다음을 통해 공유

Microsoft Sentinel 엔터티 형식 참조

이 문서에는 Azure Portal의 Microsoft Sentinel과 Defender 포털의 Microsoft Sentinel에 있는 엔터티 및 엔터티 형식에 대한 두 가지 정보 집합이 포함되어 있습니다.

  • 엔터티 형식 및 식별자 테이블에는 경고 및 인시던트에서 식별할 수 있는 다양한 유형의 엔터티가 표시되어 추적 및 조사할 수 있습니다. 또한 각 엔터티 형식에 대해 엔터티를 식별하는 데 사용할 수 있는 다양한 식별자가 표에 표시됩니다.
  • The Entity schema section shows the data structure and schema for entities in general and for each entity type in particular.

Important

Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.

엔터티 형식 및 식별자

The following table shows the entity types that can be recognized by Microsoft Sentinel, and the attributes that can be used as identifiers for each entity type.

Microsoft Sentinel recognizes entities in alerts and incidents that are created by entity mapping in analytics rules. 또한 다른 원본에서 수집된 경고에서 이미 식별된 엔터티를 인식합니다.

현재 Microsoft Sentinel에서 엔터티 매핑을 만들 때 지정된 엔터티에 대해 최대 3개의 식별자를 사용할 수 있습니다. Strong identifiers alone are sufficient to uniquely identify an entity, whereas weak identifiers can do so only in combination with other identifiers. 강력한 식별자와 약한 식별자에 대해 자세히 알아봅니다. Microsoft Sentinel에서 엔터티 매핑을 만들 때 이 테이블의 모든 식별자를 사용할 수는 없지만 대부분 사용할 수 있습니다(각주 참조).

Entity type Identifiers Strong identifiers Weak identifiers
Account Name
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid		 Name+UPNSuffix
AADUserId
Sid **
Sid+Host**
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid		 Name
Host DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID		 HostName
NetBiosName
Entity type Identifiers Strong identifiers Weak identifiers
IP Address
AddressScope		 Global address: Address**
Private address: Address+AddressScope**
Private address: Address**
URL Url URL (절대 URL인 경우)** URL (상대 URL인 경우)**
Azure resource
(AzureResource)		 ResourceId ResourceId
Cloud application
(CloudApplication)		 AppId
Name
InstanceName		 AppId
Name
AppId+InstanceName
Name+InstanceName
DNS resolution
(DNS)		 DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
File Directory
Name		 Directory+Name
File hash
(FileHash)		 Algorithm
Value		 Algorithm+Value
Malware Name
Category		 Name+Category
Entity type Identifiers Strong identifiers Weak identifiers
Process ProcessId
CommandLine
ElevationToken
CreationTimeUtc		 Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
    FileHash		 ProcessId+CreationTimeUtc+
   CommandLine(호스트 없음)
ProcessId+CreationTimeUtc+
    ImageFile (no Host)
Registry key
(RegistryKey)		 Hive
Key		 Hive+Key
Registry value
(RegistryValue)		 Name
Value
ValueType
 Key+Name 이름(키 없음)
Security group
(SecurityGroup)		 DistinguishedName
SID
ObjectGuid		 DistinguishedName
SID
ObjectGuid
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
Entity type Identifiers Strong identifiers Weak identifiers
Mail cluster
(MailCluster)		 NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Threats
Query
QueryTime
MailCount
IsVolumeAnomaly
Source
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *		 Query+Source
Mail message
(MailMessage)		 Recipient
Urls
Threats
Sender
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Subject
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Language *
ThreatDetectionMethods *		 NetworkMessageId+Recipient
Submission mail
(SubmissionMail)		 NetworkMessageId
Timestamp
Recipient
Sender
SenderIp
Subject
ReportType
SubmissionId
SubmissionDate
Submitter		 SubmissionId+NetworkMessageId+
   Recipient+Submitter
Sentinel entities Entities Entities

Table footnotes:

  • * 이러한 식별자는 엔터티 매핑에 사용할 수 있는 식별자 목록에 표시되지만 엄격하게 말하면 엔터티 스키마의 일부가 아닙니다.
  • ** 이러한 식별자는 특정 조건에서만 강력한 것으로 간주됩니다. 별표 링크를 따라 아래 엔터 티 스키마 섹션의 관련 엔터티 목록에서 적용되는 조건을 확인합니다.
  • 별표가 없는 기울임꼴 식별자 이름은 내부 엔터티를 나타냅니다. 즉, 한 엔터티 형식에 다른 엔터티 형식이 특성으로 있을 수 있습니다(아래 엔터티 스키마 섹션 참조). 식별자의 링크를 따라 내부 엔터티의 자체 스키마를 확인합니다.
  • 다른 엔터티는 Microsoft Sentinel 외에 많은 항목을 지원하는 일반적인 스키마인 스키마에 있을 수 있습니다. 이 문서에는 Microsoft Sentinel에서 사용할 수 있는 엔터티만 나열됩니다.

엔터티 형식 스키마

다음 섹션에는 각 엔터티 형식의 전체 스키마에 대한 자세한 내용이 포함되어 있습니다. 이러한 스키마 중 상당수에는 다른 엔터티 형식에 대한 링크가 포함됩니다. 예를 들어 계정 스키마에는 사용자 계정의 한 특성이 정의된 호스트이므로 호스트 엔터티 형식에 대한 링크가 포함됩니다. 이러한 엔터티를 "내부 엔터티"라고 하며 엔터티 매핑의 식별자로 사용할 수는 없지만 엔터티 페이지 및 조사 그래프에서 엔터티의 전체 그림을 제공하는 데 매우 유용합니다.

Note

A question mark following the value in the Type column indicates the field is nullable.

엔터티 형식 스키마 목록

Account

엔터티 이름: 계정

Field Type Description
Type String 'account'
Name String 계정 이름입니다. 이 필드는 도메인이 추가되지 않은 이름만 포함해야 합니다.
FullName -- 이전 버전의 엔터티 매핑과의 호환성을 위해 포함된 스키마의 일부가 아닙니다.
NTDomain String 경고 형식인 ___domain\username에 표시되는 NETBIOS 도메인 이름입니다.
Examples: Finance, NT AUTHORITY
DnsDomain String 정규화된 도메인 DNS 이름입니다.
Examples: finance.contoso.com
UPNSuffix String 계정의 사용자 계정 이름 접미사입니다. 대부분의 경우 UPN 접미사는 도메인 이름이기도 합니다.
Examples: contoso.com
Host Entity (Host) 로컬 계정인 경우 계정이 포함된 호스트입니다.
Sid String 계정의 보안 식별자입니다.
AadTenantId Guid? 알려진 경우 Microsoft Entra 테넌트 ID입니다.
AadUserId Guid? 알려진 경우 Microsoft Entra 계정 개체 ID입니다.
PUID Guid? 알려진 경우 Microsoft Entra Passport 사용자 ID입니다.
IsDomainJoined Bool? 계정이 도메인 계정인지 여부를 나타냅니다.
DisplayName -- 이전 버전의 엔터티 매핑과의 호환성을 위해 포함된 스키마의 일부가 아닙니다.
ObjectGuid Guid? objectGUID 특성은 Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다.
CloudAppAccountId String CloudApp 공급자의 경고에 있는 AccountID입니다. 다른 Microsoft 제품에서 지원되지 않는 타사 앱의 계정 ID를 참조합니다.
IsAnonymized Bool? 사용자 이름이 익명화되었는지 여부를 나타냅니다. Optional. 기본값: false.
Stream Stream 특정 계정과 관련된 검색 로그의 원본입니다. Optional.

계정 엔터티의 강력한 식별자

  • 이름 + UPNSuffix
  • AadUserId
  • Sid
    ** This identifier is strong as long as the account is not one of the built-in accounts listed in the Note below.
  • Sid + 호스트
    ** When the account is one of the built-in accounts listed in the Note below, the Host component is required to make this identifier a strong one.
  • 이름 + NTDomain
    ** NTDomain은 기본 제공 도메인/작업 그룹이 아니며 호스트 이름과 다르므로 계정이 도메인 계정인 경우 이 조합은 강력한 식별자입니다. 이 경우 호스트 구성 요소가 없는 경우에도 강력한 식별자입니다.
  • 이름 + NTDomain + 호스트
    ** 호스트 구성 요소는 계정이 로컬 계정일 때 강력한 식별자를 만드는 데 필요합니다. 즉, NTDomain은 기본 제공 도메인/작업 그룹입니다.
  • 이름 + DnsDomain
  • PUID
  • ObjectGuid

계정 엔터티의 약한 식별자

  • Name

Note

If the Account entity is defined using the Name identifier, and the Name value of a particular entity is one of the following generic, commonly built-in account names, then that entity will be dropped from its alert.

  • ADMIN
  • ADMINISTRATOR
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • AUTHENTICATED USER
  • NETWORK
  • NULL
  • LOCAL SYSTEM
  • LOCALSYSTEM
  • NETWORK SERVICE

엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

Host

엔터티 이름: 호스트

Field Type Description
Type String 'host'
IpInterfaces List<Entity (Ip)> 호스트 컴퓨터의 모든 IP 인터페이스 목록입니다.
DnsDomain String 이 호스트가 속한 DNS 도메인입니다. 알려진 경우 도메인에 대한 전체 DNS 접미사를 포함해야 합니다.
NTDomain String 이 호스트가 속한 NT 도메인입니다.
HostName String 도메인 접미사가 없는 호스트 이름입니다.
NetBiosName String 호스트 이름(Windows 2000 이전)입니다.
IoTDevice Entity (IoT Device) IoT 디바이스 엔터티(이 호스트가 IoT 디바이스를 나타내는 경우)입니다.
AzureID String 알려진 경우 VM의 Azure 리소스 ID입니다.
OMSAgentID String 호스트에 OMS 에이전트가 설치된 경우 OMS 에이전트 ID입니다.
OSFamily Enum? 다음 값 중 하나입니다.
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
    		•
    OSVersion String 운영 체제의 자유 텍스트 표현입니다.
    이 필드는 OSFamily보다 더 세분화된 특정 버전 또는 OSFamily 열거형에서 지원되지 않는 이후 값을 보유하기 위한 것입니다.
    IsDomainJoined Bool 이 호스트가 도메인에 속하는지 여부를 나타냅니다.

    호스트 엔터티의 강력한 식별자

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    호스트 엔터티의 약한 식별자

    • HostName
    • NetBiosName

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    IP

    엔터티 이름: IP

    Field Type Description
    Type String 'ip'
    Address String IP 주소를 문자열로 사용합니다(IPv4 또는 IPv6에서).
    Examples:20.112.250.133, 2603:1030:b:3::152
    AddressScope String 전역이 아닌 프라이빗 IP 주소에 대한 호스트, 서브넷 또는 프라이빗 네트워크의 이름입니다. 전역 IP 주소의 경우 Null이거나 비어 있습니다(기본값).
    Examples:/27, 255.255.255.128
    Location GeoLocation IP 엔터티에 연결된 지리적 위치 컨텍스트입니다.

    자세한 내용은 REST API(공개 미리 보기)를 통해 지리적 위치 데이터를 사용하여 Microsoft Sentinel의 엔터티 보강을 참조하세요.
    Stream Stream 특정 IP와 관련된 검색 로그의 원본입니다. Optional.

    IP 엔터티의 강력한 식별자

    • Address
      IP 주소가 전역 주소인 경우 주소 식별자 자체는 고유하고 강력한 식별자입니다.
    • Address + AddressScope
      프라이빗/내부, 비 전역 IP 주소의 경우 AddressScope 구성 요소는 이를 강력한 식별자로 만드는 데 필요합니다.

    IP 엔터티의 약한 식별자

    • Address
      IP 주소가 프라이빗/내부, 비 전역 IP 주소인 경우 주소 식별자 자체는 약한 식별자입니다.

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Malware

    엔터티 이름: 맬웨어

    Field Type Description
    Type String 'malware'
    Name String (검색?) 공급업체에서 할당한 맬웨어 이름(예: Win32/Toga!rfn.
    Category String 예를 들어 (검색?) 공급업체에서 할당한 맬웨어 범주입니다. Trojan.
    Files List<Entity (File)> 맬웨어가 발견된 연결된 파일 엔터티 목록입니다. 파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다.
    See the File entity for more details on structure.
    Processes List<Entity (Process)> 맬웨어가 발견된 연결된 프로세스 엔터티 목록입니다. 이는 파일리스 작업에서 경고가 트리거될 때 자주 사용됩니다.
    See the Process entity for more details on structure.

    맬웨어 엔터티의 강력한 식별자

    • 이름 + 범주

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    File

    엔터티 이름: 파일

    Field Type Description
    Type String 'file'
    Directory String 파일의 전체 경로입니다.
    Name String 경로가 없는 파일 이름입니다(일부 경고에는 경로가 포함되지 않을 수 있음).
    AlternateDataStreamName String NTFS 파일 시스템의 파일 스트림 이름(주 스트림의 경우 null)입니다.
    Host Entity (Host) 파일이 저장된 호스트입니다.
    HostUrl Entity (URL) 파일이 다운로드된 URL
    (웹의 표시).
    WindowsSecurityZoneType WindowsSecurityZone URL이 속한 Windows 보안 영역
    (웹의 표시).
    ReferrerUrl Entity (URL) 파일 다운로드 HTTP 요청의 참조 URL
    (웹의 표시).
    SizeInBytes Long? 파일의 크기입니다(바이트).
    FileHashes List<Entity (FileHash)> 이 파일과 연결된 파일 해시입니다.

    파일 엔터티의 강력한 식별자

    • 이름 + 디렉터리
    • Name + FileHash
    • 이름 + 디렉터리 + FileHash

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Process

    엔터티 이름: 프로세스

    Field Type Description
    Type String 'process'
    ProcessId String 프로세스 ID입니다.
    CommandLine String 프로세스를 만드는 데 사용되는 명령줄입니다.
    ElevationToken Enum? 프로세스와 연결된 권한 상승 토큰입니다.
    Possible values:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc DateTime? 프로세스가 실행되기 시작한 시간입니다.
    ImageFile Entity (File) 파일 엔터티를 인라인 또는 참조로 포함할 수 있습니다.
    See the File entity for more details on structure.
    Account Entity (Account) 프로세스를 실행하는 계정입니다.
    계정 엔터티를 인라인 또는 참조로 포함할 수 있습니다.
    See the Account entity for more details on structure.
    ParentProcess Entity (Process) 부모 프로세스 엔터티입니다.
    부분 데이터(예: PID만 포함)를 포함할 수 있습니다.
    Host Entity (Host) 프로세스가 실행되고 있었던 호스트입니다.
    LogonSession Entity (HostLogonSession) 프로세스가 실행 중인 세션입니다.

    프로세스 엔터티의 강력한 식별자

    • Host + ProcessId + CreationTimeUtc
    • 호스트 + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    프로세스 엔터티의 약한 식별자

    • ProcessId + CreationTimeUtc + CommandLine(및 Host 없음)
    • ProcessId + CreationTimeUtc + ImageFile (and no Host)

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Cloud application

    엔터티 이름: CloudApplication

    Field Type Description
    Type String 'cloud-application'
    AppId Int 되지 않는; 대신 SaasId 필드를 사용합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. Value optional. InstanceId를 포함하지 않아야 합니다.
    SaasId Int 사용되지 않는 AppId 필드를 대체합니다. 애플리케이션의 기술 식별자입니다. 가능한 값은 클라우드 애플리케이션 식별자 목록에 정의된 값입니다. Value optional. InstanceId를 포함하지 않아야 합니다.
    Name String 관련 클라우드 애플리케이션의 이름입니다. Value optional.
    InstanceName String 클라우드 애플리케이션의 사용자 정의 인스턴스 이름입니다. 고객이 가지고 있는 것과 동일한 유형의 여러 애플리케이션을 구분하는 데 자주 사용됩니다.
    InstanceId Int 애플리케이션의 특정 세션 식별자입니다. 0부터 시작하는 실행 번호입니다. Value optional.
    Risk AppRisk? 예를 들어 고위험 앱만 집중적으로 검토할 수 있도록 앱을 위험 점수별로 필터링할 수 있습니다. 낮음, 보통, 높음 또는 알 수 없음과 같은 가능한 값입니다.
    Stream Stream 특정 클라우드 앱과 관련된 검색 로그의 원본입니다. Optional.

    클라우드 애플리케이션 엔터티의 강력한 식별자

    • AppId(InstanceName 제외)
    • 이름(InstanceName 제외)
    • AppId + InstanceName
    • Name + InstanceName

    클라우드 애플리케이션 식별자 목록

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    DNS resolution

    엔터티 이름: DNS

    Field Type Description
    Type String 'dns'
    DomainName String 경고와 연결된 DNS 레코드의 이름입니다.
    IpAddress List<Entity (IP)> 확인된 IP 주소에 해당하는 엔터티입니다.
    DnsServerIp Entity (IP) 요청을 확인하는 DNS 서버를 나타내는 엔터티입니다.
    HostIpAddress Entity (IP) DNS 요청 클라이언트를 나타내는 엔터티입니다.

    DNS 엔터티의 강력한 식별자

    • DomainName + DnsServerIp + HostIpAddress

    DNS 엔터티의 약한 식별자

    • DomainName + HostIpAddress

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Azure resource

    엔터티 이름: AzureResource

    Field Type Description
    Type String 'azure-resource'
    ResourceId String 리소스의 Azure 리소스 ID입니다. Mandatory.
    SubscriptionId String 리소스의 구독 ID입니다.
    ActiveContacts ActiveContact 나열<> 리소스와 연결된 활성 연락처입니다.
    ResourceType String 리소스의 형식입니다.
    ResourceName String 리소스의 이름입니다.

    Azure 리소스 엔터티의 강력한 식별자

    • ResourceId

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    File hash

    엔터티 이름: FileHash

    Field Type Description
    Type String 'filehash'
    Algorithm Enum 해시 알고리즘 유형입니다. Mandatory. Possible values:
  • Unknown
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Value String 해시 값입니다. Mandatory.

    파일 해시 엔터티의 강력한 식별자

    • 알고리즘 + 값

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Registry key

    엔터티 이름: RegistryKey

    Field Type Description
    Type String 'registry-key'
    Hive Enum? 다음의 값 중 하나입니다.
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Key String 레지스트리 키 경로입니다.

    레지스트리 키 엔터티의 강력한 식별자

    • Hive + 키

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Registry value

    엔터티 이름: RegistryValue

    Field Type Description
    Type String 'registry-value'
    Host Entity (Host) 레지스트리가 속한 호스트입니다.
    Key Entity (RegistryKey) 레지스트리 키 엔터티입니다.
    Name String 레지스트리 값 이름입니다.
    Value String 값 데이터의 문자열 형식 표현입니다.
    ValueType Enum? 다음의 값 중 하나입니다.
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • None
  • Unknown
    값은 Microsoft.Win32.RegistryValueKind 열거형을 따라야 합니다.
    		•

    레지스트리 값 엔터티의 강력한 식별자

    • + 이름

    레지스트리 값 엔터티의 약한 식별자

    • 이름(키 제외)

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Security group

    엔터티 이름: SecurityGroup

    Field Type Description
    Type String 'security-group'
    DistinguishedName String 그룹 고유 이름입니다.
    SID String 그룹의 SID(보안 식별자)를 지정하는 단일 값 특성입니다.
    ObjectGuid Guid? Active Directory에서 할당한 개체의 고유 식별자인 단일 값 특성입니다.

    보안 그룹 엔터티의 강력한 식별자

    • DistinguishedName
    • SID
    • ObjectGuid

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    URL

    엔터티 이름: URL

    Field Type Description
    Type String 'url'
    Url Uri 엔터티가 가리키는 전체 URL입니다. Mandatory.

    URL 엔터티의 강력한 식별자

    • Url (** This identifier is strong when the URL is an absolute URL.)

    URL 엔터티의 약한 식별자

    • URL(** URL이 상대 URL인 경우 이 식별자는 약합니다.)

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    IoT device

    엔터티 이름: IoTDevice

    Field Type Description
    Type String 'iotdevice'
    IoTHub Entity (AzureResource) 디바이스가 속한 IoT Hub를 나타내는 AzureResource 엔터티입니다.
    DeviceId String IoT Hub의 컨텍스트에 있는 디바이스의 ID입니다. Mandatory.
    DeviceName String 디바이스의 이름입니다.
    Owners 목록<문자열> 디바이스의 소유자입니다.
    IoTSecurityAgentId Guid? 디바이스에서 실행되는 Defender for IoT 에이전트의 ID입니다.
    DeviceType String 디바이스의 유형('온도 센서', '냉동고', '풍력 터빈' 등)입니다.
    DeviceTypeId String 디바이스 유형 자체가 표시 이름이며 비교에서 신뢰할 수 없으므로 디바이스 유형 스키마에 따라 각 디바이스 유형을 식별하는 고유 ID입니다.

    Possible values:
    분류되지 않음 = 0
    기타 = 1
    네트워크 디바이스 = 2
    프린터 = 3
    오디오 및 비디오 = 4
    미디어 및 감시 = 5
    통신 = 7
    스마트 어플라이언스 = 9
    워크스테이션 = 10
    서버 = 11
    모바일 = 12
    스마트 시설 = 13
    산업용 = 14
    운영 장비 = 15
    Source String 디바이스 엔터티의 원본(Microsoft/Vendor)입니다.
    SourceRef Entity (Url) 디바이스가 관리되는 원본 항목에 대한 URL 참조입니다.
    Manufacturer String 장치의 제조업체입니다.
    Model String 디바이스의 모델입니다.
    OperatingSystem String 디바이스가 실행 중인 운영 체제입니다.
    IpAddress Entity (IP) 디바이스의 현재 IP 주소입니다.
    MacAddress String 디바이스의 MAC 주소입니다.
    Nics Entity (Nic) 디바이스의 현재 NIC입니다.
    Protocols 목록<문자열> 디바이스에서 지원하는 프로토콜 목록입니다.
    SerialNumber String 디바이스의 일련 번호입니다.
    Site String 디바이스의 사이트 위치입니다.
    Zone String 사이트 내 디바이스의 영역 위치입니다.
    Sensor String 디바이스를 모니터링하는 센서입니다.
    Importance Enum? 다음의 값 중 하나입니다.
  • Low
  • Normal
  • High
    		•
    PurdueLayer String 디바이스의 Purdue 계층입니다.
    IsProgramming Bool? 디바이스가 프로그래밍 디바이스로 분류되었는지 여부를 나타냅니다.
    IsAuthorized Bool? 디바이스가 권한 있는 디바이스로 분류되었는지 여부를 나타냅니다.
    IsScanner Bool? 디바이스가 스캐너 디바이스로 분류되었는지 여부를 나타냅니다.
    DevicePageLink Entity (Url) Defender for IoT 포털의 디바이스 페이지에 대한 URL입니다.
    DeviceSubType String 디바이스 하위 형식의 이름입니다.

    IoT 디바이스 엔터티의 강력한 식별자

    • IoTHub + DeviceId

    IoT 디바이스 엔터티의 약한 식별자

    • DeviceId(IoTHub 제외)

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Mailbox

    엔터티 이름: 사서함

    Field Type Description
    Type String 'mailbox'
    MailboxPrimaryAddress String 사서함의 기본 주소입니다.
    DisplayName String 사서함의 표시 이름입니다.
    Upn String 사서함의 UPN입니다.
    AadId String 사용자의 사서함의 Azure AD 식별자입니다.
    RiskLevel RiskLevel? 이 사서함의 위험 수준입니다. Possible values:
  • None
  • Low
  • Medium
  • High
    		•
    ExternalDirectoryObjectId Guid? 사서함의 AzureAD 식별자입니다. 계정 엔터티의 AadUserId와 유사하지만 이 속성은 Office 쪽의 사서함 개체와 관련이 있습니다.

    사서함 엔터티의 강력한 식별자

    • MailboxPrimaryAddress

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Mail cluster

    엔터티 이름: MailCluster

    Field Type Description
    Type String 'mail-cluster'
    NetworkMessageIds IList<문자열> 메일 클러스터의 일부인 메일 메시지 ID입니다.
    CountByDeliveryStatus IDictionary<String,Int> DeliveryStatus 문자열 표현별 메일 메시지 수입니다.
    CountByThreatType IDictionary<String,Int> ThreatType 문자열 표현별 메일 메시지 수입니다.
    CountByProtectionStatus IDictionary<String,long> 보호 상태 문자열 표현별 메일 메시지 수입니다.
    CountByDeliveryLocation IDictionary<String,long> 배달 위치 문자열 표현별 메일 메시지 수입니다.
    Threats IList<문자열> 메일 클러스터의 일부인 메일 메시지의 위협입니다.
    Query String 메일 클러스터의 메시지를 식별하는 데 사용된 쿼리입니다.
    QueryTime DateTime? 쿼리 시간입니다.
    MailCount Int? 메일 클러스터의 일부인 메일 메시지 수입니다.
    IsVolumeAnomaly Bool? 메일 클러스터가 볼륨 변칙 메일 클러스터인지 여부를 나타냅니다.
    Source String 메일 클러스터의 원본(기본값은 )입니다 O365 ATP.

    메일 클러스터 엔터티의 강력한 식별자

    • 쿼리 + 원본

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Mail message

    엔터티 이름: MailMessage

    Field Type Description
    Type String 'mail-message'
    Files IList<Entity (File)> 이 메일 메시지 첨부 파일의 파일 엔터티입니다.
    Recipient String 이 메일 메시지의 받는 사람입니다. 받는 사람이 여러 명인 경우 메일 메시지가 복사되고 각 복사본에는 한 명의 받는 사람이 있습니다.
    Urls IList<문자열> 이 메일 메시지에 포함된 URL입니다.
    Threats IList<문자열> 이 메일 메시지에 포함된 위협입니다.
    Sender String 보낸 사람의 전자 메일 주소입니다.
    SenderIP String 보낸 사람의 IP 주소입니다.
    ReceivedDate DateTime 이 메시지를 받은 날짜입니다.
    NetworkMessageId Guid? 이 메일 메시지의 네트워크 메시지 ID입니다.
    InternetMessageId String 이 메일 메시지의 인터넷 메시지 ID입니다.
    Subject String 이 메일 메시지의 제목입니다.
    AntispamDirection Enum? 이 메일 메시지의 방향성입니다. Possible values:
  • Unknown
  • Inbound
  • Outbound
  • Intraorg (internal)
    		•
    DeliveryAction Enum? 이 메일 메시지의 배달 작업입니다. Possible values:
  • Unknown
  • DeliveredAsSpam
  • Delivered
  • Blocked
  • Replaced
    		•
    DeliveryLocation Enum? 이 메일 메시지의 배달 위치입니다. Possible values:
  • Unknown
  • Inbox
  • JunkFolder
  • DeletedFolder
  • Quarantine
  • External
  • Failed
  • Dropped
  • Forwarded
    		•
    CampaignId String 이 메일 메시지가 있는 캠페인의 식별자입니다.
    SuspiciousRecipients IList<문자열> 의심스러운 것으로 검색된 받는 사람 목록입니다.
    ForwardedRecipients IList<문자열> 전달된 메일의 모든 받는 사람 목록입니다.
    ForwardingType IList<문자열> 메일의 전달 유형(예: SMTP, ETR 등)입니다.

    메일 메시지 엔터티의 강력한 식별자

    • NetworkMessageId + Recipient

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Submission mail

    엔터티 이름: SubmissionMail

    Field Type Description
    Type String 'SubmissionMail'
    SubmissionId Guid? 제출 ID입니다.
    SubmissionDate DateTime? 이 제출에 대해 보고된 날짜/시간입니다.
    Submitter String 제출자 전자 메일 주소입니다.
    NetworkMessageId Guid? 제출이 속한 이메일의 네트워크 메시지 ID입니다.
    Timestamp DateTime? 메시지를 받은 타임스탬프(메일)입니다.
    Recipient String 메일의 받는 사람입니다.
    Sender String 메일의 보낸 사람입니다.
    SenderIp String 보낸 사람의 IP입니다.
    Subject String 제출 메일의 제목입니다.
    ReportType String 지정된 인스턴스에 대한 제출 형식입니다. 가능한 값은 정크, 피싱, 맬웨어 또는 NotJunk입니다.

    SubmissionMail 엔터티의 강력한 식별자

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    Sentinel entities

    Field Type Description
    Entities String 경고에서 식별된 엔터티 목록입니다. This list is the entities column from the SecurityAlert schema (see documentation).

    엔터티 형식 스키마 | 목록으로 돌아가기엔터티 식별자 테이블로 돌아가기

    클라우드 애플리케이션 식별자

    다음 목록에서는 알려진 클라우드 애플리케이션에 대한 식별자를 정의합니다. The App ID value is used as a cloud application entity identifier.

    App ID Name
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft 온라인 서비스
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 비즈니스용 Microsoft OneDrive
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud 앱
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion 수명 주기
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft 비즈니스용 Skype
    25988 Google Docs
    26055 Microsoft 365 관리 센터
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID (마이크로소프트 엔트라 ID)
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Facebook의 작업 공간
    28373 CAS 프록시 에뮬레이터
    28375 Microsoft Teams
    32780 마이크로소프트 다이나믹스 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Next steps

    이 문서에서는 Microsoft Sentinel의 엔터티 구조, 식별자 및 스키마에 대해 배웠습니다.

    Learn more about entities and entity mapping.