Referenz zu Microsoft Sentinel Automatisierungsregeln

Dieser Artikel enthält Referenzinformationen zur Konfiguration von Automatisierungsregeln sowie zu den unterstützten Bedingungen und Eigenschaften.

Weitere Informationen zu Automatisierungsregeln finden Sie unter Automatisieren der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.

Anweisungen zum Erstellen, Verwalten und Verwenden von Automatisierungsregeln finden Sie unter Erstellen und Verwenden Microsoft Sentinel Automatisierungsregeln zum Verwalten von Antworten.

Unterstützte Entitätseigenschaften

Die folgenden Entitäten und Entitätseigenschaften können als Bedingungen für Automatisierungsregeln verwendet werden:

Eigenschaftenbeschreibungen

Diese Tabelle zeigt die Entitätseigenschaften, die in der Automatisierungsregeln-API unterstützt werden. Dies sind die Entitätseigenschaften, deren Werte Sie als Bedingungen für das Auslösen einer Automatisierungsregel festlegen können.

Eine vollständige Liste der unterstützten Eigenschaften, einschließlich Incidenteigenschaften, finden Sie unter Unterstützte Eigenschaften der Automatisierungsregeleigenschaft in der API-Dokumentation zu Automatisierungsregeln.

Name (in API)	Typ	Beschreibung
AccountAadTenantId	string	Das Konto Microsoft Entra ID Mandanten-ID
AccountAadUserId	string	Das Konto Microsoft Entra ID Benutzer-ID
AccountName	string	Der Kontoname
AccountNTDomain	string	Der NetBIOS-Domänenname des Kontos
AccountPUID	string	Das Konto Microsoft Entra ID Passport-Benutzer-ID
AccountSid	string	Die Kontosicherheits-ID
AccountObjectGuid	string	Der eindeutige Bezeichner des Kontoobjekts
AccountUPNSuffix	string	Das Suffix des Kontobenutzerprinzipalnamens
AzureResourceResourceId	string	Die Azure-Ressourcen-ID
AzureResourceSubscriptionId	string	Abonnement-ID der Azure-Ressource
CloudApplicationAppId	string	Der Bezeichner der Cloudanwendung
CloudApplicationAppName	string	Der Name der Cloudanwendung
DNSDomainName	string	Domänenname des DNS-Eintrags
FileDirectory	string	Vollständiger Pfad des Dateiverzeichnisses
FileName	string	Der Dateiname ohne Pfad
FileHashValue	string	Der Dateihashwert
HostAzureID	string	Die Azure-Ressourcen-ID des Hosts
HostName	string	Hostname ohne Domäne
HostNetBiosName	string	Der NetBIOS-Hostname
HostNTDomain	string	Die NT-Hostdomäne
HostOSVersion	string	Das Hostbetriebssystem
IoTDeviceId	string	Die IoT-Geräte-ID
IoTDeviceName	string	Der Name des IoT-Geräts
IoTDeviceType	string	Der IoT-Gerätetyp
IoTDeviceVendor	string	Der IoT-Geräteanbieter
IoTDeviceModel	string	Das IoT-Gerätemodell
IoTDeviceOperatingSystem	string	Betriebssystem des IoT-Geräts
IPAddress	string	Die IP-Adresse
MailboxDisplayName	string	Der Anzeigename des Postfachs
MailboxPrimaryAddress	string	Die primäre Postfachadresse
MailboxUPN	string	Der Name des Postfachbenutzerprinzipals
MailMessageDeliveryAction	string	Die Aktion "E-Mail-Nachrichtenübermittlung"
MailMessageDeliveryLocation	string	Der Speicherort der E-Mail-Nachrichtenübermittlung
MailMessageRecipient	string	Der Empfänger einer E-Mail-Nachricht
MailMessageSenderIP	string	Die IP-Adresse des Absenders der E-Mail-Nachricht
MailMessageSubject	string	Der Betreff der E-Mail-Nachricht
MailMessageP1Sender	string	Der Absender der E-Mail-Nachricht P1 (delegierter Absender)
MailMessageP2Sender	string	Der P2-Absender der E-Mail-Nachricht (ursprünglicher Absender)
MalwareCategory	string	Die Kategorie "Schadsoftware"
MalwareName	string	Der Name der Schadsoftware
ProcessCommandLine	string	Die Befehlszeile für die Prozessausführung
Processid	string	Die Prozess-ID
Registrykey	string	Der Registrierungsschlüsselpfad
RegistryValueData	string	Der Registrierungsschlüsselwert in einer Zeichenfolgenformatdarstellung
Url	string	Die URL

Zuordnung zu Entitäten

Diese Tabelle zeigt, wie die unterstützten Entitätseigenschaften in der Automatisierungsregeln-API in der Dropdownliste bedingung im Assistenten zum Erstellen von Automatisierungsregeln angezeigt werden. Außerdem wird gezeigt, wie diese Eigenschaften Entitäten und deren Bezeichnern zugeordnet werden, wie in Microsoft Sentinel Sicherheitswarnungen definiert.

Name in API	Name in der Dropdownliste der Benutzeroberfläche	Entität: Bezeichner im V3-Warnungsschema
AccountAadTenantId	Kontomandanten-ID	Konto: AadTenantId
AccountAadUserId	Konto-AAD-Benutzer-ID	Konto: AadUserId
AccountName	Kontoname	Konto: Name
AccountNTDomain	Konto NT-Domäne	Konto: NTDomain
AccountPUID	Konto-PUID	Konto: PUID
AccountSid	Konto-SID	Konto: Sid
AccountObjectGuid	Kontoobjekt-ID	Konto: ObjectGuid
AccountUPNSuffix	Konto-UPN-Suffix	Konto: UPNSuffix
AzureResourceResourceId	Azure-Ressourcen-ID	AzureResource: ResourceId
AzureResourceSubscriptionId	abonnement-ID der Azure-Ressource	AzureResource: SubscriptionId
CloudApplicationAppId	Cloudanwendungs-ID	CloudApplication: AppId
CloudApplicationAppName	Name der Cloudanwendung	CloudApplication: Name
DNSDomainName	DNS-Domänenname	DNS: DomainName
FileDirectory	Dateiverzeichnis	Datei: Verzeichnis
FileName	Dateiname	Datei: Name
FileHashValue	Dateihash	FileHash: Value
HostAzureID	Host-Azure-ID	Host: AzureID
HostName	Hostname	Host: HostName
HostNetBiosName	NetBIOS-Hostname	Host: NetBiosName
HostNTDomain	Host NT-Domäne	Host: NTDomain
HostOSVersion	Hostbetriebssystem	Host: OSVersion
IoTDeviceId	IoT-Geräte-ID	IoTDevice: DeviceId
IoTDeviceName	IoT-Gerätename	IoTDevice: DeviceName
IoTDeviceType	IoT-Gerätetyp	IoTDevice: DeviceType
IoTDeviceVendor	IoT-Geräteanbieter	IoTDevice: Hersteller
IoTDeviceModel	IoT-Gerätemodell	IoTDevice: Modell
IoTDeviceOperatingSystem	IoT-Gerätebetriebssystem	IoTDevice: OperatingSystem
IPAddress	IP-Adresse	IP: Adresse
MailboxDisplayName	Postfachanzeigename	Mailbox: DisplayName
MailboxPrimaryAddress	Primäre Postfachadresse	Postfach: MailboxPrimaryAddress
MailboxUPN	Postfach-UPN	Postfach: Upn
MailMessageDeliveryAction	E-Mail-Nachrichtenübermittlungsaktion	MailMessage: DeliveryAction
MailMessageDeliveryLocation	Speicherort für die Zustellung von E-Mail-Nachrichten	MailMessage: DeliveryLocation
MailMessageRecipient	Empfänger einer E-Mail-Nachricht	MailMessage: Empfänger
MailMessageSenderIP	Absender-IP-Adresse der E-Mail-Nachricht	MailMessage: SenderIP
MailMessageSubject	Betreff einer E-Mail-Nachricht	MailMessage: Betreff
MailMessageP1Sender	Absender der E-Mail-Nachricht P1	MailMessage: P1Sender
MailMessageP2Sender	E-Mail-Nachricht P2-Absender	MailMessage: P2Sender
MalwareCategory	Kategorie "Schadsoftware"	Schadsoftware: Kategorie
MalwareName	Name der Schadsoftware	Schadsoftware: Name
ProcessCommandLine	Prozessbefehlszeile	Prozess: Befehlszeile
Processid	Prozess-ID	Process: ProcessId
Registrykey	Registrierungsschlüssel	RegistryKey: Key
RegistryValueData	Registrierungswert	RegistryValue: Value
Url	Url	Url: Url