Defender for Endpoint

다운로드 24
업데이트 2024. 6. 30.

defender-endpoint-alerts

엔드포인트용 Microsoft Defender 서비스에서 경보 목록을 조회합니다.

defender-endpoint-alerts [profile=PROFILE] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [order=desc|asc]
profile=PROFILE
엔드포인트용 마이크로소프트 디펜더 접속 프로파일 식별자
duration=NUM{mon|w|d|h|m|s}
현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
from=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
to=yyyyMMddHHmmss
yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
order=desc|asc
최근 데이터부터 조회하려면 desc를 지정하고, 가장 오래된 데이터부터 조회하려면 asc를 지정합니다.

출력 필드

필드타입이름설명
profile문자열접속 프로파일
event_time날짜이벤트 시각
severity문자열위험도예: Informational, Low, Medium, High
hostname문자열호스트명
nt_domain문자열NT 도메인예: AzureAD
nt_user문자열NT 계정
status문자열상태예: New, InProgress, Resolved
investigation_state문자열조사 상태예: UnsupportedAlertType, SuccessfullyRemediated
category문자열분류예: Malware, Execution, Exploit, Discovery, DefenseEvasion, CredentialAccess
signature문자열공격명예: PUADlManager:Win32/OfferCore
title64비트 정수제목예: Unusual number of failed sign-in attempts
mitre_techniques문자열MITRE 공격 기법예: T1110
description문자열설명
alert_id64비트 정수경보 ID
tenant_id문자열테넌트 ID
threat_family_name문자열위협 패밀리 이름예: EICAR_Test_File
first_seen날짜최초 발견 시각
last_seen날짜최근 발견 시각
detection_source문자열탐지 원천예: WindowsDefenderAtp
detector_id문자열탐지 엔진 ID
machine_id문자열머신 ID
incident_id문자열사고 ID
investigation_id문자열조사 ID
last_update_time날짜마지막 업데이트 시각
resolved_time날짜해결 시각