إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يحتوي هذا المستند على مجموعتين من المعلومات حول الكيانات وأنواع الكيانات في Microsoft Sentinel في مدخل Azure Microsoft Sentinel في مدخل Defender.
- يعرض جدول أنواع الكيانات والمعرفات الأنواع المختلفة من الكيانات التي يمكن تحديدها في التنبيهات والحوادث، مما يسمح لك بتعقبها والتحقيق فيها. يعرض الجدول أيضا، لكل نوع كيان، المعرفات المختلفة التي يمكن استخدامها لتعريف كيان.
- يعرض قسم Entity schema بنية البيانات ومخططها للكيانات بشكل عام ولكل نوع كيان على وجه الخصوص.
هام
بعد 31 مارس 2027، لن يتم دعم Microsoft Sentinel في مدخل Azure ولن يتوفر إلا في مدخل Microsoft Defender. ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي تقدمها Microsoft Defender.
أنواع الكيانات والمعرفات
يعرض الجدول التالي أنواع الكيانات التي يمكن التعرف عليها بواسطة Microsoft Sentinel، والسمات التي يمكن استخدامها كمعرفات لكل نوع كيان.
يتعرف Microsoft Sentinel على الكيانات في التنبيهات والحوادث التي يتم إنشاؤها بواسطة تعيين الكيان في قواعد التحليلات. كما يتعرف على الكيانات المحددة بالفعل في التنبيهات التي تم استيعابها من مصادر أخرى.
يمكنك حاليا استخدام ما يصل إلى ثلاثة معرفات لكيان معين عند إنشاء تعيين كيان في Microsoft Sentinel. المعرفات القوية وحدها كافية لتحديد كيان بشكل فريد، بينما يمكن للمعرفات الضعيفة القيام بذلك فقط بالاشتراك مع المعرفات الأخرى. تعرف على المزيد حول المعرفات القوية والضعيفة. يمكن استخدام معظم المعرفات في هذا الجدول وليس كلها عند إنشاء تعيينات الكيان في Microsoft Sentinel (راجع الحواشي السفلية).
| نوع الكيان | معرفات | معرفات قوية | المعرفات الضعيفة |
|---|---|---|---|
| حساب | الاسم Fullname* NTDomain DnsDomain UPNSuffix سيد AadTenantId معرف AadUser PUID IsDomainJoined العرض* Objectguid |
Name+UPNSuffix معرف AADUser سيد ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID Objectguid |
الاسم |
| Host | DnsDomain NTDomain المضيف Fullname* NetBiosName معرف Azure OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain معرف Azure OMSAgentID |
المضيف NetBiosName |
| نوع الكيان | معرفات | معرفات قوية | المعرفات الضعيفة |
| IP | عنوان AddressScope |
العنوان العمومي: عنوان** العنوان الخاص: Address+AddressScope** |
العنوان الخاص: عنوان** |
| Url | Url | Url (إذا كان URL مطلقا)** | Url (إذا كان عنوان URL نسبيا)** |
|
مورد Azure (AzureResource) |
Resourceid | Resourceid | |
|
تطبيق السحابة (CloudApplication) |
Appid الاسم Instancename |
Appid الاسم AppId+InstanceName Name+InstanceName |
|
|
دقة DNS (DNS) |
Domainname | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| ملف | الدليل الاسم |
Directory+Name | |
|
تجزئة الملف (FileHash) |
خوارزميه قيمه |
خوارزمية+قيمة | |
| البرامج الضاره | الاسم الفئة |
Name+Category | |
| نوع الكيان | معرفات | معرفات قوية | المعرفات الضعيفة |
| عمليه | معرف العملية فلكس الرمز المميز للرفع CreateTimeUtc |
Host+ProcessID+CreationTimeUtc المضيف+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (بلا مضيف) ProcessId+CreationTimeUtc+ ImageFile (بلا مضيف) |
|
مفتاح التسجيل (RegistryKey) |
خليه المفتاح |
Hive+Key | |
|
قيمة السجل (RegistryValue) |
الاسم قيمه نوع القيمة |
مفتاح+اسم | الاسم (بدون مفتاح) |
|
مجموعة الأمان (مجموعة الأمان) |
الاسم المميز سيد Objectguid |
الاسم المميز سيد Objectguid |
|
| علبه البريد | MailboxPrimaryAddress العرض Upn ExternalDirectoryObjectId مستوى المخاطر |
MailboxPrimaryAddress | |
| نوع الكيان | معرفات | معرفات قوية | المعرفات الضعيفة |
|
نظام مجموعة البريد (MailCluster) |
معرفات NetworkMessage CountByDeliveryStatus CountByThreatType CountByProtectionStatus التهديدات الاستعلام وقت الاستعلام عدد البريد IsVolumeAnomaly مصدر ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
رسالة بريد (MailMessage) |
المستلم عناوين url التهديدات المرسل P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * تاريخ الاستلام NetworkMessageId InternetMessageId الموضوع BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection إجراء التسليم تحديد موقع التسليم اللغه* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
إرسال البريد (البريد المرسل) |
NetworkMessageId الطابع الزمني المستلم المرسل SenderIp الموضوع نوع التقرير معرف الإرسال تاريخ الإرسال مقدم |
SubmissionId+NetworkMessageId+ المستلم+المرسل |
|
| كيانات Sentinel | الكيانات | الكيانات |
الحواشي السفلية للجدول:
- * تظهر هذه المعرفات في قائمة المعرفات التي يمكن استخدامها في تعيين الكيان، ولكنها بشكل صارم ليست جزءا من مخطط الكيان.
- ** تعتبر هذه المعرفات قوية فقط في ظل ظروف معينة. اتبع ارتباطات العلامات النجمية للاطلاع على الشروط التي تنطبق، ضمن قائمة الكيان ذي الصلة في قسم مخططات الكيان أدناه.
- تمثل أسماء المعرفات المائلة (بدون علامة نجمية) كيانات داخلية، ما يعني أن نوع كيان واحد يمكن أن يكون له أنواع كيانات أخرى كسمات (راجع قسم مخططات الكيان أدناه). اتبع ارتباط المعرف لمشاهدة المخطط الخاص للكيان الداخلي.
- قد تكون الكيانات الأخرى موجودة في المخطط، وهو مخطط عام يدعم العديد من الأشياء إلى جانب Microsoft Sentinel. يتم سرد هذه الكيانات المتوفرة في Microsoft Sentinel فقط في هذه المقالة.
مخططات نوع الكيان
يحتوي القسم التالي على نظرة أكثر تعمقا على المخططات الكاملة لكل نوع كيان. ستلاحظ أن العديد من هذه المخططات تتضمن ارتباطات إلى أنواع الكيانات الأخرى. على سبيل المثال، يتضمن مخطط الحساب ارتباطا إلى نوع كيان المضيف، نظرا لأن سمة واحدة لحساب المستخدم هي المضيف الذي تم تعريفه عليه. تعرف هذه الكيانات كسمات باسم "الكيانات الداخلية"، ولا يمكن استخدامها كمعرفات لتعيين الكيان، ولكنها مفيدة جدا في إعطاء صورة كاملة للكيانات على صفحات الكيان والرسم البياني للتحقيق.
ملاحظة
تشير علامة الاستفهام التي تلي القيمة في عمود النوع إلى أن الحقل قابل للقيمة الخالية.
قائمة مخططات نوع الكيان
- حساب
- Host
- IP
- البرامج الضاره
- ملف
- عمليه
- تطبيق السحابة
- دقة DNS
- مورد Azure
- تجزئة الملف
- مفتاح التسجيل
- قيمة السجل
- مجموعة الأمان
- Url
- جهاز IoT
- علبه البريد
- نظام مجموعة البريد
- رسالة بريد
- إرسال البريد
- كيانات Sentinel
حساب
اسم الكيان: حساب
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "الحساب" |
| الاسم | سلسلة | اسم الحساب. يجب أن يحتوي هذا الحقل على بادئة اسم المستخدم الأساسي (UPN) فقط دون إضافة أي مجال إليه. المثال: بالنسبة إلى UPN user@contoso.com، يحمل هذا الحقل فقط user. |
| Fullname | -- | ليس جزءا من المخطط، مضمنا للتوافق مع الإصدارات السابقة مع الإصدار القديم من تعيين الكيان. |
| NTDomain | سلسلة | اسم مجال NETBIOS كما يظهر في تنسيق التنبيه - domain\username. امثله: Finance, NT AUTHORITY |
| DnsDomain | سلسلة | اسم DNS للمجال المؤهل بالكامل. المثال: finance.contoso.com |
| UPNSuffix | سلسلة | لاحقة اسم المستخدم الأساسي للحساب. في كثير من الحالات، تكون لاحقة UPN هي أيضا اسم المجال. المثال: contoso.com |
| Host | الكيان (المضيف) | المضيف الذي يحتوي على الحساب، إذا كان حسابا محليا. |
| سيد | سلسلة | معرف أمان الحساب. |
| AadTenantId | Guid؟ | معرف المستأجر Microsoft Entra، إذا كان معروفا. |
| معرف AadUser | Guid؟ | معرف عنصر حساب Microsoft Entra، إذا كان معروفا. |
| PUID | Guid؟ | معرف مستخدم جواز السفر Microsoft Entra، إذا كان معروفا. |
| IsDomainJoined | Bool؟ | يشير إلى ما إذا كان الحساب حساب مجال. |
| العرض | -- | ليس جزءا من المخطط، مضمنا للتوافق مع الإصدارات السابقة مع الإصدار القديم من تعيين الكيان. |
| Objectguid | Guid؟ | سمة objectGUID هي سمة ذات قيمة واحدة هي المعرف الفريد للكائن، المعين بواسطة Active Directory. |
| CloudAppAccountId | سلسلة | AccountID في التنبيهات من موفر CloudApp. يشير إلى معرفات الحساب في تطبيقات الجهات الخارجية غير المعتمدة في منتجات Microsoft الأخرى. |
| IsAnonymized | Bool؟ | يشير إلى ما إذا كان اسم المستخدم مجهول الهوية. الاختياري. القيمة الافتراضية: false. |
| Stream | Stream | مصدر سجلات الاكتشاف المتعلقة بالحساب المحدد. الاختياري. |
هام
اعتبارا من 1 يوليو 2026، سيحتفظ حقل الاسم باستمرار ببادئة UPN لجميع الحسابات فقط. في السابق، كان يمكن أن يحمل في بعض الأحيان UPN الكامل. إذا كانت لديك قواعد التشغيل التلقائي أو أدلة المبادئ أو الاستعلامات التي تقارن الاسم بقيمة UPN كاملة (مثل user@contoso.com)، فقم بتحديثها لإعادة إنشاء القيمة الكاملة من الاسم + UPNSuffix (أو حقل المجال ذي الصلة)، أو استخدم بيانات أخرى متوفرة بدلا من ذلك.
معرفات قوية لكيان الحساب
- Name + UPNSuffix
- معرف AadUser
-
سيد
** هذا المعرف قوي طالما أن الحساب ليس أحد الحسابات المضمنة المدرجة في الملاحظة أدناه. -
Sid + Host
** عندما يكون الحساب أحد الحسابات المضمنة المدرجة في الملاحظة أدناه، يكون مكون المضيف مطلوبا لجعل هذا المعرف قويا. -
الاسم + NTDomain
** هذه المجموعة عبارة عن معرف قوي عندما يكون الحساب حساب مجال، نظرا لأن NTDomain ليس مجالا/مجموعة عمل مضمنة ويختلف عن اسم المضيف. في هذه الحالة، هذا معرف قوي حتى بدون مكون المضيف. -
Name + NTDomain + Host
** مكون المضيف ضروري لإنشاء معرف قوي عندما يكون الحساب حسابا محليا، ما يعني أن NTDomain هو مجال/مجموعة عمل مضمنة. - الاسم + DnsDomain
- PUID
- Objectguid
المعرفات الضعيفة لكيان الحساب
- الاسم
ملاحظة
إذا تم تعريف كيان الحساب باستخدام معرف الاسم ، وكانت قيمة الاسم لكيان معين أحد أسماء الحسابات العامة والمضمنة عادة التالية، فسيتم إسقاط هذا الكيان من تنبيهه.
- المشرف
- مسؤول
- نظام
- الجذر
- المجهول
- مستخدم مصادق عليه
- الشبكه
- فارغه
- النظام المحلي
- Localsystem
- خدمة الشبكة
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
Host
اسم الكيان: المضيف
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "المضيف" |
| IpInterfaces | كيان القائمة<(Ip)> | قائمة بجميع واجهات IP على الجهاز المضيف. |
| DnsDomain | سلسلة | مجال DNS الذي ينتمي إليه هذا المضيف. يجب أن تحتوي على لاحقة DNS الكاملة للمجال، إذا كان معروفا. |
| NTDomain | سلسلة | مجال NT الذي ينتمي إليه هذا المضيف. |
| المضيف | سلسلة | اسم المضيف بدون لاحقة المجال. |
| NetBiosName | سلسلة | اسم المضيف (ما قبل Windows 2000). |
| IoTDevice | الوحدة (جهاز IoT) | كيان جهاز IoT (إذا كان هذا المضيف يمثل جهاز IoT). |
| معرف Azure | سلسلة | معرف مورد Azure للجهاز الظاهري، إذا كان معروفا. |
| OMSAgentID | سلسلة | معرف عامل OMS، إذا كان المضيف لديه عامل OMS مثبت. |
| OSFamily | التعداد؟ | إحدى القيم التالية: |
| OSVersion | سلسلة | تمثيل نص حر لنظام التشغيل. يهدف هذا الحقل إلى الاحتفاظ بإصدارات محددة تكون أكثر دقة من OSFamily، أو القيم المستقبلية غير المدعومة بتعداد OSFamily. |
| IsDomainJoined | Bool | يشير إلى ما إذا كان هذا المضيف ينتمي إلى مجال. |
معرفات قوية للكيان المضيف
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- معرف Azure
- OMSAgentID
- IoTDevice
المعرفات الضعيفة للكيان المضيف
- المضيف
- NetBiosName
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
IP
اسم الكيان: IP
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | 'ip' |
| عنوان | سلسلة | عنوان IP كسلسلة (إما في IPv4 أو IPv6). أمثلة: 20.112.250.133، 2603:1030:b:3::152 |
| AddressScope | سلسلة | اسم المضيف أو الشبكة الفرعية أو الشبكة الخاصة لعناوين IP الخاصة غير العمومية. فارغ أو فارغ لعناوين IP العمومية (افتراضي). أمثلة: /27، 255.255.255.128 |
| موقع | تحديد الموقع الجغرافي | سياق الموقع الجغرافي المرفق بكيان IP. لمزيد من المعلومات، راجع أيضا إثراء الكيانات في Microsoft Sentinel ببيانات الموقع الجغرافي عبر واجهة برمجة تطبيقات REST (معاينة عامة). |
| Stream | Stream | مصدر سجلات الاكتشاف المتعلقة ب IP المحدد. الاختياري. |
معرفات قوية لكيان IP
-
عنوان
عندما يكون عنوان IP عنوانا عموميا، يكون معرف العنوان في حد ذاته معرفا فريدا وقويا. -
Address + AddressScope
بالنسبة لعناوين IP الخاصة/الداخلية وغير العمومية، يلزم مكون AddressScope لجعل هذا معرفا قويا.
المعرفات الضعيفة لكيان IP
-
عنوان
معرف العنوان في حد ذاته هو معرف ضعيف عندما يكون عنوان IP عنوان IP خاصا/داخليا وغير عمومي.
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
البرامج الضاره
اسم الكيان: البرامج الضارة
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "البرامج الضارة" |
| الاسم | سلسلة | اسم البرامج الضارة المعين من قبل مورد (الكشف؟)، مثل Win32/Toga!rfn. |
| الفئة | سلسلة | فئة البرامج الضارة المعينة من قبل مورد (الكشف؟)، على سبيل المثال. طرواده. |
| Files | كيان القائمة<(ملف)> | قائمة بكيانات الملفات المرتبطة التي تم العثور على البرامج الضارة عليها. يمكن أن يحتوي على كيانات الملف المضمنة أو كمرجع. راجع كيان الملف لمزيد من التفاصيل حول البنية. |
| العمليات | كيان القائمة<(عملية)> | قائمة بكيانات العمليات المرتبطة التي تم العثور على البرامج الضارة عليها. غالبا ما يتم استخدام هذا عند تشغيل التنبيه على نشاط بدون ملف. راجع كيان العملية لمزيد من التفاصيل حول البنية. |
معرفات قوية لكيان البرامج الضارة
- الاسم + الفئة
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
ملف
اسم الكيان: ملف
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "ملف" |
| الدليل | سلسلة | المسار الكامل إلى الملف. |
| الاسم | سلسلة | اسم الملف بدون المسار (قد لا تتضمن بعض التنبيهات المسار). |
| AlternateDataStreamName | سلسلة | اسم دفق الملف في نظام ملفات NTFS (خال للبث الرئيسي). |
| Host | الكيان (المضيف) | المضيف الذي تم تخزين الملف عليه. |
| HostUrl | الكيان (URL) | عنوان URL حيث تم تنزيل الملف منه (علامة على الويب). |
| WindowsSecurityZoneType | WindowsSecurityZone | أمن Windows المنطقة التي ينتمي إليها عنوان URL (علامة على الويب). |
| عنوان المرجع | الكيان (URL) | عنوان URL للمحيل لطلب HTTP لتنزيل الملف (علامة على الويب). |
| SizeInBytes | طويله؟ | حجم الملف بالبايت. |
| FileHashes | كيان القائمة<(FileHash)> | تجزئات الملف المقترنة بهذا الملف. |
معرفات قوية لكيان ملف
- Name + Directory
- Name + FileHash
- Name + Directory + FileHash
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
عمليه
اسم الكيان: العملية
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "عملية" |
| معرف العملية | سلسلة | معرف العملية. |
| فلكس | سلسلة | سطر الأوامر المستخدم لإنشاء العملية. |
| الرمز المميز للرفع | التعداد؟ | رمز الارتفاع المقترن بالعملية. القيم المحتملة: |
| CreateTimeUtc | Datetime؟ | الوقت الذي بدأت فيه العملية في التشغيل. |
| ImageFile | الكيان (ملف) | يمكن أن يحتوي على كيان الملف المضمن أو كمرجع. راجع كيان الملف لمزيد من التفاصيل حول البنية. |
| حساب | الكيان (الحساب) | الحساب الذي يقوم بتشغيل العمليات. يمكن أن يحتوي على كيان الحساب المضمن أو كمرجع. راجع كيان الحساب لمزيد من التفاصيل حول البنية. |
| معالجة الأصل | الكيان (عملية) | كيان العملية الأصل. يمكن أن تحتوي على بيانات جزئية، على سبيل المثال، PID فقط. |
| Host | الكيان (المضيف) | المضيف الذي كانت العملية قيد التشغيل عليه. |
| تسجيل الدخول | الكيان (HostLogonSession) | الجلسة التي كانت العملية قيد التشغيل. |
معرفات قوية لكيان العملية
- Host + ProcessId + CreationTimeUtc
- المضيف + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
معرفات ضعيفة لكيان العملية
- ProcessId + CreationTimeUtc + CommandLine (ولا يوجد مضيف)
- ProcessId + CreationTimeUtc + ImageFile (ولا يوجد مضيف)
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
تطبيق السحابة
اسم الكيان: CloudApplication
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "تطبيق السحابة" |
| Appid | الباحث | اهمالها; استخدم حقل SaasId بدلا من ذلك. المعرف التقني للتطبيق. القيم المحتملة هي تلك المعرفة في قائمة معرفات التطبيقات السحابية. القيمة اختيارية. يجب ألا يحتوي على InstanceId. |
| معرف SaasId | الباحث | يستبدل حقل AppId المهمل. المعرف التقني للتطبيق. القيم المحتملة هي تلك المعرفة في قائمة معرفات التطبيقات السحابية. القيمة اختيارية. يجب ألا يحتوي على InstanceId. |
| الاسم | سلسلة | اسم التطبيق السحابي ذي الصلة. القيمة اختيارية. |
| Instancename | سلسلة | اسم المثيل المعرف من قبل المستخدم لتطبيق السحابة. غالبا ما يتم استخدامه للتمييز بين العديد من التطبيقات من نفس النوع الذي يمتلكه العميل. |
| معرف المثيل | الباحث | معرف جلسة العمل المحددة للتطبيق. هذا رقم تشغيل يستند إلى الصفر. القيمة اختيارية. |
| الخطورة | AppRisk؟ | يتيح لك تصفية التطبيقات حسب درجة المخاطر بحيث يمكنك التركيز، على سبيل المثال، مراجعة التطبيقات شديدة المخاطر فقط. القيم المحتملة مثل منخفضة أو متوسطة أو عالية أو غير معروفة. |
| Stream | Stream | مصدر سجلات الاكتشاف المتعلقة بتطبيق السحابة المحدد. الاختياري. |
معرفات قوية لكيان تطبيق سحابي
- AppId (بدون InstanceName)
- الاسم (بدون InstanceName)
- AppId + InstanceName
- Name + InstanceName
قائمة معرفات التطبيقات السحابية
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
دقة DNS
اسم الكيان: DNS
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "dns" |
| Domainname | سلسلة | اسم سجل DNS المقترن بالتنبيه. |
| Ipaddress | كيان القائمة<(IP)> | الكيانات المقابلة لعناوين IP التي تم حلها. |
| DnsServerIp | الكيان (IP) | كيان يمثل خادم DNS الذي يحل الطلب. |
| عنوان Ip المضيف | الكيان (IP) | كيان يمثل عميل طلب DNS. |
معرفات قوية لكيان DNS
- DomainName + DnsServerIp + HostIpAddress
المعرفات الضعيفة لكيان DNS
- DomainName + HostIpAddress
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
مورد Azure
اسم الكيان: AzureResource
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "azure-resource" |
| Resourceid | سلسلة | معرف مورد Azure للمورد. الزاميه. |
| معرف الاشتراك | سلسلة | معرف الاشتراك للمورد. |
| ActiveContacts | قائمة<ActiveContact> | جهات الاتصال النشطة المقترنة بالمورد. |
| نوع المورد | سلسلة | نوع المورد. |
| اسم المورد | سلسلة | اسم المورد. |
معرفات قوية لكيان مورد Azure
- Resourceid
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
تجزئة الملف
اسم الكيان: FileHash
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | 'filehash' |
| خوارزميه | التعداد | نوع خوارزمية التجزئة. الزاميه. القيم المحتملة: |
| قيمه | سلسلة | قيمة التجزئة. الزاميه. |
معرفات قوية لكيان تجزئة الملف
- الخوارزمية + القيمة
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
مفتاح التسجيل
اسم الكيان: RegistryKey
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "مفتاح التسجيل" |
| خليه | التعداد؟ | إحدى القيم التالية: |
| المفتاح | سلسلة | مسار مفتاح التسجيل. |
معرفات قوية لكيان مفتاح التسجيل
- Hive + مفتاح
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
قيمة السجل
اسم الكيان: RegistryValue
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "قيمة السجل" |
| Host | الكيان (المضيف) | المضيف الذي ينتمي إليه السجل. |
| المفتاح | الوحدة (RegistryKey) | كيان مفتاح التسجيل. |
| الاسم | سلسلة | اسم قيمة التسجيل. |
| قيمه | سلسلة | تمثيل منسق بسلسلة لبيانات القيمة. |
| نوع القيمة | التعداد؟ | إحدى القيم التالية: يجب أن تتوافق القيم مع تعداد Microsoft.Win32.RegistryValueKind. |
معرفات قوية لكيان قيمة التسجيل
- المفتاح + الاسم
معرفات ضعيفة لكيان قيمة التسجيل
- الاسم (بدون مفتاح)
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
مجموعة الأمان
اسم الكيان: مجموعة الأمان
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "مجموعة الأمان" |
| الاسم المميز | سلسلة | الاسم المميز للمجموعة. |
| سيد | سلسلة | سمة ذات قيمة واحدة تحدد معرف الأمان (SID) للمجموعة. |
| Objectguid | Guid؟ | سمة ذات قيمة واحدة هي المعرف الفريد للكائن، المعين بواسطة Active Directory. |
معرفات قوية لكيان مجموعة الأمان
- الاسم المميز
- سيد
- Objectguid
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
Url
اسم الكيان: Url
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | 'url' |
| Url | Uri | عنوان URL كامل يشير إليه الكيان. الزاميه. |
معرفات قوية لكيان URL
- Url (** يكون هذا المعرف قويا عندما يكون عنوان URL عنوان URL مطلقا.)
المعرفات الضعيفة لكيان URL
- Url (** يكون هذا المعرف ضعيفا عندما يكون عنوان URL عنوان URL نسبيا.)
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
جهاز IoT
اسم الكيان: IoTDevice
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | 'iotdevice' |
| IoTHub | الكيان (AzureResource) | كيان AzureResource الذي يمثل IoT Hub الذي ينتمي إليه الجهاز. |
| معرف الجهاز | سلسلة | معرف الجهاز في سياق IoT Hub. الزاميه. |
| اسم الجهاز | سلسلة | الاسم المألوف للجهاز. |
| اصحاب | سلسلة القائمة<> | مالكو الجهاز. |
| IoTSecurityAgentId | Guid؟ | معرف وكيل Defender for IoT الذي يعمل على الجهاز. |
| نوع الجهاز | سلسلة | نوع الجهاز ("مستشعر درجة الحرارة" و"التجميد" و"توربينات الرياح" وما إلى ذلك). |
| DeviceTypeId | سلسلة | معرف فريد لتحديد كل نوع جهاز وفقا لمخطط نوع الجهاز، لأن نوع الجهاز نفسه هو اسم عرض وغير موثوق به في المقارنات. القيم المحتملة: غير مصنف = 0 متنوعة = 1 جهاز الشبكة = 2 الطابعة = 3 الصوت والفيديو = 4 وسائل الإعلام والمراقبة = 5 Communication = 7 الأجهزة الذكية = 9 محطة العمل = 10 الخادم = 11 الجوال = 12 المنشأة الذكية = 13 الصناعية = 14 المعدات التشغيلية = 15 |
| مصدر | سلسلة | المصدر (Microsoft/Vendor) لكيان الجهاز. |
| SourceRef | الكيان (Url) | مرجع URL إلى العنصر المصدر حيث تتم إدارة الجهاز. |
| الشركه المصنعه | سلسلة | الشركة المصنعة للجهاز. |
| النموذج | سلسلة | نموذج الجهاز. |
| نظام التشغيل | سلسلة | نظام التشغيل الذي يعمل به الجهاز. |
| Ipaddress | الكيان (IP) | عنوان IP الحالي للجهاز. |
| MacAddress | سلسلة | عنوان MAC للجهاز. |
| Nic | الوحدة (Nic) | بطاقات NIC الحالية على الجهاز. |
| البروتوكولات | سلسلة القائمة<> | قائمة بالبروتوكولات التي يدعمها الجهاز. |
| الرقم التسلسلي | سلسلة | الرقم التسلسلي للجهاز. |
| الموقع | سلسلة | موقع موقع الجهاز. |
| المنطقه | سلسلة | موقع منطقة الجهاز داخل موقع. |
| الاستشعار | سلسلة | جهاز الاستشعار الذي يراقب الجهاز. |
| اهميه | التعداد؟ | إحدى القيم التالية: |
| PurdueLayer | سلسلة | طبقة Purdue للجهاز. |
| IsProgramming | Bool؟ | يشير إلى ما إذا كان الجهاز مصنفا كجهاز برمجة. |
| معتمد | Bool؟ | يشير إلى ما إذا كان الجهاز مصنفا كجهاز معتمد. |
| IsScanner | Bool؟ | يشير إلى ما إذا كان الجهاز مصنفا كجهاز ماسح ضوئي. |
| DevicePageLink | الكيان (Url) | عنوان URL لصفحة الجهاز في مدخل Defender for IoT. |
| DeviceSubType | سلسلة | اسم النوع الفرعي للجهاز. |
معرفات قوية لكيان جهاز IoT
- IoTHub + DeviceId
المعرفات الضعيفة لكيان جهاز IoT
- DeviceId (بدون IoTHub)
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
علبه البريد
اسم الكيان: علبة البريد
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | 'علبة البريد' |
| MailboxPrimaryAddress | سلسلة | العنوان الأساسي لعلمة البريد. |
| العرض | سلسلة | الاسم المعروض لعلمة البريد. |
| Upn | سلسلة | UPN الخاص بعلبة البريد. |
| معرف AadId | سلسلة | معرف Azure AD لعلمة البريد للمستخدم. |
| مستوى المخاطر | RiskLevel (عدد صحيح) | مستوى مخاطر علبة البريد هذه. القيم المحتملة: |
| ExternalDirectoryObjectId | Guid؟ | معرف AzureAD لعلمة البريد. على غرار AadUserId في كيان الحساب، ولكن هذه الخاصية خاصة بكائن علبة البريد على جانب Office. |
معرفات قوية لكيان علبة البريد
- MailboxPrimaryAddress
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
نظام مجموعة البريد
اسم الكيان: MailCluster
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "نظام مجموعة البريد" |
| معرفات NetworkMessage | سلسلة IList<> | معرفات رسائل البريد التي تعد جزءا من نظام مجموعة البريد. |
| CountByDeliveryStatus | سلسلة IDictionary<،Int> | عدد رسائل البريد حسب تمثيل سلسلة DeliveryStatus. |
| CountByThreatType | سلسلة IDictionary<،Int> | عدد رسائل البريد حسب تمثيل سلسلة ThreatType. |
| CountByProtectionStatus | سلسلة IDictionary<، طويلة> | عدد رسائل البريد حسب تمثيل سلسلة حالة الحماية. |
| CountByDeliveryLocation | سلسلة IDictionary<، طويلة> | عدد رسائل البريد حسب تمثيل سلسلة موقع التسليم. |
| التهديدات | سلسلة IList<> | تهديدات رسائل البريد التي تعد جزءا من نظام مجموعة البريد. |
| الاستعلام | سلسلة | الاستعلام الذي تم استخدامه لتعريف رسائل نظام مجموعة البريد. |
| وقت الاستعلام | Datetime؟ | وقت الاستعلام. |
| عدد البريد | الباحث؟ | عدد رسائل البريد التي تعد جزءا من نظام مجموعة البريد. |
| IsVolumeAnomaly | Bool؟ | يشير إلى ما إذا كان نظام مجموعة البريد عبارة عن مجموعة بريد غير مألوفة لوحدة التخزين. |
| مصدر | سلسلة | مصدر مجموعة البريد (الافتراضي هو O365 ATP). |
معرفات قوية لكيان نظام مجموعة البريد
- الاستعلام + المصدر
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
رسالة بريد
اسم الكيان: MailMessage
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "رسالة بريدية" |
| Files | كيان IList<(ملف)> | كيانات الملف لمرفقات رسالة البريد هذه. |
| المستلم | سلسلة | مستلم رسالة البريد هذه. في حالة عدة مستلمين، يتم نسخ رسالة البريد، ولكل نسخة مستلم واحد. |
| عناوين url | سلسلة IList<> | عناوين URL المضمنة في رسالة البريد هذه. |
| التهديدات | سلسلة IList<> | التهديدات الواردة في رسالة البريد هذه. |
| المرسل | سلسلة | عنوان البريد الإلكتروني للمرسل. |
| SenderIP | سلسلة | عنوان IP الخاص بالمرسل. |
| تاريخ الاستلام | Datetime | تاريخ تلقي هذه الرسالة. |
| NetworkMessageId | Guid؟ | معرف رسالة الشبكة لرسالة البريد هذه. |
| InternetMessageId | سلسلة | معرف رسالة الإنترنت لرسالة البريد هذه. |
| الموضوع | سلسلة | موضوع رسالة البريد هذه. |
| AntispamDirection | التعداد؟ | اتجاه رسالة البريد هذه. القيم المحتملة: |
| إجراء التسليم | التعداد؟ | إجراء تسليم رسالة البريد هذه. القيم المحتملة: |
| تحديد موقع التسليم | التعداد؟ | موقع تسليم رسالة البريد هذه. القيم المحتملة: |
| معرف الحملة | سلسلة | معرف الحملة التي توجد فيها رسالة البريد هذه. |
| المريبون | سلسلة IList<> | قائمة المستلمين الذين تم اكتشافهم على أنه مريب. |
| المحالون المحالون إلى الأمام | سلسلة IList<> | قائمة بجميع المستلمين على البريد الذي تمت إعادة توجيهه. |
| نوع إعادة التوجيه | سلسلة IList<> | نوع إعادة توجيه البريد، مثل SMTP وETR وما إلى ذلك. |
معرفات قوية لكيان رسالة البريد
- NetworkMessageId + المستلم
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
إرسال البريد
اسم الكيان: SubmissionMail
| الميدان | النوع | الوصف |
|---|---|---|
| النوع | سلسلة | "إرسال بريد" |
| معرف الإرسال | Guid؟ | معرف الإرسال. |
| تاريخ الإرسال | Datetime؟ | وقت التاريخ المبلغ عنه لهذا الإرسال. |
| مقدم | سلسلة | عنوان البريد الإلكتروني للمرسل. |
| NetworkMessageId | Guid؟ | معرف رسالة الشبكة للبريد الإلكتروني الذي ينتمي إليه الإرسال. |
| الطابع الزمني | Datetime؟ | الطابع الزمني عند تلقي الرسالة (البريد). |
| المستلم | سلسلة | مستلم البريد. |
| المرسل | سلسلة | مرسل البريد. |
| SenderIp | سلسلة | عنوان IP الخاص بالمرسل. |
| الموضوع | سلسلة | موضوع إرسال البريد. |
| نوع التقرير | سلسلة | نوع الإرسال للمثيل المحدد. القيم المحتملة هي غير هام أو تصيد احتيالي أو برامج ضارة أو NotJunk. |
معرفات قوية لكيان SubmissionMail
- معرف الإرسال، المرسل، NetworkMessageId، المستلم
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
كيانات Sentinel
| الميدان | النوع | الوصف |
|---|---|---|
| الكيانات | سلسلة | قائمة بالكيانات المحددة في التنبيه. هذه القائمة هي عمود الكيانات من مخطط SecurityAlert (راجع الوثائق). |
الرجوع إلى قائمة مخططات | نوع الكيانالعودة إلى جدول معرفات الكيان
معرفات تطبيق السحابة
تحدد القائمة التالية معرفات التطبيقات السحابية المعروفة. يتم استخدام قيمة معرف التطبيق كمعرف كيان تطبيق سحابي .
| معرف التطبيق | الاسم |
|---|---|
| 10026 | DocuSign |
| 10395 | مخطط تحليلي |
| 10489 | مربع |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | ساعات |
| 13843 | LivePerson |
| 13979 | نتفق |
| 14509 | ServiceNow |
| 15570 | اللوحه |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | الامازون |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | دورة حياة Autodesk Fusion |
| 23043 | الركود |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | مركز مسؤولي Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint (.pptx) Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | نماذج Microsoft Forms |
| 27592 | تدفق Microsoft |
| 27593 | Microsoft PowerApps |
| 28353 | مكان العمل حسب Facebook |
| 28373 | محاكي وكيل CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | جوجل |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
الخطوات التالية
في هذا المستند، تعرفت على بنية الكيان والمعرفات والمخطط في Microsoft Sentinel.
تعرف على المزيد حول الكياناتوتعيين الكيان.