Incidents - List Entities
Ruft alle Entitäten für einen Incident ab.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/entities?api-version=2024-03-01URI-Parameter
| Name | In | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Incident-ID |
|
resource
|
path | True |
string |
Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet. |
|
subscription
|
path | True |
string uuid |
Hierbei handelt es sich um die ID des Zielabonnements. Der Wert muss eine UUID sein. |
|
workspace
|
path | True |
string |
Den Namen des Arbeitsbereichs Regex pattern: |
|
api-version
|
query | True |
string |
Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version. |
Antworten
| Name | Typ | Beschreibung |
|---|---|---|
| 200 OK |
OK |
|
| Other Status Codes |
Fehlerantwort mit Beschreibung des Grunds für den Fehler. |
Sicherheit
azure_auth
Azure Active Directory-OAuth2-Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Name | Beschreibung |
|---|---|
| user_impersonation | Identitätswechsel Ihres Benutzerkontos |
Beispiele
Gets all incident related entities
Sample Request
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/entities?api-version=2024-03-01
Sample Response
{
"entities": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain"
}
}
],
"metaData": [
{
"entityKind": "Account",
"count": 1
}
]
}Definitionen
| Name | Beschreibung |
|---|---|
|
Account |
Stellt eine Kontoentität dar. |
|
Alert |
Der Schweregrad der Warnung |
|
Alert |
Der Lebenszyklus status der Warnung. |
|
Antispam |
Die Richtungsrichtung dieser E-Mail-Nachricht |
|
Attack |
Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden. |
|
Azure |
Stellt eine Azure-Ressourcenentität dar. |
|
Cloud |
Stellt eine Cloudanwendungsentität dar. |
|
Cloud |
Fehlerantwortstruktur. |
|
Cloud |
Fehlerdetails. |
|
Confidence |
Das Konfidenzniveau dieser Warnung. |
|
Confidence |
Die Vertrauensgründe |
|
Confidence |
Die Berechnung des Konfidenzwerts status, d. h. die Angabe, ob die Bewertungsberechnung für diese Warnung aussteht, nicht zutreffend oder endgültig ist. |
|
created |
Der Identitätstyp, der die Ressource erstellt hat. |
|
Delivery |
Die Übermittlungsaktion dieser E-Mail-Nachricht wie Zugestellt, Blockiert, Ersetzt usw. |
|
Delivery |
Der Zustellungsort dieser E-Mail-Nachricht wie Posteingang, JunkFolder usw. |
|
Dns |
Stellt eine DNS-Entität dar. |
|
Elevation |
Das dem Prozess zugeordnete Erhöhungstoken. |
|
Entity |
Die Art der aggregierten Entität. |
|
File |
Stellt eine Dateientität dar. |
|
File |
Der Hashalgorithmustyp. |
|
File |
Stellt eine Dateihashentität dar. |
|
Geo |
Der Geostandortkontext, der der IP-Entität angefügt ist |
|
Host |
Stellt eine Hostentität dar. |
|
Hunting |
Stellt eine Hunting-Lesezeichenentität dar. |
|
Incident |
Die Reaktion auf incidentbezogene Entitäten. |
|
Incident |
Informationen zu einer bestimmten Aggregation in den Incident-bezogenen Entitäten ergeben sich. |
|
Incident |
Beschreibt verwandte Incidentinformationen für das Lesezeichen |
|
Incident |
Schweregrad des Vorfalls |
|
Io |
Stellt eine IoT-Geräteentität dar. |
|
Ip |
Stellt eine IP-Entität dar. |
|
Kill |
Enthält die Zuordnung der Warnungsabsichtsstufe(en) für diese Warnung. |
|
Mailbox |
Stellt eine Postfachentität dar. |
|
Mail |
Stellt eine E-Mail-Clusterentität dar. |
|
Mail |
Stellt eine E-Mail-Nachrichtenentität dar. |
|
Malware |
Stellt eine Schadsoftwareentität dar. |
| OSFamily |
Der Betriebssystemtyp. |
|
Process |
Stellt eine Prozessentität dar. |
|
Registry |
die Struktur, die den Registrierungsschlüssel enthält. |
|
Registry |
Stellt eine Registrierungsschlüsselentität dar. |
|
Registry |
Stellt eine Registrierungswertentität dar. |
|
Registry |
Gibt die Datentypen an, die zum Speichern von Werten in der Registrierung verwendet werden, oder bestimmt den Datentyp eines Werts in der Registrierung. |
|
Security |
Stellt eine Entität für Sicherheitswarnungen dar. |
|
Security |
Stellt eine Sicherheitsgruppenentität dar. |
|
Submission |
Stellt eine Übermittlungs-E-Mail-Entität dar. |
|
system |
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen. |
|
Threat |
ThreatIntelligence-Eigenschaft. |
|
Url |
Stellt eine URL-Entität dar. |
|
User |
Benutzerinformationen, die eine Aktion ausgeführt haben |
AccountEntity
Stellt eine Kontoentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Account |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.aadTenantId |
string |
Die Azure Active Directory-Mandanten-ID. |
| properties.aadUserId |
string |
Die Azure Active Directory-Benutzer-ID. |
| properties.accountName |
string |
Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird, d. h. Administrator. |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.displayName |
string |
Der Anzeigename des Kontos. |
| properties.dnsDomain |
string |
Der vollqualifizierte DNS-Domänenname. |
| properties.friendlyName |
string |
Der Graphelementanzeigename, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Host-Entitäts-ID, die das Konto enthält, falls es sich um ein lokales Konto handelt (nicht in die Domäne eingebunden) |
| properties.isDomainJoined |
boolean |
Bestimmt, ob es sich um ein Domänenkonto handelt. |
| properties.ntDomain |
string |
Der NetBIOS-Domänenname, wie er im Warnungsformat "Domäne\Benutzername" angezeigt wird. Beispiele: NT AUTHORITY. |
| properties.objectGuid |
string |
Das objectGUID-Attribut ist ein einwertiges Attribut, das der eindeutige Bezeichner für das Objekt ist, das von Active Directory zugewiesen wird. |
| properties.puid |
string |
Die Azure Active Directory Passport-Benutzer-ID. |
| properties.sid |
string |
Der Kontosicherheitsbezeichner, z. B. S-1-5-18. |
| properties.upnSuffix |
string |
Das Suffix des Benutzerprinzipalsnamens für das Konto, in einigen Fällen ist es auch der Domänenname. Beispiele: contoso.com. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
AlertSeverity
Der Schweregrad der Warnung
| Name | Typ | Beschreibung |
|---|---|---|
| High |
string |
Hoher Schweregrad |
| Informational |
string |
Informationsschweregrad |
| Low |
string |
Niedriger Schweregrad |
| Medium |
string |
Mittlerer Schweregrad |
AlertStatus
Der Lebenszyklus status der Warnung.
| Name | Typ | Beschreibung |
|---|---|---|
| Dismissed |
string |
Warnung als falsch positiv abgelehnt |
| InProgress |
string |
Warnung wird behandelt |
| New |
string |
Neue Warnung |
| Resolved |
string |
Warnung nach der Behandlung geschlossen |
| Unknown |
string |
Unbekannter Wert |
AntispamMailDirection
Die Richtungsrichtung dieser E-Mail-Nachricht
| Name | Typ | Beschreibung |
|---|---|---|
| Inbound |
string |
Eingehend |
| Intraorg |
string |
Intraorg |
| Outbound |
string |
Ausgehend |
| Unknown |
string |
Unbekannt |
AttackTactic
Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden.
| Name | Typ | Beschreibung |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
AzureResourceEntity
Stellt eine Azure-Ressourcenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Azure |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.resourceId |
string |
Die Azure-Ressourcen-ID der Ressource |
| properties.subscriptionId |
string |
Die Abonnement-ID der Ressource |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
CloudApplicationEntity
Stellt eine Cloudanwendungsentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Cloud |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.appId |
integer |
Der technische Bezeichner der Anwendung. |
| properties.appName |
string |
Der Name der verwandten Cloudanwendung. |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.instanceName |
string |
Der benutzerdefinierte instance Name der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
CloudError
Fehlerantwortstruktur.
| Name | Typ | Beschreibung |
|---|---|---|
| error |
Fehlerdaten |
CloudErrorBody
Fehlerdetails.
| Name | Typ | Beschreibung |
|---|---|---|
| code |
string |
Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden. |
| message |
string |
Eine Meldung, die den Fehler beschreibt, der für die Anzeige in einer Benutzeroberfläche geeignet sein soll. |
ConfidenceLevel
Das Konfidenzniveau dieser Warnung.
| Name | Typ | Beschreibung |
|---|---|---|
| High |
string |
Hohe Sicherheit, dass die Warnung wirklich positiv böswillig ist |
| Low |
string |
Geringes Vertrauen, was bedeutet, dass wir einige Zweifel haben, dass dies tatsächlich böswillig oder Teil eines Angriffs ist. |
| Unknown |
string |
Unbekannte Konfidenz, ist der Standardwert |
ConfidenceReasons
Die Vertrauensgründe
| Name | Typ | Beschreibung |
|---|---|---|
| reason |
string |
Beschreibung des Grundes |
| reasonType |
string |
Der Typ (Kategorie) des Grundes |
ConfidenceScoreStatus
Die Berechnung des Konfidenzwerts status, d. h. die Angabe, ob die Bewertungsberechnung für diese Warnung aussteht, nicht zutreffend oder endgültig ist.
| Name | Typ | Beschreibung |
|---|---|---|
| Final |
string |
Endergebnis wurde berechnet und verfügbar |
| InProcess |
string |
Es wurde noch keine Bewertung festgelegt, und die Berechnung wird ausgeführt. |
| NotApplicable |
string |
Die Bewertung wird für diese Warnung nicht berechnet, da sie vom virtuellen Analysten nicht unterstützt wird. |
| NotFinal |
string |
Die Bewertung wird als Teil der Warnung berechnet und angezeigt, kann jedoch nach der Verarbeitung zusätzlicher Daten zu einem späteren Zeitpunkt erneut aktualisiert werden. |
createdByType
Der Identitätstyp, der die Ressource erstellt hat.
| Name | Typ | Beschreibung |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
DeliveryAction
Die Übermittlungsaktion dieser E-Mail-Nachricht wie Zugestellt, Blockiert, Ersetzt usw.
| Name | Typ | Beschreibung |
|---|---|---|
| Blocked |
string |
Gesperrt |
| Delivered |
string |
Geliefert |
| DeliveredAsSpam |
string |
DeliveredAsSpam |
| Replaced |
string |
Ersetzt |
| Unknown |
string |
Unbekannt |
DeliveryLocation
Der Zustellungsort dieser E-Mail-Nachricht wie Posteingang, JunkFolder usw.
| Name | Typ | Beschreibung |
|---|---|---|
| DeletedFolder |
string |
Deletedfolder |
| Dropped |
string |
Dropped |
| External |
string |
Extern |
| Failed |
string |
Fehler |
| Forwarded |
string |
Weitergeleitet |
| Inbox |
string |
Posteingang |
| JunkFolder |
string |
JunkFolder |
| Quarantine |
string |
Quarantäne |
| Unknown |
string |
Unbekannt |
DnsEntity
Stellt eine DNS-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Dns |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.dnsServerIpEntityId |
string |
Eine IP-Entitäts-ID für den DNS-Server, der die Anforderung auflöst |
| properties.domainName |
string |
Der Name des dns-Eintrags, der der Warnung zugeordnet ist. |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostIpAddressEntityId |
string |
Eine IP-Entitäts-ID für den DNS-Anforderungsclient |
| properties.ipAddressEntityIds |
string[] |
IP-Entitätsbezeichner für die aufgelöste IP-Adresse. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
ElevationToken
Das dem Prozess zugeordnete Erhöhungstoken.
| Name | Typ | Beschreibung |
|---|---|---|
| Default |
string |
Standard-Erhöhungstoken |
| Full |
string |
Token für vollständige Erhöhung |
| Limited |
string |
Token mit eingeschränkter Höhe |
EntityKindEnum
Die Art der aggregierten Entität.
| Name | Typ | Beschreibung |
|---|---|---|
| Account |
string |
Entität stellt das Konto im System dar. |
| AzureResource |
string |
Entität stellt die Azure-Ressource im System dar. |
| Bookmark |
string |
Entität stellt ein Lesezeichen im System dar. |
| CloudApplication |
string |
Entität stellt die Cloudanwendung im System dar. |
| DnsResolution |
string |
Entität stellt die DNS-Auflösung im System dar. |
| File |
string |
Entität stellt die Datei im System dar. |
| FileHash |
string |
Entität stellt dateihash im System dar. |
| Host |
string |
Entität stellt den Host im System dar. |
| IoTDevice |
string |
Entität stellt ioT-Gerät im System dar. |
| Ip |
string |
Entität stellt ip im System dar. |
| MailCluster |
string |
Entität stellt den E-Mail-Cluster im System dar. |
| MailMessage |
string |
Entität stellt eine E-Mail-Nachricht im System dar. |
| Mailbox |
string |
Entität stellt das Postfach im System dar. |
| Malware |
string |
Entität stellt Schadsoftware im System dar. |
| Process |
string |
Entität stellt den Prozess im System dar. |
| RegistryKey |
string |
Entität stellt den Registrierungsschlüssel im System dar. |
| RegistryValue |
string |
Entität stellt den Registrierungswert im System dar. |
| SecurityAlert |
string |
Entität stellt Sicherheitswarnungen im System dar. |
| SecurityGroup |
string |
Entität stellt die Sicherheitsgruppe im System dar. |
| SubmissionMail |
string |
Entität stellt Übermittlungs-E-Mails im System dar. |
| Url |
string |
Entität stellt die URL im System dar. |
FileEntity
Stellt eine Dateientität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
File |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.directory |
string |
Der vollständige Pfad zur Datei. |
| properties.fileHashEntityIds |
string[] |
Die Dieser Datei zugeordneten Dateihashentitätsbezeichner |
| properties.fileName |
string |
Der Dateiname ohne Pfad (einige Warnungen enthalten möglicherweise keinen Pfad). |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Hostentitäts-ID, zu der die Datei gehört |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
FileHashAlgorithm
Der Hashalgorithmustyp.
| Name | Typ | Beschreibung |
|---|---|---|
| MD5 |
string |
MD5-Hashtyp |
| SHA1 |
string |
SHA1-Hashtyp |
| SHA256 |
string |
SHA256-Hashtyp |
| SHA256AC |
string |
SHA256 Authenticode-Hashtyp |
| Unknown |
string |
Unbekannter Hashalgorithmus |
FileHashEntity
Stellt eine Dateihashentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
File |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.algorithm |
Der Hashalgorithmustyp. |
|
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hashValue |
string |
Der Dateihashwert. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
GeoLocation
Der Geostandortkontext, der der IP-Entität angefügt ist
| Name | Typ | Beschreibung |
|---|---|---|
| asn |
integer |
Autonome Systemnummer |
| city |
string |
Ortsname |
| countryCode |
string |
Der Ländercode nach ISO 3166-Format |
| countryName |
string |
Ländername nach ISO 3166 Alpha 2: Kleinbuchstaben des englischen Kurznamens |
| latitude |
number |
Der Längengrad des identifizierten Standorts, ausgedrückt als Gleitkommazahl mit einem Bereich von -180 bis 180, wobei positive Zahlen den Osten und negative Zahlen für West darstellen. Breiten- und Längengrad werden von der Orts- oder Postleitzahl abgeleitet. |
| longitude |
number |
Der Breitengrad des identifizierten Standorts, ausgedrückt als Gleitkommazahl mit einem Bereich von - 90 bis 90, wobei positive Zahlen norden und negative Zahlen den Süden darstellen. Breiten- und Längengrad werden von der Orts- oder Postleitzahl abgeleitet. |
| state |
string |
Name des Zustands |
HostEntity
Stellt eine Hostentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Host |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.azureID |
string |
Die Azure-Ressourcen-ID des virtuellen Computers. |
| properties.dnsDomain |
string |
Die DNS-Domäne, zu der dieser Host gehört. Sollte das konkurrierende DNS-Suffix für die Domäne enthalten. |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostName |
string |
Der Hostname ohne das Domänensuffix. |
| properties.isDomainJoined |
boolean |
Bestimmt, ob dieser Host zu einer Domäne gehört. |
| properties.netBiosName |
string |
Der Hostname (vor Windows2000). |
| properties.ntDomain |
string |
Die DNS-Domäne, zu der dieser Host gehört. |
| properties.omsAgentID |
string |
Die OMS-Agent-ID, wenn auf dem Host der OMS-Agent installiert ist. |
| properties.osFamily |
Der Betriebssystemtyp. |
|
| properties.osVersion |
string |
Eine Freitextdarstellung des Betriebssystems. Dieses Feld soll bestimmte Versionen enthalten, die feiner als OSFamily oder zukünftige Werte sind, die von der OSFamily-Enumeration nicht unterstützt werden. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
HuntingBookmark
Stellt eine Hunting-Lesezeichenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Bookmark |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.created |
string |
Der Zeitpunkt, zu dem das Lesezeichen erstellt wurde |
| properties.createdBy |
Beschreibt einen Benutzer, der das Lesezeichen erstellt hat. |
|
| properties.displayName |
string |
Der Anzeigename des Lesezeichens |
| properties.eventTime |
string |
Der Zeitpunkt des Ereignisses |
| properties.friendlyName |
string |
Der Graphelementanzeigename, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.incidentInfo |
Beschreibt einen Vorfall, der sich auf ein Lesezeichen bezieht. |
|
| properties.labels |
string[] |
Liste der Bezeichnungen, die für dieses Lesezeichen relevant sind |
| properties.notes |
string |
Die Notizen des Lesezeichens |
| properties.query |
string |
Die Abfrage des Lesezeichens. |
| properties.queryResult |
string |
Das Abfrageergebnis des Lesezeichens. |
| properties.updated |
string |
Der Zeitpunkt, zu dem das Lesezeichen zuletzt aktualisiert wurde |
| properties.updatedBy |
Beschreibt einen Benutzer, der das Lesezeichen aktualisiert hat. |
|
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
IncidentEntitiesResponse
Die Reaktion auf incidentbezogene Entitäten.
| Name | Typ | Beschreibung |
|---|---|---|
| entities |
Entity[]:
|
Array der incidentbezogenen Entitäten. |
| metaData |
Die Metadaten der incidentbezogenen Entitäten ergeben sich. |
IncidentEntitiesResultsMetadata
Informationen zu einer bestimmten Aggregation in den Incident-bezogenen Entitäten ergeben sich.
| Name | Typ | Beschreibung |
|---|---|---|
| count |
integer |
Die Gesamtanzahl der Aggregationen der angegebenen Art in den incidentbezogenen Entitäten ergibt sich. |
| entityKind |
Die Art der aggregierten Entität. |
IncidentInfo
Beschreibt verwandte Incidentinformationen für das Lesezeichen
| Name | Typ | Beschreibung |
|---|---|---|
| incidentId |
string |
Incident-ID |
| relationName |
string |
Beziehungsname |
| severity |
Schweregrad des Vorfalls |
|
| title |
string |
Titel des Vorfalls |
IncidentSeverity
Schweregrad des Vorfalls
| Name | Typ | Beschreibung |
|---|---|---|
| High |
string |
Hoher Schweregrad |
| Informational |
string |
Informationsschweregrad |
| Low |
string |
Niedriger Schweregrad |
| Medium |
string |
Mittlerer Schweregrad |
IoTDeviceEntity
Stellt eine IoT-Geräteentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Io |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.deviceId |
string |
Die ID des IoT-Geräts im IoT Hub |
| properties.deviceName |
string |
Der Anzeigename des Geräts |
| properties.deviceType |
string |
Der Typ des Geräts |
| properties.edgeId |
string |
Die ID des Edgegeräts |
| properties.firmwareVersion |
string |
Die Firmwareversion des Geräts |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Hostentitäts-ID dieses Geräts |
| properties.iotHubEntityId |
string |
Die AzureResource-Entitäts-ID des IoT Hub |
| properties.iotSecurityAgentId |
string |
Die ID des Sicherheits-Agents, der auf dem Gerät ausgeführt wird |
| properties.ipAddressEntityId |
string |
Die IP-Entität, wenn dieses Geräts |
| properties.macAddress |
string |
Der MAC-Adresse des Geräts |
| properties.model |
string |
Das Modell des Geräts |
| properties.operatingSystem |
string |
Das Betriebssystem des Geräts |
| properties.protocols |
string[] |
Eine Liste der Protokolle der IoTDevice-Entität. |
| properties.serialNumber |
string |
Die Seriennummer des Geräts |
| properties.source |
string |
Die Quelle des Geräts |
| properties.threatIntelligence |
Eine Liste der TI-Kontexte, die an die IoTDevice-Entität angefügt sind. |
|
| properties.vendor |
string |
Der Hersteller des Geräts |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
IpEntity
Stellt eine IP-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Ip |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.address |
string |
Die IP-Adresse als Zeichenfolge, z. B. 127.0.0.1 (entweder in Ipv4 oder Ipv6) |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.location |
Der an die IP-Entität angefügte Geostandortkontext |
|
| properties.threatIntelligence |
Eine Liste der TI-Kontexte, die an die IP-Entität angefügt sind. |
|
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
KillChainIntent
Enthält die Zuordnung der Warnungsabsichtsstufe(en) für diese Warnung.
| Name | Typ | Beschreibung |
|---|---|---|
| Collection |
string |
Als „Sammlung“ werden Techniken bezeichnet, die vor der Exfiltration zur Identifizierung und Erfassung von Informationen, z.B. sensiblen Dateien, von einem Zielnetzwerk verwendet werden. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte. |
| CommandAndControl |
string |
„Command-and-Control“ repräsentiert, wie Angreifer mit Systemen innerhalb eines Zielnetzwerks kommunizieren, die ihrer Kontrolle unterliegen. |
| CredentialAccess |
string |
Als „Zugriff auf Anmeldeinformationen“ werden Techniken bezeichnet, die einen Zugriff oder die Kontrolle von System-, Domänen- oder Dienstanmeldeinformationen, die in einer Unternehmensumgebung verwendet werden, zur Folge haben. Angreifer versuchen mit hoher Wahrscheinlichkeit, in den Besitz legitimer Anmeldeinformationen von Benutzern oder Administratorkonten (lokale Systemadministratoren oder Domänenbenutzer mit Administratorzugriff) zu gelangen, um diese im Netzwerk zu verwenden. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen. |
| DefenseEvasion |
string |
Das „Umgehen von Verteidigungsmaßnahmen“ umfasst Techniken, die ein Angreifer verwenden kann, um eine Erkennung zu vermeiden oder andere Abwehrmaßnahmen zu umgehen. Manchmal sind diese Aktionen mit oder Variationen von Techniken in anderen Kategorien identisch, die den zusätzlichen Vorteil haben, dass eine bestimmte Verteidigung oder Eindämmung unterwandert wird. |
| Discovery |
string |
„Ermittlung“ umfasst Techniken, die es dem Angreifer ermöglichen, Informationen über das System und das interne Netzwerk zu erlangen. Wenn Angreifer Zugriff auf ein neues System erhalten, müssen Sie sich an dem orientieren, was sie derzeit kontrollieren und welchen Nutzen der Betrieb aus diesem System heraus für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bietet. Das Betriebssystem stellt viele native Tools bereit, die in dieser Phase der Informationserfassung nach der Kompromittierung ausgenutzt werden können. |
| Execution |
string |
Als „Ausführung“ werden Techniken bezeichnet, die zur Ausführung von durch den Angreifer kontrolliertem Code auf einem lokalen System oder einem Remotesystem führen. Diese Taktik wird häufig in Verbindung mit Lateral-Movement verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern. |
| Exfiltration |
string |
„Extrafiltration" bezieht sich auf Techniken und Attribute, die das Entfernen von Dateien und Informationen aus einem Zielnetzwerk zur Folge haben oder dem Angreifer dies ermöglichen. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte. |
| Exploitation |
string |
Die Ausbeutung ist die Phase, in der ein Angreifer es schafft, mit der angegriffenen Ressource Fuß zu fassen. Diese Phase gilt nicht nur für Computehosts, sondern auch für Ressourcen wie Benutzerkonten, Zertifikate usw. Gegner können die Ressource häufig nach dieser Phase steuern. |
| Impact |
string |
Das primäre Ziel der Auswirkungsabsicht besteht darin, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren. einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betriebsprozess zu auswirken. Dies würde sich häufig auf Techniken wie Lösegeld, Verunstaltung, Datenmanipulation und andere beziehen. |
| LateralMovement |
string |
„Lateral-Movement“ umfasst Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und diese zu steuern. Die Ausführung von Tools auf Remotesystemen kann, muss jedoch nicht unbedingt möglich sein. Die Lateral-Movement-Techniken können einem Angreifer ermöglichen, Informationen von einem System zu erfassen, ohne dass zusätzliche Tools wie z.B. ein Remotezugriffstool erforderlich sind. Ein Angreifer kann Lateral-Movement für viele Zwecke verwenden, z.B., um Tools remote auszuführen, auf zusätzliche Systeme zu pivotieren, auf bestimmte Informationen oder Dateien zuzugreifen, auf zusätzliche Anmeldeinformationen zuzugreifen oder bestimmte Wirkungen zu erzielen. |
| Persistence |
string |
Persistenz ist jede Zugriffs-, Aktions- oder Konfigurationsänderung auf einem System, die einem Gegner eine dauerhafte Anwesenheit auf diesem System verleiht. Angreifer müssen häufig den Zugriff auf Systeme durch Unterbrechungen wie Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler beibehalten, die ein Remotezugriffstool zum Neustart oder alternative Backdoor erfordern würden, um den Zugriff wiederzuerlangen. |
| PrivilegeEscalation |
string |
„Rechteausweitung“ ist das Ergebnis von Aktionen, mit denen ein Angreifer eine höhere Berechtigungsebene für ein System oder ein Netzwerk erhält. Bestimmte Tools oder Aktionen erfordern eine höhere Berechtigungsebene und sind wahrscheinlich an vielen Punkten während eines Vorgangs erforderlich. Benutzerkonten, die über Berechtigungen für den Zugriff auf bestimmte Systeme verfügen oder bestimmte Funktionen ausführen, die für Angreifer erforderlich sind, um Ihr Ziel zu erreichen, können auch als „Rechteausweitung“ angesehen werden. |
| Probing |
string |
Die Überprüfung kann ein Versuch sein, auf eine bestimmte Ressource zuzugreifen, unabhängig von einer böswilligen Absicht oder ein fehlgeschlagener Versuch, Zugriff auf ein Zielsystem zu erhalten, um Vor der Ausnutzung Informationen zu sammeln. Dieser Schritt wird normalerweise als Versuch erkannt, der von außerhalb des Netzwerks stammt, um das Zielsystem zu scannen und einen Weg zu finden. |
| Unknown |
string |
Der Standardwert. |
MailboxEntity
Stellt eine Postfachentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mailbox |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.displayName |
string |
Der Anzeigename des Postfachs |
| properties.externalDirectoryObjectId |
string |
Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Kontoentität, aber diese Eigenschaft ist spezifisch für das Postfachobjekt auf der Office-Seite. |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.mailboxPrimaryAddress |
string |
Die primäre Adresse des Postfachs |
| properties.upn |
string |
Der UPN des Postfachs |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
MailClusterEntity
Stellt eine E-Mail-Clusterentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mail |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.clusterGroup |
string |
Die Clustergruppe |
| properties.clusterQueryEndTime |
string |
Endzeit der Clusterabfrage |
| properties.clusterQueryStartTime |
string |
Startzeit der Clusterabfrage |
| properties.clusterSourceIdentifier |
string |
Die ID der Clusterquelle |
| properties.clusterSourceType |
string |
Der Typ der Clusterquelle |
| properties.countByDeliveryStatus |
object |
Anzahl der E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung |
| properties.countByProtectionStatus |
object |
Anzahl der E-Mail-Nachrichten nach ProtectionStatus-Zeichenfolgendarstellung |
| properties.countByThreatType |
object |
Anzahl der E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.isVolumeAnomaly |
boolean |
Handelt es sich um einen Volumeanomalie-E-Mail-Cluster? |
| properties.mailCount |
integer |
Die Anzahl der E-Mail-Nachrichten, die Teil des E-Mail-Clusters sind |
| properties.networkMessageIds |
string[] |
Die E-Mail-Nachrichten-IDs, die Teil des E-Mail-Clusters sind |
| properties.query |
string |
Die Abfrage, die verwendet wurde, um die Nachrichten des E-Mail-Clusters zu identifizieren. |
| properties.queryTime |
string |
Die Abfragezeit |
| properties.source |
string |
Die Quelle des E-Mail-Clusters (Standardwert ist "O365 ATP") |
| properties.threats |
string[] |
Die Bedrohungen von E-Mail-Nachrichten, die Teil des E-Mail-Clusters sind |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
MailMessageEntity
Stellt eine E-Mail-Nachrichtenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mail |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.antispamDirection |
Die Richtungsrichtung dieser E-Mail-Nachricht |
|
| properties.bodyFingerprintBin1 |
integer |
BodyFingerprintBin1 |
| properties.bodyFingerprintBin2 |
integer |
BodyFingerprintBin2 |
| properties.bodyFingerprintBin3 |
integer |
BodyFingerprintBin3 |
| properties.bodyFingerprintBin4 |
integer |
BodyFingerprintBin4 |
| properties.bodyFingerprintBin5 |
integer |
BodyFingerprintBin5 |
| properties.deliveryAction |
Die Übermittlungsaktion dieser E-Mail-Nachricht wie Zugestellt, Blockiert, Ersetzt usw. |
|
| properties.deliveryLocation |
Der Übermittlungsort dieser E-Mail-Nachricht wie Posteingang, JunkFolder usw. |
|
| properties.fileEntityIds |
string[] |
Die Dateientitäts-IDs der Anlagen dieser E-Mail-Nachricht |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.internetMessageId |
string |
Die Internetnachrichten-ID dieser E-Mail-Nachricht |
| properties.language |
string |
Die Sprache dieser E-Mail-Nachricht |
| properties.networkMessageId |
string |
Die Netzwerknachrichten-ID dieser E-Mail-Nachricht |
| properties.p1Sender |
string |
Die E-Mail-Adresse des P1-Absenders |
| properties.p1SenderDisplayName |
string |
Anzeigename des p1-Absenders |
| properties.p1SenderDomain |
string |
Domäne des p1-Absenders |
| properties.p2Sender |
string |
Die E-Mail-Adresse des p2-Absenders |
| properties.p2SenderDisplayName |
string |
Anzeigename des p2-Absenders |
| properties.p2SenderDomain |
string |
Die Domäne des p2-Absenders |
| properties.receiveDate |
string |
Das Empfangsdatum dieser Nachricht |
| properties.recipient |
string |
Der Empfänger dieser E-Mail-Nachricht. Beachten Sie, dass bei mehreren Empfängern die E-Mail-Nachricht gezweigt wird und jede Kopie einen Empfänger hat. |
| properties.senderIP |
string |
Die IP-Adresse des Absenders |
| properties.subject |
string |
Der Betreff dieser E-Mail-Nachricht |
| properties.threatDetectionMethods |
string[] |
Die Methoden zur Bedrohungserkennung |
| properties.threats |
string[] |
Die Bedrohungen dieser E-Mail-Nachricht |
| properties.urls |
string[] |
Die in dieser E-Mail-Nachricht enthaltenen URLs |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
MalwareEntity
Stellt eine Schadsoftwareentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Malware |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.category |
string |
Die Malware-Kategorie nach dem Anbieter, z.B. Trojaner |
| properties.fileEntityIds |
string[] |
Liste der verknüpften Dateientitätsbezeichner, auf denen die Schadsoftware gefunden wurde |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.malwareName |
string |
Der Malware-Name des Anbieters, z.B. Win32/Toga!rfn |
| properties.processEntityIds |
string[] |
Liste der verknüpften Prozessentitätsbezeichner, auf denen die Schadsoftware gefunden wurde. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
OSFamily
Der Betriebssystemtyp.
| Name | Typ | Beschreibung |
|---|---|---|
| Android |
string |
Hosten sie mit dem Android-Betriebssystem. |
| IOS |
string |
Hosten sie mit IOS-Betriebssystem. |
| Linux |
string |
Hosten mit Linux-Betriebssystem. |
| Unknown |
string |
Hosten sie mit unbekanntem Betriebssystem. |
| Windows |
string |
Hosten mit Windows-Betriebssystem. |
ProcessEntity
Stellt eine Prozessentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Process |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.accountEntityId |
string |
Die Kontoentitäts-ID, die die Prozesse ausführt. |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.commandLine |
string |
Die Zum Erstellen des Prozesses verwendete Befehlszeile |
| properties.creationTimeUtc |
string |
Der Zeitpunkt, zu dem der Prozess gestartet wurde |
| properties.elevationToken |
Das dem Prozess zugeordnete Erhöhungstoken. |
|
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hostEntityId |
string |
Die Hostentitäts-ID, auf der der Prozess ausgeführt wurde. |
| properties.hostLogonSessionEntityId |
string |
Die Sitzungsentitäts-ID, in der der Prozess ausgeführt wurde |
| properties.imageFileEntityId |
string |
Entitäts-ID der Imagedatei |
| properties.parentProcessEntityId |
string |
Die Entitäts-ID des übergeordneten Prozesses. |
| properties.processId |
string |
Die Prozess-ID |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
RegistryHive
die Struktur, die den Registrierungsschlüssel enthält.
| Name | Typ | Beschreibung |
|---|---|---|
| HKEY_A |
string |
HKEY_A |
| HKEY_CLASSES_ROOT |
string |
HKEY_CLASSES_ROOT |
| HKEY_CURRENT_CONFIG |
string |
HKEY_CURRENT_CONFIG |
| HKEY_CURRENT_USER |
string |
HKEY_CURRENT_USER |
| HKEY_CURRENT_USER_LOCAL_SETTINGS |
string |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
| HKEY_LOCAL_MACHINE |
string |
HKEY_LOCAL_MACHINE |
| HKEY_PERFORMANCE_DATA |
string |
HKEY_PERFORMANCE_DATA |
| HKEY_PERFORMANCE_NLSTEXT |
string |
HKEY_PERFORMANCE_NLSTEXT |
| HKEY_PERFORMANCE_TEXT |
string |
HKEY_PERFORMANCE_TEXT |
| HKEY_USERS |
string |
HKEY_USERS |
RegistryKeyEntity
Stellt eine Registrierungsschlüsselentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Registry |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.hive |
die Struktur, die den Registrierungsschlüssel enthält. |
|
| properties.key |
string |
Der Registrierungsschlüsselpfad. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
RegistryValueEntity
Stellt eine Registrierungswertentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Registry |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.keyEntityId |
string |
Die Entitäts-ID des Registrierungsschlüssels. |
| properties.valueData |
string |
Zeichenfolgenformatierte Darstellung der Wertdaten. |
| properties.valueName |
string |
Der Name des Registrierungswerts. |
| properties.valueType |
Gibt die Datentypen an, die zum Speichern von Werten in der Registrierung verwendet werden, oder bestimmt den Datentyp eines Werts in der Registrierung. |
|
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
RegistryValueKind
Gibt die Datentypen an, die zum Speichern von Werten in der Registrierung verwendet werden, oder bestimmt den Datentyp eines Werts in der Registrierung.
| Name | Typ | Beschreibung |
|---|---|---|
| Binary |
string |
Binärwerttyp |
| DWord |
string |
DWord-Werttyp |
| ExpandString |
string |
ExpandString-Werttyp |
| MultiString |
string |
MultiString-Werttyp |
| None |
string |
Keine |
| QWord |
string |
QWord-Werttyp |
| String |
string |
Zeichenfolgenwerttyp |
| Unknown |
string |
Unbekannter Werttyp |
SecurityAlert
Stellt eine Entität für Sicherheitswarnungen dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind | string: |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.alertDisplayName |
string |
Der Anzeigename der Warnung. |
| properties.alertLink |
string |
Der URI-Link der Warnung. |
| properties.alertType |
string |
Der Typname der Warnung. |
| properties.compromisedEntity |
string |
Anzeigename der Standard Entität, für die gemeldet wird. |
| properties.confidenceLevel |
Das Konfidenzniveau dieser Warnung. |
|
| properties.confidenceReasons |
Die Vertrauensgründe |
|
| properties.confidenceScore |
number |
Die Konfidenzbewertung der Warnung. |
| properties.confidenceScoreStatus |
Die Berechnung des Konfidenzwerts status, d. h. die Angabe, ob die Bewertungsberechnung für diese Warnung aussteht, nicht zutreffend oder endgültig ist. |
|
| properties.description |
string |
Warnungsbeschreibung. |
| properties.endTimeUtc |
string |
Die Auswirkungsendzeit der Warnung (der Zeitpunkt des letzten Ereignisses, das zur Warnung beigetragen hat). |
| properties.friendlyName |
string |
Der Graphelementanzeigename, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.intent |
Enthält die Zuordnung der Warnungsabsichtsstufe(en) für diese Warnung. |
|
| properties.processingEndTime |
string |
Der Zeitpunkt, zu dem die Warnung für den Verbrauch zur Verfügung gestellt wurde. |
| properties.productComponentName |
string |
Der Name einer Komponente im Produkt, die die Warnung generiert hat. |
| properties.productName |
string |
Der Name des Produkts, das diese Warnung veröffentlicht hat. |
| properties.productVersion |
string |
Die Version des Produkts, das die Warnung generiert. |
| properties.providerAlertId |
string |
Der Bezeichner der Warnung innerhalb des Produkts, das die Warnung generiert hat. |
| properties.remediationSteps |
string[] |
Manuelle Aktionselemente zum Beheben der Warnung. |
| properties.resourceIdentifiers |
object[] |
Die Liste der Ressourcenbezeichner der Warnung. |
| properties.severity |
Der Schweregrad der Warnung |
|
| properties.startTimeUtc |
string |
Die Auswirkungsstartzeit der Warnung (die Zeit des ersten Ereignisses, das zur Warnung beiträgt). |
| properties.status |
Der Lebenszyklus status der Warnung. |
|
| properties.systemAlertId |
string |
Enthält den Produktbezeichner der Warnung für das Produkt. |
| properties.tactics |
Die Taktik der Warnung |
|
| properties.timeGenerated |
string |
Der Zeitpunkt, zu dem die Warnung generiert wurde. |
| properties.vendorName |
string |
Der Name des Anbieters, der die Warnung ausgelöst hat. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
SecurityGroupEntity
Stellt eine Sicherheitsgruppenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Security |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.distinguishedName |
string |
Der Distinguished Name der Gruppe |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.objectGuid |
string |
Ein einwertiges Attribut, das der eindeutige Bezeichner für das Objekt ist, das von Active Directory zugewiesen wird. |
| properties.sid |
string |
Das SID-Attribut ist ein einwertiges Attribut, das die Sicherheits-ID (SID) der Gruppe angibt. |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
SubmissionMailEntity
Stellt eine Übermittlungs-E-Mail-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Submission |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Graphelementanzeigename, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.networkMessageId |
string |
Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört |
| properties.recipient |
string |
Der Empfänger der E-Mail |
| properties.reportType |
string |
Der Übermittlungstyp für die angegebene Instanz. Dies wird Junk, Phish, Malware oder NotJunk zugeordnet. |
| properties.sender |
string |
Der Absender der E-Mail |
| properties.senderIp |
string |
Die IP-Adresse des Absenders |
| properties.subject |
string |
Der Betreff der Übermittlungs-E-Mail |
| properties.submissionDate |
string |
Das Übermittlungsdatum |
| properties.submissionId |
string |
Die Übermittlungs-ID |
| properties.submitter |
string |
Der Übermittlungser |
| properties.timestamp |
string |
Der Zeitstempel, wenn die Nachricht empfangen wird (E-Mail) |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
systemData
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
| Name | Typ | Beschreibung |
|---|---|---|
| createdAt |
string |
Der Zeitstempel der Ressourcenerstellung (UTC). |
| createdBy |
string |
Die Identität, die die Ressource erstellt hat. |
| createdByType |
Der Identitätstyp, der die Ressource erstellt hat. |
|
| lastModifiedAt |
string |
Der Zeitstempel der letzten Änderung der Ressource (UTC) |
| lastModifiedBy |
string |
Die Identität, die die Ressource zuletzt geändert hat. |
| lastModifiedByType |
Der Identitätstyp, der die Ressource zuletzt geändert hat. |
ThreatIntelligence
ThreatIntelligence-Eigenschaft.
| Name | Typ | Beschreibung |
|---|---|---|
| confidence |
number |
Vertrauen (muss zwischen 0 und 1 sein) |
| providerName |
string |
Name des Anbieters, von dem diese Threat Intelligence-Informationen empfangen wurden |
| reportLink |
string |
Berichtslink |
| threatDescription |
string |
Bedrohungsbeschreibung (Freitext) |
| threatName |
string |
Bedrohungsname (z. B. "Jedobot-Malware") |
| threatType |
string |
Bedrohungstyp (z. B. "Botnet") |
UrlEntity
Stellt eine URL-Entität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Url |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
| properties.friendlyName |
string |
Der Graphelementanzeigename, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.url |
string |
Eine vollständige URL, auf die die Entität verweist |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
UserInfo
Benutzerinformationen, die eine Aktion ausgeführt haben
| Name | Typ | Beschreibung |
|---|---|---|
|
string |
Die E-Mail-Adresse des Benutzers. |
|
| name |
string |
Der Name des Benutzers. |
| objectId |
string |
Die Objekt-ID des Benutzers. |