Incidents - List Entities
Obtiene todas las entidades de un incidente.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/entities?api-version=2024-03-01
Parámetros de identificador URI
Nombre | En | Requerido | Tipo | Description |
---|---|---|---|---|
incident
|
path | True |
string |
Identificador de incidente |
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
subscription
|
path | True |
string uuid |
Identificador de la suscripción de destino. El valor debe ser un UUID. |
workspace
|
path | True |
string |
El nombre del área de trabajo. Regex pattern: |
api-version
|
query | True |
string |
Versión de API que se usará para la operación. |
Respuestas
Nombre | Tipo | Description |
---|---|---|
200 OK |
Aceptar |
|
Other Status Codes |
Respuesta de error que describe el motivo del error de la operación. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nombre | Description |
---|---|
user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Gets all incident related entities
Sample Request
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/entities?api-version=2024-03-01
Sample Response
{
"entities": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain"
}
}
],
"metaData": [
{
"entityKind": "Account",
"count": 1
}
]
}
Definiciones
Nombre | Description |
---|---|
Account |
Representa una entidad de cuenta. |
Alert |
La gravedad de la alerta |
Alert |
Estado del ciclo de vida de la alerta. |
Antispam |
Direccionalidad de este mensaje de correo |
Attack |
Gravedad de las alertas creadas por esta regla de alertas. |
Azure |
Representa una entidad de recursos de Azure. |
Cloud |
Representa una entidad de aplicación en la nube. |
Cloud |
Estructura de respuesta de error. |
Cloud |
Detalles del error. |
Confidence |
Nivel de confianza de esta alerta. |
Confidence |
Las razones de confianza |
Confidence |
El estado de cálculo de la puntuación de confianza, es decir, que indica si el cálculo de puntuación está pendiente para esta alerta, no es aplicable o final. |
created |
Tipo de identidad que creó el recurso. |
Delivery |
La acción de entrega de este mensaje de correo, como Entregado, Bloqueado, Reemplazado, etc. |
Delivery |
La ubicación de entrega de este mensaje de correo, como Bandeja de entrada, JunkFolder, etc. |
Dns |
Representa una entidad dns. |
Elevation |
Token de elevación asociado con el proceso. |
Entity |
El tipo de la entidad agregada. |
File |
Representa una entidad de archivo. |
File |
Tipo de algoritmo hash. |
File |
Representa una entidad hash de archivo. |
Geo |
Contexto de ubicación geográfica asociado a la entidad ip |
Host |
Representa una entidad host. |
Hunting |
Representa una entidad de marcador de búsqueda. |
Incident |
Respuesta de entidades relacionadas con incidentes. |
Incident |
Información de una agregación específica en el resultado de las entidades relacionadas con el incidente. |
Incident |
Describe la información de incidentes relacionadas para el marcador. |
Incident |
Gravedad del incidente |
Io |
Representa una entidad de dispositivo IoT. |
Ip |
Representa una entidad ip. |
Kill |
Contiene la asignación de fases de intención de alerta para esta alerta. |
Mailbox |
Representa una entidad de buzón. |
Mail |
Representa una entidad de clúster de correo. |
Mail |
Representa una entidad de mensaje de correo. |
Malware |
Representa una entidad de malware. |
OSFamily |
Tipo de sistema operativo. |
Process |
Representa una entidad de proceso. |
Registry |
subárbol que contiene la clave del Registro. |
Registry |
Representa una entidad de clave del Registro. |
Registry |
Representa una entidad de valor del Registro. |
Registry |
Especifica los tipos de datos que se deben utilizar para almacenar valores en el Registro, o identifica el tipo de datos de un valor contenido en el Registro. |
Security |
Representa una entidad de alerta de seguridad. |
Security |
Representa una entidad de grupo de seguridad. |
Submission |
Representa una entidad de correo de envío. |
system |
Metadatos relacionados con la creación y la última modificación del recurso. |
Threat |
Bolsa de propiedades ThreatIntelligence. |
Url |
Representa una entidad url. |
User |
Información del usuario que realizó alguna acción |
AccountEntity
Representa una entidad de cuenta.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Account |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.aadTenantId |
string |
Identificador de inquilino de Azure Active Directory. |
properties.aadUserId |
string |
Identificador de usuario de Azure Active Directory. |
properties.accountName |
string |
Nombre de la cuenta. Este campo debe contener solo el nombre sin ningún dominio agregado a él, es decir, administrador. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.displayName |
string |
Nombre para mostrar de la cuenta. |
properties.dnsDomain |
string |
Nombre DNS del dominio completo. |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hostEntityId |
string |
Identificador de entidad de host que contiene la cuenta en caso de que sea una cuenta local (no unida a un dominio) |
properties.isDomainJoined |
boolean |
Determina si se trata de una cuenta de dominio. |
properties.ntDomain |
string |
Nombre de dominio netBIOS tal y como aparece en el formato de alerta: dominio\nombre de usuario. Ejemplos: NT AUTHORITY. |
properties.objectGuid |
string |
El atributo objectGUID es un atributo de valor único que es el identificador único del objeto, asignado por Active Directory. |
properties.puid |
string |
Identificador de usuario de Azure Active Directory Passport. |
properties.sid |
string |
Identificador de seguridad de la cuenta, por ejemplo, S-1-5-18. |
properties.upnSuffix |
string |
El sufijo de nombre principal de usuario de la cuenta, en algunos casos también es el nombre de dominio. Ejemplos: contoso.com. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
AlertSeverity
La gravedad de la alerta
Nombre | Tipo | Description |
---|---|---|
High |
string |
Gravedad alta |
Informational |
string |
Gravedad informativa |
Low |
string |
Low severity |
Medium |
string |
Gravedad media |
AlertStatus
Estado del ciclo de vida de la alerta.
Nombre | Tipo | Description |
---|---|---|
Dismissed |
string |
Alerta descartada como falso positivo |
InProgress |
string |
La alerta se está controlando |
New |
string |
Alerta nueva |
Resolved |
string |
Alerta cerrada después del control |
Unknown |
string |
Valor desconocido |
AntispamMailDirection
Direccionalidad de este mensaje de correo
Nombre | Tipo | Description |
---|---|---|
Inbound |
string |
Entrada |
Intraorg |
string |
Intraorg |
Outbound |
string |
Salida |
Unknown |
string |
Desconocido |
AttackTactic
Gravedad de las alertas creadas por esta regla de alertas.
Nombre | Tipo | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
AzureResourceEntity
Representa una entidad de recursos de Azure.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Azure |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.resourceId |
string |
El identificador de recurso de Azure del recurso |
properties.subscriptionId |
string |
Identificador de suscripción del recurso |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
CloudApplicationEntity
Representa una entidad de aplicación en la nube.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Cloud |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.appId |
integer |
Identificador técnico de la aplicación. |
properties.appName |
string |
Nombre de la aplicación en la nube relacionada. |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.instanceName |
string |
Nombre de instancia definido por el usuario de la aplicación en la nube. A menudo se usa para distinguir entre varias aplicaciones del mismo tipo que tiene un cliente. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
CloudError
Estructura de respuesta de error.
Nombre | Tipo | Description |
---|---|---|
error |
Datos inválidos |
CloudErrorBody
Detalles del error.
Nombre | Tipo | Description |
---|---|---|
code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
message |
string |
Mensaje que describe el error, diseñado para ser adecuado para su presentación en una interfaz de usuario. |
ConfidenceLevel
Nivel de confianza de esta alerta.
Nombre | Tipo | Description |
---|---|---|
High |
string |
Confianza alta de que la alerta es verdaderamente positiva malintencionada |
Low |
string |
Confianza baja, lo que significa que tenemos algunas dudas que esto es realmente malintencionado o parte de un ataque |
Unknown |
string |
Confianza desconocida, es el valor predeterminado. |
ConfidenceReasons
Las razones de confianza
Nombre | Tipo | Description |
---|---|---|
reason |
string |
Descripción del motivo |
reasonType |
string |
Tipo (categoría) del motivo |
ConfidenceScoreStatus
El estado de cálculo de la puntuación de confianza, es decir, que indica si el cálculo de puntuación está pendiente para esta alerta, no es aplicable o final.
Nombre | Tipo | Description |
---|---|---|
Final |
string |
La puntuación final se calculó y disponible |
InProcess |
string |
Todavía no se estableció ninguna puntuación y el cálculo está en curso |
NotApplicable |
string |
La puntuación no se calculará para esta alerta, ya que no es compatible con el analista virtual |
NotFinal |
string |
La puntuación se calcula y se muestra como parte de la alerta, pero puede actualizarse de nuevo más adelante después del procesamiento de datos adicionales. |
createdByType
Tipo de identidad que creó el recurso.
Nombre | Tipo | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
DeliveryAction
La acción de entrega de este mensaje de correo, como Entregado, Bloqueado, Reemplazado, etc.
Nombre | Tipo | Description |
---|---|---|
Blocked |
string |
Bloqueado |
Delivered |
string |
Delivered (Entregado) |
DeliveredAsSpam |
string |
DeliveredAsSpam |
Replaced |
string |
Reemplazados |
Unknown |
string |
Desconocido |
DeliveryLocation
La ubicación de entrega de este mensaje de correo, como Bandeja de entrada, JunkFolder, etc.
Nombre | Tipo | Description |
---|---|---|
DeletedFolder |
string |
DeletedFolder |
Dropped |
string |
Dropped |
External |
string |
Externo |
Failed |
string |
Con error |
Forwarded |
string |
Forwarded |
Inbox |
string |
Bandeja de entrada |
JunkFolder |
string |
JunkFolder |
Quarantine |
string |
Cuarentena |
Unknown |
string |
Desconocido |
DnsEntity
Representa una entidad dns.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Dns |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.dnsServerIpEntityId |
string |
Un identificador de entidad ip para el servidor dns que resuelve la solicitud |
properties.domainName |
string |
Nombre del registro dns asociado a la alerta. |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hostIpAddressEntityId |
string |
Un identificador de entidad ip para el cliente de solicitud dns |
properties.ipAddressEntityIds |
string[] |
Identificadores de entidad ip para la dirección IP resuelta. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
ElevationToken
Token de elevación asociado con el proceso.
Nombre | Tipo | Description |
---|---|---|
Default |
string |
Token de elevación predeterminado |
Full |
string |
Token de elevación completa |
Limited |
string |
Token de elevación limitado |
EntityKindEnum
El tipo de la entidad agregada.
Nombre | Tipo | Description |
---|---|---|
Account |
string |
La entidad representa la cuenta en el sistema. |
AzureResource |
string |
La entidad representa el recurso de Azure en el sistema. |
Bookmark |
string |
La entidad representa un marcador en el sistema. |
CloudApplication |
string |
La entidad representa la aplicación en la nube en el sistema. |
DnsResolution |
string |
La entidad representa la resolución dns en el sistema. |
File |
string |
La entidad representa el archivo en el sistema. |
FileHash |
string |
La entidad representa el hash de archivo en el sistema. |
Host |
string |
La entidad representa el host en el sistema. |
IoTDevice |
string |
La entidad representa el dispositivo IoT en el sistema. |
Ip |
string |
La entidad representa ip en el sistema. |
MailCluster |
string |
La entidad representa el clúster de correo en el sistema. |
MailMessage |
string |
La entidad representa el mensaje de correo en el sistema. |
Mailbox |
string |
La entidad representa el buzón del sistema. |
Malware |
string |
La entidad representa malware en el sistema. |
Process |
string |
La entidad representa el proceso en el sistema. |
RegistryKey |
string |
La entidad representa la clave del Registro en el sistema. |
RegistryValue |
string |
La entidad representa el valor del Registro en el sistema. |
SecurityAlert |
string |
La entidad representa una alerta de seguridad en el sistema. |
SecurityGroup |
string |
La entidad representa el grupo de seguridad en el sistema. |
SubmissionMail |
string |
La entidad representa el correo de envío en el sistema. |
Url |
string |
La entidad representa la dirección URL en el sistema. |
FileEntity
Representa una entidad de archivo.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
File |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.directory |
string |
Ruta de acceso completa al archivo. |
properties.fileHashEntityIds |
string[] |
Identificadores de entidad hash de archivo asociados a este archivo |
properties.fileName |
string |
Nombre de archivo sin ruta de acceso (es posible que algunas alertas no incluyan ruta de acceso). |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hostEntityId |
string |
Identificador de entidad de host al que pertenece el archivo |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
FileHashAlgorithm
Tipo de algoritmo hash.
Nombre | Tipo | Description |
---|---|---|
MD5 |
string |
Tipo hash MD5 |
SHA1 |
string |
Tipo hash SHA1 |
SHA256 |
string |
Tipo hash SHA256 |
SHA256AC |
string |
Tipo hash SHA256 Authenticode |
Unknown |
string |
Algoritmo hash desconocido |
FileHashEntity
Representa una entidad hash de archivo.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
File |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.algorithm |
Tipo de algoritmo hash. |
|
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hashValue |
string |
Valor hash de archivo. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
GeoLocation
Contexto de ubicación geográfica asociado a la entidad ip
Nombre | Tipo | Description |
---|---|---|
asn |
integer |
Número de sistema autónomo |
city |
string |
Nombre de la ciudad |
countryCode |
string |
Código de país según el formato ISO 3166 |
countryName |
string |
Nombre de país según ISO 3166 Alpha 2: la minúscula del nombre corto en inglés |
latitude |
number |
Longitud de la ubicación identificada, expresada como un número de punto flotante con un intervalo de -180 a 180, con números positivos que representan este y números negativos que representan oeste. La latitud y la longitud se derivan de la ciudad o el código postal. |
longitude |
number |
Latitud de la ubicación identificada, expresada como un número de punto flotante con un intervalo de - 90 a 90, con números positivos que representan norte y números negativos que representan sur. La latitud y la longitud se derivan de la ciudad o el código postal. |
state |
string |
Nombre del estado |
HostEntity
Representa una entidad host.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Host |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.azureID |
string |
Identificador de recurso de Azure de la máquina virtual. |
properties.dnsDomain |
string |
Dominio DNS al que pertenece este host. Debe contener el sufijo DNS de competencia para el dominio. |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hostName |
string |
Nombre del host sin el sufijo de dominio. |
properties.isDomainJoined |
boolean |
Determina si este host pertenece a un dominio. |
properties.netBiosName |
string |
Nombre de host (pre-windows2000). |
properties.ntDomain |
string |
Dominio NT al que pertenece este host. |
properties.omsAgentID |
string |
Identificador del agente de OMS, si el host tiene instalado el agente de OMS. |
properties.osFamily |
Tipo de sistema operativo. |
|
properties.osVersion |
string |
Representación de texto libre del sistema operativo. Este campo está diseñado para contener versiones específicas que son más específicas que los valores de OSFamily o futuros no admitidos por la enumeración OSFamily |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
HuntingBookmark
Representa una entidad de marcador de búsqueda.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Bookmark |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.created |
string |
Hora en que se creó el marcador |
properties.createdBy |
Describe un usuario que creó el marcador. |
|
properties.displayName |
string |
Nombre para mostrar del marcador |
properties.eventTime |
string |
Hora del evento |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.incidentInfo |
Describe un incidente relacionado con el marcador. |
|
properties.labels |
string[] |
Lista de etiquetas relevantes para este marcador |
properties.notes |
string |
Notas del marcador |
properties.query |
string |
Consulta del marcador. |
properties.queryResult |
string |
Resultado de la consulta del marcador. |
properties.updated |
string |
La última vez que se actualizó el marcador |
properties.updatedBy |
Describe un usuario que actualizó el marcador. |
|
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
IncidentEntitiesResponse
Respuesta de entidades relacionadas con incidentes.
Nombre | Tipo | Description |
---|---|---|
entities |
Entity[]:
|
Matriz de las entidades relacionadas con el incidente. |
metaData |
Los metadatos de los resultados de las entidades relacionadas con el incidente. |
IncidentEntitiesResultsMetadata
Información de una agregación específica en el resultado de las entidades relacionadas con el incidente.
Nombre | Tipo | Description |
---|---|---|
count |
integer |
Número total de agregaciones del tipo especificado en el resultado de las entidades relacionadas con el incidente. |
entityKind |
Tipo de la entidad agregada. |
IncidentInfo
Describe la información de incidentes relacionadas para el marcador.
Nombre | Tipo | Description |
---|---|---|
incidentId |
string |
Identificador de incidente |
relationName |
string |
Nombre de relación |
severity |
Gravedad del incidente |
|
title |
string |
Título del incidente |
IncidentSeverity
Gravedad del incidente
Nombre | Tipo | Description |
---|---|---|
High |
string |
Gravedad alta |
Informational |
string |
Gravedad informativa |
Low |
string |
Low severity |
Medium |
string |
Gravedad media |
IoTDeviceEntity
Representa una entidad de dispositivo IoT.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Io |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.deviceId |
string |
Identificador del dispositivo IoT en el IoT Hub |
properties.deviceName |
string |
Nombre descriptivo del dispositivo |
properties.deviceType |
string |
El tipo del dispositivo |
properties.edgeId |
string |
El identificador del dispositivo perimetral |
properties.firmwareVersion |
string |
La versión de firmware del dispositivo |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hostEntityId |
string |
Identificador de entidad de host de este dispositivo |
properties.iotHubEntityId |
string |
Identificador de la entidad AzureResource del IoT Hub |
properties.iotSecurityAgentId |
string |
El identificador del agente de seguridad que se ejecuta en el dispositivo |
properties.ipAddressEntityId |
string |
Entidad IP si es de este dispositivo. |
properties.macAddress |
string |
La dirección MAC del dispositivo |
properties.model |
string |
El modelo del dispositivo |
properties.operatingSystem |
string |
El sistema operativo del dispositivo |
properties.protocols |
string[] |
Lista de protocolos de la entidad IoTDevice. |
properties.serialNumber |
string |
Número de serie del dispositivo |
properties.source |
string |
Origen del dispositivo |
properties.threatIntelligence |
Lista de contextos de TI asociados a la entidad IoTDevice. |
|
properties.vendor |
string |
Proveedor del dispositivo |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
IpEntity
Representa una entidad ip.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Ip |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.address |
string |
La dirección IP como cadena, por ejemplo, 127.0.0.1 (ya sea en Ipv4 o Ipv6). |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.location |
Contexto de ubicación geográfica asociado a la entidad ip |
|
properties.threatIntelligence |
Lista de contextos de TI adjuntos a la entidad ip. |
|
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
KillChainIntent
Contiene la asignación de fases de intención de alerta para esta alerta.
Nombre | Tipo | Description |
---|---|---|
Collection |
string |
La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
CommandAndControl |
string |
La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino. |
CredentialAccess |
string |
El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial. Los adversarios probablemente intentarán obtener credenciales legítimas de usuarios o cuentas de administrador (administrador del sistema local o usuarios del dominio con acceso de administrador) para usarlas dentro de la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
DefenseEvasion |
string |
La evasión defensiva consiste en una serie de técnicas que un adversario puede usar para evadir la detección o evitar otras defensas. A veces, estas acciones son iguales o variaciones de técnicas en otras categorías que tienen la ventaja adicional de subvertir una defensa o mitigación determinada. |
Discovery |
string |
La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen el control y lo que las ventajas que aportan ese sistema a su objetivo actual o a sus objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recopilación de información que se pone en peligro. |
Execution |
string |
La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. Esta táctica suele usarse junto con el movimiento lateral para expandir el acceso a los sistemas remotos de una red. |
Exfiltration |
string |
La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
Exploitation |
string |
La explotación es la fase en la que un atacante logra mantenerse en el recurso atacado. Esta fase es aplicable no solo para hosts de proceso, sino también para recursos como cuentas de usuario, certificados, etc. Los adversarios a menudo podrán controlar el recurso después de esta fase. |
Impact |
string |
El objetivo principal de la intención de impacto es reducir directamente la disponibilidad o integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto a menudo se referiría a técnicas como el rescate-ware, la desfase, la manipulación de datos y otros. |
LateralMovement |
string |
El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, la dinamización de sistemas adicionales, el acceso a información específica o archivos, el acceso a credenciales adicionales o la causa de un efecto. |
Persistence |
string |
La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un adversario una presencia persistente en ese sistema. Los adversarios a menudo tendrán que mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requerirían una herramienta de acceso remoto para reiniciar o la puerta trasera alternativa para que recuperen el acceso. |
PrivilegeEscalation |
string |
La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Ciertas herramientas o acciones requieren un mayor nivel de privilegios para trabajar y es probable que necesiten muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios alcancen su objetivo también se pueden considerar como una elevación de privilegios. |
Probing |
string |
El sondeo podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Normalmente, este paso se detecta como un intento que se origina desde fuera de la red al intentar examinar el sistema de destino y encontrar una manera de hacerlo. |
Unknown |
string |
Valor predeterminado. |
MailboxEntity
Representa una entidad de buzón.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Mailbox |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.displayName |
string |
Nombre para mostrar del buzón |
properties.externalDirectoryObjectId |
string |
Identificador de AzureAD del buzón. Similar a AadUserId en la entidad de cuenta, pero esta propiedad es específica del objeto mailbox en office |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.mailboxPrimaryAddress |
string |
Dirección principal del buzón |
properties.upn |
string |
UPN del buzón |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
MailClusterEntity
Representa una entidad de clúster de correo.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Mail |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.clusterGroup |
string |
El grupo de clústeres |
properties.clusterQueryEndTime |
string |
Hora de finalización de la consulta del clúster |
properties.clusterQueryStartTime |
string |
Hora de inicio de la consulta de clúster |
properties.clusterSourceIdentifier |
string |
Identificador del origen del clúster |
properties.clusterSourceType |
string |
Tipo del origen del clúster |
properties.countByDeliveryStatus |
object |
Recuento de mensajes de correo por representación de cadena deliveryStatus |
properties.countByProtectionStatus |
object |
Recuento de mensajes de correo por representación de cadena ProtectionStatus |
properties.countByThreatType |
object |
Recuento de mensajes de correo por representación de cadena ThreatType |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.isVolumeAnomaly |
boolean |
¿Se trata de un clúster de correo de anomalías de volumen? |
properties.mailCount |
integer |
Número de mensajes de correo que forman parte del clúster de correo |
properties.networkMessageIds |
string[] |
Identificadores de mensaje de correo que forman parte del clúster de correo |
properties.query |
string |
Consulta que se usó para identificar los mensajes del clúster de correo |
properties.queryTime |
string |
Hora de la consulta |
properties.source |
string |
El origen del clúster de correo (el valor predeterminado es "ATP de O365") |
properties.threats |
string[] |
Amenazas de mensajes de correo que forman parte del clúster de correo |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
MailMessageEntity
Representa una entidad de mensaje de correo.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Mail |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.antispamDirection |
Direccionalidad de este mensaje de correo |
|
properties.bodyFingerprintBin1 |
integer |
BodyFingerprintBin1 |
properties.bodyFingerprintBin2 |
integer |
BodyFingerprintBin2 |
properties.bodyFingerprintBin3 |
integer |
BodyFingerprintBin3 |
properties.bodyFingerprintBin4 |
integer |
BodyFingerprintBin4 |
properties.bodyFingerprintBin5 |
integer |
BodyFingerprintBin5 |
properties.deliveryAction |
La acción de entrega de este mensaje de correo, como Entregado, Bloqueado, Reemplazado, etc. |
|
properties.deliveryLocation |
La ubicación de entrega de este mensaje de correo, como Bandeja de entrada, JunkFolder, etc. |
|
properties.fileEntityIds |
string[] |
Identificadores de entidad de archivo de los datos adjuntos de este mensaje de correo |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.internetMessageId |
string |
Identificador de mensaje de Internet de este mensaje de correo |
properties.language |
string |
Idioma de este mensaje de correo |
properties.networkMessageId |
string |
Identificador de mensaje de red de este mensaje de correo |
properties.p1Sender |
string |
Dirección de correo electrónico del remitente p1 |
properties.p1SenderDisplayName |
string |
El nombre para mostrar del remitente p1 |
properties.p1SenderDomain |
string |
Dominio del remitente p1 |
properties.p2Sender |
string |
Dirección de correo electrónico del remitente p2 |
properties.p2SenderDisplayName |
string |
Nombre para mostrar del remitente p2 |
properties.p2SenderDomain |
string |
Dominio del remitente p2 |
properties.receiveDate |
string |
Fecha de recepción de este mensaje |
properties.recipient |
string |
Destinatario de este mensaje de correo. Tenga en cuenta que, en el caso de varios destinatarios, el mensaje de correo se bifurca y cada copia tiene un destinatario. |
properties.senderIP |
string |
Dirección IP del remitente |
properties.subject |
string |
Asunto de este mensaje de correo |
properties.threatDetectionMethods |
string[] |
Métodos de detección de amenazas |
properties.threats |
string[] |
Amenazas de este mensaje de correo |
properties.urls |
string[] |
Las direcciones URL contenidas en este mensaje de correo |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
MalwareEntity
Representa una entidad de malware.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Malware |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.category |
string |
La categoría de malware por parte del proveedor, por ejemplo, Trojan |
properties.fileEntityIds |
string[] |
Lista de identificadores de entidad de archivo vinculados en los que se encontró el malware |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.malwareName |
string |
El nombre de malware por el proveedor, por ejemplo, Win32/Toga!rfn |
properties.processEntityIds |
string[] |
Lista de identificadores de entidad de proceso vinculados en los que se encontró el malware. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
OSFamily
Tipo de sistema operativo.
Nombre | Tipo | Description |
---|---|---|
Android |
string |
Host con sistema operativo Android. |
IOS |
string |
Host con sistema operativo IOS. |
Linux |
string |
Host con sistema operativo Linux. |
Unknown |
string |
Host con sistema operativo desconocido. |
Windows |
string |
Host con sistema operativo Windows. |
ProcessEntity
Representa una entidad de proceso.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Process |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.accountEntityId |
string |
Identificador de entidad de cuenta que ejecuta los procesos. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.commandLine |
string |
La línea de comandos usada para crear el proceso |
properties.creationTimeUtc |
string |
Hora a la que se inició la ejecución del proceso |
properties.elevationToken |
Token de elevación asociado con el proceso. |
|
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hostEntityId |
string |
Identificador de entidad de host en el que se estaba ejecutando el proceso |
properties.hostLogonSessionEntityId |
string |
Identificador de entidad de sesión en el que se estaba ejecutando el proceso |
properties.imageFileEntityId |
string |
Identificador de entidad del archivo de imagen |
properties.parentProcessEntityId |
string |
Identificador de entidad del proceso primario. |
properties.processId |
string |
El identificador de proceso |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
RegistryHive
subárbol que contiene la clave del Registro.
Nombre | Tipo | Description |
---|---|---|
HKEY_A |
string |
HKEY_A |
HKEY_CLASSES_ROOT |
string |
HKEY_CLASSES_ROOT |
HKEY_CURRENT_CONFIG |
string |
HKEY_CURRENT_CONFIG |
HKEY_CURRENT_USER |
string |
HKEY_CURRENT_USER |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
string |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
HKEY_LOCAL_MACHINE |
string |
HKEY_LOCAL_MACHINE |
HKEY_PERFORMANCE_DATA |
string |
HKEY_PERFORMANCE_DATA |
HKEY_PERFORMANCE_NLSTEXT |
string |
HKEY_PERFORMANCE_NLSTEXT |
HKEY_PERFORMANCE_TEXT |
string |
HKEY_PERFORMANCE_TEXT |
HKEY_USERS |
string |
HKEY_USERS |
RegistryKeyEntity
Representa una entidad de clave del Registro.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Registry |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.hive |
subárbol que contiene la clave del Registro. |
|
properties.key |
string |
Ruta de acceso a la clave del Registro. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
RegistryValueEntity
Representa una entidad de valor del Registro.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Registry |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.keyEntityId |
string |
Identificador de entidad de clave del Registro. |
properties.valueData |
string |
Representación con formato de cadena de los datos de valor. |
properties.valueName |
string |
Nombre del valor del Registro. |
properties.valueType |
Especifica los tipos de datos que se deben utilizar para almacenar valores en el Registro, o identifica el tipo de datos de un valor contenido en el Registro. |
|
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
RegistryValueKind
Especifica los tipos de datos que se deben utilizar para almacenar valores en el Registro, o identifica el tipo de datos de un valor contenido en el Registro.
Nombre | Tipo | Description |
---|---|---|
Binary |
string |
Tipo de valor binario |
DWord |
string |
Tipo de valor DWord |
ExpandString |
string |
Tipo de valor ExpandString |
MultiString |
string |
Tipo de valor MultiString |
None |
string |
None |
QWord |
string |
Tipo de valor QWord |
String |
string |
Tipo de valor de cadena |
Unknown |
string |
Tipo de valor desconocido |
SecurityAlert
Representa una entidad de alerta de seguridad.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind | string: |
Tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
properties.alertDisplayName |
string |
Nombre para mostrar de la alerta. |
properties.alertLink |
string |
Vínculo URI de la alerta. |
properties.alertType |
string |
Nombre de tipo de la alerta. |
properties.compromisedEntity |
string |
Nombre para mostrar de la entidad principal en la que se notifica. |
properties.confidenceLevel |
Nivel de confianza de esta alerta. |
|
properties.confidenceReasons |
Los motivos de confianza |
|
properties.confidenceScore |
number |
Puntuación de confianza de la alerta. |
properties.confidenceScoreStatus |
Estado de cálculo de puntuación de confianza, es decir, que indica si el cálculo de puntuación está pendiente para esta alerta, no aplicable o final. |
|
properties.description |
string |
Descripción de la alerta. |
properties.endTimeUtc |
string |
Hora de finalización del impacto de la alerta (la hora del último evento que contribuye a la alerta). |
properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.intent |
Contiene la asignación de fases de intención de alerta para esta alerta. |
|
properties.processingEndTime |
string |
Hora en que la alerta estaba disponible para su consumo. |
properties.productComponentName |
string |
Nombre de un componente dentro del producto que generó la alerta. |
properties.productName |
string |
Nombre del producto que publicó esta alerta. |
properties.productVersion |
string |
Versión del producto que genera la alerta. |
properties.providerAlertId |
string |
Identificador de la alerta dentro del producto que generó la alerta. |
properties.remediationSteps |
string[] |
Elementos de acción manual que se deben llevar a cabo para corregir la alerta. |
properties.resourceIdentifiers |
object[] |
Lista de identificadores de recursos de la alerta. |
properties.severity |
La gravedad de la alerta |
|
properties.startTimeUtc |
string |
Hora de inicio del impacto de la alerta (la hora del primer evento que contribuye a la alerta). |
properties.status |
Estado del ciclo de vida de la alerta. |
|
properties.systemAlertId |
string |
Contiene el identificador de producto de la alerta para el producto. |
properties.tactics |
Tácticas de la alerta |
|
properties.timeGenerated |
string |
Hora en que se generó la alerta. |
properties.vendorName |
string |
Nombre del proveedor que genera la alerta. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
SecurityGroupEntity
Representa una entidad de grupo de seguridad.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Security |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.distinguishedName |
string |
Nombre distintivo del grupo |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.objectGuid |
string |
Atributo de valor único que es el identificador único del objeto, asignado por Active Directory. |
properties.sid |
string |
El atributo SID es un atributo de valor único que especifica el identificador de seguridad (SID) del grupo. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
SubmissionMailEntity
Representa una entidad de correo de envío.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Submission |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.networkMessageId |
string |
Identificador de mensaje de red del correo electrónico al que pertenece el envío |
properties.recipient |
string |
Destinatario del correo |
properties.reportType |
string |
Tipo de envío de la instancia especificada. Se asigna a Correo no deseado, Cebo, Malware o Correo deseado. |
properties.sender |
string |
Remitente del correo |
properties.senderIp |
string |
Dirección IP del remitente |
properties.subject |
string |
Asunto del correo de envío |
properties.submissionDate |
string |
Fecha de envío |
properties.submissionId |
string |
El identificador de envío |
properties.submitter |
string |
El remitente |
properties.timestamp |
string |
Marca de tiempo cuando se recibe el mensaje (correo) |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
systemData
Metadatos relacionados con la creación y la última modificación del recurso.
Nombre | Tipo | Description |
---|---|---|
createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
createdBy |
string |
Identidad que creó el recurso. |
createdByType |
Tipo de identidad que creó el recurso. |
|
lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |
ThreatIntelligence
Bolsa de propiedades ThreatIntelligence.
Nombre | Tipo | Description |
---|---|---|
confidence |
number |
Confianza (debe estar entre 0 y 1) |
providerName |
string |
Nombre del proveedor del que se recibió esta información de inteligencia sobre amenazas |
reportLink |
string |
Vínculo de informe |
threatDescription |
string |
Descripción de amenazas (texto libre) |
threatName |
string |
Nombre de amenaza (por ejemplo, "malware Jedobot") |
threatType |
string |
Tipo de amenaza (por ejemplo, "Botnet") |
UrlEntity
Representa una entidad url.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Url |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.url |
string |
Una dirección URL completa a la que apunta la entidad |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
UserInfo
Información del usuario que realizó alguna acción
Nombre | Tipo | Description |
---|---|---|
string |
el correo electrónico del usuario. |
|
name |
string |
Nombre del usuario. |
objectId |
string |
Identificador de objeto del usuario. |