defender-endpoint-alerts
엔드포인트용 Microsoft Defender 서비스에서 경보 목록을 조회합니다.
defender-endpoint-alerts [profile=PROFILE] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [order=desc|asc]
- profile=PROFILE
- 엔드포인트용 마이크로소프트 디펜더 접속 프로파일 식별자
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- order=desc|asc
- 최근 데이터부터 조회하려면
desc를 지정하고, 가장 오래된 데이터부터 조회하려면asc를 지정합니다.
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| profile | 문자열 | 접속 프로파일 | |
| event_time | 날짜 | 이벤트 시각 | |
| severity | 문자열 | 위험도 | 예: Informational, Low, Medium, High |
| hostname | 문자열 | 호스트명 | |
| nt_domain | 문자열 | NT 도메인 | 예: AzureAD |
| nt_user | 문자열 | NT 계정 | |
| status | 문자열 | 상태 | 예: New, InProgress, Resolved |
| investigation_state | 문자열 | 조사 상태 | 예: UnsupportedAlertType, SuccessfullyRemediated |
| category | 문자열 | 분류 | 예: Malware, Execution, Exploit, Discovery, DefenseEvasion, CredentialAccess |
| signature | 문자열 | 공격명 | 예: PUADlManager:Win32/OfferCore |
| title | 64비트 정수 | 제목 | 예: Unusual number of failed sign-in attempts |
| mitre_techniques | 문자열 | MITRE 공격 기법 | 예: T1110 |
| description | 문자열 | 설명 | |
| alert_id | 64비트 정수 | 경보 ID | |
| tenant_id | 문자열 | 테넌트 ID | |
| threat_family_name | 문자열 | 위협 패밀리 이름 | 예: EICAR_Test_File |
| first_seen | 날짜 | 최초 발견 시각 | |
| last_seen | 날짜 | 최근 발견 시각 | |
| detection_source | 문자열 | 탐지 원천 | 예: WindowsDefenderAtp |
| detector_id | 문자열 | 탐지 엔진 ID | |
| machine_id | 문자열 | 머신 ID | |
| incident_id | 문자열 | 사고 ID | |
| investigation_id | 문자열 | 조사 ID | |
| last_update_time | 날짜 | 마지막 업데이트 시각 | |
| resolved_time | 날짜 | 해결 시각 |