Defender Endpoint 경보
Defender for Endpoint 경보 데이터
| 유형 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | profile | 프로파일 | |
| 문자열 | severity | 위험도 | 예: Informational, Low, Medium, High |
| 문자열 | hostname | 호스트명 | |
| 문자열 | nt_domain | NT도메인 | 예: AzureAD |
| 문자열 | nt_user | NT계정 | |
| 문자열 | status | 상태 | 예: New, InProgress, Resolved |
| 문자열 | investigation_state | 조사상태 | 예: UnsupportedAlertType, SuccessfullyRemediated |
| 문자열 | category | 분류 | 예: Malware, Execution, Exploit, Discovery, DefenseEvasion, CredentialAccess |
| 문자열 | signature | 공격명 | 예: PUADlManager:Win32/OfferCore |
| 문자열 | title | 제목 | 예: Unusual number of failed sign-in attempts |
| 문자열 | mitre_techniques | 공격기법 | 예: T1110 |
| 문자열 | description | 설명 | |
| 문자열 | alert_id | 경보ID | |
| 문자열 | tenant_id | 테넌트ID | |
| 문자열 | threat_family_name | 위협패밀리이름 | 예: EICAR_Test_File |
| 날짜 | first_seen | 최초발견시각 | |
| 날짜 | last_seen | 최근발견시각 | |
| 문자열 | detection_source | 탐지원천 | 예: WindowsDefenderAtp |
| 문자열 | detector_id | 탐지ID | |
| 문자열 | machine_id | 머신ID | |
| 문자열 | incident_id | 사고ID | |
| 문자열 | investigation_id | 조사ID | |
| 날짜 | last_update_time | 최근갱신시각 | |
| 날짜 | resolved_time | 해결시각 |