Microsoft Sentinel 동작 테이블. 검색된 위협을 포함하여 동작 또는 관찰에 관련된 엔터티(파일, 프로세스, 디바이스, 사용자 및 기타)에 대한 정보를 포함합니다.
테이블 특성
| 특성 |
가치 |
|
리소스 종류 |
microsoft.securityinsights/securityinsights |
|
Categories |
Security |
|
솔루션 |
보안 인사이트 |
|
기본 로그 |
Yes |
|
인제션 시간 변환 |
아니오 |
|
샘플 쿼리 |
- |
칼럼
| 칼럼 |
유형 |
Description |
| AccountDomain |
문자열 |
계정의 도메인입니다. |
| 계정 이름 |
문자열 |
계정의 사용자 이름입니다. |
| AccountObjectId |
문자열 |
Microsoft Entra ID의 계정에 대한 고유 식별자입니다. |
| AccountSid |
문자열 |
계정의 SID(보안 식별자)입니다. |
| AccountUpn |
문자열 |
계정의 UPN(사용자 계정 이름)입니다. |
| 동작 유형 |
문자열 |
동작 유형입니다. |
| AdditionalFields |
문자열 |
엔터티 또는 이벤트에 대한 추가 정보입니다. |
| Application |
문자열 |
기록된 작업을 수행한 애플리케이션입니다. |
| ApplicationId |
문자열 |
애플리케이션의 고유 식별자입니다. |
| BehaviorId |
문자열 |
동작에 대한 고유 식별자입니다. |
| _BilledSize |
real |
레코드 크기(바이트) |
| 카테고리 |
문자열 |
동작으로 식별되는 위협 지표 또는 위반 활동의 유형입니다. |
| CloudPlatform |
문자열 |
리소스가 속한 클라우드 플랫폼은 Azure, Amazon Web Services 또는 Google Cloud Platform일 수 있습니다. |
| CloudResource |
문자열 |
클라우드 리소스 이름입니다. |
| CloudResourceId |
문자열 |
액세스된 클라우드 리소스의 고유 식별자입니다. |
| CloudResourceType |
문자열 |
클라우드 리소스의 유형입니다. |
| CloudSubscriptionId |
문자열 |
클라우드 서비스 구독의 고유 식별자입니다. |
| DataSources |
문자열 |
동작에 대한 정보를 제공한 제품 또는 서비스입니다. |
| DetailedEntityRole |
문자열 |
동작에서 엔터티의 역할입니다. |
| DetectionSource |
문자열 |
주목할 만한 구성 요소 또는 활동을 식별하는 감지 기술 또는 센서입니다. |
| DeviceId |
문자열 |
서비스의 디바이스에 대한 고유 식별자입니다. |
| 디바이스명 |
문자열 |
디바이스의 FQDN(정규화된 도메인 이름)입니다. |
| EmailClusterId |
문자열 |
내용에 대한 추론 분석을 기반으로 클러스터된 유사한 전자 메일 그룹의 식별자입니다. |
| EmailSubject |
문자열 |
이메일 제목입니다. |
| EntityRole |
문자열 |
엔터티가 영향을 받았는지 아니면 단순히 관련되어 있는지를 나타냅니다. |
| 엔티티 유형 |
문자열 |
파일, 프로세스, 디바이스 또는 사용자와 같은 개체 유형입니다. |
| 파일명 |
문자열 |
동작이 적용되는 파일의 이름입니다. |
| 파일크기 |
long |
동작이 적용되는 파일의 크기(바이트)입니다. |
| 폴더 경로 |
문자열 |
동작이 적용되는 파일이 포함된 폴더입니다. |
| _IsBillable (과금 가능 여부) |
문자열 |
데이터 수신이 청구 대상인지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| LocalIP |
문자열 |
통신 중에 사용되는 로컬 컴퓨터에 할당된 IP 주소입니다. |
| NetworkMessageId |
문자열 |
Office 365에서 생성된 UUID 형식의 전자 메일에 대한 고유 식별자입니다. |
| OAuthApplicationId |
문자열 |
UUID 형식의 타사 OAuth 애플리케이션의 고유 식별자입니다. |
| ProcessCommandLine |
문자열 |
새 프로세스를 만드는 데 사용되는 명령줄입니다. |
| RegistryKey |
문자열 |
기록된 작업이 적용된 레지스트리 키입니다. |
| RegistryValueData |
문자열 |
기록된 작업이 적용된 레지스트리 값의 데이터입니다. |
| RegistryValueName |
문자열 |
기록된 작업이 적용된 레지스트리 값의 이름입니다. |
| RemoteIP |
문자열 |
연결 중인 IP 주소입니다. |
| RemoteUrl |
문자열 |
연결된 URL 또는 FQDN(정규화된 도메인 이름)입니다. |
| _리소스아이디 |
문자열 |
레코드가 연결된 리소스의 고유 식별자입니다. |
| ServiceSource |
문자열 |
동작을 식별한 제품 또는 서비스입니다. |
| SHA1 |
문자열 |
동작이 적용되는 파일의 SHA-256입니다. |
| SHA256 |
문자열 |
파일의 SHA-256입니다. EntityType이 "File" 또는 "Process"가 아니면 비어 있습니다. |
| 소스 시스템 |
문자열 |
이벤트 데이터를 수집한 에이전트의 유형. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| _서브스크립션아이디 |
문자열 |
레코드가 연결된 구독 서비스의 고유 식별자입니다. |
| 테넌트아이디 |
문자열 |
Log Analytics 작업 영역 ID |
| ThreatFamily |
문자열 |
의심스럽거나 악의적인 파일 또는 프로세스가 분류된 맬웨어 패밀리입니다. |
| 타임제너레이티드 |
datetime |
레코드가 생성된 날짜 및 시간입니다. |
| 유형 |
문자열 |
테이블의 이름입니다. |