مشاركة عبر

مرجع أنواع كيانات Microsoft Azure Sentinel

يحتوي هذا المستند على مجموعتين من المعلومات حول الكيانات وأنواع الكيانات في Microsoft Sentinel في مدخل Microsoft Azure وMicrosoft Sentinel في مدخل Defender.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

أنواع العناصر والمعرفات

يوضح الجدول التالي أنواع الكيانات التي يمكن التعرف عليها بواسطة Microsoft Sentinel، والسمات التي يمكن استخدامها كمعرفات لكل نوع من الكيانات.

تتعرف مايكروسوفت سينتينل على الكيانات في التنبيهات والحوادث التي يتم إنشاؤها بواسطة تعيين الكيانات في قواعد التحليلات. كما أنه يتعرف على الكيانات المحددة بالفعل في التنبيهات التي تم تناولها من مصادر أخرى.

يمكنك حاليا استخدام ما يصل إلى ثلاثة معرفات لكيان معين عند إنشاء تعيين كيان في Microsoft Sentinel. المعرفات القوية وحدها كافية لتحديد الكيان بشكل فريد، بينما المعرفات الضعيفة يمكنها فعل ذلك فقط بالاشتراك مع معرفات أخرى. تعرف على المزيد حول المعرفات القوية والضعيفة. يمكن استخدام معظم المعرفات الموجودة في هذا الجدول وليس كلها عند إنشاء تعيينات الكيانات في Microsoft Sentinel (راجع الحواشي السفلية).

نوع الكيان Identifiers معرفات قوية معرفات ضعيفة
Account Name
الاسم الكامل *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
اسم العرض *
ObjectGuid		 Name+UPNSuffix
AADUserId
سيد **
سيد+مضيف**
الاسم+المضيف+الشخص غير الشرعي **
الاسم+الوحدة التاريخية **
Name+DnsDomain
PUID
ObjectGuid		 Name
Host DnsDomain
NTDomain
HostName
الاسم الكامل *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID		 HostName
NetBiosName
نوع الكيان Identifiers معرفات قوية معرفات ضعيفة
IP Address
AddressScope		 العنوان العالمي: العنوان**
العنوان الخاص: العنوان+نطاق العنوان**
العنوان الخاص: العنوان**
URL Url Url (إذا كان URL مطلقا)** Url (إذا كان URL نسبيا)**
Azure resource
(AzureResource)		 ResourceId ResourceId
تطبيق السحابة
(CloudApplication)		 AppId
Name
InstanceName		 AppId
Name
AppId+InstanceName
Name+InstanceName
دقة DNS
(DNS)		 DomainName اسم النطاق+DnsServerIp+HostIpAddress DomainName+HostIpAddress
File Directory
Name		 Directory+Name
تجزئة الملفات
(FileHash)		 Algorithm
Value		 Algorithm+Value
Malware Name
Category		 Name+Category
نوع الكيان Identifiers معرفات قوية معرفات ضعيفة
Process ProcessId
CommandLine
ElevationToken
CreationTimeUtc		 Host+ProcessID+CreationTimeUtc
المضيف+معرف ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
    FileHash		 ProcessId+CreationTimeUtc+
   CommandLine (بلا مضيف)
ProcessId+CreationTimeUtc+
    ملف الصورة (بدون مضيف)
مفتاح السجل
(RegistryKey)		 Hive
Key		 Hive+Key
قيمة السجل
(RegistryValue)		 Name
Value
ValueType
 Key+Name الاسم (بلا مفتاح)
مجموعة الأمن
(SecurityGroup)		 DistinguishedName
SID
ObjectGuid		 DistinguishedName
SID
ObjectGuid
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
نوع الكيان Identifiers معرفات قوية معرفات ضعيفة
مجموعة البريد
(MailCluster)		 NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Threats
Query
QueryTime
MailCount
IsVolumeAnomaly
Source
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
مجموعة كلاستر *		 Query+Source
رسالة بريدية
(MailMessage)		 Recipient
Urls
Threats
Sender
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Subject
صندوق بصمة الجسد *
صندوق بصمة الأصابع 2 *
بودي بصمة الصمام3 *
صندوق بصمة الأصابع الجسدي4 *
صندوق بصمة الأصابع 5 *
AntispamDirection
DeliveryAction
DeliveryLocation
اللغة*
طرق اكتشاف التهديدات *		 NetworkMessageId+Recipient
بريد التقديم
(SubmissionMail)		 NetworkMessageId
Timestamp
Recipient
Sender
SenderIp
Subject
ReportType
SubmissionId
SubmissionDate
Submitter		 SubmissionId+NetworkMessageId+
   Recipient+Submitter
الكيانات الحراسة Entities Entities

الحواشي على الجدول:

  • * تظهر هذه المعرفات في قائمة المعرفات التي يمكن استخدامها في تعيين الكيان، ولكنها لا تشكل جزءا من مخطط الكيان بدقة.
  • ** تعتبر هذه المعرفات قوية فقط في ظل ظروف معينة. اتبع ارتباطات العلامات النجمية للاطلاع على الشروط التي تنطبق، ضمن قائمة الكيان ذي الصلة في قسم مخططات الكيان أدناه.
  • تمثل أسماء المعرفات المائلة (بدون علامة نجمية) كيانات داخلية، ما يعني أن نوع كيان واحد يمكن أن يكون له أنواع كيانات أخرى كسمات (راجع قسم مخططات الكيان أدناه). اتبع ارتباط المعرف لمشاهدة المخطط الخاص بالوحدة الداخلية.
  • قد تكون الكيانات الأخرى موجودة في المخطط، وهو مخطط عام يدعم العديد من الأشياء إلى جانب Microsoft Sentinel. يتم سرد هذه الكيانات المتوفرة في Microsoft Sentinel فقط في هذه المقالة.

مخططات نوع العنصر

يحتوي القسم التالي على نظرة أكثر تعمقا على المخططات الكاملة لكل نوع كيان. ستلاحظ أن العديد من هذه المخططات تتضمن ارتباطات إلى أنواع الكيانات الأخرى. على سبيل المثال، يتضمن مخطط الحساب ارتباطا إلى نوع الكيان المضيف، نظرا لأن سمة واحدة لحساب المستخدم هي المضيف الذي تم تعريفه عليه. تعرف هذه الكيانات كسمات باسم "الكيانات الداخلية"، ولا يمكن استخدامها كمعرفات لتعيين الكيانات، ولكنها مفيدة جدا في إعطاء صورة كاملة للكيانات على صفحات الكيان والرسم البياني للتحقيق.

Note

تشير علامة الاستفهام التي تلي القيمة في عمود النوع إلى أن الحقل قابل للفراغ.

قائمة مخططات نوع الكيان

Account

اسم الكيان: الحساب

Field Type Description
Type String 'account'
Name String اسم الحساب. يجب ألا يحتوي هذا الحقل إلا على الاسم فقط دون إضافة أي مجال إليه.
FullName -- ليس جزءا من المخطط، مضمنا للتوافق مع الإصدارات السابقة مع الإصدار القديم من تعيين الكيان.
NTDomain String اسم مجال NETBIOS كما يظهر في تنسيق التنبيه -domain\username.
أمثلة: المالية، سلطة الإقليم الشمالي
DnsDomain String اسم DNS للمجال المؤهل بالكامل.
أمثلة: finance.contoso.com
UPNSuffix String لاحقة اسم المستخدم الأساسي للحساب. في كثير من الحالات لاحقة UPN هو أيضا اسم المجال.
أمثلة: contoso.com
Host الكيان (المضيف) المضيف الذي يحتوي على الحساب، إذا كان حسابا محليا.
Sid String معرف أمان الحساب.
AadTenantId Guid? معرف مستأجر Microsoft Entra، إذا كان معروفا.
AadUserId Guid? معرف كائن حساب Microsoft Entra، إذا كان معروفا.
PUID Guid? معرف مستخدم Microsoft Entra Passport، إذا كان معروفا.
IsDomainJoined Bool? يشير إلى ما إذا كان الحساب حساب مجال.
DisplayName -- ليس جزءا من المخطط، مضمنا للتوافق مع الإصدارات السابقة مع الإصدار القديم من تعيين الكيان.
ObjectGuid Guid? سمة objectGUID هي سمة ذات قيمة فردية وهي المعرف الفريد للعنصر، المعين من خلال Active Directory.
CloudAppAccountId String معرف الحساب في التنبيهات من موفر CloudApp. يشير إلى معرفات الحساب في تطبيقات الجهات الخارجية غير المعتمدة في منتجات Microsoft الأخرى.
IsAnonymized Bool? يشير إلى ما إذا كان اسم المستخدم مجهولا. Optional. القيمة الافتراضية: false.
Stream Stream مصدر سجلات الاكتشاف المتعلقة بحساب معين. Optional.

معرفات قوية لكيانات الحساب

  • الاسم + UPNSuffix
  • AadUserId
  • Sid
    ** هذا المعرف قوي طالما أن الحساب ليس من الحسابات المدمجة المدرجة في الملاحظة أدناه.
  • سيد + مضيف
    ** عندما يكون الحساب واحدا من الحسابات المدمجة المدرجة في الملاحظة أدناه، يطلب من مكون المضيف جعل هذا المعرف قويا.
  • الاسم + الشخص النووي
    ** هذه المجموعة عبارة عن معرف قوي عندما يكون الحساب حساب مجال، نظرا لأن NTDomain ليس مجالا/مجموعة عمل مضمنة ويختلف عن اسم المضيف. في هذه الحالة، هذا معرف قوي حتى بدون مكون المضيف.
  • الاسم + الشخص الجديد + المضيف
    ** مكون المضيف ضروري لإنشاء معرف قوي عندما يكون الحساب حسابا محليا، ما يعني أن NTDomain هو مجال/مجموعة عمل مضمنة.
  • الاسم + DnsDomain
  • PUID
  • ObjectGuid

المعرفات الضعيفة لكيانات الحساب

  • Name

Note

إذا تم تعريف كيان الحساب باستخدام معرف الاسم ، وكانت قيمة اسم كيان معين واحدة من أسماء الحسابات العامة والشائعة المدمجة التالية، حذف ذلك الكيان من تنبيهه.

  • ADMIN
  • ADMINISTRATOR
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • المستخدم المصادق عليه
  • NETWORK
  • NULL
  • النظام المحلي
  • LOCALSYSTEM
  • خدمة الشبكة

الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

Host

اسم الكيان: المضيف

Field Type Description
Type String 'host'
IpInterfaces الكيان المدرج<(IP)> قائمة بجميع واجهات IP على الجهاز المضيف.
DnsDomain String مجال DNS الذي ينتمي إليه هذا المضيف. ينبغي أن يحتوي على لاحقة DNS الكاملة للمجال، إن كان معروفًا.
NTDomain String مجال NT الذي ينتمي إليه هذا المضيف.
HostName String اسم المضيف بدون لاحقة المجال.
NetBiosName String اسم المضيف (pre-Windows 2000).
IoTDevice الكيان (جهاز إنترنت الأشياء) عنصر جهاز IoT (إن كان هذا المضيف يمثل جهاز IoT).
AzureID String معرف مورد Azure للجهاز الظاهري، إن كان معروفًا.
OMSAgentID String معرف عامل OMS، إن كان المضيف لديه عامل OMS مثبتًا.
OSFamily Enum? إحدى القيم التالية:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
    		•
    OSVersion String تمثيل نص حر لنظام التشغيل.
    يُقصد بهذا الحقل الاحتفاظ بإصدارات محددة تكون أكثر دقة من OSFamily، أو القيم المستقبلية التي لا تدعمها قائمة تعداد OSFamily.
    IsDomainJoined Bool يشير إلى ما إذا كان هذا المضيف ينتمي إلى مجال.

    معرفات قوية للكيان المضيف

    • اسم المضيف + الشخص الشمالي
    • اسم المضيف + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    المعرفات الضعيفة للكيان المضيف

    • HostName
    • NetBiosName

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    IP

    اسم الكيان: IP

    Field Type Description
    Type String 'ip'
    Address String عنوان IP كسلسلة (إما في IPv4 أو IPv6).
    أمثلة:20.112.250.1332603:1030:b:3::152
    AddressScope String اسم المضيف أو الشبكة الفرعية أو الشبكة الخاصة لعناوين IP الخاصة غير العمومية. خالية أو فارغة لعناوين IP العمومية (افتراضي).
    أمثلة:/27255.255.255.128
    Location GeoLocation سياق الموقع الجغرافي المرفق بعنصر IP.

    لمزيد من المعلومات، راجع أيضا إثراء الكيانات في Microsoft Sentinel ببيانات الموقع الجغرافي عبر REST API (معاينة عامة).
    Stream Stream مصدر سجلات الاكتشاف المتعلقة ب IP المحدد. Optional.

    معرفات قوية لعنصر IP

    • Address
      عندما يكون عنوان IP عنوانا عموميا، يكون معرف العنوان في حد ذاته معرفا فريدا وقويا.
    • العنوان + نطاق العنوان
      بالنسبة لعناوين IP الخاصة/الداخلية وغير العمومية، يلزم مكون AddressScope لجعل هذا معرفا قويا.

    المعرفات الضعيفة لعنصر IP

    • Address
      معرف العنوان في حد ذاته هو معرف ضعيف عندما يكون عنوان IP عنوان IP خاصا/داخليا وغير عمومي.

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    Malware

    اسم الكيان: البرامج الضارة

    Field Type Description
    Type String 'malware'
    Name String اسم البرامج الضارة المعينة من قبل مورد (الكشف؟)، مثل Win32/Toga!rfn.
    Category String فئة البرامج الضارة المعينة من قبل مورد (الكشف؟)، على سبيل المثال. Trojan.
    Files كيان القائمة<(ملف)> قائمة بعناصر الملفات المرتبطة التي تم العثور فيها على البرامج الضارة. يمكن أن تحتوي على عناصر الملف المضمنة أو كمرجع.
    راجع كيان الملف لمزيد من التفاصيل حول الهيكل.
    Processes الكيان المدرج<(العملية)> قائمة بعناصر العمليات المرتبطة التي تم العثور فيها على البرامج الضارة. غالبا ما يتم استخدام ذلك عند تشغيل التنبيه على نشاط بدون ملفات.
    راجع كيان العملية لمزيد من التفاصيل حول الهيكل.

    معرفات قوية لكيانات البرامج الضارة

    • الاسم + الفئة

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    File

    اسم الكيان: ملف

    Field Type Description
    Type String 'file'
    Directory String المسار الكامل للملف.
    Name String اسم الملف بدون المسار (قد لا تتضمن بعض التنبيهات المسار).
    AlternateDataStreamName String اسم دفق الملف في نظام ملفات NTFS (فارغ للدفق الرئيسي).
    Host الكيان (المضيف) المضيف الذي تم تخزين الملف فيه.
    HostUrl الكيان (URL) عنوان URL حيث تم تنزيل الملف من
    (علامة ويب).
    WindowsSecurityZoneType WindowsSecurityZone أمن Windows المنطقة التي ينتمي إليها عنوان URL
    (علامة ويب).
    ReferrerUrl الكيان (URL) عنوان URL للمحيل لطلب HTTP لتنزيل الملف
    (علامة ويب).
    SizeInBytes Long? حجم الملف بالبايت.
    FileHashes الكيان القائمة<(FileHash)> تجزئة الملف المقترنة بهذا الملف.

    معرفات قوية لوحدة ملف

    • الاسم + الدليل
    • الاسم + FileHash
    • الاسم + الدليل + FileHash

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    Process

    اسم الكيان: معالجة

    Field Type Description
    Type String 'process'
    ProcessId String معرّف العملية.
    CommandLine String سطر الأوامر المستخدم لإنشاء العملية.
    ElevationToken Enum? رمز مميّز لرفع الامتيازات المقترن بالعملية.
    القيم المحتملة:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc DateTime? الوقت الذي بدأت فيه العملية في العمل.
    ImageFile الكيان (ملف) يمكن أن تحتوي على عنصر الملف المضمن أو كمرجع.
    راجع كيان الملف لمزيد من التفاصيل حول الهيكل.
    Account الكيان (حساب) الحساب الذي يقوم بتشغيل العمليات.
    يمكن أن يحتوي على عنصر الحساب مضمنًا أو كمرجع.
    راجع كيان الحساب لمزيد من التفاصيل حول الهيكل.
    ParentProcess الكيان (العملية) عنصر العملية الأصل.
    يمكن أن يحتوي على بيانات جزئية، على سبيل المثال، PID فقط.
    Host الكيان (المضيف) المضيف الذي تم تشغيل العملية عليه.
    LogonSession الكيان (HostLogonSession) الجلسة الذي تم تشغيل العملية عليه.

    معرفات قوية لكيانات العملية

    • المضيف + ProcessId + CreationTimeUtc
    • مضيف + ParentProcessId + CreationTimeUtc + CommandLine
    • المضيف + ProcessId + CreationTimeUtc + ملف الصورة
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    المعرفات الضعيفة لكيانات العملية

    • ProcessId + CreationTimeUtc + CommandLine (ولا يوجد Host)
    • ProcessId + CreationTimeUtc + ملف ImageFile (ولا يوجد مضيف)

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    تطبيق السحابة

    اسم الكيان: CloudApplication

    Field Type Description
    Type String 'cloud-application'
    AppId Int اهمالها; استخدم حقل SaasId بدلا من ذلك. المعرف التقني للتطبيق. القيم المحتملة هي تلك المعرفة في قائمة معرفات التطبيقات السحابية. القيمة اختيارية. يجب ألا يحتوي على InstanceId.
    SaasId Int استبدال حقل AppId المهمل. المعرف التقني للتطبيق. القيم المحتملة هي تلك المعرفة في قائمة معرفات التطبيقات السحابية. القيمة اختيارية. يجب ألا يحتوي على InstanceId.
    Name String اسم التطبيق السحابي ذي الصلة. القيمة اختيارية.
    InstanceName String اسم المثيل المعرف من قبل المستخدم لتطبيق السحابة. غالبًا ما يتم استخدامه للتمييز بين العديد من التطبيقات من نفس النوع التي لدى العميل.
    InstanceId Int معرف جلسة العمل المحددة للتطبيق. هذا رقم تشغيل قائم على الصفر. القيمة اختيارية.
    Risk AppRisk? يتيح لك تصفية التطبيقات حسب درجة المخاطر بحيث يمكنك التركيز على، على سبيل المثال، مراجعة التطبيقات عالية المخاطر فقط. القيم المحتملة مثل منخفضة أو متوسطة أو عالية أو غير معروفة.
    Stream Stream مصدر سجلات الاكتشاف المتعلقة بتطبيق السحابة المحدد. Optional.

    معرفات قوية لكيانات تطبيق السحابة

    • AppId (بدون InstanceName)
    • الاسم (بدون اسم المثيل)
    • AppId + InstanceName
    • الاسم + اسم المثيل

    قائمة معرفات التطبيقات السحابية

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    دقة DNS

    اسم الكيان: DNS

    Field Type Description
    Type String 'dns'
    DomainName String اسم سجل DNS المقترن بالتنبيه.
    IpAddress كيان القائمة<(IP)> العناصر المقابلة لعناوين IP التي تم حلها.
    DnsServerIp الكيان (الملكية الفكرية) عنصر يمثل خادم DNS الذي يقوم بحل الطلب.
    HostIpAddress الكيان (الملكية الفكرية) عنصر يمثل عميل طلب DNS.

    معرفات قوية للكيان DNS

    • اسم النطاق + DnsServerIp + HostIpAddress

    المعرفات الضعيفة للكيان DNS

    • اسم النطاق + عنوان المضيف

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    مورد Azure

    اسم الكيان: AzureResource

    Field Type Description
    Type String 'azure-resource'
    ResourceId String معرّف مورد Azure الخاص بالمورد. Mandatory.
    SubscriptionId String معرف الاشتراك للمورد.
    ActiveContacts قائمة<ActiveContact> جهات الاتصال النشطة المقترنة بالمورد.
    ResourceType String نوع المورد.
    ResourceName String اسم المورد.

    معرفات قوية لكيانات مورد Azure

    • ResourceId

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    تجزئة الملفات

    اسم الكيان: FileHash

    Field Type Description
    Type String 'filehash'
    Algorithm Enum نوع لوغاريتم التجزئة. Mandatory. القيم المحتملة:
  • Unknown
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Value String قيمة التجزئة. Mandatory.

    معرفات قوية لكيانات تجزئة الملف

    • خوارزمية + قيمة

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    مفتاح التسجيل

    اسم الكيان: RegistryKey

    Field Type Description
    Type String 'registry-key'
    Hive Enum? إحدى القيم التالية:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Key String مسار مفتاح التسجيل.

    معرفات قوية لوحدة مفتاح التسجيل

    • Hive + مفتاح

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    قيمة السجل

    اسم الكيان: RegistryValue

    Field Type Description
    Type String 'registry-value'
    Host الكيان (المضيف) المضيف الذي ينتمي إليه السجل.
    Key الكيان (مفتاح التسجيل) عنصر مفتاح التسجيل.
    Name String اسم قيمة التسجيل.
    Value String تمثيل بيانات القيمة بتنسيق سلسلة.
    ValueType Enum? إحدى القيم التالية:
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • None
  • Unknown
    يجب أن تتوافق القيم مع قائمة تعداد Microsoft.Win32.RegistryValueKind.
    		•

    معرفات قوية لقيمة السجل

    • مفتاح + اسم

    المعرفات الضعيفة لقيمة السجل

    • الاسم (بدون Key)

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    مجموعة الأمان

    اسم الكيان: مجموعة الأمان

    Field Type Description
    Type String 'security-group'
    DistinguishedName String الاسم المميز للمجموعة.
    SID String سمة ذات قيمة واحدة تحدد معرف الأمان (SID) للمجموعة.
    ObjectGuid Guid? سمة ذات قيمة واحدة هي المعرف الفريد للكائن، المعينة بواسطة Active Directory.

    معرفات قوية لكيانات مجموعة الأمان

    • DistinguishedName
    • SID
    • ObjectGuid

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    URL

    اسم الكيان: Url

    Field Type Description
    Type String 'url'
    Url Uri عنوان URL كامل يشير العنصر إليه. Mandatory.

    معرفات قوية لعنصر URL

    • الرابط (** هذا المعرف قوي عندما يكون الرابط هو الرابط المطلق.)

    المعرفات الضعيفة لعنصر URL

    • Url (** يكون هذا المعرف ضعيفا عندما يكون عنوان URL عنوان URL نسبيا.)

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    جهاز IoT

    اسم الكيان: IoTDevice

    Field Type Description
    Type String 'iotdevice'
    IoTHub الكيان (AzureResource) عنصر AzureResource الذي يمثل IoT Hub الذي ينتمي إليه الجهاز.
    DeviceId String معرّف الجهاز في سياق IoT Hub. Mandatory.
    DeviceName String الاسم المألوف للجهاز.
    Owners سلسلة القائمة<> مالكو الجهاز.
    IoTSecurityAgentId Guid? معرف وكيل Defender for IoT الذي يعمل على الجهاز.
    DeviceType String نوع الجهاز ("مستشعر درجة الحرارة" "والمجمد" "وتوربينات الرياح" وما إلى ذلك).
    DeviceTypeId String معرف فريد لتعريف كل نوع جهاز وفقا لمخطط نوع الجهاز، لأن نوع الجهاز نفسه هو اسم عرض وغير موثوق به في المقارنات.

    القيم المحتملة:
    غير مصنف = 0
    متنوعة = 1
    جهاز الشبكة = 2
    الطابعة = 3
    الصوت والفيديو = 4
    وسائل الإعلام والمراقبة = 5
    الاتصال = 7
    الأجهزة الذكية = 9
    محطة العمل = 10
    الخادم = 11
    الجوال = 12
    المنشأة الذكية = 13
    صناعي = 14
    المعدات التشغيلية = 15
    Source String المصدر (Microsoft/المورد) لعنصر الجهاز.
    SourceRef الكيان (الرابط) مرجع عنوان URL لعنصر المصدر حيث يُدار الجهاز.
    Manufacturer String الشركة المُصنّعة للجهاز.
    Model String نموذج الجهاز.
    OperatingSystem String نظام التشغيل الذي يعمل به الجهاز.
    IpAddress الكيان (الملكية الفكرية) عنوان IP الحالي للجهاز.
    MacAddress String عنوان MAC الخاص بالجهاز.
    Nics الكيان () بطاقات NIC الحالية على الجهاز.
    Protocols سلسلة القائمة<> قائمة البروتوكولات التي يدعمها الجهاز.
    SerialNumber String الرقم التسلسلي الخاص بالجهاز.
    Site String موقع موقع الجهاز.
    Zone String موقع منطقة الجهاز داخل موقع.
    Sensor String جهاز الاستشعار الذي يراقب الجهاز.
    Importance Enum? إحدى القيم التالية:
  • Low
  • Normal
  • High
    		•
    PurdueLayer String طبقة Purdue للجهاز.
    IsProgramming Bool? يشير إلى ما إذا كان الجهاز مصنفا كجهاز برمجة.
    IsAuthorized Bool? يشير إلى ما إذا كان الجهاز مصنفا على أنه جهاز معتمد.
    IsScanner Bool? يشير إلى ما إذا كان الجهاز مصنفا كجهاز ماسح ضوئي.
    DevicePageLink الكيان (الرابط) عنوان URL لصفحة الجهاز في مدخل Defender for IoT.
    DeviceSubType String اسم النوع الفرعي للجهاز.

    معرفات قوية لوحدة جهاز IoT

    • IoTHub + DeviceId

    المعرفات الضعيفة لكيانات جهاز IoT

    • DeviceId (بدون IoTHub)

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    Mailbox

    اسم الكيان: علبة البريد

    Field Type Description
    Type String 'mailbox'
    MailboxPrimaryAddress String العنوان الأساسي لصندوق البريد.
    DisplayName String الاسم المعروض لصندوق البريد.
    Upn String UPN لصندوق البريد.
    AadId String معرف Azure AD الخاص بعلبة البريد للمستخدم.
    RiskLevel مستوى المخاطر (عدد صحيح) مستوى المخاطر في صندوق البريد هذه. القيم المحتملة:
  • None
  • Low
  • Medium
  • High
    		•
    ExternalDirectoryObjectId Guid? معرف AzureAD لصندوق البريد. على غرار AadUserId في عنصر الحساب، ولكن هذه الخاصية خاصة بكائن صندوق البريد على جانب Office.

    معرفات قوية لعنصر علبة البريد

    • MailboxPrimaryAddress

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    نظام مجموعة البريد

    اسم الكيان: MailCluster

    Field Type Description
    Type String 'mail-cluster'
    NetworkMessageIds سلسلة IList<> معرفات رسائل البريد التي تعد جزءًا من نظام مجموعة البريد.
    CountByDeliveryStatus سلسلة IDictionary<،Int> عدد رسائل البريد حسب تمثيل سلسلة DeliveryStatus.
    CountByThreatType سلسلة IDictionary<،Int> عدد رسائل البريد حسب تمثيل سلسلة ThreatType.
    CountByProtectionStatus سلسلة IDictionary<،طويلة> عدد رسائل البريد حسب تمثيل سلسلة حالة الحماية.
    CountByDeliveryLocation سلسلة IDictionary<،طويلة> عدد رسائل البريد حسب تمثيل سلسلة موقع التسليم.
    Threats سلسلة IList<> مخاطر رسائل البريد التي تعد جزءًا من نظام مجموعة البريد.
    Query String الاستعلام الذي تم استخدامه لتعريف رسائل نظام مجموعة البريد.
    QueryTime DateTime? وقت الاستعلام.
    MailCount Int? عدد رسائل البريد التي تعد جزءًا من نظام مجموعة البريد.
    IsVolumeAnomaly Bool? يشير إلى ما إذا كانت مجموعة البريد عبارة عن مجموعة بريد غير طبيعية في وحدة التخزين.
    Source String مصدر مجموعة البريد (الافتراضي هو O365 ATP).

    معرفات قوية لعنصر مجموعة البريد

    • الاستعلام + المصدر

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    رسالة بريد

    اسم الكيان: MailMessage

    Field Type Description
    Type String 'mail-message'
    Files الكيان الهندي<(ملف)> عناصر الملف لمرفقات رسالة البريد هذه.
    Recipient String مستلم رسالة البريد هذه. في حالة وجود عدة مستلمين، يتم نسخ رسالة البريد، ولكل نسخة مستلم واحد.
    Urls سلسلة IList<> عناوين URL المضمنة في رسالة البريد هذه.
    Threats سلسلة IList<> المخاطر المضمنة في رسالة البريد هذه.
    Sender String عنوان البريد الإلكتروني للمرسل.
    SenderIP String عنوان IP الخاص بالمرسل.
    ReceivedDate DateTime تاريخ تلقي هذه الرسالة.
    NetworkMessageId Guid? معرف رسالة الشبكة لرسالة البريد هذه.
    InternetMessageId String معرف رسالة الإنترنت لرسالة البريد هذه.
    Subject String موضوع رسالة البريد هذه.
    AntispamDirection Enum? اتجاه رسالة البريد هذه. القيم المحتملة:
  • Unknown
  • Inbound
  • Outbound
  • إنتراأورغ (داخلي)
    		•
    DeliveryAction Enum? إجراء تسليم رسالة البريد هذه. القيم المحتملة:
  • Unknown
  • DeliveredAsSpam
  • Delivered
  • Blocked
  • Replaced
    		•
    DeliveryLocation Enum? موقع تسليم رسالة البريد هذه. القيم المحتملة:
  • Unknown
  • Inbox
  • JunkFolder
  • DeletedFolder
  • Quarantine
  • External
  • Failed
  • Dropped
  • Forwarded
    		•
    CampaignId String معرف الحملة التي توجد بها رسالة البريد هذه.
    SuspiciousRecipients سلسلة IList<> قائمة المستلمين الذين تم اكتشافهم على أنه مريب.
    ForwardedRecipients سلسلة IList<> قائمة بجميع المستلمين في البريد الذي تمت إعادة توجيهه.
    ForwardingType سلسلة IList<> نوع إعادة توجيه البريد، مثل SMTP وETR وما إلى ذلك.

    معرفات قوية لعنصر رسالة بريد

    • NetworkMessageId + المستلم

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    بريد عمليات الإرسال

    اسم الكيان: إرسال بريد

    Field Type Description
    Type String 'SubmissionMail'
    SubmissionId Guid? معرف الإرسال.
    SubmissionDate DateTime? تاريخ ووقت الإبلاغ عن هذا الإرسال.
    Submitter String عنوان البريد الإلكتروني للمرسل.
    NetworkMessageId Guid? معرف رسالة الشبكة الخاص بالبريد الإلكتروني الذي ينتمي إليه الإرسال.
    Timestamp DateTime? الطابع الزمني عند تلقي الرسالة (البريد).
    Recipient String مستلم رسالة البريد.
    Sender String مرسل رسالة البريد.
    SenderIp String IP الخاص بالمرسل.
    Subject String موضوع بريد الإرسال.
    ReportType String نوع الإرسال للمثيل المحدد. القيم المحتملة هي البريد الإلكتروني غير الهام أو التصيد الاحتيالي أو البرامج الضارة أو NotJunk.

    معرفات قوية للكيان SubmissionMail

    • معرف الإرسال، المرسل، NetworkMessageId، المستلم

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    الكيانات الحراسة

    Field Type Description
    Entities String قائمة بالعناصر المُحددة في التنبيه. هذه القائمة هي عمود الكيانات من مخطط SecurityAlert (انظر الوثائق).

    الرجوع إلى قائمة مخططات | نوع الكيانالرجوع إلى جدول معرفات الكيان

    معرفات التطبيقات السحابية

    تحدد القائمة التالية المعرفات للتطبيقات السحابية المعروفة. تستخدم قيمة معرف التطبيق كمعرف كيان تطبيق سحابي .

    App ID Name
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 سيسكو ويبكس
    10618 Atlassian
    10915 حجر الأساس حسب الطلب
    10921 Zendesk
    10980 Okta
    11042 برنامج جايڤ
    11114 Salesforce
    11161 مكتب 365
    11162 مايكروسوفت ون نوت أونلاين
    11394 خدمات مايكروسوفت أونلاين
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 سويت G
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 مايكروسوفت ون درايف للأعمال
    15782 Citrix ShareFile
    17152 Amazon
    17865 شركة أريبا
    18432 Zscaler
    19688 Xactly
    20595 تطبيقات Microsoft Defender للسحابة
    20892 مايكروسوفت SharePoint Online
    20893 مايكروسوفت إكستشينج أونلاين
    20940 Active Directory
    20941 أدالوم كبانيل
    22110 Google Cloud Platform
    22930 Gmail
    23004 دورة حياة Autodesk Fusion
    23043 Slack
    23233 مايكروسوفت أوفيس أونلاين
    25275 مايكروسوفت سكايب للأعمال
    25988 مستندات جوجل
    26055 مركز إدارة Microsoft 365
    26060 معدات أوبسوات
    26061 مايكروسوفت وورد أونلاين
    26062 مايكروسوفت باوربوينت أونلاين
    26063 مايكروسوفت إكسل أونلاين
    26069 جوجل درايف
    26206 Workiva
    26311 مايكروسوفت دايناميكس
    26318 معرف Microsoft Entra
    26320 مايكروسوفت أوفيس سواي
    26321 مايكروسوفت دلف
    26324 مايكروسوفت باور بي آي
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 مكان العمل حسب Facebook
    28373 محاكي بروكسي CAS
    28375 مايكروسوفت تيمز
    32780 مايكروسوفت دايناميكس 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 مايكروسوفت دايناميكس تالنت

    الخطوات التالية

    في هذا المستند، تعرفت على بنية العنصر والمعرفات والمخطط في Microsoft Azure Sentinel.

    تعرف أكثر على الكياناتورسم خرائط الكيانات.

    • Last updated on