defender-endpoint-evidences
엔드포인트용 Microsoft Defender 서비스에서 특정 경보에 대한 증거 목록을 조회합니다.
defender-endpoint-evidences profile=PROFILE id=ID
- profile=PROFILE
- 엔드포인트용 마이크로소프트 디펜더 접속 프로파일 식별자
- id=ID
- Alert ID
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| profile | 문자열 | 접속 프로파일 | |
| evidence_time | 날짜 | 증거 시각 | |
| entity_type | 문자열 | 엔터티 유형 | 예: Ip, Url, User, Process, Registry |
| ip | IP 주소 | IP 주소 | |
| url | 문자열 | URL | |
| nt_domain | 문자열 | NT 도메인 | 예: AzureAD |
| nt_user | 문자열 | NT 계정 | |
| user_sid | 문자열 | 계정 SID | |
| detection_status | 문자열 | 탐지 상태 | 예: Detected |
| file_path | 문자열 | 파일 경로 | |
| file_name | 문자열 | 파일 이름 | |
| ppid | 64비트 정수 | PPID | 부모 프로세스 ID |
| parent_image_path | 문자열 | 부모 프로세스 경로 | 예: C:\Windows\System32 |
| parent_image | 문자열 | 부모 프로세스 이름 | 예: cmd.exe |
| pid | 64비트 정수 | PID | 프로세스 ID |
| image_path | 문자열 | 프로세스 경로 | 예: C:\Windows\System32\WindowsPowerShell\v1.0 |
| image | 문자열 | 프로세스 이름 | 예: powershell.exe |
| cmd_line | 문자열 | 명령줄 | |
| sha1 | 문자열 | SHA-1 | |
| sha256 | 문자열 | SHA-256 | |
| parent_process_ctime | 날짜 | 부모 프로세스 생성 시각 | |
| reg_hive | 문자열 | 레지스트리 하이브 유형 | 예: HKEY_CURRENT_USER |
| reg_key | 문자열 | 레지스트리 키 | 예: SID\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| reg_value_type | 문자열 | 레지스트리 값 유형 | 예: Unknown |
| reg_value_name | 문자열 | 레지스트리 값 이름 | |
| reg_value | 문자열 | 레지스트리 값 | |
| entra_user_id | 문자열 | Entra 계정 ID | GUID 형식 |
| user_principal_name | 문자열 | 사용자 성명 | 예: demo@logpresso.com |