경고 스키마

클라우드용 Defender는 보안 위협을 식별하고 이해하고 대응하는 데 도움이 되는 경고를 제공합니다. 클라우드용 Defender가 사용자 환경에서 의심스러운 작업이나 보안 관련 문제를 검색하면 경고가 생성됩니다. 클라우드용 Defender 포털에서 이러한 경고를 보거나 추가 분석 및 응답을 위해 외부 도구로 내보낼 수 있습니다.

클라우드용 Microsoft Defender 페이지 - 개요 대시보드, 경고, 리소스 상태 페이지 또는 워크로드 보호 대시보드 및 다음과 같은 외부 도구를 통해 이러한 보안 경고를 볼 수 있습니다.

• Microsoft Sentinel - Microsoft의 클라우드 네이티브 SIEM Sentinel Connector는 클라우드용 Microsoft Defender에서 경고를 수신하여 Microsoft Sentinel의 Log Analytics 작업 영역으로 전송합니다.
• 타사 SIEM - Azure Event Hubs로 데이터를 전송합니다. 그런 다음 Event Hubs 데이터를 타사 SIEM과 통합합니다. SIEM, SOAR 또는 IT 서비스 관리 솔루션에 대한 경고 스트리밍에서 자세히 알아봅니다.
• REST API - REST API를 사용하여 경고에 액세스하는 경우 온라인 경고 API 문서를 참조하세요.

프로그래매틱 방식을 통해 경고를 사용하는 경우 적절한 스키마를 사용하여 관련 필드를 찾아야 합니다. 또한 Event Hubs로 내보내거나 제네릭 HTTP 커넥터를 사용하여 Workflow Automation을 트리거하려는 경우 스키마를 활용하여 JSON 개체를 올바르게 구문 분석해야 합니다.

Important

이러한 시나리오마다 스키마가 다르기 때문에 관련 탭을 선택해야 합니다.

스키마

Microsoft Sentinel

Sentinel Connector는 클라우드용 Microsoft Defender에서 경고를 수신하여 Microsoft Sentinel의 Log Analytics 작업 영역으로 전송합니다.

클라우드용 Defender 경고를 사용하여 Microsoft Sentinel 사례 또는 인시던트를 만들려면 표시된 경고에 대한 스키마가 필요합니다.

Microsoft Sentinel 설명서에서 자세히 알아봅니다.

스키마의 데이터 모델

필드	설명
AlertName	경고 표시 이름
AlertType	고유한 경고 식별자
ConfidenceLevel	(선택 사항) 이 경고의 신뢰 수준(높음/낮음)
ConfidenceScore	(선택 사항) 보안 경고의 숫자 신뢰도 표시기
설명	경고에 대한 설명 텍스트
DisplayName	경고의 표시 이름
EndTime	경고의 효과 종료 시간(경고에 기여하는 마지막 이벤트의 시간)
엔터티	경고와 관련된 엔터티의 목록입니다. 이 목록에는 다양한 유형의 엔터티가 혼합되어 있을 수 있습니다.
ExtendedLinks	(선택 사항) 경고와 관련된 모든 링크에 대한 모음. 이 모음에는 다양한 유형의 엔터티가 혼합되어 있을 수 있습니다.
ExtendedProperties	경고와 관련된 추가 필드 모음
IsIncident	경고가 인시던트인지 아니면 정기 경고인지 결정합니다. 인시던트는 여러 경고를 하나의 보안 인시던트로 집계하는 보안 경고입니다.
ProcessingEndTime	경고가 생성된 UTC 타임스탬프
ProductComponentName	(선택 사항) 경고를 생성한 제품 내의 구성 요소 이름입니다.
ProductName	상수('Azure Security Center')
ProviderName	unused
RemediationSteps	보안 위협을 수정하기 위해 수행하는 수동 작업 항목
ResourceId	영향을 받는 리소스의 전체 식별자
심각도	경고 심각도(높음/보통/낮음/정보)
SourceComputerId	영향을 받는 서버의 고유 GUID(경고가 서버에서 생성된 경우)
SourceSystem	unused
StartTime	경고의 효과 시작 시간(경고에 기여하는 첫 번째 이벤트의 시간)
SystemAlertId	이 보안 경고 인스턴스의 고유 식별자
TenantId	스캔한 리소스가 있는 구독의 부모 Microsoft Entra ID 테넌트 식별자
TimeGenerated	평가가 발생한 UTC 타임스탬프(Security Center의 검색 시간)(DiscoveredTimeUTC와 동일)
Type	상수('SecurityAlert')
VendorName	경고를 제공한 공급업체의 이름(예: 'Microsoft')
VendorOriginalId	unused
WorkspaceResourceGroup	작업 영역에 보고하는 VM(Virtual Machine), 서버, Virtual Machine Scale Set 또는 App Service 인스턴스에서 경고가 생성되는 경우 해당 작업 영역 리소스 그룹 이름이 포함됩니다.
WorkspaceSubscriptionId	작업 영역에 보고하는 VM, 서버, Virtual Machine Scale Set 또는 App Service 인스턴스에서 경고가 생성되는 경우 해당 작업 영역 subscriptionId가 포함됩니다.

Azure 활동 로그

클라우드용 Microsoft Defender 감사는 Azure 활동 로그에서 이벤트로 보안 경고를 생성했습니다.

다음과 같이 경고 활성화 이벤트를 검색하여 활동 로그에서 보안 경고 이벤트를 볼 수 있습니다.

Azure 활동 로그로 전송되는 경고 샘플 JSON

{
    "channels": "Operation",
    "correlationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "description": "PREVIEW - Role binding to the cluster-admin role detected. Kubernetes audit log analysis detected a new binding to the cluster-admin role which gives administrator privileges.\r\nUnnecessary administrator privileges might cause privilege escalation in the cluster.",
    "eventDataId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "eventName": {
        "value": "PREVIEW - Role binding to the cluster-admin role detected",
        "localizedValue": "PREVIEW - Role binding to the cluster-admin role detected"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2019-12-25T18:52:36.801035Z",
    "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/events/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff/ticks/637128967568010350",
    "level": "Informational",
    "operationId": "2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Activate Alert"
    },
    "resourceGroupName": "RESOURCE_GROUP_NAME",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP_NAME/providers/Microsoft.Security/locations/centralus/alerts/2518250008431989649_e7313e05-edf4-466d-adfd-35974921aeff",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-12-25T19:14:03.5507487Z",
    "subscriptionId": "SUBSCRIPTION_ID",
    "properties": {
        "clusterRoleBindingName": "cluster-admin-binding",
        "subjectName": "for-binding-test",
        "subjectKind": "ServiceAccount",
        "username": "masterclient",
        "actionTaken": "Detected",
        "resourceType": "Kubernetes Service",
        "severity": "Low",
        "intent": "[\"Persistence\"]",
        "compromisedEntity": "ASC-IGNITE-DEMO",
        "remediationSteps": "[\"Review the user in the alert details. If cluster-admin is unnecessary for this user, consider granting lower privileges to the user.\"]",
        "attackedResourceType": "Kubernetes Service"
    },
    "relatedEvents": []
}

스키마의 데이터 모델

필드	설명
channels	상수, ‘Operation’
correlationId	클라우드용 Microsoft Defender 경고 ID
description	경고에 대한 설명
eventDataId	correlationId 참조
eventName	value 및 localizedValue 하위 필드에는 경고 표시 이름 포함
category	value 및 localizedValue 하위 필드는 상수 - ‘Security’
eventTimestamp	경고가 생성된 시점의 UTC 타임스탬프
id	정규화된 경고 ID
level	상수, ‘Informational’
operationId	correlationId 참조
operationName	값 필드는 상수(Microsoft.Security/locations/alerts/activate/action)이고 지역화된 값은 Activate Alert입니다(잠재적으로 사용자 로캘에 따라 지역화될 수 있음).
resourceGroupName	리소스 그룹 이름을 포함합니다.
resourceProviderName	value 및 localizedValue 하위 필드는 상수 - ‘Microsoft.Security’
resourceType	value 및 localizedValue 하위 필드는 상수 - ‘Microsoft.Security/locations/alerts’
resourceId	정규화된 Azure 리소스 ID
status	value 및 localizedValue 하위 필드는 상수 - ‘Active’
subStatus	value 및 localizedValue 하위 필드는 비어 있음
submissionTimestamp	활동 로그에 대한 이벤트 제출의 UTC 타임스탬프
subscriptionId	손상된 리소스의 구독 ID
properties	경고와 관련된 기타 속성이 포함된 JSON 백입니다. 속성은 하나의 경고에서 다른 경고로 변경될 수 있지만 모든 경고에는 다음 필드가 나타납니다. - severity – 공격의 심각도 - compromisedEntity: 손상된 리소스의 이름 - remediationSteps: 수행할 수정 단계 - intent: 경고의 종료 체인 의도. 가능한 의도는 의도 테이블을 참조하세요.
relatedEvents	상수 - 빈 배열

워크플로 자동화

워크플로 자동화를 사용하는 경우 경고 스키마는 커넥터 설명서를 참조하세요.

연속 내보내기

클라우드용 Defender의 연속 내보내기 기능은 경고 데이터를 다음으로 전달합니다.

• 경고 API와 동일한 스키마를 사용하는 Azure Event Hubs.
• Azure Monitor 데이터 설명서의 SecurityAlert 스키마에 따른 Log Analytics 작업 영역.

MS Graph API

Microsoft Graph는 Microsoft 365의 데이터 및 인텔리전스에 대한 게이트웨이입니다. Microsoft 365, Windows 10, Enterprise Mobility + Security에서 방대한 양의 데이터에 액세스하는 데 사용할 수 있는 통합 프로그래밍 기능 모델을 제공합니다. Microsoft Graph의 풍부한 데이터를 사용하여 수백만 명의 사용자와 상호작용하는 조직 및 소비자용 앱을 빌드합니다.

MS Graph로 전송되는 보안 경고에 대한 스키마 및 JSON 표현은 Microsoft Graph 문서를 참조하세요.

관련된 문서

• Log Analytics 작업 영역 - Azure Monitor는 데이터 및 구성 정보가 포함된 컨테이너인 Log Analytics 작업 영역에 로그 데이터를 저장합니다.
• Microsoft Sentinel - Microsoft의 클라우드 네이티브 SIEM
• Azure Event Hubs - Microsoft의 완전 관리형 실시간 데이터 수집 서비스

다음 단계

Defender for Cloud 데이터를 지속적으로 내보내기