Teilen über


Referenz zu Microsoft Sentinel-Entitätstypen

Dieses Dokument enthält zwei Informationssätze zu Entitäten und Entitätstypen in Microsoft Sentinel und der Microsoft Unified Security Operations Platform.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Entitätstypen und Bezeichner

In der folgenden Tabelle sind die Entitätstypen aufgeführt, die von Microsoft Sentinel erkannt werden können, und die Attribute, die als Bezeichner für jeden Entitätstyp verwendet werden können.

Microsoft Sentinel erkennt Entitäten in Warnungen und Vorfällen, die durch entitätszuordnung in Analyseregeln erstellt werden. Es erkennt auch Entitäten, die bereits in Warnungen identifiziert wurden, die aus anderen Quellen aufgenommen wurden.

Sie können derzeit bis zu drei Bezeichner für eine bestimmte Entität verwenden, wenn Sie eine Entitätszuordnung in Microsoft Sentinel erstellen. Starke Bezeichner reichen aus, um eine Entität eindeutig zu identifizieren, während schwache Bezeichner hierfür nur in Kombination mit anderen Bezeichnern geeignet sind. Hier finden Sie weitere Informationen zu starken und schwachen Bezeichnern. Die meisten, aber nicht alle Bezeichner in dieser Tabelle können beim Erstellen von Entitätszuordnungen in Microsoft Sentinel verwendet werden (siehe Fußnoten).

Entitätstyp Bezeichner Starke Bezeichner Schwache Bezeichner
Konto Name
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name und UPNSuffix
AADUserId
Sid **
Sid+Host **
Name und Host und NTDomain **
Name und NTDomain **
Name und DnsDomain
PUID
ObjectGuid
Name
Host DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName und NTDomain
HostName und DnsDomain
NetBiosName und NTDomain
NetBiosName und DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP Anschrift
AddressScope
Address **
Address und AddressScope **
URL url URL (wenn absolute URL) ** URL (wenn relative URL) **
Azure-Ressource
(AzureResource)
ResourceId ResourceId
Cloudanwendung
(CloudApplication)
AppId
Name
InstanceName
AppId
Name
AppId und InstanceName
Name und InstanceName
DNS-Auflösung
(DNS)
DomainName DomainName und DnsServerIp+HostIpAddress DomainName und HostIpAddress
Datei Verzeichnis
Name
Directory und Name
Dateihash
(FileHash)
Algorithmus
Wert
Algorithm und Value
Malware Name
Kategorie
Name und Category
Process ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host und ProcessID und CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc und CommandLine
Host und ProcessId und
   CreationTimeUtc und ImageFile
Host und ProcessId und
   CreationTimeUtc und ImageFile+
   Dateihash
ProcessId und CreationTimeUtc und
   CommandLine (ohne Host)
ProcessId und CreationTimeUtc und
   ImageFile (ohne Host)
Registrierungsschlüssel
(RegistryKey)
Hive
Schlüssel
Hive und Key
Registrierungswert
(RegistryValue)
Name
Wert
ValueType
Key und Name Name (ohne Key)
Sicherheitsgruppe
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
E-Mail-Cluster
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Bedrohungen
Abfrage
QueryTime
MailCount
IsVolumeAnomaly
`Source`
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query und Source
E-Mail
(MailMessage)
Recipient
URLs
Bedrohungen
Sender
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Betreff
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Language *
ThreatDetectionMethods *
NetworkMessageId und Recipient
Übermittlungs-E-Mail
(SubmissionMail)
NetworkMessageId
Timestamp
Recipient
Sender
SenderIp
Subject
ReportType
SubmissionId
SubmissionDate
Absender
SubmissionId und NetworkMessageId und
   Recipient und Submitter
Sentinel-Entitäten Entitäten Entitäten

Fußnoten zur Tabelle:

  • * Diese Bezeichner werden in der Liste der Bezeichner angezeigt, die in der Entitätszuordnung verwendet werden können, aber streng genommen sind sie nicht Teil des Entitätsschemas.
  • ** Diese Bezeichner gelten nur unter bestimmten Bedingungen als starke Bezeichner. Folgen Sie den Links der Sternchen, um zu den geltenden Bedingungen für die jeweiligen Entitäten im Abschnitt Entitätsschemas zu gelangen.
  • Kursiv formatierte Bezeichnernamen (ohne Sternchen) stehen für interne Entitäten. Das bedeutet, dass ein Entitätstyp andere Entitätstypen als Attribute aufweisen kann (weitere Informationen im Abschnitt Entitätsschemas). Folgen Sie dem Link des Bezeichners, um das eigene Schema der internen Entität anzuzeigen.

Entitätstypschemas

Im folgenden Abschnitt finden Sie eine ausführlichere Beschreibung der vollständigen Schemas für jeden Entitätstyp. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten. Das Kontoschema enthält beispielsweise einen Link zum Hostentitätstyp, da ein Attribut eines Benutzerkontos der Host ist, auf dem es definiert ist. Diese als Attribute verwendeten Entitäten werden als „interne Entitäten“ bezeichnet und können nicht als Bezeichner für die Entitätszuordnung verwendet werden. Sie sind jedoch sehr nützlich, um ein umfassendes Bild der Entitäten auf Entitätsseiten und im Untersuchungsdiagramm zu erhalten.

Hinweis

Ein Fragezeichen, das auf den Wert in der Spalte Type folgt, gibt an, dass das Feld NULL-Werte zulässt.

Liste der Entitätstypschemas

Konto

Entitätsname: Account

Feld Typ Beschreibung
Typ String 'account'
Name String Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird.
FullName -- Kein Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten.
NTDomain String Der NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird (domäne\benutzername). Beispiele: Finance, NT AUTHORITY
DnsDomain Zeichenfolge Der vollqualifizierte DNS-Domänenname. Beispiele: finance.contoso.com
UPNSuffix Zeichenfolge Das Suffix des Benutzerprinzipalnamens für das Konto. In vielen Fällen ist das UPN-Suffix auch der Domänenname. Beispiele: contoso.com
Host Entität (Host) Der Host, der das Konto enthält, wenn es sich um ein lokales Konto handelt
Sid String Die Sicherheits-ID des Kontos
AadTenantId Guid? Die Microsoft Entra-Mandanten-ID, falls bekannt.
AadUserId Guid? Die Objekt-ID des Microsoft Entra-Kontos, falls bekannt.
PUID Guid? Die Benutzer-ID des Microsoft Entra-Passports, falls bekannt.
IsDomainJoined Bool? Gibt an, ob es sich bei dem Konto um ein Domänenkonto handelt
DisplayName -- Kein Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten.
ObjectGuid Guid? Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird.
CloudAppAccountId String Die AccountID in Warnungen vom CloudApp-Anbieter. Bezieht sich auf Konto-IDs in Drittanbieter-Apps, die in anderen Microsoft-Produkten nicht unterstützt werden.
IsAnonymized Bool? Gibt an, ob der Benutzername anonymisiert ist. Optional. Standardwert. false.
Stream STREAM Die Quelle der Ermittlungsprotokolle im Zusammenhang mit dem jeweiligen Konto Optional.

Starke Bezeichner einer Kontoentität

  • Name und UPNSuffix
  • AadUserId
  • Sid
    ** Dieser Bezeichner ist stark, solange das Konto nicht eines der integrierten Konten ist, die im Hinweis unten aufgeführt sind.
  • Sid und Host
    ** Wenn das Konto eines der integrierten Konten ist, die im Hinweis unten aufgeführt sind, ist die Hostkomponente erforderlich, damit dieser Bezeichner als starker Bezeichner gilt.
  • Name und NTDomain
    ** Diese Kombination ist ein starker Bezeichner, wenn das Konto ein Domänenkonto ist, da NTDomain keine integrierte Domäne bzw. Arbeitsgruppe ist und sich vom Hostnamen unterscheidet. In diesem Fall handelt es sich auch ohne die Hostkomponente um einen starken Bezeichner.
  • Name und NTDomain und Host
    ** Die Hostkomponente ist erforderlich, um einen starken Bezeichner zu erstellen, wenn das Konto ein lokales Konto ist. Das bedeutet, dass die NTDomain eine integrierte Domäne bzw. Arbeitsgruppe ist.
  • Name und DnsDomain
  • PUID
  • ObjectGuid

Schwache Bezeichner einer Kontoentität

  • Name

Hinweis

Wenn die Entität Konto mithilfe des Bezeichners Name definiert wird und der Wert „Name“ einer bestimmten Entität einer der folgenden generischen, häufig integrierten Kontonamen ist, wird diese Entität aus ihrer Warnung gelöscht.

  • ADMIN
  • ADMINISTRATOR
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • AUTHENTIFIZIERTER BENUTZER
  • NETZWERK
  • NULL
  • LOKALES SYSTEM
  • LOCALSYSTEM
  • NETZWERKDIENST

Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

Host

Entitätsname: Host

Feld Typ Beschreibung
Typ String 'host'
IpInterfaces Liste<Entität (Ip)> Liste aller IP-Schnittstellen auf dem Hostcomputer
DnsDomain Zeichenfolge Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt.
NTDomain Zeichenfolge Die DNS-Domäne, zu der dieser Host gehört.
HostName Zeichenfolge Der Hostname ohne das Domänensuffix.
NetBiosName Zeichenfolge Der Hostname (vor Windows 2000).
IoTDevice Entität (IoT-Gerät) Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt).
AzureID Zeichenfolge Die Azure-Ressourcen-ID der VM, falls bekannt.
OMSAgentID Zeichenfolge Die OMS-Agent-ID, wenn der OMS-Agent auf dem Host installiert ist.
OSFamily Enum? Einer der folgenden Werte:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion Zeichenfolge Eine Freitextdarstellung des Betriebssystems.
    Dieses Feld soll bestimmte Versionen enthalten, die präziser als OSFamily sind, oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden.
    IsDomainJoined Bool Gibt an, ob dieser Host zu einer Domäne gehört

    Starke Bezeichner einer Hostentität

    • HostName und NTDomain
    • HostName und DnsDomain
    • NetBiosName und NTDomain
    • NetBiosName und DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Schwache Bezeichner einer Hostentität

    • HostName
    • NetBiosName

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    IP

    Entitätsname: IP

    Feld Typ Beschreibung
    Typ String 'ip'
    Adresse String Die IP-Adresse als Zeichenfolge, Beispiel: 127.0.0.1 (entweder in IPv4 oder IPv6)
    AddressScope String Der Name des Hosts, Subnetzes oder privaten Netzwerks für private, nicht globale IP-Adressen. NULL oder leer für globale IP-Adressen (Standard).
    Location GeoLocation Der an die IP-Entität angefügte Geostandortkontext.

    Weitere Informationen finden Sie unter Anreichern von Entitäten in Microsoft Sentinel mit Geolocationdaten über die REST-API (öffentliche Vorschau).
    Stream STREAM Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen IP-Adresse Optional.

    Starke Bezeichner einer IP-Entität

    • Adresse
      ** Die Adresse ist ein eindeutiger, starker Bezeichner, wenn die IP-Adresse eine globale Adresse ist.
    • Address und AddressScope
      ** Für private/interne, nicht globale IP-Adressen ist die AddressScope-Komponente erforderlich, um sie zu einem starken Bezeichner zu machen.

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Malware

    Entitätsname: Schadsoftware

    Feld Typ Beschreibung
    Typ String 'malware'
    Name String Der vom Anbieter (detection?) zugewiesene Schadsoftwarename, z. B. Win32/Toga!rfn.
    Kategorie String Die vom Anbieter (detection?) zugewiesene Schadsoftwarekategorie, z. B. Trojaner.
    Dateien Liste<Entität (File)> Liste der verknüpften Dateientitäten, für die die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten.
    Weitere Details zur Struktur finden Sie in der Entität Datei.
    Prozesse Liste<Entität (Process)> Liste der verknüpften Prozessentitäten, für die die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird.
    Weitere Details zur Struktur finden Sie in der Entität Prozess.

    Starke Bezeichner einer Schadsoftwareentität

    • Name und Category

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Datei

    Entitätsname: Datei

    Feld Typ Beschreibung
    Typ String 'file'
    Verzeichnis Zeichenfolge Der vollständige Pfad zur Datei.
    Name String Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad).
    AlternateDataStreamName String Der Dateidatenstromname im NTFS-Dateisystem (NULL für den Hauptdatenstrom).
    Host Entität (Host) Der Host, auf dem die Datei gespeichert wurde.
    HostUrl Entität (URL) URL, von der die Datei heruntergeladen wurde
    (Mark of the Web)
    WindowsSecurityZoneType WindowsSecurityZone Windows-Sicherheitszone, zu der die URL gehört
    (Mark of the Web)
    ReferrerUrl Entität (URL) Referrer-URL der HTTP-Anforderung zum Herunterladen der Datei
    (Mark of the Web)
    SizeInBytes Long? Die Größe der Datei in Bytes.
    FileHashes Liste<Entität (FileHash)> Die Dateihashes, die dieser Datei zugeordnet sind.

    Starke Bezeichner einer Dateientität

    • Name und Directory
    • Name und FileHash
    • Name und Directory und FileHash

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Prozess

    Entitätsname: Prozess

    Feld Typ Beschreibung
    Typ String 'process'
    ProcessId Zeichenfolge Die Prozess-ID.
    CommandLine Zeichenfolge Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird.
    ElevationToken Enum? Das dem Prozess zugeordnete Erhöhungstoken.
    Mögliche Werte:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? Die Zeit, zu der die Ausführung des Prozesses gestartet wurde.
    ImageFile Entität (File) Kann die Dateientität inline oder als Verweis enthalten.
    Weitere Details zur Struktur finden Sie in der Entität Datei.
    Konto Entität (Account) Das Konto, mit dem die Prozesse ausgeführt werden.
    Kann die Account-Entität inline oder als Verweis enthalten.
    Weitere Details zur Struktur finden Sie in der Entität Konto.
    ParentProcess Entität (Process) Die übergeordnete Prozessentität.
    Kann Teildaten enthalten, z. B. nur die PID
    Host Entität (Host) Der Host, auf dem der Prozess ausgeführt wurde.
    LogonSession Entität (HostLogonSession) Die Sitzung, in der der Prozess ausgeführt wurde.

    Starke Bezeichner einer Prozessentität

    • Host und ProcessID und CreationTimeUtc
    • Host + ParentProcessId und CreationTimeUtc und CommandLine
    • Host und ProcessId und CreationTimeUtc und ImageFile
    • Host und ProcessId und CreationTimeUtc und ImageFile.FileHash

    Schwache Bezeichner einer Prozessentität

    • ProcessID und CreationTimeUtc und CommandLine (und kein Host)
    • ProcessId und CreationTimeUtc und ImageFile (und ohne Host)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Cloudanwendung

    Entitätsname: CloudApplication

    Feld Typ Beschreibung
    Typ String 'cloud-application'
    AppId Int Veraltet, verwenden Sie stattdessen das Feld „SaasId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind in der Liste der Cloudanwendungsbezeichner definiert. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten.
    SaasId Int Ersetzt das veraltete Feld „AppId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind in der Liste der Cloudanwendungsbezeichner definiert. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten.
    Name String Der Name der verwandten Cloudanwendung. Dieser Wert ist optional.
    InstanceName Zeichenfolge Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet.
    InstanceId Int Der Bezeichner der spezifischen Sitzung der Anwendung. Es handelt sich um eine nullbasierte laufende Zahl. Dieser Wert ist optional.
    Risiko AppRisk? Damit können Sie Apps nach Risikobewertung filtern, sodass Sie sich z.B. auf die Überprüfung von Apps mit hohem Risiko konzentrieren können. Werte wie „Low“, „Medium“, „High“ oder „Unknown“ sind möglich.
    Stream STREAM Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen Cloud-App Optional.

    Starke Bezeichner einer Cloudanwendungsentität

    • AppId (ohne InstanceName)
    • Name (ohne InstanceName)
    • AppId und InstanceName
    • Name und InstanceName

    Liste der Cloudanwendungsbezeichner

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    DNS-Auflösung

    Entitätsname: DNS

    Feld Typ Beschreibung
    Typ String 'dns'
    DomainName Zeichenfolge Der Name des DNS-Eintrags, der der Warnung zugeordnet ist.
    IpAddress Liste<Entität (IP)> Entitäten, die den aufgelösten IP-Adressen entsprechen.
    DnsServerIp Entität (IP) Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst.
    HostIpAddress Entität (IP) Eine Entität, die den DNS-Anforderungsclient darstellt.

    Starke Bezeichner einer DNS-Entität

    • DomainName und DnsServerIp + HostIpAddress

    Schwache Bezeichner einer DNS-Entität

    • DomainName und HostIpAddress

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Azure-Ressource

    Entitätsname: AzureResource

    Feld Typ Beschreibung
    Typ String 'azure-resource'
    ResourceId String Die Azure-Ressourcen-ID der Ressource. Obligatorisch.
    SubscriptionId Zeichenfolge Die Abonnement-ID der Ressource.
    ActiveContacts Liste<ActiveContact> Aktive Kontakte, die der Ressource zugeordnet sind
    ResourceType String Der Typ der Ressource.
    ResourceName String Der Name der Ressource.

    Starke Bezeichner einer Azure-Ressourcenentität

    • ResourceId

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Dateihash

    Entitätsname: FileHash

    Feld Typ Beschreibung
    Typ String 'filehash'
    Algorithmus Enumeration Der Hashalgorithmustyp. Obligatorisch. Mögliche Werte:
  • Unbekannt
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Wert Zeichenfolge Der Hashwert. Obligatorisch.

    Starke Bezeichner einer Dateihashentität

    • Algorithm und Value

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Registrierungsschlüssel

    Entitätsname: RegistryKey

    Feld Typ Beschreibung
    Typ String 'registry-key'
    Hive Enum? Einer der folgenden Werte:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Schlüssel Zeichenfolge Der Registrierungsschlüsselpfad.

    Starke Bezeichner einer Registrierungsschlüsselentität

    • Hive und Key

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Registrierungswert

    Entitätsname: RegistryValue

    Feld Typ Beschreibung
    Typ String 'registry-value'
    Host Entität (Host) Der Host, zu dem die Registrierung gehört
    Schlüssel Entität (RegistryKey) Die Registrierungsschlüsselentität.
    Name String Der Name des Registrierungswerts.
    Wert Zeichenfolge Als Zeichenfolge formatierte Darstellung der Wertdaten.
    ValueType Enum? Einer der folgenden Werte:
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Keine
  • Unbekannt
    Werte sollten der Microsoft. Win32.RegistryValueKind-Enumeration entsprechen.
  • Starke Bezeichner einer Registrierungswertentität

    • Key und Name

    Schwache Bezeichner einer Registrierungswertentität

    • Name (ohne Schlüssel)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Sicherheitsgruppe

    Entitätsname: SecurityGroup

    Feld Typ Beschreibung
    Typ String 'security-group'
    DistinguishedName Zeichenfolge Der Distinguished Name (DN) der Gruppe.
    SID String Ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt
    ObjectGuid Guid? Ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird

    Starke Bezeichner einer Sicherheitsgruppenentität

    • DistinguishedName
    • SID
    • ObjectGuid

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    URL

    Entitätsname: URL

    Feld Typ Beschreibung
    type String 'url'
    url Uri Eine vollständige URL, auf die die Entität verweist. Obligatorisch.

    Starke Bezeichner einer URL-Entität

    • Url (** Dieser Bezeichner ist stark, wenn die URL eine absolute URL ist.)

    Schwache Bezeichner einer URL-Entität

    • Url (** Dieser Bezeichner ist schwach, wenn die URL eine relative URL ist.)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    IoT-Gerät

    Entitätsname: IoTDevice

    Feld Typ Beschreibung
    Typ String 'iotdevice'
    IoTHub Entität (AzureResource) Die AzureResource-Entität, die den IoT Hub darstellt, zu dem das Gerät gehört.
    DeviceId Zeichenfolge Die ID des Geräts im Kontext des IoT Hub. Obligatorisch.
    DeviceName Zeichenfolge Der Anzeigename des Geräts.
    Besitzer List<String> Die Besitzer des Geräts
    IoTSecurityAgentId Guid? Die ID des Defender für IoT-Agents, der auf dem Gerät ausgeführt wird.
    DeviceType Zeichenfolge Der Typ des Geräts („Temperatursensor“, „Kühlung“, „Windrad“ usw.).
    DeviceTypeId String Eine eindeutige ID, um jeden Gerätetyp gemäß dem Gerätetypschema zu identifizieren, da der Gerätetyp selbst ein Anzeigename ist und in Vergleichen nicht zuverlässig ist

    Mögliche Werte:
    Unclassified = 0
    Miscellaneous = 1
    Network Device = 2
    Printer = 3
    Audio and Video = 4
    Media and Surveillance = 5
    Communication = 7
    Smart Appliance = 9
    Workstation = 10
    Server = 11
    Mobile = 12
    Smart Facility = 13
    Industrial = 14
    Operational Equipment = 15
    Quelle String Die Quelle (Microsoft/Hersteller) der Geräteentität.
    SourceRef Entität (Url) Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird.
    Hersteller Zeichenfolge Der Hersteller des Geräts.
    Modell Zeichenfolge Das Gerätemodell.
    OperatingSystem Zeichenfolge Das Betriebssystem, das das Gerät ausführt.
    IpAddress Entität (IP) Die aktuelle IP-Adresse des Geräts.
    MacAddress Zeichenfolge Die MAC-Adresse des Geräts.
    Nics Entität (Nic) Die aktuellen NICs auf dem Gerät
    Protokolle List<String> Eine Liste der Protokolle, die vom Gerät unterstützt werden.
    SerialNumber Zeichenfolge Die Seriennummer des Geräts.
    Website String Der Standort des Geräts
    Zone String Die Zone des Geräts innerhalb eines Standorts
    Sensor String Der Sensor, der das Gerät überwacht
    Wichtigkeit Enum? Einer der folgenden Werte:
  • Niedrig
  • Normal
  • Hoch
  • PurdueLayer String Die Purdue-Schicht des Geräts
    IsProgramming Bool? Gibt an, ob das Gerät als Programmiergerät klassifiziert wurde
    IsAuthorized Bool? Gibt an, ob das Gerät als autorisiertes Gerät klassifiziert wurde
    IsScanner Bool? Gibt an, ob das Gerät als Scannergerät klassifiziert wurde
    DevicePageLink Entität (Url) Eine URL zur Geräteseite im Defender for IoT-Portal
    DeviceSubType String Der Name des Geräteuntertyps

    Starke Bezeichner einer IoT-Geräteentität

    • IoTHub und DeviceId

    Schwache Bezeichner einer IoT-Geräteentität

    • DeviceId -ID (ohne IoTHub)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Mailbox

    Entitätsname: Postfach

    Feld Typ Beschreibung
    Typ String 'mailbox'
    MailboxPrimaryAddress Zeichenfolge Die primäre Adresse des Postfachs.
    DisplayName Zeichenfolge Der Anzeigename des Postfachs.
    Upn Zeichenfolge Der UPN des Postfachs.
    AadId String Der Azure AD-Bezeichner des Postfachs des Benutzers
    RiskLevel RiskLevel? Die Risikostufe dieses Postfachs. Mögliche Werte:
  • Keine
  • Niedrig
  • Mittel
  • High
  • ExternalDirectoryObjectId Guid? Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität. Diese Eigenschaft ist jedoch für das Postfachobjekt auf der Office-Seite spezifisch.

    Starke Bezeichner einer Postfachentität

    • MailboxPrimaryAddress

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    E-Mail-Cluster

    Entitätsname: MailCluster

    Feld Typ Beschreibung
    Typ String 'mail-cluster'
    NetworkMessageIds IList<String> Die E-Mail-Nachrichten-IDs, die Teil des Nachrichtenclusters sind.
    CountByDeliveryStatus IDictionary<String,Int> Anzahl von E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung.
    CountByThreatType IDictionary<String,Int> Anzahl von E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung.
    CountByProtectionStatus IDictionary<String,long> Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Protection“
    CountByDeliveryLocation IDictionary<String,long> Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Delivery“
    Threats IList<String> Die Bedrohungen von E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind.
    Abfrage Zeichenfolge Die Abfrage, mit der die Nachrichten des Nachrichtenclusters identifiziert wurden.
    QueryTime DateTime? Die Abfragezeit.
    MailCount Int? Die Anzahl der E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind.
    IsVolumeAnomaly Bool? Gibt an, ob es sich um einen E-Mail-Cluster mit Volumenanomalie handelt
    Quelle String Die Quelle des E-Mail-Clusters (Standardwert: O365 ATP)

    Starke Bezeichner einer E-Mail-Clusterentität

    • Query und Source

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    E-Mail

    Entitätsname: MailMessage

    Feld Typ Beschreibung
    Typ String 'mail-message'
    Dateien IList<Entity (File)> Die Dateientitäten der Anlagen dieser E-Mail-Nachricht.
    Recipient Zeichenfolge Der Empfänger dieser E-Mail-Nachricht. Im Fall mehrerer Empfänger wird die E-Mail-Nachricht kopiert, und jede Kopie weist einen Empfänger auf.
    Urls IList<String> Die in dieser E-Mail-Nachricht enthaltenen URLs.
    Threats IList<String> Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen.
    Sender Zeichenfolge Die E-Mail-Adresse des Absenders.
    SenderIP Zeichenfolge Die IP-Adresse des Absenders.
    ReceivedDate Datetime Das Empfangsdatum dieser Nachricht.
    NetworkMessageId Guid? Die Netzwerknachrichten-ID dieser E-Mail-Nachricht.
    InternetMessageId Zeichenfolge Die Internetnachrichten-ID dieser E-Mail-Nachricht.
    Antragsteller Zeichenfolge Der Betreff dieser E-Mail-Nachricht.
    AntispamDirection Enum? Die Direktionalität dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • Eingehend
  • Ausgehend
  • Innerhalb der Organisation (intern)
  • DeliveryAction Enum? Die Übermittlungsaktion dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • DeliveredAsSpam
  • Geliefert
  • Gesperrt
  • Ersetzt
  • DeliveryLocation Enum? Die Übermittlungsort dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • Posteingang
  • JunkFolder
  • Deletedfolder
  • Quarantäne
  • Extern
  • Fehler
  • Dropped
  • Weitergeleitet
  • CampaignId String Der Bezeichner der Kampagne, in der diese E-Mail-Nachricht vorhanden ist.
    SuspiciousRecipients IList<String> Die Liste der Empfänger, die als verdächtig erkannt wurden
    ForwardedRecipients IList<String> Die Liste aller Empfänger in der weitergeleiteten E-Mail
    ForwardingType IList<String> Der Weiterleitungstyp der E-Mail, z. B. SMTP, ETR usw.

    Starke Bezeichner einer E-Mail-Nachrichtenentität

    • NetworkMessageId und Recipient

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Übermittlungs-E-Mail

    Entitätsname: SubmissionMail

    Feld Typ Beschreibung
    Typ String 'SubmissionMail'
    SubmissionId Guid? Die Übermittlungs-ID.
    SubmissionDate DateTime? Gemeldetes Datum und die Uhrzeit dieser Übermittlung.
    Absender Zeichenfolge Die E-Mail-Adresse des Übermittlers.
    NetworkMessageId Guid? Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört.
    Timestamp DateTime? Der Zeitstempel für den Nachrichtempfang (E-Mail).
    Recipient Zeichenfolge Der Empfänger der E-Mail.
    Sender Zeichenfolge Der Absender der E-Mail.
    SenderIp Zeichenfolge Die IP-Adresse des Absenders.
    Antragsteller Zeichenfolge Der Betreff der Übermittlungs-E-Mail.
    ReportType Zeichenfolge Der Übermittlungstyp für die angegebene Instanz. Mögliche Werte sind „Junk“, „Phish“, „Malware“ oder „NotJunk“.

    Starke Bezeichner einer SubmissionMail-Entität

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Sentinel-Entitäten

    Feld Typ BESCHREIBUNG
    Entitäten String Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste ist die Spalte Entitäten aus dem SecurityAlert-Schema (siehe Dokumentation).

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“

    Cloudanwendungsbezeichner

    In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. Der App-ID-Wert wird als Entitätsbezeichner für die Cloudanwendung verwendet.

    App-ID Name
    10026 DocuSign
    10395 Anaplan
    10489 Feld
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender für Cloud-Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 Microsoft 365 Admin Center
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics 365
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Nächste Schritte

    In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.

    Informieren Sie sich über Entitäten und die Entitätszuordnung.