Defender for Endpoint

다운로드 3
업데이트 2024. 3. 17.

defender-endpoint-evidences

엔드포인트용 Microsoft Defender 서비스에서 특정 경보에 대한 증거 목록을 조회합니다.

defender-endpoint-evidences profile=PROFILE id=ID
profile=PROFILE
엔드포인트용 마이크로소프트 디펜더 접속 프로파일 식별자
id=ID
Alert ID

출력 필드

필드타입이름설명
profile문자열접속 프로파일
evidence_time날짜증거 시각
entity_type문자열엔터티 유형예: Ip, Url, User, Process, Registry
ipIP 주소IP 주소
url문자열URL
nt_domain문자열NT 도메인예: AzureAD
nt_user문자열NT 계정
user_sid문자열계정 SID
detection_status문자열탐지 상태예: Detected
file_path문자열파일 경로
file_name문자열파일 이름
ppid64비트 정수PPID부모 프로세스 ID
parent_image_path문자열부모 프로세스 경로예: C:\Windows\System32
parent_image문자열부모 프로세스 이름예: cmd.exe
pid64비트 정수PID프로세스 ID
image_path문자열프로세스 경로예: C:\Windows\System32\WindowsPowerShell\v1.0
image문자열프로세스 이름예: powershell.exe
cmd_line문자열명령줄
sha1문자열SHA-1
sha256문자열SHA-256
parent_process_ctime날짜부모 프로세스 생성 시각
reg_hive문자열레지스트리 하이브 유형예: HKEY_CURRENT_USER
reg_key문자열레지스트리 키예: SID\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg_value_type문자열레지스트리 값 유형예: Unknown
reg_value_name문자열레지스트리 값 이름
reg_value문자열레지스트리 값
entra_user_id문자열Entra 계정 IDGUID 형식
user_principal_name문자열사용자 성명예: demo@logpresso.com