Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento dokument obsahuje dvě sady informací o entitách a typech entit v Microsoft Sentinel v Azure Portal a Microsoft Sentinel na portálu Defender.
- Tabulka Typy entit a identifikátory zobrazuje různé typy entit , které je možné identifikovat v výstrahách a incidentech, a umožňuje je sledovat a prošetřit. Tabulka také ukazuje pro každý typ entity různé identifikátory, které lze použít k identifikaci entity.
- Oddíl Schéma entity ukazuje datovou strukturu a schéma pro entity obecně a pro jednotlivé typy entit zvlášť.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Typy a identifikátory entit
Následující tabulka uvádí typy entit, které lze rozpoznat pomocí Microsoft Sentinel, a atributy, které lze použít jako identifikátory pro každý typ entity.
Microsoft Sentinel rozpozná entity v upozorněních a incidentech, které jsou vytvořené mapováním entit v analytických pravidlech. Rozpozná také entity, které jsou již identifikovány ve výstrahách přijatých z jiných zdrojů.
Při vytváření mapování entit v Microsoft Sentinel můžete aktuálně použít až tři identifikátory pro danou entitu. Samotné silné identifikátory jsou dostatečné k jednoznačné identifikaci entity, zatímco slabé identifikátory to mohou provést pouze v kombinaci s jinými identifikátory. Přečtěte si další informace o silných a slabých identifikátorech. Většinu, ale ne všechny identifikátory v této tabulce, je možné použít při vytváření mapování entit v Microsoft Sentinel (viz poznámky pod čarou).
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
|---|---|---|---|
| Účet | Name (Název) Celéjméno* NTDomain Doména dns Přípona hlavního názvu uživatele (UPN) Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Název a přípona hlavního názvu uživatele (UPN) AADUserId Sid ** Sid+ hostitel** Název+hostitel+NTDomain ** Název+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name (Název) |
| Host | Doména dns NTDomain Hostname Celéjméno* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Hostname NetBiosName |
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
| IP adresa | Adresa AddressScope |
Globální adresa: Adresu** Soukromá adresa: Address+AddressScope** |
Soukromá adresa: Adresu** |
| URL | Adresu url | Adresa URL (pokud je absolutní adresa URL)** | Adresa URL (pokud relativní adresa URL)** |
|
Azure prostředek (AzureResource) |
Resourceid | Resourceid | |
|
Cloudová aplikace (CloudApplication) |
Appid Name (Název) Název_instance |
Appid Name (Název) AppId+InstanceName Name+InstanceName |
|
|
Překlad DNS (DNS) |
Název_domény | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Soubor | Adresář Name (Název) |
Adresář+název | |
|
Hodnota hash souboru (FileHash) |
Algoritmus Hodnota |
Algoritmus+hodnota | |
| Malware | Name (Název) Kategorie |
Název+Kategorie | |
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
| Proces | Processid Commandline ElevationToken Creationtimeutc |
Host+ProcessID+CreationTimeUtc Hostitele+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ SouborHash |
ProcessId+CreationTimeUtc+ Příkazový řádek (bez hostitele) ProcessId+CreationTimeUtc+ ImageFile (bez hostitele) |
|
Klíč registru (Klíč registru) |
Podregistr Klíč |
Hive+klíč | |
|
Hodnota registru (Hodnota registru) |
Name (Název) Hodnota Valuetype |
Klíč+název | Název (bez klíče) |
|
Skupina zabezpečení (SecurityGroup) |
Distinguishedname SID ObjectGuid |
Distinguishedname SID ObjectGuid |
|
| Poštovní schránky | Poštovní schránkaPrimaryAddress Displayname Upn ExternalDirectoryObjectId Úroveň rizika |
Poštovní schránkaPrimaryAddress | |
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
|
Poštovní cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Hrozby Dotazu Čas dotazu MailCount IsVolumeAnomaly Source (Zdroj) ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Dotaz+ zdroj | |
|
Poštovní zpráva (MailMessage) |
Příjemce Adresy url Hrozby Odesílatele P1Sender * P1SenderDisplayName * P1SenderDomain * Ip adresa odesílatele P2Sender * P2SenderDisplayName * P2SenderDomain * Datum přijetí NetworkMessageId InternetMessageId Předmět BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Jazyk* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Odeslání e-mailu (Odeslání e-mailu) |
NetworkMessageId Časové razítko Příjemce Odesílatele Odesílatel Předmět Typ sestavy Id odeslání Datum odeslání Zadavatel |
SubmissionId+NetworkMessageId+ Příjemce+Odesílejte |
|
| Sentinel entit | Entity | Entity |
Poznámky pod čarou tabulky:
- * Tyto identifikátory se zobrazují v seznamu identifikátorů, které se dají použít při mapování entit, ale přesněji řečeno nejsou součástí schématu entity.
- ** Tyto identifikátory se považují za silné pouze za určitých podmínek. Pomocí odkazů hvězdičky zobrazte podmínky, které platí, v seznamu příslušné entity v části Schémata entit níže.
- Názvy identifikátorů v kurzívě (bez hvězdičky) představují interní entity, což znamená, že jeden typ entity může mít jiné typy entit jako atributy (viz část schémat entit níže). Pomocí odkazu na identifikátor zobrazte vlastní schéma interní entity.
- Ve schématu můžou být i jiné entity, což je obecné schéma, které kromě Microsoft Sentinel podporuje spoustu věcí. V tomto článku jsou uvedeny pouze entity dostupné v Microsoft Sentinel.
Schémata typů entit
Následující část obsahuje podrobnější pohled na úplná schémata jednotlivých typů entit. Všimněte si, že mnoho z těchto schémat obsahuje odkazy na jiné typy entit. Například schéma Účet obsahuje odkaz na typ entity Host, protože jeden atribut uživatelského účtu je hostitel, na který je definován. Tyto entity jako atributy se označují jako "interní entity" a nedají se použít jako identifikátory pro mapování entit, ale jsou velmi užitečné při poskytování kompletního přehledu entit na stránkách entit a v grafu šetření.
Poznámka
Otazník za hodnotou ve sloupci Typ označuje, že pole může být null.
Seznam schémat typů entit
- Účet
- Host (Hostitel)
- IP adresa
- Malware
- Soubor
- Proces
- Cloudová aplikace
- Překlad DNS
- Azure prostředek
- Hodnota hash souboru
- Klíč registru
- Hodnota registru
- Skupina zabezpečení
- URL
- Zařízení IoT
- Poštovní schránky
- Poštovní cluster
- Poštovní zpráva
- Odeslání e-mailu
- Sentinel entit
Účet
Název entity: Account
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'account' |
| Název | String | Název účtu. Toto pole by mělo obsahovat pouze předponu hlavního názvu uživatele (UPN) bez přidané domény. Příklad: Pro hlavní název uživatele (UPN user@contoso.com) toto pole obsahuje pouze user. |
| Celéjméno | -- | Není součástí schématu, které je součástí pro zpětnou kompatibilitu se starou verzí mapování entit. |
| NTDomain | String | Název domény rozhraní NETBIOS ve formátu upozornění – doména\uživatelské_jméno. Příklady: Finance, NT AUTHORITY |
| Doména dns | String | Plně kvalifikovaný název DNS domény. Příklad: finance.contoso.com |
| Přípona hlavního názvu uživatele (UPN) | String | Přípona hlavního názvu uživatele pro účet. V mnoha případech je přípona UPN také název domény. Příklad: contoso.com |
| Host (Hostitel) | Entita (hostitel) | Hostitel, který obsahuje účet, pokud se jedná o místní účet. |
| Sid | String | Identifikátor zabezpečení účtu. |
| AadTenantId | Identifikátor guid? | ID tenanta Microsoft Entra, pokud je známo. |
| AadUserId | Identifikátor guid? | ID objektu účtu Microsoft Entra, pokud je známo. |
| PUID | Identifikátor guid? | Id uživatele služby Microsoft Entra Passport, pokud je znám. |
| IsDomainJoined | Bool? | Určuje, jestli se jedná o účet domény. |
| Displayname | -- | Není součástí schématu, které je součástí pro zpětnou kompatibilitu se starou verzí mapování entit. |
| ObjectGuid | Identifikátor guid? | Atribut objectGUID je atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeným službou služba Active Directory. |
| CloudAppAccountId | String | Id účtu v upozorněních od poskytovatele CloudApp. Odkazuje na ID účtů v aplikacích třetích stran, která nejsou podporována v jiných produktech Microsoftu. |
| IsAnonymized | Bool? | Určuje, jestli je uživatelské jméno anonymizované. Volitelný parametr Výchozí hodnota: false. |
| Stream | Stream | Zdroj protokolů zjišťování souvisejících s konkrétním účtem Volitelný parametr |
Důležité
Od 1. července 2026 bude pole Název konzistentně obsahovat pouze předponu hlavního názvu uživatele (UPN) pro všechny účty. Dříve někdy mohl obsahovat celý hlavní název uživatele (UPN). Pokud máte pravidla automatizace, playbooky nebo dotazy, které porovnávají název s úplnou hodnotou hlavního názvu uživatele (například user@contoso.com), aktualizujte je tak, aby rekonstruovala úplnou hodnotu z + názvu UPNSuffix (nebo příslušného pole domény), nebo místo toho použijte jiná dostupná data.
Silné identifikátory entity účtu
- Název + přípona HLAVNÍho názvu uživatele (UPN)
- AadUserId
-
Sid
** Tento identifikátor je silný, pokud účet nepatří mezi předdefinované účty uvedené v následující poznámce . -
Sid + hostitel
** Pokud je účet jedním z předdefinovaných účtů uvedených v následující poznámce , je k tomu, aby byl tento identifikátor silný, vyžaduje komponenta Host. -
Název + NTDomain
** Tato kombinace představuje silný identifikátor, pokud se jedná o účet domény, protože ntDomain není předdefinovaná doména nebo pracovní skupina a liší se od názvu hostitele. V tomto případě se jedná o silný identifikátor i bez součásti Host. -
Název + NTDomain + Hostitel
** Součást Host je nezbytná k vytvoření silného identifikátoru, pokud je účet místním účtem, což znamená, že doména NTDomain je integrovaná doména nebo pracovní skupina. - Name + DnsDomain
- PUID
- ObjectGuid
Slabé identifikátory entity účtu
- Name (Název)
Poznámka
Pokud je entita Account definovaná pomocí identifikátoru názvu a hodnota Name konkrétní entity je jedním z následujících obecných, běžně předdefinovaných názvů účtů, pak se tato entita z výstrahy vyřadí.
- ADMIN
- SPRÁVCE
- SYSTÉMU
- KOŘENOVÉ
- ANONYMNÍ
- OVĚŘENÝ UŽIVATEL
- SÍŤOVÉ
- NULL
- MÍSTNÍ SYSTÉM
- LOCALSYSTEM
- SÍŤOVÁ SLUŽBA
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Host
Název entity: Hostitel
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'host' |
| IpInterfaces | Entita seznamu<(IP)> | Seznam všech rozhraní IP na hostitelském počítači |
| Doména dns | String | Doména DNS, do které tento hostitel patří. Měla by obsahovat úplnou příponu DNS pro doménu, pokud je známa. |
| NTDomain | String | Doména NT, do které tento hostitel patří. |
| Hostname | String | Název hostitele bez přípony domény. |
| NetBiosName | String | Název hostitele (před windows 2000). |
| IoTDevice | Entita (zařízení IoT) | Entita zařízení IoT (pokud tento hostitel představuje zařízení IoT). |
| AzureID | String | ID prostředku Azure virtuálního počítače, pokud je známo. |
| OMSAgentID | String | ID agenta OMS, pokud má hostitel nainstalovaného agenta OMS. |
| OSFamily | Výčtu? | Jedna z následujících hodnot: |
| OSVersion | String | Volná textová reprezentace operačního systému. Toto pole je určeno pro konkrétní verze, které jsou jemněji odstupňované než OSFamily, nebo budoucí hodnoty, které výčet OSFamily nepodporuje. |
| IsDomainJoined | Bool | Určuje, jestli tento hostitel patří do domény. |
Silné identifikátory hostitelské entity
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Slabé identifikátory hostitelské entity
- Hostname
- NetBiosName
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
IP adresa
Název entity: IP
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'ip' |
| Address (Adresa) | String | IP adresa jako řetězec (buď v IPv4, nebo IPv6). Příklady: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | String | Název hostitele, podsítě nebo privátní sítě pro privátní, ne globální IP adresy Hodnota Null nebo prázdná hodnota pro globální IP adresy (výchozí) Příklady: /27255.255.255.128 |
| Umístění | Geolocation | Kontext geografického umístění připojený k entitě IP. Další informace najdete také v tématu Rozšíření entit v Microsoft Sentinel s daty o geografické poloze prostřednictvím rozhraní REST API (Public Preview). |
| Stream | Stream | Zdroj protokolů zjišťování souvisejících s konkrétní IP adresou. Volitelný parametr |
Silné identifikátory entity IP
-
Address (Adresa)
Pokud je IP adresa globální adresou, je identifikátor adresy sám o sobě jedinečným a silným identifikátorem. -
Address + AddressScope
U privátních/interních, ne globálních IP adres se k vytvoření silného identifikátoru vyžaduje komponenta AddressScope.
Slabé identifikátory entity IP
-
Address (Adresa)
Identifikátor adresy je sám o sobě slabým identifikátorem, pokud je IP adresa privátní nebo interní, ne globální IP adresa.
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Malware
Název entity: Malware
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'malware' |
| Název | String | Název malwaru přiřazený dodavatelem (detekce?), například Win32/Toga!rfn. |
| Kategorie | String | Například kategorie malwaru přiřazená dodavatelem (detekce?). Trojan. |
| Soubory | Entita seznamu<(soubor)> | Seznam propojených entit souborů, na kterých byl nalezen malware Může obsahovat entity Soubor vložené nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Soubor . |
| Procesy | Entita seznamu<(proces)> | Seznam propojených entit procesu, na kterých byl nalezen malware To se často používá, když se upozornění aktivuje při aktivitě bez souborů. Další podrobnosti o struktuře najdete v entitě Proces . |
Silné identifikátory entity malwaru
- Název + Kategorie
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Soubor
Název entity: Soubor
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'file' |
| Adresář | String | Úplná cesta k souboru |
| Název | String | Název souboru bez cesty (některá upozornění nemusí obsahovat cestu). |
| AlternateDataStreamName | String | Název datového proudu souborů v systému souborů NTFS (hodnota null pro hlavní datový proud) |
| Host (Hostitel) | Entita (hostitel) | Hostitel, na kterém byl soubor uložen. |
| Adresa HostUrl | Entita (ADRESA URL) | Adresa URL, ze které byl soubor stažen (Značka webu). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zabezpečení Windows zóna, ke které adresa URL patří (Značka webu). |
| ReferrerUrl | Entita (ADRESA URL) | Adresa URL referreru požadavku HTTP na stažení souboru (Značka webu). |
| VelikostInBytes | Dlouhé? | Velikost souboru v bajtech. |
| FileHashes | Entita seznamu<(FileHash)> | Hodnoty hash souborů přidružené k tomuto souboru. |
Silné identifikátory entity souboru
- Name + Directory
- Name + FileHash
- Name + Directory + FileHash
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Proces
Název entity: Proces
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'process' |
| Processid | String | ID procesu. |
| Commandline | String | Příkazový řádek použitý k vytvoření procesu. |
| ElevationToken | Výčtu? | Token zvýšení oprávnění přidružený k procesu Možné hodnoty: |
| Creationtimeutc | Datetime? | Čas, kdy se proces spustil. |
| ImageFile | Entita (soubor) | Může obsahovat entitu Soubor vloženou nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Soubor . |
| Účet | Entita (účet) | Účet, který spouští procesy. Může obsahovat entitu Account vloženou nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Účet . |
| ParentProcess | Entita (proces) | Entita nadřazeného procesu Může obsahovat částečná data, například pouze PID. |
| Host (Hostitel) | Entita (hostitel) | Hostitel, na kterém byl proces spuštěn. |
| Přihlášení | Entita (HostLogonSession) | Relace, ve které byl proces spuštěn. |
Silné identifikátory entity procesu
- Hostitel + ProcessId + CreationTimeUtc
- Hostitele + ParentProcessId + CreationTimeUtc + CommandLine
- Hostitel + ProcessId + CreationTimeUtc + ImageFile
- Hostitel + ProcessId + CreationTimeUtc + ImageFile.FileHash
Slabé identifikátory entity procesu
- ProcessId + CreationTimeUtc + CommandLine (bez hostitele)
- ProcessId + CreationTimeUtc + ImageFile (bez hostitele)
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Cloudová aplikace
Název entity: CloudApplication
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'cloud-application' |
| Appid | Int | Zastaralé; místo toho použijte pole SaasId. Technický identifikátor aplikace. Možné hodnoty jsou hodnoty definované v seznamu identifikátorů cloudových aplikací. Hodnota je volitelná. Nemělo by obsahovat Id instance. |
| SaasId | Int | Nahradí zastaralé pole AppId. Technický identifikátor aplikace. Možné hodnoty jsou hodnoty definované v seznamu identifikátorů cloudových aplikací. Hodnota je volitelná. Nemělo by obsahovat Id instance. |
| Název | String | Název související cloudové aplikace. Hodnota je volitelná. |
| Název_instance | String | Název instance cloudové aplikace definovaný uživatelem. Často se používá k rozlišení mezi několika aplikacemi stejného typu, které má zákazník. |
| Instanceid | Int | Identifikátor konkrétní relace aplikace. Jedná se o spuštěné číslo založené na nule. Hodnota je volitelná. |
| Riziko | AppRisk? | Umožňuje filtrovat aplikace podle rizikového skóre, abyste se mohli zaměřit například na kontrolu jenom vysoce rizikových aplikací. Možné hodnoty, jako je Nízká, Střední, Vysoká nebo Neznámé. |
| Stream | Stream | Zdroj protokolů zjišťování souvisejících s konkrétní cloudovou aplikací Volitelný parametr |
Silné identifikátory entity cloudové aplikace
- AppId (bez názvu instance)
- Název (bez názvu instance)
- AppId + InstanceName
- Name + InstanceName
Seznam identifikátorů cloudových aplikací
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Překlad DNS
Název entity: DNS
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'dns' |
| Název_domény | String | Název záznamu DNS přidruženého k upozornění. |
| IpAddress | Entita seznamu<(IP)> | Entity odpovídající přeloženým IP adres. |
| DnsServerIp | Entita (IP) | Entita představující server DNS, který překládá požadavek. |
| HostIpAddress | Entita (IP) | Entita představující klienta požadavků DNS. |
Silné identifikátory entity DNS
- DomainName + DnsServerIp + HostIpAddress
Slabé identifikátory entity DNS
- DomainName + HostIpAddress
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Azure prostředek
Název entity: AzureResource
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | azure-resource |
| Resourceid | String | ID prostředku Azure. Povinné. |
| Id předplatného | String | ID předplatného prostředku. |
| ActiveContacts | Vypsat<activecontact> | Aktivní kontakty přidružené k prostředku |
| Resourcetype | String | Typ prostředku. |
| Název prostředku | String | Název prostředku. |
Silné identifikátory entity prostředku Azure
- Resourceid
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Hodnota hash souboru
Název entity: FileHash
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'filehash' |
| Algoritmus | Výčtu | Typ hashovacího algoritmu. Povinné. Možné hodnoty: |
| Hodnota | String | Hodnota hash Povinné. |
Silné identifikátory entity hodnoty hash souboru
- Algoritmus + hodnota
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Klíč registru
Název entity: RegistryKey
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'registry-key' (klíč registru) |
| Podregistr | Výčtu? | Jedna z následujících hodnot: |
| Klíč | String | Cesta ke klíči registru |
Silné identifikátory entity klíče registru
- Hive + klíč
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Hodnota registru
Název entity: RegistryValue
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'registry-value' |
| Host (Hostitel) | Entita (hostitel) | Hostitel, ke kterému registr patří. |
| Klíč | Entita (Klíč registru) | Entita klíče registru |
| Název | String | Název hodnoty registru. |
| Hodnota | String | Řetězcové znázornění dat hodnoty. |
| Valuetype | Výčtu? | Jedna z následujících hodnot: Hodnoty by měly odpovídat výčtu Microsoft.Win32.RegistryValueKind. |
Silné identifikátory entity hodnoty registru
- Klíč + název
Slabé identifikátory entity hodnoty registru
- Název (bez klíče)
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Skupina zabezpečení
Název entity: SecurityGroup
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'security-group' |
| Distinguishedname | String | Rozlišující název skupiny. |
| SID | String | Atribut s jednou hodnotou, který určuje identifikátor zabezpečení (SID) skupiny. |
| ObjectGuid | Identifikátor guid? | Atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeného službou služba Active Directory. |
Silné identifikátory entity skupiny zabezpečení
- Distinguishedname
- SID
- ObjectGuid
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
URL
Název entity: Url
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'url' |
| Adresu url | Uri | Úplná adresa URL, na které entita odkazuje. Povinné. |
Silné identifikátory entity adresy URL
- Adresa URL (** Tento identifikátor je silný, pokud je adresa URL absolutní adresou URL.)
Slabé identifikátory entity adresy URL
- Adresa URL (** Tento identifikátor je slabý, pokud je adresa URL relativní adresou URL.)
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Zařízení IoT
Název entity: IoTDevice
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'iotdevice' |
| IoTHub | Entita (AzureResource) | Entita AzureResource představující IoT Hub zařízení patří. |
| Deviceid | String | ID zařízení v kontextu IoT Hub. Povinné. |
| DeviceName | String | Popisný název zařízení |
| Vlastníci | Řetězec seznamu<> | Vlastníci zařízení. |
| IoTSecurityAgentId | Identifikátor guid? | ID agenta Defender for IoT spuštěného na zařízení. |
| DeviceType | String | Typ zařízení ("senzor teploty", "mrazák", "větrná turbína" atd.). |
| Id typu zařízení | String | Jedinečné ID pro identifikaci jednotlivých typů zařízení podle schématu typu zařízení, protože samotný typ zařízení je zobrazovaný název a při porovnání není spolehlivý. Možné hodnoty: Nezařazené = 0 Různé = 1 Síťové zařízení = 2 Tiskárna = 3 Zvuk a video = 4 Média a dohled = 5 Komunikace = 7 Inteligentní zařízení = 9 Pracovní stanice = 10 Server = 11 Mobilní zařízení = 12 Inteligentní zařízení = 13 Průmyslové = 14 Provozní zařízení = 15 |
| Source (Zdroj) | String | Zdroj (Microsoft nebo dodavatel) entity zařízení. |
| SourceRef | Entita (URL) | Odkaz adresy URL na zdrojovou položku, ve které je zařízení spravované. |
| Výrobce | String | Výrobce zařízení. |
| Model | String | Model zařízení. |
| Operatingsystem | String | Operační systém, na kterém zařízení běží. |
| IpAddress | Entita (IP) | Aktuální IP adresa zařízení. |
| MacAddress | String | Adresa MAC zařízení. |
| Nic | Entita (nic) | Aktuální síťové karty na zařízení. |
| Protokoly | Řetězec seznamu<> | Seznam protokolů, které zařízení podporuje. |
| Sériové číslo | String | Sériové číslo zařízení. |
| Stránky | String | Umístění webu zařízení. |
| Zone (Zóna) | String | Umístění zóny zařízení v rámci webu |
| Senzor | String | Senzor monitoruje zařízení. |
| Důležitost | Výčtu? | Jedna z následujících hodnot: |
| PurdueLayer | String | Vrstva purdue zařízení. |
| IsProgramování | Bool? | Označuje, jestli se zařízení klasifikuje jako programovací zařízení. |
| Isauthorized | Bool? | Označuje, jestli se zařízení klasifikuje jako autorizované zařízení. |
| IsScanner | Bool? | Určuje, jestli se zařízení klasifikuje jako zařízení skeneru. |
| DevicePageLink | Entita (URL) | Adresa URL stránky zařízení na portálu Defender for IoT |
| DeviceSubType | String | Název podtypu zařízení. |
Silné identifikátory entity zařízení IoT
- IoTHub + DeviceId
Slabé identifikátory entity zařízení IoT
- DeviceId (bez IoTHubu)
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Poštovní schránky
Název entity: Poštovní schránka
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'poštovní schránka' |
| Poštovní schránkaPrimaryAddress | String | Primární adresa poštovní schránky. |
| Displayname | String | Zobrazovaný název poštovní schránky |
| Upn | String | Hlavní název uživatele (UPN) poštovní schránky. |
| AadId | String | Identifikátor Azure AD uživatele poštovní schránky. |
| Úroveň rizika | RiskLevel (integer) | Úroveň rizika této poštovní schránky. Možné hodnoty: |
| ExternalDirectoryObjectId | Identifikátor guid? | Identifikátor AzureAD poštovní schránky. Podobá se AadUserId v entitě Account, ale tato vlastnost je specifická pro objekt poštovní schránky na straně Office. |
Silné identifikátory entity poštovní schránky
- Poštovní schránkaPrimaryAddress
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Poštovní cluster
Název entity: MailCluster
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | Mail-cluster |
| NetworkMessageIds | Řetězec seznamu IList<> | ID poštovních zpráv, která jsou součástí poštovního clusteru. |
| CountByDeliveryStatus | IDictionary<String,Int> | Count of mail messages by DeliveryStatus string representation. |
| CountByThreatType | IDictionary<String,Int> | Count of mail messages by ThreatType string representation. |
| CountByProtectionStatus | IDictionary<String, long> | Počet e-mailových zpráv podle reprezentace řetězce stavu ochrany. |
| CountByDeliveryLocation | IDictionary<String, long> | Počet e-mailových zpráv podle vyjádření řetězce umístění doručení. |
| Hrozby | Řetězec seznamu IList<> | Hrozby poštovních zpráv, které jsou součástí poštovního clusteru. |
| Dotazu | String | Dotaz, který byl použit k identifikaci zpráv poštovního clusteru. |
| Čas dotazu | Datetime? | Čas dotazu. |
| MailCount | Int? | Počet e-mailových zpráv, které jsou součástí poštovního clusteru. |
| IsVolumeAnomaly | Bool? | Určuje, jestli je poštovní cluster anomálií svazku. |
| Source (Zdroj) | String | Zdroj poštovního clusteru (výchozí hodnota je O365 ATP). |
Silné identifikátory entity poštovního clusteru
- Dotaz + zdroj
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Poštovní zpráva
Název entity: MailMessage
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'mail-message' |
| Soubory | Entita IList<(soubor)> | Entity Soubor příloh této e-mailové zprávy. |
| Příjemce | String | Příjemce této e-mailové zprávy. V případě více příjemců se e-mailová zpráva zkopíruje a každá kopie má jednoho příjemce. |
| Adresy url | Řetězec seznamu IList<> | Adresy URL obsažené v této e-mailové zprávě |
| Hrozby | Řetězec seznamu IList<> | Hrozby obsažené v této e-mailové zprávě. |
| Odesílatele | String | E-mailová adresa odesílatele |
| Ip adresa odesílatele | String | IP adresa odesílatele. |
| Datum přijetí | Datetime | Datum přijetí této zprávy. |
| NetworkMessageId | Identifikátor guid? | ID síťové zprávy této e-mailové zprávy. |
| InternetMessageId | String | ID internetové zprávy této e-mailové zprávy. |
| Předmět | String | Předmět této e-mailové zprávy. |
| AntispamDirection | Výčtu? | Směrovost této e-mailové zprávy Možné hodnoty: |
| DeliveryAction | Výčtu? | Akce doručení této e-mailové zprávy. Možné hodnoty: |
| DeliveryLocation | Výčtu? | Umístění doručení této e-mailové zprávy. Možné hodnoty: |
| Id kampaně | String | Identifikátor kampaně, ve které je tato e-mailová zpráva přítomna. |
| Podezřelérecipienty | Řetězec seznamu IList<> | Seznam příjemců, u kterých se zjistilo, že jsou podezřelí. |
| ForwardedRecipients | Řetězec seznamu IList<> | Seznam všech příjemců přeposlané pošty. |
| ForwardingType | Řetězec seznamu IList<> | Typ přeposílání e-mailu, například SMTP, ETR atd. |
Silné identifikátory entity e-mailové zprávy
- NetworkMessageId + Recipient
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Odeslání e-mailu
Název entity: SubmissionMail
| :----- | Typ | Popis |
|---|---|---|
| Typ | String | 'SubmissionMail' |
| Id odeslání | Identifikátor guid? | ID odeslání. |
| Datum odeslání | Datetime? | Nahlášené datum a čas pro toto odeslání. |
| Zadavatel | String | E-mailová adresa odesílatele |
| NetworkMessageId | Identifikátor guid? | ID síťové zprávy e-mailu, do kterého patří odeslání. |
| Časové razítko | Datetime? | Časové razítko při přijetí zprávy (Pošta). |
| Příjemce | String | Příjemce e-mailu. |
| Odesílatele | String | Odesílatel e-mailu. |
| Odesílatel | String | IP adresa odesílatele. |
| Předmět | String | Předmět odesílané pošty. |
| Typ sestavy | String | Typ odeslání pro danou instanci. Možné hodnoty jsou Nevyžádaná pošta, Phish, Malware nebo NotJunk. |
Silné identifikátory entity SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Recipient
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Sentinel entit
| :----- | Typ | Popis |
|---|---|---|
| Entity | String | Seznam entit identifikovaných v upozornění Tento seznam je sloupec entit ze schématu SecurityAlert (viz dokumentace). |
Zpět na seznam schémat | typů entitZpět k tabulce identifikátorů entit
Identifikátory cloudových aplikací
Následující seznam definuje identifikátory známých cloudových aplikací. Hodnota ID aplikace se používá jako identifikátor entity cloudové aplikace .
| ID aplikace | Name (Název) |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Pole |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Základní kámen ondemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Zvětšovat |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Souhlasit |
| 14509 | ServiceNow |
| 15570 | Tablo |
| 15600 | Microsoft OneDrive pro firmy |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | služba Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Životní cyklus aplikace Autodesk Fusion |
| 23043 | Časová rezerva |
| 23233 | systém Microsoft Office Online |
| 25275 | Microsoft Skype pro firmy |
| 25988 | Dokumentace Google |
| 26055 | Centrum pro správu služby Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Disk Google |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | systém Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace podle Facebook |
| 28373 | Emulátor proxy serveru CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Další kroky
V tomto dokumentu jste se dozvěděli o struktuře entit, identifikátorech a schématu v Microsoft Sentinel.
Přečtěte si další informace o entitách a mapování entit.