 업데이트된 시간 |
| properties.updatedBy |
책갈피를 업데이트한 사용자를 설명합니다. |
|
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
IncidentEntitiesResponse
인시던트 관련 엔터티 응답입니다.
| Name | 형식 | Description |
|---|---|---|
| entities |
Entity[]:
|
인시던트 관련 엔터티의 배열입니다. |
| metaData |
인시던트 관련 엔터티 결과의 메타데이터입니다. |
IncidentEntitiesResultsMetadata
인시던트 관련 엔터티 결과의 특정 집계 정보입니다.
| Name | 형식 | Description |
|---|---|---|
| count |
integer |
인시던트 관련 엔터티 결과에서 지정된 종류의 총 집계 수입니다. |
| entityKind |
집계된 엔터티의 종류입니다. |
IncidentInfo
책갈피에 대한 관련 인시던트 정보를 설명합니다.
| Name | 형식 | Description |
|---|---|---|
| incidentId |
string |
인시던트 ID |
| relationName |
string |
관계 이름 |
| severity |
인시던트의 심각도 |
|
| title |
string |
인시던트 제목 |
IncidentSeverity
인시던트의 심각도
| Name | 형식 | Description |
|---|---|---|
| High |
string |
높은 심각도 |
| Informational |
string |
정보 심각도 |
| Low |
string |
낮은 심각도 |
| Medium |
string |
중간 심각도 |
IoTDeviceEntity
IoT 디바이스 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Io |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.deviceId |
string |
IoT Hub IoT 디바이스의 ID |
| properties.deviceName |
string |
디바이스의 식별 이름 |
| properties.deviceType |
string |
디바이스의 유형 |
| properties.edgeId |
string |
에지 디바이스의 ID |
| properties.firmwareVersion |
string |
디바이스의 펌웨어 버전 |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hostEntityId |
string |
이 디바이스의 호스트 엔터티 ID |
| properties.iotHubEntityId |
string |
IoT Hub AzureResource 엔터티 ID |
| properties.iotSecurityAgentId |
string |
디바이스에서 실행되는 보안 에이전트의 ID |
| properties.ipAddressEntityId |
string |
이 디바이스의 경우 IP 엔터티 |
| properties.macAddress |
string |
디바이스의 MAC 주소 |
| properties.model |
string |
디바이스의 모델 |
| properties.operatingSystem |
string |
디바이스의 운영 체제 |
| properties.protocols |
string[] |
IoTDevice 엔터티의 프로토콜 목록입니다. |
| properties.serialNumber |
string |
디바이스의 일련 번호 |
| properties.source |
string |
디바이스의 원본 |
| properties.threatIntelligence |
IoTDevice 엔터티에 연결된 TI 컨텍스트 목록입니다. |
|
| properties.vendor |
string |
디바이스 공급업체 |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
IpEntity
IP 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Ip |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.address |
string |
IP 주소(예: 127.0.0.1(Ipv4 또는 Ipv6) |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.location |
IP 엔터티에 연결된 지리적 위치 컨텍스트 |
|
| properties.threatIntelligence |
IP 엔터티에 연결된 TI 컨텍스트 목록입니다. |
|
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
KillChainIntent
이 경고에 대한 경고 의도 단계 매핑을 보유합니다.
| Name | 형식 | Description |
|---|---|---|
| Collection |
string |
수집은 반출 전에 대상 네트워크에서 민감한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| CommandAndControl |
string |
명령 및 제어 기법은 악의적 사용자가 대상 네트워크 내에서 제어되는 시스템과 통신하는 방법을 나타냅니다. |
| CredentialAccess |
string |
자격 증명 액세스는 엔터프라이즈 환경에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 이를 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에 액세스 권한이 충분하면 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다. |
| DefenseEvasion |
string |
방어 회피는 악의적 사용자가 감지나 기타 방어를 피하는 데 사용할 수 있는 기술로 구성됩니다. 경우에 따라 이러한 작업은 특정 방어 또는 완화를 전복하는 추가 이점이 있는 다른 범주의 기술 또는 변형과 동일합니다. |
| Discovery |
string |
검색은 악의적 사용자가 시스템과 내부 네트워크에 대한 정보를 얻을 수 있는 기술로 구성됩니다. 악의적 사용자는 새 시스템에 액세스할 때 자신이 현재 제어할 수 있는 항목과 해당 시스템에서 운영하는 이점이 침입 중에 현재 목적 또는 전체 목표를 향하도록 합니다. 운영 체제는 이러한 타협 후 정보 수집 단계를 지원하는 많은 기본 도구를 제공합니다. |
| Execution |
string |
실행 기법은 로컬 또는 원격 시스템에서 악의적 사용자가 제어하는 코드를 실행하게 되는 기술을 나타냅니다. 이 기법은 네트워크의 원격 시스템에 대한 액세스 권한을 확장하기 위해 측면 이동과 함께 사용되는 경우가 많습니다. |
| Exfiltration |
string |
반출은 악의적 사용자가 대상 네트워크에서 파일과 정보를 이동하게 만들거나 이동하는 데 도움이 되는 기술과 특성을 의미합니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| Exploitation |
string |
악용은 공격자가 공격받은 리소스에 대한 발판을 마련하는 단계입니다. 이 단계는 컴퓨팅 호스트뿐만 아니라 사용자 계정, 인증서 등의 리소스에도 적용됩니다. 악의적 사용자는 이 단계 이후에 리소스를 제어할 수 있는 경우가 많습니다. |
| Impact |
string |
영향 의도 기본 목표는 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이는 것입니다. 비즈니스 또는 운영 프로세스에 영향을 주는 데이터 조작을 포함합니다. 이것은 종종 랜섬웨어, 훼손, 데이터 조작 등과 같은 기술을 말합니다. |
| LateralMovement |
string |
측면 이동은 악의적 사용자가 네트워크를 통해 원격 시스템에 액세스하고 제어할 수 있는 기술로 구성되어 있지만 반드시 원격 시스템에서 도구를 실행할 수 있는 것은 아닙니다. 악의적 사용자는 측면 이동 기술을 통해 원격 액세스 도구와 같은 추가 도구가 없어도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 도구의 원격 실행, 추가 시스템으로 피벗, 특정 정보 또는 파일에 액세스, 추가 자격 증명에 액세스 또는 영향을 유발하는 등 여러 가지 목적으로 측면 이동을 사용할 수 있습니다. |
| Persistence |
string |
지속성은 악의적 사용자가 해당 시스템에 영구적으로 존재하도록 하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 악의적 사용자는 시스템 다시 시작, 자격 증명 손실 또는 원격 액세스 도구를 다시 시작하거나 다시 액세스 권한을 다시 받기 위해 백도어 대체가 필요한 기타 오류와 같은 중단을 통해 시스템에 대한 액세스를 유지 관리해야 하는 경우가 많습니다. |
| PrivilegeEscalation |
string |
권한 상승은 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻을 수 있는 작업의 결과입니다. 특정 도구나 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 대한 액세스 권한 또는 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 권한이 있는 사용자 계정도 권한 상승으로 간주할 수 있습니다. |
| Probing |
string |
검색은 악의적인 의도 또는 악용 전에 정보를 수집하기 위해 대상 시스템에 대한 액세스 권한을 얻지 못한 시도와 관계없이 특정 리소스에 액세스하려는 시도일 수 있습니다. 이 단계는 일반적으로 대상 시스템을 검사하고 방법을 찾기 위해 네트워크 외부에서 시작된 시도로 검색됩니다. |
| Unknown |
string |
기본값입니다. |
MailboxEntity
사서함 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mailbox |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.displayName |
string |
사서함의 표시 이름 |
| properties.externalDirectoryObjectId |
string |
사서함의 AzureAD 식별자입니다. 계정 엔터티의 AadUserId와 유사하지만 이 속성은 사무실 쪽의 사서함 개체에만 해당됩니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.mailboxPrimaryAddress |
string |
사서함의 기본 주소 |
| properties.upn |
string |
사서함의 UPN |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
MailClusterEntity
메일 클러스터 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mail |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.clusterGroup |
string |
클러스터 그룹 |
| properties.clusterQueryEndTime |
string |
클러스터 쿼리 종료 시간 |
| properties.clusterQueryStartTime |
string |
클러스터 쿼리 시작 시간 |
| properties.clusterSourceIdentifier |
string |
클러스터 원본의 ID |
| properties.clusterSourceType |
string |
클러스터 원본의 형식입니다. |
| properties.countByDeliveryStatus |
object |
DeliveryStatus 문자열 표현별 메일 메시지 수 |
| properties.countByProtectionStatus |
object |
ProtectionStatus 문자열 표현별 메일 메시지 수 |
| properties.countByThreatType |
object |
ThreatType 문자열 표현별 메일 메시지 수 |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.isVolumeAnomaly |
boolean |
볼륨 변칙 메일 클러스터인가요? |
| properties.mailCount |
integer |
메일 클러스터의 일부인 메일 메시지 수 |
| properties.networkMessageIds |
string[] |
메일 클러스터의 일부인 메일 메시지 ID |
| properties.query |
string |
메일 클러스터의 메시지를 식별하는 데 사용된 쿼리 |
| properties.queryTime |
string |
쿼리 시간 |
| properties.source |
string |
메일 클러스터의 원본(기본값은 'O365 ATP') |
| properties.threats |
string[] |
메일 클러스터의 일부인 메일 메시지의 위협 |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
MailMessageEntity
메일 메시지 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mail |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.antispamDirection |
이 메일 메시지의 방향성 |
|
| properties.bodyFingerprintBin1 |
integer |
bodyFingerprintBin1 |
| properties.bodyFingerprintBin2 |
integer |
bodyFingerprintBin2 |
| properties.bodyFingerprintBin3 |
integer |
bodyFingerprintBin3 |
| properties.bodyFingerprintBin4 |
integer |
bodyFingerprintBin4 |
| properties.bodyFingerprintBin5 |
integer |
bodyFingerprintBin5 |
| properties.deliveryAction |
배달됨, 차단됨, 교체 등과 같은 이 메일 메시지의 배달 작업 |
|
| properties.deliveryLocation |
받은 편지함, JunkFolder 등과 같은 이 메일 메시지의 배달 위치 |
|
| properties.fileEntityIds |
string[] |
이 메일 메시지 첨부 파일의 파일 엔터티 ID |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.internetMessageId |
string |
이 메일 메시지의 인터넷 메시지 ID |
| properties.language |
string |
이 메일 메시지의 언어 |
| properties.networkMessageId |
string |
이 메일 메시지의 네트워크 메시지 ID |
| properties.p1Sender |
string |
p1 보낸 사람의 전자 메일 주소 |
| properties.p1SenderDisplayName |
string |
p1 보낸 사람의 표시 이름 |
| properties.p1SenderDomain |
string |
p1 보낸 사람의 도메인 |
| properties.p2Sender |
string |
p2 보낸 사람의 전자 메일 주소 |
| properties.p2SenderDisplayName |
string |
p2 보낸 사람의 표시 이름 |
| properties.p2SenderDomain |
string |
p2 보낸 사람의 도메인 |
| properties.receiveDate |
string |
이 메시지의 수신 날짜 |
| properties.recipient |
string |
이 메일 메시지의 받는 사람입니다. 여러 받는 사람의 경우 메일 메시지가 포크되고 각 복사본에 받는 사람이 한 명 있습니다. |
| properties.senderIP |
string |
보낸 사람의 IP 주소 |
| properties.subject |
string |
이 메일 메시지의 제목 |
| properties.threatDetectionMethods |
string[] |
위협 탐지 방법 |
| properties.threats |
string[] |
이 메일 메시지의 위협 |
| properties.urls |
string[] |
이 메일 메시지에 포함된 URL |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
MalwareEntity
맬웨어 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Malware |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.category |
string |
공급업체별 맬웨어 범주(예: 트로이 목마) |
| properties.fileEntityIds |
string[] |
맬웨어가 발견된 연결된 파일 엔터티 식별자 목록 |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.malwareName |
string |
공급업체의 맬웨어 이름(예: Win32/Toga!rfn) |
| properties.processEntityIds |
string[] |
맬웨어가 발견된 연결된 프로세스 엔터티 식별자 목록입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
OSFamily
운영 체제 유형입니다.
| Name | 형식 | Description |
|---|---|---|
| Android |
string |
Android 운영 체제를 사용하여 호스트합니다. |
| IOS |
string |
IOS 운영 체제를 사용하여 호스트합니다. |
| Linux |
string |
Linux 운영 체제를 사용하여 호스트합니다. |
| Unknown |
string |
알 수 없는 운영 체제를 사용하여 호스트합니다. |
| Windows |
string |
Windows 운영 체제를 사용하여 호스트합니다. |
ProcessEntity
프로세스 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Process |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.accountEntityId |
string |
프로세스를 실행하는 계정 엔터티 ID입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.commandLine |
string |
프로세스를 만드는 데 사용되는 명령줄 |
| properties.creationTimeUtc |
string |
프로세스가 실행되기 시작한 시간 |
| properties.elevationToken |
프로세스와 연결된 권한 상승 토큰입니다. |
|
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hostEntityId |
string |
프로세스가 실행 중인 호스트 엔터티 ID |
| properties.hostLogonSessionEntityId |
string |
프로세스가 실행 중인 세션 엔터티 ID |
| properties.imageFileEntityId |
string |
이미지 파일 엔터티 ID |
| properties.parentProcessEntityId |
string |
부모 프로세스 엔터티 ID입니다. |
| properties.processId |
string |
프로세스 ID |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
RegistryHive
레지스트리 키를 보유하는 하이브입니다.
| Name | 형식 | Description |
|---|---|---|
| HKEY_A |
string |
HKEY_A |
| HKEY_CLASSES_ROOT |
string |
HKEY_CLASSES_ROOT |
| HKEY_CURRENT_CONFIG |
string |
HKEY_CURRENT_CONFIG |
| HKEY_CURRENT_USER |
string |
HKEY_CURRENT_USER |
| HKEY_CURRENT_USER_LOCAL_SETTINGS |
string |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
| HKEY_LOCAL_MACHINE |
string |
HKEY_LOCAL_MACHINE |
| HKEY_PERFORMANCE_DATA |
string |
HKEY_PERFORMANCE_DATA |
| HKEY_PERFORMANCE_NLSTEXT |
string |
HKEY_PERFORMANCE_NLSTEXT |
| HKEY_PERFORMANCE_TEXT |
string |
HKEY_PERFORMANCE_TEXT |
| HKEY_USERS |
string |
HKEY_USERS |
RegistryKeyEntity
레지스트리 키 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Registry |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.hive |
레지스트리 키를 보유하는 하이브입니다. |
|
| properties.key |
string |
레지스트리 키 경로입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
RegistryValueEntity
레지스트리 값 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Registry |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.keyEntityId |
string |
레지스트리 키 엔터티 ID입니다. |
| properties.valueData |
string |
값 데이터의 문자열 형식 표현입니다. |
| properties.valueName |
string |
레지스트리 값 이름입니다. |
| properties.valueType |
레지스트리에 값을 저장할 때 사용할 데이터 형식을 지정하거나 레지스트리 값의 데이터 형식을 나타냅니다. |
|
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
RegistryValueKind
레지스트리에 값을 저장할 때 사용할 데이터 형식을 지정하거나 레지스트리 값의 데이터 형식을 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| Binary |
string |
이진 값 형식 |
| DWord |
string |
DWord 값 형식 |
| ExpandString |
string |
ExpandString 값 형식 |
| MultiString |
string |
MultiString 값 형식 |
| None |
string |
없음 |
| QWord |
string |
QWord 값 형식 |
| String |
string |
문자열 값 형식 |
| Unknown |
string |
알 수 없는 값 형식 |
SecurityAlert
보안 경고 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind | string: |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.alertDisplayName |
string |
경고의 표시 이름입니다. |
| properties.alertLink |
string |
경고의 URI 링크입니다. |
| properties.alertType |
string |
경고의 형식 이름입니다. |
| properties.compromisedEntity |
string |
보고되는 기본 엔터티의 표시 이름입니다. |
| properties.confidenceLevel |
이 경고의 신뢰도 수준입니다. |
|
| properties.confidenceReasons |
신뢰도 이유 |
|
| properties.confidenceScore |
number |
경고의 신뢰도 점수입니다. |
| properties.confidenceScoreStatus |
신뢰도 점수 계산은 상태. 즉, 이 경고에 대해 점수 계산이 보류 중인지 여부를 나타내는 것으로, 적용 가능하거나 최종적이지 않습니다. |
|
| properties.description |
string |
경고 설명. |
| properties.endTimeUtc |
string |
경고의 영향 종료 시간(경고에 기여하는 마지막 이벤트의 시간)입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.intent |
이 경고에 대한 경고 의도 단계 매핑을 보유합니다. |
|
| properties.processingEndTime |
string |
경고를 사용할 수 있게 된 시간입니다. |
| properties.productComponentName |
string |
경고를 생성한 제품 내 구성 요소의 이름입니다. |
| properties.productName |
string |
이 경고를 게시한 제품의 이름입니다. |
| properties.productVersion |
string |
경고를 생성하는 제품의 버전입니다. |
| properties.providerAlertId |
string |
경고를 생성한 제품 내 경고의 식별자입니다. |
| properties.remediationSteps |
string[] |
경고를 수정하기 위해 수행하는 수동 작업 항목입니다. |
| properties.resourceIdentifiers |
object[] |
경고의 리소스 식별자 목록입니다. |
| properties.severity |
경고의 심각도 |
|
| properties.startTimeUtc |
string |
경고의 영향 시작 시간(경고에 기여하는 첫 번째 이벤트의 시간)입니다. |
| properties.status |
경고의 수명 주기 상태. |
|
| properties.systemAlertId |
string |
제품에 대한 경고의 제품 식별자를 보유합니다. |
| properties.tactics |
경고의 전술 |
|
| properties.timeGenerated |
string |
경고가 생성된 시간입니다. |
| properties.vendorName |
string |
경고를 발생시키는 공급업체의 이름입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
SecurityGroupEntity
보안 그룹 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Security |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.distinguishedName |
string |
그룹 고유 이름 |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.objectGuid |
string |
Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다. |
| properties.sid |
string |
SID 특성은 그룹의 SID(보안 식별자)를 지정하는 단일 값 특성입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
SubmissionMailEntity
제출 메일 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Submission |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.networkMessageId |
string |
제출이 속한 전자 메일의 네트워크 메시지 ID |
| properties.recipient |
string |
메일의 받는 사람 |
| properties.reportType |
string |
지정된 인스턴스에 대한 제출 유형입니다. 이는 Junk, Phish, Malware 또는 NotJunk에 매핑됩니다. |
| properties.sender |
string |
메일의 보낸 사람 |
| properties.senderIp |
string |
보낸 사람의 IP |
| properties.subject |
string |
제출 메일의 제목 |
| properties.submissionDate |
string |
제출 날짜 |
| properties.submissionId |
string |
제출 ID |
| properties.submitter |
string |
제출자 |
| properties.timestamp |
string |
메시지가 수신될 때의 타임스탬프를 반환합니다(메일). |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
systemData
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다.
| Name | 형식 | Description |
|---|---|---|
| createdAt |
string |
UTC(리소스 만들기)의 타임스탬프입니다. |
| createdBy |
string |
리소스를 만든 ID입니다. |
| createdByType |
리소스를 만든 ID 유형입니다. |
|
| lastModifiedAt |
string |
리소스 마지막 수정의 타임스탬프(UTC) |
| lastModifiedBy |
string |
리소스를 마지막으로 수정한 ID입니다. |
| lastModifiedByType |
리소스를 마지막으로 수정한 ID 유형입니다. |
ThreatIntelligence
ThreatIntelligence 속성 모음.
| Name | 형식 | Description |
|---|---|---|
| confidence |
number |
신뢰도(0에서 1 사이여야 합니다). |
| providerName |
string |
이 위협 인텔리전스 정보를 받은 공급자의 이름 |
| reportLink |
string |
보고서 링크 |
| threatDescription |
string |
위협 설명(무료 텍스트) |
| threatName |
string |
위협 이름(예: "Jedobot 맬웨어") |
| threatType |
string |
위협 유형(예: "Botnet") |
UrlEntity
URL 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Url |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.url |
string |
엔터티가 가리키는 전체 URL |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
UserInfo
일부 작업을 수행한 사용자 정보
| Name | 형식 | Description |
|---|---|---|
|
string |
사용자의 이메일입니다. |
|
| name |
string |
사용자의 이름입니다. |
| objectId |
string |
사용자의 개체 ID입니다. |