Entities - List
Ruft alle Entitäten ab.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities?api-version=2025-04-01-previewURI-Parameter
| Name | In | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Der Name der Ressourcengruppe. Bei dem Namen wird die Groß-/Kleinschreibung nicht beachtet. |
|
subscription
|
path | True |
string (uuid) |
Die ID des Zielabonnements. Der Wert muss eine UUID sein. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
Der Name des Arbeitsbereichs. |
|
api-version
|
query | True |
string minLength: 1 |
Die API-Version, die für diesen Vorgang verwendet werden soll. |
Antworten
| Name | Typ | Beschreibung |
|---|---|---|
| 200 OK |
OKAY |
|
| Other Status Codes |
Fehlerantwort, die beschreibt, warum der Vorgang fehlgeschlagen ist. |
Sicherheit
azure_auth
Azure Active Directory OAuth2-Fluss
Typ:
oauth2
Ablauf:
implicit
Autorisierungs-URL:
https://login.microsoftonline.com/common/oauth2/authorize
Bereiche
| Name | Beschreibung |
|---|---|
| user_impersonation | Identitätswechsel ihres Benutzerkontos |
Beispiele
Get all entities.
Beispielanforderung
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities?api-version=2025-04-01-preview
Beispiel für eine Antwort
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain",
"upnSuffix": "contoso",
"sid": "S-1-5-18",
"aadTenantId": "70fbdad0-7441-4564-b2b5-2b8862d0fee0",
"aadUserId": "f7033626-2572-46b1-bba0-06646f4f95b3",
"puid": "ee3cb2d8-14ba-45ef-8009-d6f1cacfa04d",
"isDomainJoined": true,
"objectGuid": "11227b78-3c6e-436e-a2a2-02fc7662eca0"
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/fed9fe89-dce8-40f2-bf44-70f23fe93b3c",
"name": "fed9fe89-dce8-40f2-bf44-70f23fe93b3c",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Host",
"properties": {
"friendlyName": "vm1",
"dnsDomain": "contoso",
"ntDomain": "domain",
"hostName": "vm1",
"netBiosName": "contoso",
"azureID": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.Compute/virtualMachines/vm1",
"omsAgentID": "70fbdad0-7441-4564-b2b5-2b8862d0fee0",
"osFamily": "Windows",
"osVersion": "1.0",
"isDomainJoined": true
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/af378b21-b4aa-4fe7-bc70-13f8621a322f",
"name": "af378b21-b4aa-4fe7-bc70-13f8621a322f",
"type": "Microsoft.SecurityInsights/entities",
"kind": "File",
"properties": {
"friendlyName": "cmd.exe",
"directory": "C:\\Windows\\System32",
"fileName": "cmd.exe"
}
}
]
}Definitionen
| Name | Beschreibung |
|---|---|
|
Account |
Stellt eine Kontoentität dar. |
|
Alert |
Der Schweregrad der Warnung. |
|
Alert |
Der Lebenszyklusstatus der Warnung. |
|
Antispam |
Die Richtung dieser E-Mail-Nachricht |
|
Attack |
Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden. |
|
Azure |
Stellt eine Azure-Ressourcenentität dar. |
|
Cloud |
Stellt eine Cloudanwendungsentität dar. |
|
Cloud |
Fehlerantwortstruktur. |
|
Cloud |
Fehlerdetails. |
|
Confidence |
Das Konfidenzniveau dieser Warnung. |
|
Confidence |
Die Vertrauensgründe |
|
Confidence |
Der Berechnungsstatus der Konfidenzbewertung, d. h., der angibt, ob die Bewertungsberechnung für diese Warnung aussteht, nicht zutreffend oder endgültig. |
|
created |
Der Identitätstyp, der die Ressource erstellt hat. |
|
Delivery |
Die Zustellungsaktion dieser E-Mail-Nachricht wie "Zugestellt", "Blockiert", "Ersetzt" usw. |
|
Delivery |
Der Zustellungsort dieser E-Mail-Nachricht wie Posteingang, JunkFolder usw. |
|
Device |
Die Wichtigkeit des Geräts bestimmt, ob das Gerät als "Kronjuwel" klassifiziert wurde. |
|
Dns |
Stellt eine DNS-Entität dar. |
|
Elevation |
Das dem Prozess zugeordnete Erhöhungstoken. |
|
Entity |
Die Art der aggregierten Entität. |
|
Entity |
Liste aller Entitäten. |
|
File |
Stellt eine Dateientität dar. |
|
File |
Der Hashalgorithmustyp. |
|
File |
Stellt eine Dateihashentität dar. |
|
Geo |
Der geografische Standortkontext, der der IP-Entität zugeordnet ist |
|
Host |
Stellt eine Hostentität dar. |
|
Hunting |
Stellt eine Suchmarkenentität dar. |
|
Incident |
Beschreibt verwandte Vorfallinformationen für die Textmarke |
|
Incident |
Der Schweregrad des Vorfalls |
|
Io |
Stellt eine IoT-Geräteentität dar. |
|
Ip |
Stellt eine IP-Entität dar. |
|
Kill |
Die Absicht der Warnung. |
|
Mailbox |
Stellt eine Postfachentität dar. |
|
Mail |
Stellt eine E-Mail-Clusterentität dar. |
|
Mail |
Stellt eine E-Mail-Nachrichtenentität dar. |
|
Malware |
Stellt eine Schadsoftwareentität dar. |
|
Nic |
Stellt eine Netzwerkschnittstellenentität dar. |
| OSFamily |
Der Betriebssystemtyp. |
|
Process |
Stellt eine Prozessentität dar. |
|
Registry |
die Struktur, die den Registrierungsschlüssel enthält. |
|
Registry |
Stellt eine Registrierungsschlüsselentität dar. |
|
Registry |
Stellt eine Registrierungswertentität dar. |
|
Registry |
Gibt die Datentypen an, die beim Speichern von Werten in der Registrierung verwendet werden sollen, oder gibt den Datentyp eines Werts in der Registrierung an. |
|
Security |
Stellt eine Sicherheitswarnungsentität dar. |
|
Security |
Stellt eine Sicherheitsgruppenentität dar. |
|
Submission |
Stellt eine Übermittlungs-E-Mail-Entität dar. |
|
system |
Metadaten zur Erstellung und letzten Änderung der Ressource. |
|
Threat |
ThreatIntelligence-Eigenschaftenbehälter. |
|
Url |
Stellt eine URL-Entität dar. |
|
User |
Benutzerinformationen, die eine Aktion ausgeführt haben |
AccountEntity
Stellt eine Kontoentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Account |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.aadTenantId |
string |
Die Azure Active Directory-Mandanten-ID. |
| properties.aadUserId |
string |
Die Azure Active Directory-Benutzer-ID. |
| properties.accountName |
string |
Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wurde, d. h. administrator. |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.displayName |
string |
Der Anzeigename des Kontos. |
| properties.dnsDomain |
string |
Der vollqualifizierte DNS-Domänenname. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Hostentitäts-ID, die das Konto enthält, falls es sich um ein lokales Konto handelt (nicht in die Domäne eingebunden) |
| properties.isDomainJoined |
boolean |
Bestimmt, ob es sich um ein Domänenkonto handelt. |
| properties.ntDomain |
string |
Der NetBIOS-Domänenname, wie er im Warnungsformat "Domäne/Benutzername" angezeigt wird. Beispiele: NT AUTHORITY. |
| properties.objectGuid |
string (uuid) |
Das ObjectGUID-Attribut ist ein Attribut mit einem wertigen Wert, das der eindeutige Bezeichner für das Objekt ist, das von Active Directory zugewiesen wird. |
| properties.puid |
string |
Die Azure Active Directory Passport-Benutzer-ID. |
| properties.sid |
string |
Der Kontosicherheitsbezeichner, z. B. S-1-5-18. |
| properties.upnSuffix |
string |
Das Benutzerprinzipalnamensuffix für das Konto ist in einigen Fällen auch der Domänenname. Beispiele: contoso.com. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
AlertSeverity
Der Schweregrad der Warnung.
| Wert | Beschreibung |
|---|---|
| High |
Hoher Schweregrad |
| Informational |
Schweregrad der Information |
| Low |
Niedriger Schweregrad |
| Medium |
Mittlerer Schweregrad |
AlertStatus
Der Lebenszyklusstatus der Warnung.
| Wert | Beschreibung |
|---|---|
| Dismissed |
Warnung als falsch positiv geschlossen |
| InProgress |
Warnung wird behandelt |
| New |
Neue Warnung |
| Resolved |
Warnung nach der Behandlung geschlossen |
| Unknown |
Unbekannter Wert |
AntispamMailDirection
Die Richtung dieser E-Mail-Nachricht
| Wert | Beschreibung |
|---|---|
| Inbound |
Eingehend |
| Intraorg |
Intraorg |
| Outbound |
Ausgehend |
| Unknown |
Unbekannt |
AttackTactic
Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden.
| Wert | Beschreibung |
|---|---|
| Collection | |
| CommandAndControl | |
| CredentialAccess | |
| DefenseEvasion | |
| Discovery | |
| Execution | |
| Exfiltration | |
| Impact | |
| ImpairProcessControl | |
| InhibitResponseFunction | |
| InitialAccess | |
| LateralMovement | |
| Persistence | |
| PreAttack | |
| PrivilegeEscalation | |
| Reconnaissance | |
| ResourceDevelopment |
AzureResourceEntity
Stellt eine Azure-Ressourcenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Azure |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.resourceId |
string |
Die Azure-Ressourcen-ID der Ressource |
| properties.subscriptionId |
string |
Die Abonnement-ID der Ressource |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
CloudApplicationEntity
Stellt eine Cloudanwendungsentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Cloud |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.appId |
integer (int32) |
Der technische Bezeichner der Anwendung. |
| properties.appName |
string |
Der Name der verwandten Cloudanwendung. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.instanceName |
string |
Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
CloudError
Fehlerantwortstruktur.
| Name | Typ | Beschreibung |
|---|---|---|
| error |
Fehlerdaten |
CloudErrorBody
Fehlerdetails.
| Name | Typ | Beschreibung |
|---|---|---|
| code |
string |
Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollen programmgesteuert genutzt werden. |
| message |
string |
Eine Meldung, die den Fehler beschreibt, der für die Anzeige in einer Benutzeroberfläche geeignet ist. |
ConfidenceLevel
Das Konfidenzniveau dieser Warnung.
| Wert | Beschreibung |
|---|---|
| High |
Hohe Vertrauenswürdigkeit, dass die Warnung wahr positiv böswillig ist |
| Low |
Niedriges Vertrauen, was bedeutet, dass wir zweifeln, dass dies tatsächlich böswillig oder Teil eines Angriffs ist |
| Unknown |
Unbekannte Konfidenz, der Standardwert |
ConfidenceReasons
Die Vertrauensgründe
| Name | Typ | Beschreibung |
|---|---|---|
| reason |
string |
Die Beschreibung des Grundes |
| reasonType |
string |
Der Typ (Kategorie) des Grunds |
ConfidenceScoreStatus
Der Berechnungsstatus der Konfidenzbewertung, d. h., der angibt, ob die Bewertungsberechnung für diese Warnung aussteht, nicht zutreffend oder endgültig.
| Wert | Beschreibung |
|---|---|
| Final |
Endergebnis wurde berechnet und verfügbar |
| InProcess |
Es wurde noch keine Bewertung festgelegt, und die Berechnung wird ausgeführt. |
| NotApplicable |
Die Bewertung wird für diese Warnung nicht berechnet, da sie von einem virtuellen Analysten nicht unterstützt wird. |
| NotFinal |
Die Bewertung wird berechnet und als Teil der Warnung angezeigt, kann aber zu einem späteren Zeitpunkt nach der Verarbeitung zusätzlicher Daten erneut aktualisiert werden. |
createdByType
Der Identitätstyp, der die Ressource erstellt hat.
| Wert | Beschreibung |
|---|---|
| Application | |
| Key | |
| ManagedIdentity | |
| User |
DeliveryAction
Die Zustellungsaktion dieser E-Mail-Nachricht wie "Zugestellt", "Blockiert", "Ersetzt" usw.
| Wert | Beschreibung |
|---|---|
| Blocked |
Gesperrt |
| Delivered |
Geliefert |
| DeliveredAsSpam |
DeliveredAsSpam |
| Replaced |
Ersetzt |
| Unknown |
Unbekannt |
DeliveryLocation
Der Zustellungsort dieser E-Mail-Nachricht wie Posteingang, JunkFolder usw.
| Wert | Beschreibung |
|---|---|
| DeletedFolder |
Deletedfolder |
| Dropped |
Abgeworfen |
| External |
Äußerlich |
| Failed |
gescheitert |
| Forwarded |
Weitergegeben |
| Inbox |
Posteingang |
| JunkFolder |
Junk-Ordner |
| Quarantine |
Quarantäne |
| Unknown |
Unbekannt |
DeviceImportance
Die Wichtigkeit des Geräts bestimmt, ob das Gerät als "Kronjuwel" klassifiziert wurde.
| Wert | Beschreibung |
|---|---|
| High |
Hoch |
| Low |
Niedrig |
| Normal |
Normal |
| Unknown |
Unbekannt – Standardwert |
DnsEntity
Stellt eine DNS-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Dns |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.dnsServerIpEntityId |
string |
Eine IP-Entitäts-ID für den DNS-Server, auf dem die Anforderung aufgelöst wird |
| properties.domainName |
string |
Der Name des dns-Eintrags, der der Warnung zugeordnet ist |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostIpAddressEntityId |
string |
Eine IP-Entitäts-ID für den DNS-Anforderungsclient |
| properties.ipAddressEntityIds |
string[] |
IP-Entitäts-IDs für die aufgelöste IP-Adresse. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
ElevationToken
Das dem Prozess zugeordnete Erhöhungstoken.
| Wert | Beschreibung |
|---|---|
| Default |
Standarderweiterungstoken |
| Full |
Token für volle Rechteerweiterung |
| Limited |
Token für eingeschränkte Rechteerweiterung |
EntityKindEnum
Die Art der aggregierten Entität.
| Wert | Beschreibung |
|---|---|
| Account |
Die Entität stellt das Konto im System dar. |
| AzureResource |
Die Entität stellt die Azure-Ressource im System dar. |
| Bookmark |
Die Entität stellt eine Textmarke im System dar. |
| CloudApplication |
Die Entität stellt die Cloudanwendung im System dar. |
| DnsResolution |
Die Entität stellt die DNS-Auflösung im System dar. |
| File |
Die Entität stellt die Datei im System dar. |
| FileHash |
Die Entität stellt den Dateihash im System dar. |
| Host |
Die Entität stellt den Host im System dar. |
| IoTDevice |
Die Entität stellt das IoT-Gerät im System dar. |
| Ip |
Entität stellt ip im System dar. |
| MailCluster |
Die Entität stellt den E-Mail-Cluster im System dar. |
| MailMessage |
Entität stellt E-Mail-Nachricht im System dar. |
| Mailbox |
Die Entität stellt das Postfach im System dar. |
| Malware |
Entität stellt Schadsoftware im System dar. |
| Nic |
Die Entität stellt die Netzwerkschnittstelle im System dar. |
| Process |
Die Entität stellt den Prozess im System dar. |
| RegistryKey |
Die Entität stellt den Registrierungsschlüssel im System dar. |
| RegistryValue |
Die Entität stellt den Registrierungswert im System dar. |
| SecurityAlert |
Entität stellt Sicherheitswarnung im System dar. |
| SecurityGroup |
Entität stellt Sicherheitsgruppe im System dar. |
| SubmissionMail |
Entität stellt Übermittlungs-E-Mails im System dar. |
| Url |
Die Entität stellt die URL im System dar. |
EntityList
Liste aller Entitäten.
| Name | Typ | Beschreibung |
|---|---|---|
| nextLink |
string |
URL zum Abrufen der nächsten Gruppe von Entitäten. |
| value |
Entity[]:
|
Array von Entitäten. |
FileEntity
Stellt eine Dateientität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
File |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.directory |
string |
Der vollständige Pfad zur Datei. |
| properties.fileHashEntityIds |
string[] |
Die mit dieser Datei verknüpften Dateihash-Entitätsbezeichner |
| properties.fileName |
string |
Der Dateiname ohne Pfad (einige Warnungen enthalten möglicherweise keinen Pfad). |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Hostentitäts-ID, zu der die Datei gehört |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
FileHashAlgorithm
Der Hashalgorithmustyp.
| Wert | Beschreibung |
|---|---|
| MD5 |
MD5-Hashtyp |
| SHA1 |
SHA1-Hashtyp |
| SHA256 |
SHA256-Hashtyp |
| SHA256AC |
SHA256 Authenticode-Hashtyp |
| Unknown |
Unbekannter Hashalgorithmus |
FileHashEntity
Stellt eine Dateihashentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
File |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.algorithm |
Der Hashalgorithmustyp. |
|
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hashValue |
string |
Der Dateihashwert. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
GeoLocation
Der geografische Standortkontext, der der IP-Entität zugeordnet ist
| Name | Typ | Beschreibung |
|---|---|---|
| asn |
integer (int32) |
Autonome Systemnummer |
| city |
string |
Ortsname |
| countryCode |
string |
Ländercode gemäß ISO 3166-Format |
| countryName |
string |
Landname gemäß ISO 3166 Alpha 2: Kleinbuchstaben des englischen Kurznamens |
| latitude |
number (double) |
Der Breitengrad der identifizierten Position, ausgedrückt als Gleitkommazahl mit einem Bereich von - 90 bis 90. Breiten- und Längengrad werden von der Stadt oder Postleitzahl abgeleitet. |
| longitude |
number (double) |
Der Längengrad der identifizierten Position, ausgedrückt als Gleitkommazahl mit dem Bereich von -180 bis 180. Breiten- und Längengrad werden von der Stadt oder Postleitzahl abgeleitet. |
| state |
string |
Name des Zustands |
HostEntity
Stellt eine Hostentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Host |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.azureID |
string |
Die Azure-Ressourcen-ID der VM. |
| properties.dnsDomain |
string |
Die DNS-Domäne, zu der dieser Host gehört. Sollte das konkurrierene DNS-Suffix für die Domäne enthalten |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostName |
string |
Der Hostname ohne das Domänensuffix. |
| properties.isDomainJoined |
boolean |
Bestimmt, ob dieser Host zu einer Domäne gehört. |
| properties.netBiosName |
string |
Der Hostname (pre-windows2000). |
| properties.ntDomain |
string |
Die DNS-Domäne, zu der dieser Host gehört. |
| properties.omsAgentID |
string |
Die OMS-Agent-ID, wenn der Host OMS-Agent installiert hat. |
| properties.osFamily |
Der Betriebssystemtyp. |
|
| properties.osVersion |
string |
Eine Freitextdarstellung des Betriebssystems. Dieses Feld soll bestimmte Versionen enthalten, die feiner sind als OSFamily oder zukünftige Werte, die von der OSFamily-Aufzählung nicht unterstützt werden |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
HuntingBookmark
Stellt eine Suchmarkenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Bookmark |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.created |
string (date-time) |
Der Zeitpunkt, zu dem die Textmarke erstellt wurde |
| properties.createdBy |
Beschreibt einen Benutzer, der die Textmarke erstellt hat. |
|
| properties.displayName |
string |
Der Anzeigename der Textmarke |
| properties.eventTime |
string (date-time) |
Die Uhrzeit des Ereignisses |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.incidentInfo |
Beschreibt einen Vorfall, der sich auf eine Textmarke bezieht |
|
| properties.labels |
string[] |
Liste der Bezeichnungen, die für diese Textmarke relevant sind |
| properties.notes |
string |
Die Notizen der Textmarke |
| properties.query |
string |
Die Abfrage der Textmarke. |
| properties.queryResult |
string |
Das Abfrageergebnis der Textmarke. |
| properties.updated |
string (date-time) |
Zeitpunkt der letzten Aktualisierung der Textmarke |
| properties.updatedBy |
Beschreibt einen Benutzer, der die Textmarke aktualisiert hat. |
|
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
IncidentInfo
Beschreibt verwandte Vorfallinformationen für die Textmarke
| Name | Typ | Beschreibung |
|---|---|---|
| incidentId |
string |
Vorfall-ID |
| relationName |
string |
Beziehungsname |
| severity |
Der Schweregrad des Vorfalls |
|
| title |
string |
Der Titel des Vorfalls |
IncidentSeverity
Der Schweregrad des Vorfalls
| Wert | Beschreibung |
|---|---|
| High |
Hoher Schweregrad |
| Informational |
Schweregrad der Information |
| Low |
Niedriger Schweregrad |
| Medium |
Mittlerer Schweregrad |
IoTDeviceEntity
Stellt eine IoT-Geräteentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Io |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.deviceId |
string |
Die ID des IoT-Geräts im IoT-Hub |
| properties.deviceName |
string |
Der Anzeigename des Geräts |
| properties.deviceSubType |
string |
Der Untertyp des Geräts ('PLC', 'CTRL', 'EWS', etc.) |
| properties.deviceType |
string |
Der Typ des Geräts |
| properties.edgeId |
string |
Die ID des Edgegeräts |
| properties.firmwareVersion |
string |
Die Firmwareversion des Geräts |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Hostentitäts-ID dieses Geräts |
| properties.importance |
Die Wichtigkeit des Geräts bestimmt, ob das Gerät als "Kronjuwel" klassifiziert wurde. |
|
| properties.iotHubEntityId |
string |
Die AzureResource-Entitäts-ID des IoT-Hubs |
| properties.iotSecurityAgentId |
string (uuid) |
Die ID des auf dem Gerät ausgeführten Sicherheits-Agents |
| properties.ipAddressEntityId |
string |
Die IP-Entität, wenn dieses Gerät |
| properties.isAuthorized |
boolean |
Bestimmt, ob das gerät, das als autorisiertes Gerät klassifiziert wurde |
| properties.isProgramming |
boolean |
Bestimmt, ob das gerät, das als Programmiergerät klassifiziert wurde |
| properties.isScanner |
boolean |
Ist das Gerät als Scannergerät klassifiziert |
| properties.macAddress |
string |
Die MAC-Adresse des Geräts |
| properties.model |
string |
Das Modell des Geräts |
| properties.nicEntityIds |
string[] |
Eine Liste der Nic-Entitäts-IDs der IoTDevice-Entität. |
| properties.operatingSystem |
string |
Das Betriebssystem des Geräts |
| properties.owners |
string[] |
Eine Liste der Besitzer der IoTDevice-Entität. |
| properties.protocols |
string[] |
Eine Liste der Protokolle der IoTDevice-Entität. |
| properties.purdueLayer |
string |
Die Purdue-Ebene des Geräts |
| properties.sensor |
string |
Der Sensor, durch den das Gerät überwacht wird |
| properties.serialNumber |
string |
Die Seriennummer des Geräts |
| properties.site |
string |
Die Website des Geräts |
| properties.source |
string |
Die Quelle des Geräts |
| properties.threatIntelligence |
Eine Liste der TI-Kontexte, die der IoTDevice-Entität zugeordnet sind. |
|
| properties.vendor |
string |
Der Hersteller des Geräts |
| properties.zone |
string |
Der Zonenspeicherort des Geräts innerhalb einer Website |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
IpEntity
Stellt eine IP-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Ip |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.address |
string |
Die IP-Adresse als Zeichenfolge, z. B. 127.0.0.1 (entweder in Ipv4 oder Ipv6) |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.location |
Der geografische Standortkontext, der der IP-Entität zugeordnet ist |
|
| properties.threatIntelligence |
Eine Liste der TI-Kontexte, die der IP-Entität zugeordnet sind. |
|
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
KillChainIntent
Die Absicht der Warnung.
| Wert | Beschreibung |
|---|---|
| Collection |
Die Sammlung besteht aus Techniken, die verwendet werden, um Informationen, z. B. vertrauliche Dateien, aus einem Zielnetzwerk vor der Exfiltration zu identifizieren und zu sammeln. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| CommandAndControl |
Die Befehls- und Kontrolltaktik stellt dar, wie Angreifer mit Systemen unter ihrer Kontrolle innerhalb eines Zielnetzwerks kommunizieren. |
| CredentialAccess |
Der Zugriff auf Anmeldeinformationen stellt Techniken dar, die den Zugriff auf oder die Kontrolle über System-, Domänen- oder Dienstanmeldeinformationen ergeben, die in einer Unternehmensumgebung verwendet werden. Angreifer versuchen wahrscheinlich, legitime Anmeldeinformationen von Benutzern oder Administratorkonten (lokaler Systemadministrator oder Domänenbenutzer mit Administratorzugriff) für die Verwendung im Netzwerk zu erhalten. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen. |
| DefenseEvasion |
Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit Techniken in anderen Kategorien, die den zusätzlichen Vorteil haben, eine bestimmte Verteidigung oder Gegenmaßnahme zu subvertieren. |
| Discovery |
Die Entdeckung besteht aus Techniken, die es dem Angreifer ermöglichen, Wissen über das System und das interne Netzwerk zu gewinnen. Wenn Angreifer Zugang zu einem neuen System erhalten, müssen sie sich selbst zu dem navigieren, was sie jetzt kontrollieren und welche Vorteile dieses Systems ihrem aktuellen Ziel oder ihren allgemeinen Zielen während des Angriffs geben. Das Betriebssystem bietet viele systemeigene Tools, die in dieser Phase nach der Kompromittierung der Informationssammlung helfen. |
| Execution |
Die Ausführungstaktik stellt Techniken dar, die zur Ausführung von gegnerisch kontrolliertem Code auf einem lokalen oder Remotesystem führen. Diese Taktik wird häufig in Verbindung mit lateraler Bewegung verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern. |
| Exfiltration |
Exfiltration bezieht sich auf Techniken und Attribute, die dazu führen oder helfen, dateien und Informationen aus einem Zielnetzwerk zu entfernen. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| Exploitation |
Die Ausbeutung ist die Phase, in der ein Angreifer verwaltet, um die angegriffene Ressource zu fußen. Diese Stufe gilt nicht nur für Computehosts, sondern auch für Ressourcen wie Benutzerkonten, Zertifikate usw. Angreifer können die Ressource häufig nach dieser Phase steuern. |
| Impact |
Das primäre Ziel der Auswirkung ist es, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren; einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betrieblichen Prozess zu auswirken. Dies würde oft auf Techniken wie Lösegeldware, Verfälschung, Datenmanipulation und andere verweisen. |
| LateralMovement |
Lateral movement besteht aus Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und zu steuern, und kann jedoch nicht notwendigerweise die Ausführung von Tools auf Remotesystemen umfassen. Die Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen aus einem System zu sammeln, ohne zusätzliche Tools wie z. B. ein Remotezugriffstool zu benötigen. Ein Angreifer kann laterale Bewegungen für viele Zwecke verwenden, einschließlich remoteer Ausführung von Tools, Pivoting zu zusätzlichen Systemen, Zugriff auf bestimmte Informationen oder Dateien, Zugriff auf zusätzliche Anmeldeinformationen oder eine Auswirkung. |
| Persistence |
Persistenz ist jede Zugriffs-, Aktions- oder Konfigurationsänderung für ein System, das einem Angreifer eine dauerhafte Präsenz auf diesem System verleiht. Angreifer müssen häufig den Zugriff auf Systeme durch Unterbrechungen wie Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler beibehalten, bei denen ein Remotezugriffstool erforderlich wäre, um den Zugriff neu zu starten oder eine alternative Hintertür für sie wiederzuerlangen. |
| PrivilegeEscalation |
Die Berechtigungseskalation ist das Ergebnis von Aktionen, die es einem Angreifer ermöglichen, eine höhere Berechtigungsstufe für ein System oder Netzwerk zu erhalten. Bestimmte Tools oder Aktionen erfordern ein höheres Maß an Berechtigungen für die Arbeit und sind wahrscheinlich an vielen Stellen während eines Vorgangs erforderlich. Benutzerkonten mit Berechtigungen für den Zugriff auf bestimmte Systeme oder das Ausführen bestimmter Funktionen, die für Angreifer erforderlich sind, um ihr Ziel zu erreichen, können auch als Eskalation der Rechte angesehen werden. |
| Probing |
Das Probing könnte ein Versuch sein, auf eine bestimmte Ressource zuzugreifen, unabhängig von einer böswilligen Absicht oder einem fehlgeschlagenen Versuch, Zugriff auf ein Zielsystem zu erhalten, um Informationen vor der Ausbeutung zu sammeln. Dieser Schritt wird in der Regel als Versuch erkannt, der von außerhalb des Netzwerks stammt, um das Zielsystem zu scannen und einen Weg zu finden. |
| Unknown |
Der Standardwert. |
MailboxEntity
Stellt eine Postfachentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Mailbox |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.displayName |
string |
Der Anzeigename des Postfachs |
| properties.externalDirectoryObjectId |
string (uuid) |
Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Kontoentität, diese Eigenschaft ist jedoch spezifisch für postfachobjekt auf office-Seite. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.mailboxPrimaryAddress |
string |
Primäre Adresse des Postfachs |
| properties.upn |
string |
UpN des Postfachs |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
MailClusterEntity
Stellt eine E-Mail-Clusterentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Mail |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.clusterGroup |
string |
Die Clustergruppe |
| properties.clusterQueryEndTime |
string (date-time) |
Endzeit der Clusterabfrage |
| properties.clusterQueryStartTime |
string (date-time) |
Startzeit der Clusterabfrage |
| properties.clusterSourceIdentifier |
string |
Die ID der Clusterquelle |
| properties.clusterSourceType |
string |
Der Typ der Clusterquelle |
| properties.countByDeliveryStatus |
object |
Anzahl der E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung |
| properties.countByProtectionStatus |
object |
Anzahl der E-Mail-Nachrichten nach ProtectionStatus-Zeichenfolgendarstellung |
| properties.countByThreatType |
object |
Anzahl der E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.isVolumeAnomaly |
boolean |
Ist dies ein Volume-Anomalie-E-Mail-Cluster |
| properties.mailCount |
integer (int32) |
Die Anzahl der E-Mail-Nachrichten, die Teil des E-Mail-Clusters sind |
| properties.networkMessageIds |
string[] |
Die E-Mail-Nachrichten-IDs, die Teil des E-Mail-Clusters sind |
| properties.query |
string |
Die Abfrage, die zum Identifizieren der Nachrichten des E-Mail-Clusters verwendet wurde |
| properties.queryTime |
string (date-time) |
Die Abfragezeit |
| properties.source |
string |
Die Quelle des E-Mail-Clusters (Standard ist "O365 ATP") |
| properties.threats |
string[] |
Die Bedrohungen von E-Mail-Nachrichten, die Teil des E-Mail-Clusters sind |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
MailMessageEntity
Stellt eine E-Mail-Nachrichtenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Mail |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.antispamDirection |
Die Richtung dieser E-Mail-Nachricht |
|
| properties.bodyFingerprintBin1 |
integer (int32) |
BodyFingerprintBin1 |
| properties.bodyFingerprintBin2 |
integer (int32) |
BodyFingerprintBin2 |
| properties.bodyFingerprintBin3 |
integer (int32) |
BodyFingerprintBin3 |
| properties.bodyFingerprintBin4 |
integer (int32) |
BodyFingerprintBin4 |
| properties.bodyFingerprintBin5 |
integer (int32) |
BodyFingerprintBin5 |
| properties.deliveryAction |
Die Zustellungsaktion dieser E-Mail-Nachricht wie "Zugestellt", "Blockiert", "Ersetzt" usw. |
|
| properties.deliveryLocation |
Der Zustellungsort dieser E-Mail-Nachricht wie Posteingang, JunkFolder usw. |
|
| properties.fileEntityIds |
string[] |
Die Dateientitäts-IDs der Anlagen dieser E-Mail-Nachricht |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.internetMessageId |
string |
Die Internetnachrichten-ID dieser E-Mail-Nachricht |
| properties.language |
string |
Die Sprache dieser E-Mail-Nachricht |
| properties.networkMessageId |
string (uuid) |
Die Netzwerknachrichten-ID dieser E-Mail-Nachricht |
| properties.p1Sender |
string |
Die E-Mail-Adresse des p1-Absenders |
| properties.p1SenderDisplayName |
string |
Anzeigename des p1-Absenders |
| properties.p1SenderDomain |
string |
Die Domäne des p1-Absenders |
| properties.p2Sender |
string |
Die E-Mail-Adresse des p2-Absenders |
| properties.p2SenderDisplayName |
string |
Anzeigename des p2-Absenders |
| properties.p2SenderDomain |
string |
Die Domäne des p2-Absenders |
| properties.receiveDate |
string (date-time) |
Das Empfangsdatum dieser Nachricht |
| properties.recipient |
string |
Der Empfänger dieser E-Mail-Nachricht. Beachten Sie, dass bei mehreren Empfängern die E-Mail-Nachricht verzweigt wird und jede Kopie einen Empfänger hat. |
| properties.senderIP |
string |
Die IP-Adresse des Absenders |
| properties.subject |
string |
Der Betreff dieser E-Mail-Nachricht |
| properties.threatDetectionMethods |
string[] |
Die Bedrohungserkennungsmethoden |
| properties.threats |
string[] |
Die Bedrohungen dieser E-Mail-Nachricht |
| properties.urls |
string[] |
Die in dieser E-Mail-Nachricht enthaltenen URLs |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
MalwareEntity
Stellt eine Schadsoftwareentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Malware |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.category |
string |
Die Malware-Kategorie des Anbieters, z.B. Trojan |
| properties.fileEntityIds |
string[] |
Liste der verknüpften Dateientitäts-IDs, auf denen die Schadsoftware gefunden wurde |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.malwareName |
string |
Der Name der Schadsoftware durch den Anbieter, z. B. Win32/Toga!rfn |
| properties.processEntityIds |
string[] |
Liste der verknüpften Prozessentitäts-IDs, auf denen die Schadsoftware gefunden wurde. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
NicEntity
Stellt eine Netzwerkschnittstellenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Nic |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.ipAddressEntityId |
string |
Die IP-Entitäts-ID dieser Netzwerkschnittstelle |
| properties.macAddress |
string |
Die MAC-Adresse dieser Netzwerkschnittstelle |
| properties.vlans |
string[] |
Eine Liste der VLANs der Netzwerkschnittstellenentität. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
OSFamily
Der Betriebssystemtyp.
| Wert | Beschreibung |
|---|---|
| Android |
Host mit Android-Betriebssystem. |
| IOS |
Host mit IOS-Betriebssystem. |
| Linux |
Host mit Linux-Betriebssystem. |
| Unknown |
Host mit unbekanntem Betriebssystem. |
| Windows |
Host mit Windows-Betriebssystem. |
ProcessEntity
Stellt eine Prozessentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Process |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.accountEntityId |
string |
Die Kontoentitäts-ID, die die Prozesse ausführt. |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.commandLine |
string |
Die Befehlszeile zum Erstellen des Prozesses |
| properties.creationTimeUtc |
string (date-time) |
Der Zeitpunkt, zu dem der Prozess gestartet wurde |
| properties.elevationToken |
Das dem Prozess zugeordnete Erhöhungstoken. |
|
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Hostentitäts-ID, für die der Prozess ausgeführt wurde |
| properties.hostLogonSessionEntityId |
string |
Die Sitzungsentitäts-ID, in der der Prozess ausgeführt wurde |
| properties.imageFileEntityId |
string |
Entitäts-ID der Bilddatei |
| properties.parentProcessEntityId |
string |
Die übergeordnete Prozessentitäts-ID. |
| properties.processId |
string |
Die Prozess-ID |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
RegistryHive
die Struktur, die den Registrierungsschlüssel enthält.
| Wert | Beschreibung |
|---|---|
| HKEY_A |
HKEY_A |
| HKEY_CLASSES_ROOT |
HKEY_CLASSES_ROOT |
| HKEY_CURRENT_CONFIG |
HKEY_CURRENT_CONFIG |
| HKEY_CURRENT_USER |
HKEY_CURRENT_USER |
| HKEY_CURRENT_USER_LOCAL_SETTINGS |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
| HKEY_LOCAL_MACHINE |
HKEY_LOCAL_MACHINE |
| HKEY_PERFORMANCE_DATA |
HKEY_PERFORMANCE_DATA |
| HKEY_PERFORMANCE_NLSTEXT |
HKEY_PERFORMANCE_NLSTEXT |
| HKEY_PERFORMANCE_TEXT |
HKEY_PERFORMANCE_TEXT |
| HKEY_USERS |
HKEY_USERS |
RegistryKeyEntity
Stellt eine Registrierungsschlüsselentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Registry |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hive |
die Struktur, die den Registrierungsschlüssel enthält. |
|
| properties.key |
string |
Der Registrierungsschlüsselpfad. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
RegistryValueEntity
Stellt eine Registrierungswertentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Registry |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.keyEntityId |
string |
Die Entitäts-ID des Registrierungsschlüssels. |
| properties.valueData |
string |
Formatierte Zeichenfolgendarstellung der Wertdaten. |
| properties.valueName |
string |
Der Name des Registrierungswerts. |
| properties.valueType |
Gibt die Datentypen an, die beim Speichern von Werten in der Registrierung verwendet werden sollen, oder gibt den Datentyp eines Werts in der Registrierung an. |
|
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
RegistryValueKind
Gibt die Datentypen an, die beim Speichern von Werten in der Registrierung verwendet werden sollen, oder gibt den Datentyp eines Werts in der Registrierung an.
| Wert | Beschreibung |
|---|---|
| Binary |
Binärwerttyp |
| DWord |
DWord-Werttyp |
| ExpandString |
ExpandString-Werttyp |
| MultiString |
MultiString-Werttyp |
| None |
Nichts |
| QWord |
QWord-Werttyp |
| String |
Zeichenfolgenwerttyp |
| Unknown |
Unbekannter Werttyp |
SecurityAlert
Stellt eine Sicherheitswarnungsentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind | string: |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.alertDisplayName |
string |
Der Anzeigename der Warnung. |
| properties.alertLink |
string |
Der URI-Link der Warnung. |
| properties.alertType |
string |
Der Typname der Warnung. |
| properties.compromisedEntity |
string |
Anzeigename der Hauptentität, über die berichtet wird. |
| properties.confidenceLevel |
Das Konfidenzniveau dieser Warnung. |
|
| properties.confidenceReasons |
Die Vertrauensgründe |
|
| properties.confidenceScore |
number (double) |
Die Konfidenzbewertung der Warnung. |
| properties.confidenceScoreStatus |
Der Berechnungsstatus der Konfidenzbewertung, d. h., der angibt, ob die Bewertungsberechnung für diese Warnung aussteht, nicht zutreffend oder endgültig. |
|
| properties.description |
string |
Warnungsbeschreibung. |
| properties.endTimeUtc |
string (date-time) |
Die Auswirkungsendezeit der Warnung (die Uhrzeit des letzten Ereignisses, das zur Warnung beiträgt). |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.intent |
Enthält die Zuordnung der Warnungsabsichtsphase(n) für diese Warnung. |
|
| properties.processingEndTime |
string (date-time) |
Die Zeit, zu der die Warnung für den Verbrauch zur Verfügung gestellt wurde. |
| properties.productComponentName |
string |
Der Name einer Komponente innerhalb des Produkts, das die Warnung generiert hat. |
| properties.productName |
string |
Der Name des Produkts, das diese Warnung veröffentlicht hat. |
| properties.productVersion |
string |
Die Version des Produkts, das die Warnung generiert. |
| properties.providerAlertId |
string |
Der Bezeichner der Warnung innerhalb des Produkts, das die Warnung generiert hat. |
| properties.remediationSteps |
string[] |
Manuelle Aktionselemente zum Beheben der Warnung. |
| properties.resourceIdentifiers |
object[] |
Die Liste der Ressourcenbezeichner der Warnung. |
| properties.severity |
Der Schweregrad der Warnung |
|
| properties.startTimeUtc |
string (date-time) |
Die Auswirkung der Startzeit der Warnung (der Zeitpunkt des ersten Ereignisses, das zur Warnung beiträgt). |
| properties.status |
Der Lebenszyklusstatus der Warnung. |
|
| properties.systemAlertId |
string |
Enthält die Produkt-ID der Warnung für das Produkt. |
| properties.tactics |
Die Taktiken der Warnung |
|
| properties.timeGenerated |
string (date-time) |
Der Zeitpunkt, zu dem die Warnung generiert wurde. |
| properties.vendorName |
string |
Der Name des Anbieters, der die Warnung ausgibt. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
SecurityGroupEntity
Stellt eine Sicherheitsgruppenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Security |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.distinguishedName |
string |
Der gruppierte Distinguished Name |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.objectGuid |
string (uuid) |
Ein einwertiges Attribut, das der eindeutige Bezeichner für das Objekt ist, das von Active Directory zugewiesen wird. |
| properties.sid |
string |
Das SID-Attribut ist ein Einwert-Attribut, das den Sicherheitsbezeichner (SID) der Gruppe angibt. |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
SubmissionMailEntity
Stellt eine Übermittlungs-E-Mail-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Submission |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.networkMessageId |
string (uuid) |
Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört |
| properties.recipient |
string |
Der Empfänger der E-Mail |
| properties.reportType |
string |
Der Übermittlungstyp für die angegebene Instanz. Dies ist Junk-, Phish-, Schadsoftware- oder NotJunk-Eigenschaft zugeordnet. |
| properties.sender |
string |
Der Absender der E-Mail |
| properties.senderIp |
string |
Ip-Adresse des Absenders |
| properties.subject |
string |
Der Betreff der Übermittlungs-E-Mail |
| properties.submissionDate |
string (date-time) |
Das Übermittlungsdatum |
| properties.submissionId |
string (uuid) |
Die Übermittlungs-ID |
| properties.submitter |
string |
Der Absendenter |
| properties.timestamp |
string (date-time) |
Der Zeitstempel, wenn die Nachricht empfangen wird (E-Mail) |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
systemData
Metadaten zur Erstellung und letzten Änderung der Ressource.
| Name | Typ | Beschreibung |
|---|---|---|
| createdAt |
string (date-time) |
Der Zeitstempel der Ressourcenerstellung (UTC). |
| createdBy |
string |
Die Identität, die die Ressource erstellt hat. |
| createdByType |
Der Identitätstyp, der die Ressource erstellt hat. |
|
| lastModifiedAt |
string (date-time) |
Der Zeitstempel der letzten Änderung der Ressource (UTC) |
| lastModifiedBy |
string |
Die Identität, die die Ressource zuletzt geändert hat. |
| lastModifiedByType |
Der Identitätstyp, der die Ressource zuletzt geändert hat. |
ThreatIntelligence
ThreatIntelligence-Eigenschaftenbehälter.
| Name | Typ | Beschreibung |
|---|---|---|
| confidence |
number (double) |
Konfidenz (muss zwischen 0 und 1 sein) |
| providerName |
string |
Name des Anbieters, von dem diese Threat Intelligence-Informationen empfangen wurden |
| reportLink |
string |
Berichtslink |
| threatDescription |
string |
Bedrohungsbeschreibung (kostenloser Text) |
| threatName |
string |
Bedrohungsname (z. B. "Jedobot Malware") |
| threatType |
string |
Bedrohungstyp (z. B. "Botnet") |
UrlEntity
Stellt eine URL-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string (arm-id) |
Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Url |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Eine Tasche mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.url |
string |
Eine vollständige URL, auf die die Entität verweist |
| systemData |
Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
UserInfo
Benutzerinformationen, die eine Aktion ausgeführt haben
| Name | Typ | Beschreibung |
|---|---|---|
|
string |
Die E-Mail des Benutzers. |
|
| name |
string |
Der Name des Benutzers. |
| objectId |
string (uuid) |
Die Objekt-ID des Benutzers. |