Microsoft Graph 보안(사용되지 않음) [사용되지 않음]

결과 코드

메시지

결과 하위 코드

반환된 TiIndicator의 수

반환된 TiIndicator

요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크

반환된 경고 수

반환된 경고

요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크

업데이트된 TiIndicators

제출된 TiIndicators

결과 코드

메시지

결과 하위 코드

반환된 구독 수

반환된 구독 엔터티

요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크

반환된 경고 수

반환된 경고

요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크

반환된 경고 수

반환된 경고

요청된 것보다 더 많은 결과가 있는 경우 다음 결과를 가져오는 링크

이 경고가 Azure 리소스와 관련된 경우 표시되는 Azure 구독 ID입니다.

경고에 적용할 수 있고 필터 조건(예: "HVA", "SAW" 등)으로 사용할 수 있는 사용자 정의 레이블입니다.

공급자가 생성한 GUID/고유 식별자입니다.

Microsoft Entra ID 테넌트 ID입니다.

이 경고의 특성은 활동 그룹(공격자)의 이름 또는 별칭입니다.

심사, 조사 또는 수정을 위해 경고가 할당된 분석가의 이름입니다.

경고 범주(예: credentialTheft, 랜섬웨어 등).

경고가 닫힌 시간(UTC)입니다.

경고에 대한 고객이 제공한 의견(고객 경고 관리용).

검색 논리의 신뢰도(1~100 사이의 백분율)입니다.

경고가 생성된 시간(UTC)입니다.

경고 설명입니다.

이 경고 엔터티와 관련된 경고 집합입니다.

경고를 생성하기 위한 트리거 역할을 한 이벤트가 발생한 시간(UTC)입니다.

경고에 대한 분석가 피드백입니다. 가능한 값은 unknown, truePositive, falsePositive, benignPositive입니다.

경고 엔터티가 마지막으로 수정된 시간(UTC)입니다.

공급업체/공급자는 경고의 결과로 수행할 작업(예: 컴퓨터 격리, enforce2FA, 이미지 다시 설치 호스트 등)을 권장합니다.

경고 심각도 - 공급업체/공급자가 설정합니다. 값: (높음, 중간, 낮음, 정보) 여기서 "정보"는 경고가 실행 가능하지 않다고 유추합니다.

경고와 관련된 원본 자료(예: 공급자 조사 UI 등)에 대한 하이퍼링크(URI)

경고 수명 주기 상태(단계). 값: (unknown, newAlert, inProgress, resolved).

경고 제목.

특정 공급자(제품/서비스 - 공급업체 회사가 아님); 예를 들어 WindowsDefenderATP입니다.

공급자 또는 하위 프로비더의 버전입니다.

특정 하위 프로젝트(집계 공급자 아래); 예를 들어 WindowsDefenderATP.SmartScreen입니다.

경고 공급업체의 이름(예: Microsoft, Dell, FireEye).

이 경고와 관련된 클라우드 애플리케이션/s에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

클라우드 앱/서비스에 대한 연결의 대상 IP 주소입니다.

대상 클라우드 앱/서비스 이름입니다.

클라우드 애플리케이션/서비스의 공급자 생성/계산 위험 점수입니다.

이 경고와 관련된 파일에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

파일 이름(경로 없음)

파일/imageFile의 전체 파일 경로입니다.

경고 파일의 공급자 생성/계산된 위험 점수입니다.

파일 해시 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256입니다.

파일 해시의 값입니다.

이 경고와 관련된 호스트에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

호스트 FQDN(정규화된 도메인 이름).

호스트가 Microsoft Entra ID Domain Services에 가입된 도메인인 경우 True입니다.

True이면 Microsoft Entra ID 디바이스 등록(예: BYOD)에 등록된 호스트가 엔터프라이즈에서 완전히 관리되지 않습니다.

호스트가 온-프레미스 Microsoft Entra ID 도메인에 가입된 도메인이면 True입니다.

DNS 도메인 이름이 없는 로컬 호스트 이름입니다.

호스트 운영 체제.

경고 시 프라이빗(라우팅할 수 없음) IPv4 또는 IPv6 주소입니다.

경고 시 공개적으로 라우팅 가능한 IPv4 또는 IPv6 주소입니다.

호스트의 공급자 생성/계산된 위험 점수입니다.

이 경고와 관련된 맬웨어에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

공급자가 생성한 맬웨어 범주(예: 트로이 목마, 랜섬웨어 등).

공급자가 생성한 맬웨어 패밀리(예: "wannacry", "notpetya" 등).

공급자가 생성한 맬웨어 변형 이름(예: 트로이 목마:Win32/Powessere.H).

공급자가 결정한 이 맬웨어의 심각도입니다.

검색된 파일(맬웨어/취약성)이 검색 시 실행 중이거나 디스크에서 미사용 시 검색되었는지 여부를 나타냅니다.

이 경고와 관련된 파일에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

네트워크 연결을 관리하는 애플리케이션의 이름입니다(예: Facebook, SMTP 등).

네트워크 연결의 대상 IP 주소입니다.

대상 URL의 대상 도메인 부분입니다. (예: "www.contoso.com").

네트워크 연결의 대상 포트입니다.

네트워크 연결 URL/URI 문자열 - 매개 변수 제외

네트워크 연결 방향입니다. 가능한 값은 알 수 없음, 인바운드, 아웃바운드입니다.

대상 도메인이 등록된 날짜(UTC)입니다.

호스트 로컬 DNS 캐시에 표시되는 로컬 DNS 이름 확인(예: "hosts" 파일이 변조된 경우).

네트워크 주소 변환 대상 IP 주소입니다.

네트워크 주소 변환 대상 포트입니다.

네트워크 주소 변환 원본 IP 주소입니다.

네트워크 주소 변환 원본 포트입니다.

네트워크 프로토콜. 가능한 값은 알 수 없음, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spxII.

네트워크 연결의 공급자 생성/계산된 위험 점수입니다.

네트워크 연결의 원본(예: 원본) IP 주소입니다.

네트워크 연결의 원본(예: 원본) IP 포트입니다.

네트워크 연결 상태입니다. 가능한 값은 알 수 없음, 시도됨, 성공, 차단됨, 실패입니다.

대상 URL의 매개 변수(접미사)를 문자열로 사용합니다.

이 경고와 관련된 프로세스 또는 프로세스에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

사용자 계정 식별자(프로세스가 실행된 사용자 계정 컨텍스트)(예: AccountName, SID 등)

모든 매개 변수를 포함하는 전체 프로세스 호출 명령줄입니다.

부모 프로세스가 시작된 DateTime(UTC)입니다.

프로세스의 무결성 수준입니다. 가능한 값은 알 수 없음, 신뢰할 수 없음, 낮음, 중간, 높음, 시스템입니다.

프로세스가 상승하면 True입니다.

프로세스 이미지 파일의 이름입니다.

프로세스가 시작된 시간(UTC)입니다.

부모 프로세스의 PID(프로세스 ID)입니다.

부모 프로세스의 이미지 파일 이름입니다.

파일 이름을 포함한 전체 경로입니다.

프로세스의 PID(프로세스 ID)입니다.

파일 해시 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256입니다.

파일 해시의 값입니다.

이 경고와 관련된 레지스트리 키에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

레지스트리 키를 수정한 프로세스의 프로세스 ID(PID)입니다(프로세스 세부 정보는 경고 "프로세스" 컬렉션에 표시됨).

레지스트리 키 이름 및/또는 값(추가, 수정, 삭제)을 변경한 작업입니다.

레지스트리 키 값 형식입니다. 가능한 값은 unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz입니다.

Windows 레지스트리 하이브. 가능한 값은 unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault입니다.

현재(즉, 변경된) 레지스트리 키(HIVE 제외)입니다.

현재(즉, 변경된) 레지스트리 키 값 이름입니다.

현재(즉, 변경된) 레지스트리 키 값 데이터(콘텐츠)입니다.

이전(즉, 변경 전) 레지스트리 키(HIVE 제외).

이전(예: 변경 전) 레지스트리 키 값 이름입니다.

이전(즉, 변경 전) 레지스트리 키 값 데이터(콘텐츠)입니다.

경고를 트리거한 특정 속성(경고에 나타나는 속성)에 대한 보안 관련 정보입니다. 경고에는 여러 사용자, 호스트, 파일, IP 주소에 대한 정보가 포함될 수 있습니다. 이 필드는 경고 생성을 트리거한 속성을 나타냅니다.

검색 트리거 역할을 하는 속성의 이름입니다.

해석을 위한 키:값 쌍의 특성 유형(예: 문자열, 부울 등)입니다.

검색 트리거 역할을 하는 특성의 값입니다.

이 경고와 관련된 로그온한 사용자 또는 사용자에 대해 공급자가 생성한 보안 관련 상태 저장 정보입니다.

Microsoft Entra ID GUID(사용자 개체 식별자) - 물리적/다중 계정 사용자 엔터티를 나타냅니다.

사용자 계정의 계정 이름(Microsoft Entra ID 도메인 또는 DNS 도메인 제외) - ("mailNickName"이라고도 함)

사용자 계정의 NetBIOS/Microsoft Entra ID 도메인(즉, domain\account 형식).

전자 메일 관련 경고의 경우 - 사용자 계정 전자 메일 역할입니다.

사용자가 VPN을 통해 로그온했는지 여부를 나타냅니다.

로그온이 발생한 시간(UTC)입니다.

사용자 로그인 ID입니다.

IP 로그온 요청의 주소를 지정합니다.

이 사용자가 사용자 로그인 이벤트와 연결된 위치(IP 주소 매핑 기준)입니다.

사용자 로그인 방법입니다. 가능한 값은 알 수 없음, 대화형, remoteInteractive, 네트워크, 일괄 처리, 서비스입니다.

사용자의 Microsoft Entra ID(온-프레미스) SID(보안 식별자)입니다.

사용자 계정의 공급자 생성/계산 위험 점수입니다.

Windows 정의당 사용자 계정 유형(그룹 멤버 자격)입니다. 가능한 값은 알 수 없음, 표준, 전원, 관리자입니다.

사용자 로그인 이름 - 인터넷 형식: <사용자 계정 이름>@<사용자 계정 DNS 도메인 이름>입니다.

이 경고와 관련된 하나 이상의 취약성과 관련된 위협 인텔리전스입니다.

취약성에 대한 CVE(일반적인 취약성 및 노출)입니다.

검색 시 검색된 취약성(파일)이 실행 중인지 또는 디스크의 미사용 파일인지 여부를 나타냅니다.

이 취약성에 대한 기본 CVSS(Common Vulnerability Scoring System) 심각도 점수입니다.

구독에 대한 고유 식별자입니다.

변경 내용을 모니터링할 리소스를 지정합니다.

구독을 만드는 데 사용되는 애플리케이션의 식별자입니다.

알림을 발생시킬 구독된 리소스의 변경 유형을 나타냅니다.

각 알림에서 서비스에서 보낸 clientState 속성의 값을 지정합니다. 최대 길이는 128자입니다. 클라이언트는 구독과 전송된 clientState 속성의 값을 각 알림과 함께 받은 clientState 속성의 값과 비교하여 서비스에서 알림이 제공된 것을 확인할 수 있습니다.

알림을 받을 엔드포인트의 URL입니다. 이 URL은 HTTPS 프로토콜을 사용해야 합니다.

웹후크 구독이 만료되는 날짜 및 시간(UTC)을 지정합니다.

구독을 만든 사용자 또는 서비스 주체의 식별자입니다. 앱에서 위임된 권한을 사용하여 구독을 만든 경우 이 필드에는 앱이 대신 호출한 로그인한 사용자의 ID가 포함됩니다. 앱에서 애플리케이션 권한을 사용한 경우 이 필드에는 앱에 해당하는 서비스 주체의 ID가 포함됩니다.

targetProduct 보안 도구 내에서 표시기가 일치하는 경우 적용할 작업입니다. 값: (알 수 없음, 허용, 차단, 경고).

위협 지표에서 다루는 악의적인 활동을 담당하는 당사자의 사이버 위협 인텔리전스 이름입니다.

다른 tiIndicator 속성에서 다루지 않는 표시기의 추가 데이터를 배치할 수 있습니다.

클라이언트 제출의 Microsoft Entra ID 테넌트 ID입니다.

검색 논리의 신뢰도(0-100 사이의 백분율)입니다.

TiIndicator 설명(100자 이하).

이 표시기가 있는 다이아몬드 모델의 영역입니다. 값: (알 수 없음, 악의적인 사용자, 기능, 인프라, 피해자).

표시기가 만료되는 시간(UTC)입니다.

표시기를 표시기 공급자의 시스템에 다시 연결하는 ID 번호입니다(예: 외래 키).

표시기가 수집될 때 시스템에서 생성됩니다. 생성된 GUID/고유 식별자입니다.

표시기가 수집되는 시간(UTC)입니다.

기본적으로 제출된 모든 표시기는 활성으로 설정됩니다. 그러나 공급자는 시스템에서 표시기를 비활성화하기 위해 이 집합이 'False'로 설정된 기존 표시기를 제출할 수 있습니다.

이 표시기를 대상으로 하는 Kill Chain의 점 또는 지점을 설명하는 문자열입니다. 값: (작업, C2, 배달, 악용, 설치, 정찰, 무기화).

표시기가 가양성으로 인해 발생할 수 있는 시나리오입니다.

표시기가 마지막으로 표시된 시간(UTC)입니다.

표시기(있는 경우)와 연결된 맬웨어 패밀리 이름입니다.

표시기가 최종 사용자에게 표시되는 이벤트를 트리거해야 하는지 여부를 결정합니다.

표시기 내의 데이터로 식별되는 악의적인 동작의 심각도입니다. 값은 0에서 5이고 5는 가장 심각합니다. 기본값은 3입니다.

표시기를 적용해야 하는 단일 보안 제품입니다. 허용되는 값은 Azure Sentinel, Microsoft Defender ATP입니다.

각 지표에는 유효한 표시기 위협 유형이 있어야 합니다. 가능한 값은 Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList입니다.

표시기용 신호등 프로토콜 값입니다. 가능한 값은 알 수 없음, 흰색, 녹색, 주황색, 빨간색입니다.

전자 메일에 사용되는 텍스트 인코딩의 형식입니다.

전자 메일의 언어입니다.

받는 사람 전자 메일 주소입니다.

공격자|피해자의 전자 메일 주소입니다.

공격자|victim의 이름이 표시됩니다.

전자 메일에 사용되는 도메인입니다.

전자 메일의 원본 IP 주소입니다.

전자 메일의 제목 줄입니다.

전자 메일에 사용되는 X-Mailer 값입니다.

파일이 컴파일된 DateTime입니다.

파일이 만들어진 날짜/시간입니다.

fileHashValue에 저장된 해시의 형식입니다. 가능한 값은 unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph입니다.

파일 해시 값입니다.

파일 기반 검색에 사용되는 뮤텍스 이름입니다.

표시기가 파일 기반인 경우 파일의 이름입니다.

해당 파일을 빌드하는 데 사용되는 Packer입니다.

손상 여부를 나타내는 파일의 경로입니다. Windows 또는 *nix 스타일 경로일 수 있습니다.

파일의 크기(바이트)입니다.

파일 형식에 대한 텍스트 설명입니다. 예를 들어 "Word 문서" 또는 "이진"입니다.

이 표시기와 연결된 도메인 이름입니다.

이 표시기에서 참조되는 네트워크의 CIDR 블록 표기법 표현입니다.

표시기에서 참조되는 네트워크의 대상 자율 시스템 식별자입니다.

이 표시기에서 대상 네트워크의 CIDR 블록 표기법 표현입니다.

IPv4 IP 주소 대상입니다.

IPv6 IP 주소 대상입니다.

TCP 포트 대상입니다.

IPv4 IP 주소입니다.

IPv6 IP 주소입니다.

TCP 포트.

IPv4 헤더에 있는 프로토콜 필드의 10진수 표현입니다.

표시기에서 참조되는 네트워크의 원본 자율 시스템 식별자입니다.

이 표시기에서 원본 네트워크의 CIDR 블록 표기법 표현입니다.

IPv4 IP 주소 원본입니다.

IPv6 IP 주소 원본입니다.

TCP 포트 원본입니다.

Uniform Resource Locator.

손상되었음을 나타낼 수 있는 웹 요청의 문자열을 User-Agent.