Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento dokument obsahuje dvě sady informací týkajících se entit a typů entit v Microsoft Sentinelu na portálu Azure Portal a Microsoft Sentinel na portálu Defender.
- Tabulka typů entit a identifikátorů zobrazuje různé typy entit , které je možné identifikovat v výstrahách a incidentech, což vám umožní sledovat a prošetřit je. Tabulka také ukazuje různé identifikátory, které lze použít k identifikaci entity pro každý typ entity.
- Část Schéma entity zobrazuje strukturu dat a schéma pro entity obecně a pro každý typ entity, zejména.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.
Od července 2026 bude Microsoft Sentinel podporován pouze na portálu Defender a všichni zbývající zákazníci, kteří používají Azure Portal, se automaticky přesměrují.
Doporučujeme, aby všichni zákazníci, kteří používají Microsoft Sentinel v Azure, začali plánovat přechod na portál Defender pro úplné jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Plánování přechodu na portál Microsoft Defender pro všechny zákazníky Microsoft Sentinelu.
Typy a identifikátory entit
Následující tabulka ukazuje typy entit, které může Microsoft Sentinel rozpoznat, a atributy, které se dají použít jako identifikátory pro každý typ entity.
Microsoft Sentinel rozpozná entity v upozorněních a incidentech vytvořených mapováním entit v analytických pravidlech. Rozpoznává také entity, které jsou již identifikovány v upozorněních přijatých z jiných zdrojů.
Při vytváření mapování entit v Microsoft Sentinelu můžete v současné době použít až tři identifikátory dané entity. Samotné silné identifikátory jsou dostatečné k jednoznačné identifikaci entity, zatímco slabé identifikátory to mohou provést pouze v kombinaci s jinými identifikátory. Přečtěte si další informace o silných a slabých identifikátorech. Většinu, ale ne všechny identifikátory v této tabulce lze použít při vytváření mapování entit v Microsoft Sentinelu (viz poznámky pod čarou).
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
|---|---|---|---|
| Účet | Název Celé jméno * NTDomain Doména Dns Přípona hlavního názvu uživatele (UPN) Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Název |
| Hostitel | Doména Dns NTDomain Název hostitele Celé jméno * NetBiosName AzureID OMSAgentID Operační centrum OSFamily Verze operačního systému IsDomainJoined |
HostName+NTDomain Název hostitele + DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Název hostitele NetBiosName |
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
| IP | Adresa AddressScope |
Globální adresa: Adresa** Privátní adresa: Address+AddressScope** |
Privátní adresa: Adresa** |
| Adresa URL | URL | Adresa URL (pokud absolutní adresa URL)** | Adresa URL (pokud relativní adresa URL)** |
|
Prostředek Azure (AzureResource) |
ID prostředku | ID prostředku | |
|
Cloudová aplikace (CloudApplication) |
AppId Název Název instance |
AppId Název AppId+InstanceName Name+InstanceName |
|
|
Překlad DNS (DNS) |
název domény | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Soubor | Adresář Název |
Adresář a název | |
|
Hodnota hash souboru (FileHash) |
Algoritmus Hodnota |
Algoritmus+hodnota | |
| Malware | Název Kategorie |
Name+Category | |
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
| Proces | Id procesu Příkazový řádek Token nadmořské výšky CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Hostitel+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Příkazový řádek (bez hostitele) ProcessId+CreationTimeUtc+ ImageFile (bez hostitele) |
|
Klíč registru (RegistryKey) |
Hive Klíč |
Hive+Key | |
|
Hodnota registru (RegistryValue) |
Název Hodnota typ hodnoty |
Klíč+název | Název (bez klíče) |
|
Skupina zabezpečení (SecurityGroup) |
DistinguishedName (Rozlišovací jméno) SID ObjectGuid |
DistinguishedName (Rozlišovací jméno) SID ObjectGuid |
|
| Poštovní schránka | MailboxPrimaryAddress ZobrazovanéJméno Upn ExternalDirectoryObjectId Úroveň rizika |
MailboxPrimaryAddress | |
| Typ entity | Identifikátory | Silné identifikátory | Slabé identifikátory |
|
Poštovní cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Hrozby Dotaz QueryTime MailCount IsVolumeAnomaly Zdroj ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Dotaz+zdroj | |
|
E-mailová zpráva (MailMessage) |
Příjemce Adresy URL Hrozby Odesílatel P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate ID síťové zprávy ID internetové zprávy Předmět BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection Akce doručení Místo doručení Jazyk* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Odeslání e-mailu (Odesílaná pošta) |
ID síťové zprávy Časové razítko Příjemce Odesílatel SenderIp Předmět Typ sestavy Id odeslání Datum odeslání Předkladatel |
SubmissionId+NetworkMessageId+ Příjemce a odesílejte |
|
| Entity služby Sentinel | Entity | Entity |
Poznámky pod čarou tabulky:
- * Tyto identifikátory se zobrazují v seznamu identifikátorů, které lze použít v mapování entit, ale přísně řečeno nejsou součástí schématu entity.
- ** Tyto identifikátory jsou považovány za silné pouze za určitých podmínek. Postupujte podle odkazů asterisků a podívejte se na podmínky, které platí, v části Schémata entit uvedené v příslušné entitě níže.
- Názvy identifikátorů kurzívou (bez hvězdičky) představují interní entity, což znamená, že jeden typ entity může mít jiné typy entit jako atributy (viz část Schémata entit níže). Pokud chcete zobrazit vlastní schéma interní entity, postupujte podle odkazu na identifikátor.
- Ve schématu mohou být přítomny další entity, což je obecné schéma, které podporuje mnoho věcí kromě Microsoft Sentinelu. V tomto článku jsou uvedené jenom entity, které jsou k dispozici v Microsoft Sentinelu.
Schémata typů entit
Následující část obsahuje podrobnější přehled o úplných schématech jednotlivých typů entit. Všimněte si, že mnoho z těchto schémat obsahuje odkazy na jiné typy entit. Schéma účtu například obsahuje odkaz na typ entity Hostitel, protože jedním atributem uživatelského účtu je hostitel, na který je definovaný. Tyto entity jako atributy se označují jako interní entity a nedají se použít jako identifikátory pro mapování entit, ale jsou velmi užitečné při poskytování kompletního obrázku entit na stránkách entit a grafu šetření.
Poznámka:
Otazník za hodnotou ve sloupci Typ označuje, že pole má hodnotu null.
Seznam schémat typů entit
- Účet
- Hostitel
- IP
- Malware
- Soubor
- Proces
- Cloudová aplikace
- Překlad DNS
- prostředků Azure
- Hodnota hash souboru
- Klíč registru
- Hodnota registru
- Skupina zabezpečení
- Adresa URL
- Zařízení IoT
- Poštovní schránka
- Poštovní cluster
- E-mailová zpráva
- Odeslání e-mailu
- Entity služby Sentinel
Obchodní vztah
Název entity: Účet
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | "account" (účet) |
| Jméno | Řetězec | Název účtu. Toto pole by mělo obsahovat jenom název bez přidané domény. |
| Celé jméno | -- | Součástí schématu není zpětnou kompatibilitu se starou verzí mapování entit. |
| NTDomain | Řetězec | Název domény NETBIOS, jak se zobrazí ve formátu upozornění – doména\uživatelské jméno. Příklady: Finance, NT AUTHORITY |
| Doména Dns | Řetězec | Plně kvalifikovaný název DNS domény. Příklady: finance.contoso.com |
| Přípona hlavního názvu uživatele (UPN) | Řetězec | Přípona hlavního názvu uživatele pro účet. V mnoha případech je přípona hlavního názvu uživatele (UPN) také názvem domény. Příklady: contoso.com |
| Hostitel | Entita (hostitel) | Hostitel, který obsahuje účet, pokud se jedná o místní účet. |
| Sid | Řetězec | Identifikátor zabezpečení účtu. |
| AadTenantId | Identifikátor guid? | ID tenanta Microsoft Entra, pokud je známo. |
| AadUserId | Identifikátor guid? | ID objektu účtu Microsoft Entra, pokud je známo. |
| PUID | Identifikátor guid? | ID uživatele Služby Microsoft Entra Passport, pokud je známo. |
| IsDomainJoined | Bool? | Určuje, jestli se jedná o účet domény. |
| DisplayName | -- | Součástí schématu není zpětnou kompatibilitu se starou verzí mapování entit. |
| ObjectGuid | Identifikátor guid? | Atribut objectGUID je atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeného službou Active Directory. |
| CloudAppAccountId | Řetězec | ID účtu v upozorněních od poskytovatele CloudApp. Odkazuje na ID účtů v aplikacích třetích stran, které nejsou podporovány v jiných produktech Microsoftu. |
| IsAnonymized | Bool? | Určuje, jestli je uživatelské jméno anonymizované. Nepovinné. Výchozí hodnota: false. |
| Proud | Stream | Zdroj protokolů zjišťování souvisejících s konkrétním účtem. Nepovinné. |
Silné identifikátory entity účtu
- Name + UPNSuffix
- AadUserId
-
Sid
** Tento identifikátor je silný, pokud účet není jedním z předdefinovaných účtů uvedených v následující poznámce . -
Sid + Hostitel
** Pokud je účet jedním z předdefinovaných účtů uvedených v poznámce níže, je nutné, aby byl tento identifikátor silný. -
Name + NTDomain
** Tato kombinace je silný identifikátor, pokud je účtem domény, protože NTDomain není integrovanou doménou nebo pracovní skupinou a liší se od názvu hostitele. V tomto případě se jedná o silný identifikátor i bez komponenty Host. -
Name + NTDomain + Host
** Součást Hostitel je nutná k vytvoření silného identifikátoru, pokud je účet místním účtem, což znamená, že NTDomain je integrovaná doména nebo pracovní skupina. - Name + DnsDomain
- PUID
- ObjectGuid
Slabé identifikátory entity účtu
- Název
Poznámka:
Pokud je entita Account definována pomocí identifikátoru Název a hodnota Název konkrétní entity je jedním z následujících obecných, běžně předdefinovaných názvů účtů, pak se tato entita z výstrahy zahodí.
- SPRÁVCE
- SPRÁVCE
- SYSTÉM
- KOŘEN
- ANONYMNÍ
- OVĚŘENÝ UŽIVATEL
- SÍŤ
- NULA
- MÍSTNÍ SYSTÉM
- MÍSTNÍ SYSTÉM
- SÍŤOVÁ SLUŽBA
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Hostitelský počítač
Název entity: Hostitel
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | "hostitel" |
| IpInterfaces | Entita seznamu<(IP)> | Seznam všech IP rozhraní na hostitelském počítači |
| Doména Dns | Řetězec | Doména DNS, do které tento hostitel patří. Pokud je to známo, měla by obsahovat úplnou příponu DNS pro doménu. |
| NTDomain | Řetězec | Doména NT, do které tento hostitel patří. |
| Název hostitele | Řetězec | Název hostitele bez přípony domény. |
| NetBiosName | Řetězec | Název hostitele (před Windows 2000). |
| IoTDevice | Entita (zařízení IoT) | Entita zařízení IoT (pokud tento hostitel představuje zařízení IoT). |
| AzureID | Řetězec | ID prostředku Azure virtuálního počítače, pokud je známo. |
| OMSAgentID | Řetězec | ID agenta OMS, pokud je na hostiteli nainstalovaný agent OMS. |
| OSFamily | Výčet? | Jedna z následujících hodnot: |
| OSVersion | Řetězec | Bezplatná textová reprezentace operačního systému. Toto pole má obsahovat konkrétní verze, které jsou jemněji odstupňované než OSFamily, nebo budoucí hodnoty, které nejsou podporovány výčtem OSFamily. |
| IsDomainJoined | Booleovská hodnota | Určuje, jestli tento hostitel patří do domény. |
Silné identifikátory hostitelské entity
- Název hostitele + NTDomain
- Název hostitele + Doména DNS
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Slabé identifikátory hostitelské entity
- Název hostitele
- NetBiosName
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
IP
Název entity: IP adresa
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Ip |
| Adresa | Řetězec | IP adresa jako řetězec (v IPv4 nebo IPv6). Příklady: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Řetězec | Název hostitele, podsítě nebo privátní sítě pro privátní, ne globální IP adresy. Hodnota null nebo prázdná pro globální IP adresy (výchozí). Příklady: /27, 255.255.255.128 |
| Umístění | Geografická poloha | Kontext geografického umístění připojený k entitě IP. Další informace najdete také v tématu Obohacení entit v Microsoft Sentinelu o data geografické polohy prostřednictvím rozhraní REST API (Public Preview). |
| Proud | Stream | Zdroj protokolů zjišťování souvisejících s konkrétní IP adresou. Nepovinné. |
Silné identifikátory entity IP
-
Adresa
Pokud je IP adresa globální adresou, je identifikátor adresy sám o sobě jedinečným silným identifikátorem. -
Address + AddressScope
U privátních/interních, ne globálních IP adres se k vytvoření tohoto silného identifikátoru vyžaduje komponenta AddressScope.
Slabé identifikátory entity IP
-
Adresa
Identifikátor adresy je sám o sobě slabý identifikátor, pokud je IP adresa privátní nebo interní, ne globální IP adresa.
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Škodlivý software
Název entity: Malware
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Malware |
| Jméno | Řetězec | Název malwaru přiřazený dodavatelem (detekce?), například Win32/Toga!rfn. |
| Kategorie | Řetězec | Například kategorie malwaru přiřazená dodavatelem (detekce?). Trojský. |
| Soubory | Entita seznamu<(soubor)> | Seznam propojených entit souborů, na kterých byl malware nalezen. Může obsahovat vložené nebo referenční entity Souboru. Další podrobnosti o struktuře najdete v entitě Soubor . |
| Procesy | Entita seznamu<(proces)> | Seznam propojených entit procesu, na kterých byl malware nalezen. To by se často použilo, když se upozornění aktivovalo u aktivity bez souborů. Další podrobnosti o struktuře najdete v entitě Proces . |
Silné identifikátory entity malwaru
- Name + Category
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Soubor
Název entity: Soubor
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | "soubor" |
| Adresář | Řetězec | Úplná cesta k souboru. |
| Jméno | Řetězec | Název souboru bez cesty (některé výstrahy nemusí obsahovat cestu). |
| AlternateDataStreamName | Řetězec | Název datového proudu souboru v systému souborů NTFS (hodnota null pro hlavní datový proud) |
| Hostitel | Entita (hostitel) | Hostitel, na kterém byl soubor uložen. |
| Adresa hostUrl | Entita (ADRESA URL) | Adresa URL, ze které byl soubor stažen (Značka webu). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zabezpečení Windows zóny, do které adresa URL patří (Značka webu). |
| ReferrerUrl | Entita (ADRESA URL) | Adresa URL referreru požadavku HTTP pro stažení souboru (Značka webu). |
| SizeInBytes | Dlouhý? | Velikost souboru souboru v bajtech |
| FileHashes | Entita seznamu<(FileHash)> | Hodnoty hash souboru přidružené k tomuto souboru. |
Silné identifikátory entity souboru
- Name + Directory
- Name + FileHash
- Name + Directory + FileHash
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Zpracovat
Název entity: Proces
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Proces |
| Id procesu | Řetězec | ID procesu. |
| Příkazový řádek | Řetězec | Příkazový řádek použitý k vytvoření procesu. |
| ElevationToken | Výčet? | Token zvýšení oprávnění přidružený k procesu. Možné hodnoty: |
| CreationTimeUtc | DateTime? | Čas, kdy se proces spustil. |
| ImageFile | Entita (soubor) | Může obsahovat entitu Soubor vloženou nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Soubor . |
| Účet | Entita (účet) | Účet, který spouští procesy. Může obsahovat entitu Klient vloženou nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Účet . |
| ParentProcess | Entita (proces) | Entita nadřazeného procesu. Může obsahovat částečná data, například pouze KÓD PID. |
| Hostitel | Entita (hostitel) | Hostitel, na kterém byl proces spuštěný. |
| Přihlášení | Entita (HostLogonSession) | Relace, ve které byl proces spuštěn. |
Silné identifikátory entity procesu
- Host + ProcessId + CreationTimeUtc
- Hostitel + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Slabé identifikátory entity procesu
- ProcessId + CreationTimeUtc + CommandLine (a bez hostitele)
- ProcessId + CreationTimeUtc + ImageFile (a bez hostitele)
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Cloudová aplikace
Název entity: CloudApplication
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Cloud-application |
| AppId | int | Zavrhovaný; místo toho použijte pole SaasId. Technický identifikátor aplikace. Možné hodnoty jsou ty, které jsou definovány v seznamu identifikátorů cloudových aplikací. Nepovinná hodnota. Neměla by obsahovat ID instance. |
| SaasId | int | Nahradí zastaralé pole AppId. Technický identifikátor aplikace. Možné hodnoty jsou ty, které jsou definovány v seznamu identifikátorů cloudových aplikací. Nepovinná hodnota. Neměla by obsahovat ID instance. |
| Jméno | Řetězec | Název související cloudové aplikace. Nepovinná hodnota. |
| InstanceName | Řetězec | Uživatelem definovaný název instance cloudové aplikace. Často se používá k rozlišení mezi několika aplikacemi stejného typu, které má zákazník. |
| InstanceId | int | Identifikátor konkrétní relace aplikace. Jedná se o spuštěné číslo založené na nule. Nepovinná hodnota. |
| Riziko | AppRisk? | Umožňuje filtrovat aplikace podle skóre rizika, abyste se mohli zaměřit například na kontrolu jenom vysoce rizikových aplikací. Možné hodnoty, jako je Nízký, Střední, Vysoký nebo Neznámý. |
| Proud | Stream | Zdroj protokolů zjišťování souvisejících s konkrétní cloudovou aplikací. Nepovinné. |
Silné identifikátory entity cloudové aplikace
- AppId (bez instanceName)
- Název (bez instanceName)
- AppId + InstanceName
- Name + InstanceName
Seznam identifikátorů cloudových aplikací
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Překlad DNS
Název entity: DNS
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Dns |
| DomainName | Řetězec | Název záznamu DNS přidruženého k upozornění. |
| IpAddress | Entita seznamu<(IP)> | Entity odpovídající přeložené IP adrese |
| DnsServerIp | Entita (IP) | Entita představující server DNS, který požadavek přeloží. |
| HostIpAddress | Entita (IP) | Entita představující klienta požadavku DNS. |
Silné identifikátory entity DNS
- DomainName + DnsServerIp + HostIpAddress
Slabé identifikátory entity DNS
- DomainName + HostIpAddress
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Prostředek Azure
Název entity: AzureResource
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Azure-resource |
| ID prostředku | Řetězec | ID prostředku Azure Povinné. |
| SubscriptionId | Řetězec | ID předplatného prostředku. |
| ActiveContacts | List<ActiveContact> | Aktivní kontakty přidružené k prostředku |
| Typ prostředku | Řetězec | Typ prostředku. |
| Název prostředku | Řetězec | Název prostředku. |
Silné identifikátory entity prostředků Azure
- ID prostředku
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Hodnota hash souboru
Název entity: FileHash
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'filehash' |
| Algoritmus | Výčet | Typ hashovacího algoritmu. Povinné. Možné hodnoty: |
| Hodnota | Řetězec | Hodnota hash. Povinné. |
Silné identifikátory entity hash souboru
- Algoritmus + hodnota
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Klíč registru
Název entity: RegistryKey
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | "registry-key" |
| Úl | Výčet? | Jedna z následujících hodnot: |
| Klíč | Řetězec | Cesta ke klíči registru. |
Silné identifikátory entity klíče registru
- Hive + klíč
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Hodnota registru
Název entity: RegistryValue
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'registry-value' |
| Hostitel | Entita (hostitel) | Hostitel, ke kterému registr patří. |
| Klíč | Entita (RegistryKey) | Entita klíče registru. |
| Jméno | Řetězec | Název hodnoty registru. |
| Hodnota | Řetězec | Řetězcové znázornění dat hodnoty |
| ValueType | Výčet? | Jedna z následujících hodnot: Hodnoty by měly odpovídat výčtu Microsoft.Win32.RegistryValueKind. |
Silné identifikátory entity hodnoty registru
- Klíč + název
Slabé identifikátory entity hodnoty registru
- Název (bez klíče)
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Skupina zabezpečení
Název entity: SecurityGroup
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Skupina zabezpečení |
| DistinguishedName | Řetězec | Rozlišující název skupiny. |
| SID | Řetězec | Atribut s jednou hodnotou, který určuje identifikátor zabezpečení (SID) skupiny. |
| ObjectGuid | Identifikátor guid? | Atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeného službou Active Directory. |
Silné identifikátory entity skupiny zabezpečení
- DistinguishedName
- SID
- ObjectGuid
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
URL
Název entity: Adresa URL
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Adresa URL |
| URL | Identifikátor URI | Úplná adresa URL, na které entita odkazuje. Povinné. |
Silné identifikátory entity adresy URL
- Adresa URL (** Tento identifikátor je silný, pokud je adresa URL absolutní adresou URL.)
Slabé identifikátory entity adresy URL
- Adresa URL (** Tento identifikátor je slabý, pokud je adresa URL relativní adresou URL.)
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Zařízení IoT
Název entity: IoTDevice
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Iotdevice |
| IoTHub | Entita (AzureResource) | Entita AzureResource představující IoT Hub, do které zařízení patří. |
| Id zařízení | Řetězec | ID zařízení v kontextu ioT Hubu. Povinné. |
| DeviceName | Řetězec | Popisný název zařízení. |
| Majitelé | Řetězec seznamu<> | Vlastníci zařízení. |
| IoTSecurityAgentId | Identifikátor guid? | ID agenta Defender for IoT spuštěného na zařízení. |
| TypZařízení | Řetězec | Typ zařízení ("senzor teploty", "mrazák", "větrná turbína" atd.). |
| DeviceTypeId | Řetězec | Jedinečné ID pro identifikaci jednotlivých typů zařízení podle schématu typu zařízení, protože samotný typ zařízení je zobrazovaný název a ve srovnání není spolehlivý. Možné hodnoty: Neotříděné = 0 Různé = 1 Síťové zařízení = 2 Tiskárna = 3 Zvuk a video = 4 Média a dohled = 5 Komunikace = 7 Inteligentní zařízení = 9 Pracovní stanice = 10 Server = 11 Mobilní zařízení = 12 Inteligentní zařízení = 13 Průmyslové = 14 Provozní vybavení = 15 |
| Zdroj | Řetězec | Zdroj (Microsoft/Vendor) entity zařízení. |
| SourceRef | Entita (adresa URL) | Odkaz na adresu URL zdrojové položky, ve které je zařízení spravované. |
| Výrobce | Řetězec | Výrobce zařízení. |
| model | Řetězec | Model zařízení. |
| Operační systém | Řetězec | Operační systém, na kterém je zařízení spuštěné. |
| IpAddress | Entita (IP) | Aktuální IP adresa zařízení. |
| MacAddress | Řetězec | Adresa MAC zařízení. |
| Síťové karty | Entita (nic) | Aktuální síťové karty v zařízení. |
| Protokoly | Řetězec seznamu<> | Seznam protokolů, které zařízení podporuje. |
| Sériové číslo | Řetězec | Sériové číslo zařízení. |
| Poloha | Řetězec | Umístění webu zařízení. |
| Zóna | Řetězec | Umístění zóny zařízení v rámci webu. |
| Senzor | Řetězec | Senzor monitoruje zařízení. |
| Důležitost | Výčet? | Jedna z následujících hodnot: |
| PurdueLayer | Řetězec | Vrstva Purdue zařízení. |
| IsProgramming | Bool? | Určuje, jestli se zařízení klasifikuje jako programovací zařízení. |
| IsAuthorized | Bool? | Určuje, jestli se zařízení klasifikuje jako autorizované zařízení. |
| IsScanner | Bool? | Určuje, jestli se zařízení klasifikuje jako zařízení skeneru. |
| DevicePageLink | Entita (adresa URL) | Adresa URL stránky zařízení na portálu Defender for IoT |
| PodtypZařízení | Řetězec | Název podtypu zařízení. |
Silné identifikátory entity zařízení IoT
- IoTHub + DeviceId
Slabé identifikátory entity zařízení IoT
- DeviceId (bez IoTHubu)
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Poštovní schránka
Název entity: Poštovní schránka
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Poštovní schránka |
| MailboxPrimaryAddress | Řetězec | Primární adresa poštovní schránky. |
| ZobrazovanýNázev | Řetězec | Zobrazovaný název poštovní schránky. |
| Hlavní název (UPN) | Řetězec | Hlavní název uživatele (UPN) poštovní schránky. |
| AadId | Řetězec | Identifikátor Azure AD poštovní schránky uživatele. |
| RiskLevel | RiskLevel? | Úroveň rizika této poštovní schránky. Možné hodnoty: |
| ExternalDirectoryObjectId | Identifikátor guid? | Identifikátor poštovní schránky AzureAD. Podobně jako AadUserId v entitě Účet, ale tato vlastnost je specifická pro objekt poštovní schránky na straně Office. |
Silné identifikátory entity poštovní schránky
- MailboxPrimaryAddress
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Poštovní cluster
Název entity: MailCluster
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Poštovní cluster |
| NetworkMessageIds | Řetězec IList<> | ID poštovních zpráv, které jsou součástí poštovního clusteru. |
| CountByDeliveryStatus | IDictionary<String, Int> | Počet e-mailových zpráv podle reprezentace řetězce DeliveryStatus |
| CountByThreatType | IDictionary<String, Int> | Počet e-mailových zpráv podle reprezentace řetězce ThreatType |
| CountByProtectionStatus | IDictionary<String,long> | Počet e-mailových zpráv podle reprezentace stavového řetězce ochrany |
| CountByDeliveryLocation | IDictionary<String,long> | Počet e-mailových zpráv podle reprezentace řetězce umístění doručení |
| Hrozby | Řetězec IList<> | Hrozby poštovních zpráv, které jsou součástí poštovního clusteru. |
| Dotaz | Řetězec | Dotaz použitý k identifikaci zpráv poštovního clusteru. |
| QueryTime | DateTime? | Čas dotazu. |
| MailCount | Int? | Počet e-mailových zpráv, které jsou součástí poštovního clusteru. |
| IsVolumeAnomaly | Bool? | Určuje, jestli je poštovní cluster hromadnou anomálií. |
| Zdroj | Řetězec | Zdroj poštovního clusteru (výchozí hodnota je O365 ATP). |
Silné identifikátory entity poštovního clusteru
- Dotaz + zdroj
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
E-mailová zpráva
Název entity: MailMessage
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'mail-message' |
| Soubory | Entita IList<(soubor)> | Entity Soubor příloh této e-mailové zprávy. |
| Příjemce | Řetězec | Příjemce této e-mailové zprávy. V případě více příjemců se e-mailová zpráva zkopíruje a každá kopie má jednoho příjemce. |
| Adresy URL | Řetězec IList<> | Adresy URL obsažené v této e-mailové zprávě. |
| Hrozby | Řetězec IList<> | Hrozby obsažené v této e-mailové zprávě. |
| Odesílatel | Řetězec | E-mailová adresa odesílatele. |
| SenderIP | Řetězec | IP adresa odesílatele. |
| ReceivedDate | Datum a čas | Datum přijetí této zprávy. |
| NetworkMessageId | Identifikátor guid? | ID síťové zprávy této e-mailové zprávy. |
| InternetMessageId | Řetězec | ID internetové zprávy této e-mailové zprávy. |
| Předmět | Řetězec | Předmět této e-mailové zprávy. |
| AntispamDirection | Výčet? | Směrovost této e-mailové zprávy. Možné hodnoty: |
| DeliveryAction | Výčet? | Akce doručení této e-mailové zprávy. Možné hodnoty: |
| DeliveryLocation | Výčet? | Umístění doručení této e-mailové zprávy. Možné hodnoty: |
| ID kampaně | Řetězec | Identifikátor kampaně, ve které je tato e-mailová zpráva přítomna. |
| Podezřelérecipienty | Řetězec IList<> | Seznam příjemců, kteří byli zjištěni jako podezřelí. |
| ForwardedRecipients | Řetězec IList<> | Seznam všech příjemců přeposlané pošty. |
| ForwardingType | Řetězec IList<> | Typ přeposílání pošty, například SMTP, ETR atd. |
Silné identifikátory entity poštovní zprávy
- NetworkMessageId + Příjemce
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Odeslání e-mailu
Název entity: SubmissionMail
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | "SubmissionMail" |
| Id odeslání | Identifikátor guid? | ID odeslání. |
| Datum odeslání | DateTime? | Nahlášený čas pro toto odeslání |
| Předkladatel | Řetězec | E-mailová adresa odesílatele. |
| NetworkMessageId | Identifikátor guid? | ID síťové zprávy e-mailu, do kterého odeslání patří. |
| Časová značka | DateTime? | Časové razítko při přijetí zprávy (Pošta). |
| Příjemce | Řetězec | Příjemce e-mailu. |
| Odesílatel | Řetězec | Odesílatel e-mailu. |
| SenderIp | Řetězec | IP adresa odesílatele. |
| Předmět | Řetězec | Předmět odeslání e-mailu. |
| Typ sestavy | Řetězec | Typ odeslání pro danou instanci. Možné hodnoty jsou Junk, Phish, Malware nebo NotJunk. |
Silné identifikátory entity SubmissionMail
- SubmitId, Submitter, NetworkMessageId, Recipient
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Entity služby Sentinel
| Pole | Typ | Popis |
|---|---|---|
| Entity | Řetězec | Seznam entit identifikovaných v upozornění Tento seznam je sloupec entit ze schématu SecurityAlert (viz dokumentace). |
Zpět na seznam schémat | typů entitZpět na tabulku identifikátorů entit
Identifikátory cloudových aplikací
Následující seznam definuje identifikátory známých cloudových aplikací. Hodnota ID aplikace se používá jako identifikátor entity cloudové aplikace .
| ID aplikace | Název |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Krabice |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Základní kámen onDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Kancelář 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Online služby Microsoftu |
| 11522 | Naříkání |
| 11599 | Amazon Web Services |
| 11627 | DropBox |
| 11713 | Zvětšovat |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Souhlasit |
| 14509 | ServiceNow |
| 15570 | Tablo |
| 15600 | Microsoft OneDrive pro firmy |
| 15782 | Citrix ShareFile |
| 17152 | Amazonka |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender pro cloudové aplikace |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | služba Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Slack |
| 23233 | systém Microsoft Office Online |
| 25275 | Microsoft Skype pro firmy |
| 25988 | Google Docs |
| 26055 | Centrum pro správu Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Disk Google |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | systém Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace od Facebooku |
| 28373 | Emulátor proxy serveru CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Další kroky
V tomto dokumentu jste se dozvěděli o struktuře entit, identifikátorech a schématu v Microsoft Sentinelu.
Přečtěte si další informace o entitách a mapování entit.