Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tämä asiakirja sisältää kaksi tietojoukkoa, jotka koskevat Microsoft Sentinel entiteettejä ja entiteettityyppejä Azure-portaali ja Microsoft Sentinel Defender-portaalissa.
- Entiteettityypit ja tunnisteet -taulukko näyttää erilaiset entiteettityypit, jotka voidaan tunnistaa ilmoituksissa ja tapahtumissa, joten voit seurata ja tutkia niitä. Taulukossa näytetään myös kullekin entiteettityypille eri tunnisteet, joita voidaan käyttää entiteetin tunnistamiseen.
- Entiteettirakenne-osiossa näytetään entiteettien ja erityisesti entiteettityyppien tietorakenne ja rakenne.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Entiteettityypit ja tunnisteet
Seuraavassa taulukossa näytetään entiteettityypit, jotka Microsoft Sentinel tunnistavat, ja määritteet, joita voidaan käyttää kunkin entiteettityypin tunnisteina.
Microsoft Sentinel tunnistaa entiteetit hälytyksissä ja tapahtumissa, jotka on luotu entiteettien yhdistämismääritykselläanalytiikkasäännöissä. Se tunnistaa myös entiteetit, jotka on jo tunnistettu muista lähteistä saaduissa ilmoituksista.
Voit tällä hetkellä käyttää enintään kolmea tunnistetta tietylle entiteetille, kun luot entiteetin yhdistämismäärityksen Microsoft Sentinel. Vahvat tunnisteet yksinään riittävät yksilöimään entiteetin, kun taas heikot tunnisteet voivat tehdä sen vain yhdessä muiden tunnisteiden kanssa. Lue lisätietoja vahvoista ja heikoista tunnisteista. Useimpia tämän taulukon tunnisteita, mutta ei kaikkia tunnisteita, voidaan käyttää luotaessa entiteettien yhdistämismäärityksiä Microsoft Sentinel (katso alaviitteet).
| Entiteetin tyyppi | Tunnisteet | Vahvat tunnisteet | Heikot tunnisteet |
|---|---|---|---|
| Tili | Nimi Koko nimi * NTDomain DnsDomain UPNS-jälkiliite Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Nimi+Isäntä+NTToimialue ** Nimi+NTToimialue ** Nimi+DnsDomain PUID ObjectGuid |
Nimi |
| Isäntä | DnsDomain NTDomain Hostname Koko nimi * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Hostname NetBiosName |
| Entiteetin tyyppi | Tunnisteet | Vahvat tunnisteet | Heikot tunnisteet |
| IP | Osoite AddressScope |
Yleinen osoite: Osoite** Yksityinen osoite: Address+AddressScope** |
Yksityinen osoite: Osoite** |
| URL | Url | URL-osoite (jos absoluuttinen URL-osoite)** | URL-osoite (jos suhteellinen URL-osoite)** |
|
Azure resurssi (AzureResource) |
Resurssitunnus | Resurssitunnus | |
|
Pilvisovellus (CloudApplication) |
Appid Nimi InstanceName |
Appid Nimi AppId+InstanceName Name+InstanceName |
|
|
DNS-tarkkuus (DNS) |
Toimialueen nimi | DomainName+DnsServerIp+HostIpAddress | Toimialuenimi+IsäntävihjeOsoite |
| Tiedosto | Hakemisto Nimi |
Hakemisto ja nimi | |
|
Tiedoston hajautusarvo (TiedostoHash) |
Algoritmi Arvo |
Algoritmi+arvo | |
| Haittaohjelmien | Nimi Luokka |
Nimi+Luokka | |
| Entiteetin tyyppi | Tunnisteet | Vahvat tunnisteet | Heikot tunnisteet |
| Prosessi | ProcessId Komennossa KorkeuseronTunnus CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Isäntä+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ Tiedostohash |
ProcessId+CreationTimeUtc+ CommandLine (ei isäntää) ProcessId+CreationTimeUtc+ ImageFile (ei isäntää ) |
|
Rekisteriavain (Rekisteriavain) |
Pesää Avain |
Hive+Key | |
|
Rekisteriarvoa (RegistryValue) |
Nimi Arvo Arvon tyyppi |
Avain+Nimi | Nimi (ei avainta) |
|
Käyttöoikeusryhmä (SecurityGroup) |
DN-nimi SID ObjectGuid |
DN-nimi SID ObjectGuid |
|
| Postilaatikon | PostilaatikkoPrimaryOsoite Displayname Upn ExternalDirectoryObjectId Riskin tasaaminen |
PostilaatikkoPrimaryOsoite | |
| Entiteetin tyyppi | Tunnisteet | Vahvat tunnisteet | Heikot tunnisteet |
|
Postiklusteri (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Uhkia Kyselyn Kyselyn aika Postimäärä IsVolumeAnomaly Lähde ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Kysely+Lähde | |
|
Sähköpostiviesti (Postiviesti) |
Vastaanottaja Url Uhkia Lähettäjä P1Sender * P1SenderDisplayName * P1SenderDomain * Lähettäjänip P2Sender * P2SenderDisplayName * P2SenderDomain * Vastaanotettu päivämäärä Verkon viestitunnus InternetMessageId Aihe BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Kieli* ThreatDetectionMethods * |
NetworkMessageId+Vastaanottaja | |
|
Lähetyssähköposti (Lähetyssähköposti) |
Verkon viestitunnus Aikaleima Vastaanottaja Lähettäjä Lähettäjävihje Aihe Raportin tyyppi SubmissionId Lähetyksen päivämäärä Lähettäjä |
SubmissionId+NetworkMessageId+ Vastaanottaja+Lähettäjä |
|
| Sentinel entiteetit | Yhteisöt | Yhteisöt |
Taulukon alaviitteet:
- * Nämä tunnisteet näkyvät entiteettikartoituksessa käytettävien tunnisteiden luettelossa, mutta tarkkaan ottaen ne eivät ole osa entiteettirakennetta.
- ** Näitä tunnisteita pidetään vahvoina vain tietyissä olosuhteissa. Seuraa tähtien linkkejä, niin näet sovellettavat ehdot entiteetin luettelossa alla olevassa entiteettirakenteissa.
- Kursivoidut tunnisteiden nimet (ilman tähteä) edustavat sisäisiä entiteettejä, mikä tarkoittaa sitä, että yhdellä entiteettityypillä voi olla määritteinä muita entiteettityyppejä (katso alla oleva entiteettirakenteen osa). Tarkastele sisäisen entiteetin omaa rakennetta tunnisteen linkin avulla.
- Rakenteessa voi olla myös muita entiteettejä, joka on yleinen rakenne, joka tukee monia kohteita Microsoft Sentinel lisäksi. Tässä artikkelissa luetellaan vain Microsoft Sentinel käytettävissä olevat entiteetit.
Entiteettityyppirakenteet
Seuraavassa osiossa on tarkempi katsaus kunkin entiteettityypin kokonaisiin rakenteisiin. Huomaat, että monet näistä rakenteista sisältävät linkkejä muihin entiteettityyppeihin. Esimerkiksi Tili-rakenne sisältää linkin Isäntä-entiteettityyppiin, koska yksi käyttäjätilin määrite on isäntä, jolle se on määritetty. Näitä entiteettejä -as-attributes kutsutaan "sisäisiksi entiteeteiksi", eikä niitä voi käyttää entiteettien yhdistämisen tunnisteina, mutta ne ovat erittäin hyödyllisiä, kun annat kokonaiskuvan entiteeteistä entiteettisivuilla ja tutkimuskaaviossa.
Huomautus
Tyyppi-sarakkeen arvoa seuraava kysymysmerkki ilmaisee, että kenttä on tyhjäarvoinen.
Entiteettityyppien rakenteiden luettelo
- Tili
- Isäntä
- IP
- Haittaohjelmien
- Tiedosto
- Prosessi
- Pilvisovellus
- DNS-tarkkuus
- Azure resurssi
- Tiedoston hajautusarvo
- Rekisteriavain
- Rekisteriarvoa
- Käyttöoikeusryhmä
- URL
- IoT-laite
- Postilaatikon
- Postiklusteri
- Sähköpostiviesti
- Lähetyssähköposti
- Sentinel entiteetit
Tili
Entiteetin nimi: Tili
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'tili' |
| Name (Nimi) | Merkkijono | Tilin nimi. Tässä kentässä saa olla vain täydellinen käyttäjätunnus (UPN) -etuliite ilman, että siihen on lisätty toimialuetta. Esimerkki: UpN-kentässä user@contoso.comon vain user. |
| Koko nimi | -- | Ei ole osa rakennetta, sisältyy yhteensopivuuteen aiempien versioiden kanssa entiteetin yhdistämismäärityksen vanhan version kanssa. |
| NTDomain | Merkkijono | NETBIOS-toimialueen nimi sellaisena kuin se näkyy ilmoitusmuodossa – toimialue\käyttäjänimi. Esimerkkejä: Rahoitus, NT AUTHORITY |
| DnsDomain | Merkkijono | Täydellinen toimialueen DNS-nimi. Esimerkki: finance.contoso.com |
| UPNS-jälkiliite | Merkkijono | Tilin täydellisen nimen jälkiliite. Monissa tapauksissa upn-jälkiliite on myös toimialueen nimi. Esimerkki: contoso.com |
| Isäntä | Entiteetti (isäntä) | Isäntä, joka sisältää tilin, jos se on paikallinen tili. |
| Sid | Merkkijono | Tilin suojaustunnus. |
| AadTenantId | Guid? | Microsoft Entra vuokraajan tunnus, jos tiedossa. |
| AadUserId | Guid? | Microsoft Entra tilin objektitunnus, jos tiedossa. |
| PUID | Guid? | Microsoft Entra Passport-käyttäjätunnus, jos se on tiedossa. |
| IsDomainJoined | Bool? | Ilmaisee, onko tili toimialuetili. |
| Displayname | -- | Ei ole osa rakennetta, sisältyy yhteensopivuuteen aiempien versioiden kanssa entiteetin yhdistämismäärityksen vanhan version kanssa. |
| ObjectGuid | Guid? | objectGUID-määrite on yksiarvoinen määrite, joka on Active Directoryn määrittämä objektin yksilöllinen tunnus. |
| CloudAppAccountId | Merkkijono | AccountID CloudApp-palveluntarjoajan ilmoituksista. Viittaa kolmansien osapuolten sovellusten tilitunnuksiin, joita ei tueta muissa Microsoft-tuotteissa. |
| IsAnonymisoitu | Bool? | Ilmaisee, onko käyttäjänimi anonymisoitu. Valinnainen. Oletusarvo: false. |
| Stream | Stream | Tiettyyn tiliin liittyvien etsintälokien lähde. Valinnainen. |
Tärkeää
1.7.2026 alkaen Nimi-kentässä on johdonmukaisesti vain kaikkien tilien UPN-etuliite. Aiemmin se saattoi joskus sisältää koko täydellisen käyttäjänimi. Jos sinulla on automaatiosääntöjä, pelikirjoja tai kyselyitä, jotka vertaavat Nimeä täydelliseen täydelliseen käyttäjätunnusarvoon (esimerkiksi user@contoso.com), päivitä ne niin, että ne kokoavat koko arvonNAME UPNSuffix-arvosta(tai asianmukaisesta toimialuekentästä + ) tai käytät muita saatavilla olevia tietoja sen sijaan.
Tilientiteetin vahvat tunnisteet
- Nimi + UPNS-jälkiliite
- AadUserId
-
Sid
** Tämä tunnus on vahva, kunhan tili ei ole jokin alla olevassa Muistiossa luetelluista sisäisistä tileistä. -
Sid + Isäntä
** Kun tili on yksi alla olevassa Muistiossa luetelluista sisäisistä tileistä, isäntäosaa tarvitaan, jotta tämä tunnus olisi vahva. -
Nimi + NTToimialue
** Tämä yhdistelmä on vahva tunniste, kun tili on toimialuetili, koska NTDomain ei ole sisäinen toimialue/työryhmä ja se eroaa isäntänimestä. Tässä tapauksessa tämä on vahva tunniste myös ilman Isäntä-osaa. -
Nimi + NTDomain + Isäntä
** Isäntäosa on välttämätön vahvan tunnisteen luomiseksi, kun tili on paikallinen tili, mikä tarkoittaa sitä, että NTDomain on sisäinen toimialue/työryhmä. - Nimi + DnsDomain
- PUID
- ObjectGuid
Tilientiteetin heikot tunnisteet
- Nimi
Huomautus
Jos Tili-entiteetti on määritetty käyttämällä Nimi-tunnusta ja tietyn entiteetin Nimi-arvo on jokin seuraavista yleisistä, usein sisäisistä tilien nimistä, kyseinen entiteetti poistetaan sen ilmoituksesta.
- ADMIN
- JÄRJESTELMÄNVALVOJAN
- JÄRJESTELMÄ
- ROOT
- NIMETÖN
- TODENNETTU KÄYTTÄJÄ
- VERKON
- NULL
- PAIKALLINEN JÄRJESTELMÄ
- LOCALSYSTEM
- VERKKOPALVELU
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Isäntä
Entiteetin nimi: Isäntä
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'isäntä' |
| IpInterfaces | Luetteloentiteetti<(Ip)> | Luettelo kaikista isäntäkoneen IP-liittymästä. |
| DnsDomain | Merkkijono | DNS-toimialue, johon tämä isäntä kuuluu. Sen tulee sisältää toimialueen täydellinen DNS-jälkiliite, jos se on tiedossa. |
| NTDomain | Merkkijono | NT-toimialue, johon tämä isäntä kuuluu. |
| Hostname | Merkkijono | Isäntänimi ilman toimialueen jälkiliitettä. |
| NetBiosName | Merkkijono | Isäntänimi (ennen Windows 2000:aa). |
| IoTDevice | Entiteetti (IoT-laite) | IoT-laitteen entiteetti (jos tämä isäntä edustaa IoT-laitetta). |
| AzureID | Merkkijono | näennäiskoneen Azure resurssitunnus, jos tiedossa. |
| OMSAgentID | Merkkijono | OMS-agentin tunnus, jos isäntään on asennettu OMS-agentti. |
| OSFamily | Enum? | Yksi seuraavista arvoista: |
| OSVersion | Merkkijono | Käyttöjärjestelmän vapaamuotoinen esitysmuoto. Tämän kentän on tarkoitus sisältää tiettyjä versioita, jotka ovat hienorakeisempia kuin OSFamily, tai tulevia arvoja, joita OSFamily-luettelointi ei tue. |
| IsDomainJoined | Bool | Ilmaisee, kuuluuko tämä isäntä toimialueeseen. |
Isäntäentiteetin vahvat tunnisteet
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Isäntäentiteetin heikot tunnisteet
- Hostname
- NetBiosName
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
IP
Entiteetin nimi: IP
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'ip' |
| Isäntänimi | Merkkijono | IP-osoite merkkijonona (joko IPv4:ssä tai IPv6:ssa). Esimerkkejä: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | Merkkijono | Yksityisten, ei-yleisten IP-osoitteiden isännän, aliverkon tai yksityisen verkon nimi. Yleisten IP-osoitteiden tyhjäarvo tai tyhjä (oletus). Esimerkkejä: /27255.255.255.128 |
| Sijainti | Geolocation | IP-entiteettiin liitetty sijaintikonteksti. Lisätietoja on artikkelissa Entiteettien täydentäminen Microsoft Sentinel maantieteellisillä tiedoilla REST-ohjelmointirajapinnan kautta (julkinen esikatselu). |
| Stream | Stream | Tiettyyn IP-osoitteisiin liittyvien etsintälokien lähde. Valinnainen. |
IP-entiteetin vahvat tunnisteet
-
Isäntänimi
Kun IP-osoite on yleinen osoite, Osoitetunniste on yksilöllinen, vahva tunniste. -
Address + AddressScope
Yksityisissä tai sisäisissä IP-osoitteissa, jotka eivät ole yleisiä, AddressScope-komponentti vaaditaan, jotta tästä tulee vahva tunniste.
IP-entiteetin heikot tunnisteet
-
Isäntänimi
Osoitetunnus on heikko tunniste, kun IP-osoite on yksityinen/sisäinen, ei-yleinen IP-osoite.
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Haittaohjelmien
Entiteetin nimi: Haittaohjelma
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | "haittaohjelma" |
| Name (Nimi) | Merkkijono | Haittaohjelmanimi, jonka on määrittänyt (tunnistaminen?), kuten Win32/Toga!rfn. |
| Luokka | Merkkijono | Esimerkiksi (havaitseminen?) myyjän määrittämä haittaohjelmaluokka. Troijalainen. |
| Tiedostot | Luetteloentiteetti<(tiedosto)> | Luettelo linkitetyistä tiedostoentiteeteistä, joista haittaohjelma löytyi. Voi sisältää tiedoston entiteetit tekstiin sidotusti tai viitteenä. Lisätietoja rakenteesta on Tiedosto-entiteetissä. |
| Prosessit | Luetteloentiteetti<(prosessi)> | Luettelo linkitetyistä prosessientiteeteistä, joista haittaohjelma löytyi. Tätä käytetään usein, kun ilmoitus käynnistetään tiedostottomassa toiminnassa. Lisätietoja rakenteesta on Prosessi-entiteetissä. |
Haittaohjelmaentiteetin vahvat tunnisteet
- Nimi ja luokka
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Tiedosto
Entiteetin nimi: Tiedosto
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'tiedosto' |
| Hakemisto | Merkkijono | Tiedoston koko polku. |
| Name (Nimi) | Merkkijono | Tiedostonimi ilman polkua (jotkin ilmoitukset eivät ehkä sisällä polkua). |
| AlternateDataStreamName | Merkkijono | Tiedostovirran nimi NTFS-tiedostojärjestelmässä (päävirran tyhjäarvo). |
| Isäntä | Entiteetti (isäntä) | Isäntä, johon tiedosto tallennettiin. |
| HostUrl | Entiteetti (URL) | URL-osoite, josta tiedosto ladattiin (Www-merkki). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windowsin suojaus alue, johon URL-osoite kuuluu (Www-merkki). |
| ReferrerUrl | Entiteetti (URL) | Tiedoston lataamisen HTTP-pyynnön viittaajan URL-osoite (Www-merkki). |
| Koko tavuissa | Pitkä? | Tiedoston koko tavuina. |
| TiedostoHashes | Luetteloentiteetti<(FileHash)> | Tiedostoon liittyvät hajautusmerkit. |
Tiedostoentiteetin vahvat tunnisteet
- Nimi ja hakemisto
- Nimi + TiedostoHash
- Name + Directory + FileHash
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Prosessi
Entiteetin nimi: Prosessi
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | "prosessi" |
| ProcessId | Merkkijono | Prosessin tunnus. |
| Komennossa | Merkkijono | Prosessin luomisessa käytettävä komentorivi. |
| KorkeuseronTunnus | Enum? | Prosessiin liittyvä korkeustunnus. Mahdolliset arvot: |
| CreationTimeUtc | Datetime? | Aika, jolloin prosessin suorittaminen alkoi. |
| Kuvatiedosto | Kohde (tiedosto) | Voi sisältää tiedostoentiteetin tekstiin sidottuna tai viitteenä. Lisätietoja rakenteesta on Tiedosto-entiteetissä. |
| Tili | Entiteetti (tili) | Prosesseja suorittävä tili. Voi sisältää Account-entiteetin sisäisesti tai viitteenä. Lisätietoja rakenteesta on Tili-entiteetissä. |
| ParentProcess | Entiteetti (prosessi) | Pääprosessin entiteetti. Voi sisältää osittaisia tietoja, esimerkiksi vain PID-tietoja. |
| Isäntä | Entiteetti (isäntä) | Isäntä, jossa prosessi oli käynnissä. |
| LogonSession | Kohde (HostLogonSession) | Istunto, jossa prosessi oli käynnissä. |
Prosessientiteetin vahvat tunnisteet
- Host + ProcessId + CreationTimeUtc
- Isäntä + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Prosessientiteetin heikot tunnisteet
- ProcessId + CreationTimeUtc + CommandLine (eikä isäntää)
- ProcessId + CreationTimeUtc + ImageFile (eikä isäntää)
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Pilvisovellus
Entiteetin nimi: CloudApplication
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | "pilvisovellus" |
| Appid | Int | Vanhentunut; käytä SaasId-kenttää. Sovelluksen tekninen tunnus. Mahdollisia arvoja ovat pilvipalvelusovelluksen tunnisteiden luettelossa määritetyt arvot. Arvo valinnainen. Ei saa sisältää InstanceId-tunnusta. |
| SaasId | Int | Korvaa vanhentuneen AppId-kentän. Sovelluksen tekninen tunnus. Mahdollisia arvoja ovat pilvipalvelusovelluksen tunnisteiden luettelossa määritetyt arvot. Arvo valinnainen. Ei saa sisältää InstanceId-tunnusta. |
| Name (Nimi) | Merkkijono | Liittyvän pilvisovelluksen nimi. Arvo valinnainen. |
| InstanceName | Merkkijono | Käyttäjän määrittämä pilvisovelluksen esiintymän nimi. Sitä käytetään usein erottamaan useita sovelluksia, jotka ovat samaa tyyppiä kuin asiakkaalla. |
| InstanceId | Int | Sovelluksen tietyn istunnon tunnus. Tämä on nollapohjainen juokseva luku. Arvo valinnainen. |
| Riski | AppRisk? | Voit suodattaa sovelluksia riskipisteiden mukaan, jotta voit keskittyä esimerkiksi tarkastelemaan vain erittäin riskialttiita sovelluksia. Mahdolliset arvot, kuten Pieni, Normaali, Suuri tai Tuntematon. |
| Stream | Stream | Tiettyyn pilvisovellukseen liittyvien etsintälokien lähde. Valinnainen. |
Pilvisovellusentiteetin vahvat tunnisteet
- AppId (ilman InstanceNamea)
- Nimi (ilman InstanceNamea)
- AppId + InstanceName
- Nimi + InstanceName
Luettelo pilvipalvelusovelluksen tunnisteista
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
DNS-tarkkuus
Entiteetin nimi: DNS
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | dns |
| Toimialueen nimi | Merkkijono | Hälytykseen liittyvän DNS-tietueen nimi. |
| Ip | Luetteloentiteetti<(IP)> | Ratkaistuja IP-osoitteita vastaavat entiteetit. |
| DnsServerIp | Kohde (IP) | Entiteetti, joka edustaa pyynnön ratkaisevaa DNS-palvelinta. |
| Isäntäosoite | Kohde (IP) | DNS-pyyntöasiakasohjelmaa edustava entiteetti. |
DNS-entiteetin vahvat tunnisteet
- DomainName + DnsServerIp + HostIpAddress
DNS-entiteetin heikot tunnisteet
- DomainName + HostIpAddress
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Azure resurssi
Entiteetin nimi: AzureResource
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | Azure-resource |
| Resurssitunnus | Merkkijono | Resurssin Azure resurssitunnus. Pakollinen. |
| SubscriptionId | Merkkijono | Resurssin tilaustunnus. |
| ActiveContacts | Luettelon<aktiivinen aktiivinen yhteystieto> | Resurssiin liittyvät aktiiviset yhteyshenkilöt. |
| Resurssin tyyppi | Merkkijono | Resurssin tyyppi. |
| Resurssin nimi | Merkkijono | Resurssin nimi. |
Azure resurssientiteetin vahvat tunnisteet
- Resurssitunnus
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Tiedoston hajautusarvo
Entiteetin nimi: FileHash
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'filehash' |
| Algoritmi | Enum | Hajautusalgoritmin tyyppi. Pakollinen. Mahdolliset arvot: |
| Arvo | Merkkijono | Hajautusarvo. Pakollinen. |
Tiedoston hajautusarvoentiteetin vahvat tunnisteet
- Algoritmi + arvo
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Rekisteriavain
Entiteetin nimi: RegistryKey
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'rekisteriavain' |
| Pesää | Enum? | Yksi seuraavista arvoista: |
| Avain | Merkkijono | Rekisteriavaimen polku. |
Rekisteriavainentiteetin vahvat tunnisteet
- Hive + Avain
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Rekisteriarvoa
Entiteetin nimi: RegistryValue
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'registry-value' |
| Isäntä | Entiteetti (isäntä) | Isäntä, jolle rekisteri kuuluu. |
| Avain | Kohde (Rekisteriavain) | Rekisteriavainentiteetti. |
| Name (Nimi) | Merkkijono | Rekisteriarvon nimi. |
| Arvo | Merkkijono | Arvotietojen merkkijonomuotoinen esitysmuoto. |
| Arvon tyyppi | Enum? | Yksi seuraavista arvoista: Arvojen on oltava Microsoft.Win32.RegistryValueKind-luetteloinnin mukaisia. |
Rekisteriarvoentiteetin vahvat tunnisteet
- Avain + nimi
Rekisteriarvoentiteetin heikot tunnisteet
- Nimi (ilman avainta)
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Käyttöoikeusryhmä
Entiteetin nimi: SecurityGroup
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'käyttöoikeusryhmä' |
| DN-nimi | Merkkijono | Ryhmän DN-nimi. |
| SID | Merkkijono | Yksiarvoinen määrite, joka määrittää ryhmän suojaustunnuksen (SID). |
| ObjectGuid | Guid? | Yksiarvoinen määrite, joka on Active Directoryn määrittämä objektin yksilöllinen tunniste. |
Käyttöoikeusryhmäentiteetin vahvat tunnisteet
- DN-nimi
- SID
- ObjectGuid
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
URL
Entiteetin nimi: URL-osoite
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Kirjoita | Merkkijono | 'URL' |
| Url | Uri | Täydellinen URL-osoite, jota entiteetti osoittaa. Pakollinen. |
URL-entiteetin vahvat tunnisteet
- URL-osoite (** Tämä tunnus on vahva, kun URL-osoite on absoluuttinen URL-osoite.)
URL-entiteetin heikot tunnisteet
- URL-osoite (** Tämä tunnus on heikko, kun URL-osoite on suhteellinen URL-osoite.)
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
IoT-laite
Entiteetin nimi: IoTDevice
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'iotdevice' |
| IoTHub | Kohde (AzureResource) | AzureResource-entiteetti, joka edustaa sitä IoT Hub, jolle laite kuuluu. |
| DeviceId | Merkkijono | Laitteen tunnus IoT Hub kontekstissa. Pakollinen. |
| Laitteen nimi | Merkkijono | Laitteen kutsumanimi. |
| Omistajat | Luettelomerkkijono<> | Laitteen omistajat. |
| IoTSecurityAgentId | Guid? | Laitteessa toimivan IoT-agentin Defenderin tunnus. |
| Laitteen tyyppi | Merkkijono | Laitteen tyyppi (esimerkiksi lämpötila-anturi, pakastin tai tuuliturbiini). |
| DeviceTypeId | Merkkijono | Yksilöllinen tunnus kunkin laitetyypin tunnistamiseen laitetyypin rakenteen mukaan, koska itse laitetyyppi on näyttönimi, eikä se ole luotettava vertailussa. Mahdolliset arvot: Luokittelematon = 0 Sekalaiset = 1 Verkkolaite = 2 Tulostin = 3 Ääni ja video = 4 Media ja valvonta = 5 Tietoliikenne = 7 Älylaite = 9 Työasema = 10 Palvelin = 11 Matkapuhelin = 12 Älykeskus = 13 Teollisuus = 14 Käyttölaitteet = 15 |
| Lähde | Merkkijono | Laitteen entiteetin lähde (Microsoft/Vendor). |
| Lähderaportti | Entiteetti (URL) | URL-viittaus lähdekohteeseen, jossa laitetta hallitaan. |
| Valmistaja | Merkkijono | Laitteen valmistaja. |
| Malli | Merkkijono | Laitteen malli. |
| Käyttöjärjestelmä | Merkkijono | Käyttöjärjestelmä, jota laite käyttää. |
| Ip | Kohde (IP) | Laitteen nykyinen IP-osoite. |
| MacAddress | Merkkijono | Laitteen MAC-osoite. |
| Verkkokorttia | Entiteetti (Nic) | Laitteen nykyiset NIC-kutsut. |
| Protokollia | Luettelomerkkijono<> | Luettelo protokollista, joita laite tukee. |
| Serialnumber | Merkkijono | Laitteen sarjanumero. |
| Sivuston | Merkkijono | Laitteen sivuston sijainti. |
| Alue | Merkkijono | Laitteen vyöhykkeen sijainti sivustossa. |
| Anturi | Merkkijono | Tunnistin valvoo laitetta. |
| Tärkeys | Enum? | Yksi seuraavista arvoista: |
| PurdueLayer | Merkkijono | Laitteen Purdue-kerros. |
| IsProgramming | Bool? | Ilmaisee, onko laite luokiteltu ohjelmointilaitteeksi. |
| On sallittu | Bool? | Ilmaisee, onko laite luokiteltu valtuutetuksi laitteeksi. |
| IsScanner | Bool? | Ilmaisee, onko laite luokiteltu skannerilaitteeksi. |
| DevicePageLink | Entiteetti (URL) | IoT-portaalin Defenderin laitesivun URL-osoite. |
| DeviceSubType | Merkkijono | Laitteen alityypin nimi. |
IoT-laitteen entiteetin vahvat tunnisteet
- IoTHub + DeviceId
IoT-laitteen entiteetin heikot tunnisteet
- DeviceId (ilman IoTHubia)
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Postilaatikon
Entiteetin nimi: Postilaatikko
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | Postilaatikko |
| PostilaatikkoPrimaryOsoite | Merkkijono | Postilaatikon ensisijainen osoite. |
| Displayname | Merkkijono | Postilaatikon näyttönimi. |
| Upn | Merkkijono | Postilaatikon käyttäjänimi. |
| AadId | Merkkijono | Postilaatikon Azure AD käyttäjän tunniste. |
| Riskin tasaaminen | RiskLevel (kokonaisluku) | Tämän postilaatikon riskitaso. Mahdolliset arvot: |
| ExternalDirectoryObjectId | Guid? | Postilaatikon AzureAD-tunnus. Tili-entiteetin AadUserId-tunnuksen kaltainen, mutta tämä ominaisuus liittyy Office-puolella olevaan postilaatikko-objektiin. |
Postilaatikkoentiteetin vahvat tunnisteet
- PostilaatikkoPrimaryOsoite
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Postiklusteri
Entiteetin nimi: MailCluster
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | "postiklusteri" |
| NetworkMessageIds | IList-merkkijono<> | Viestien tunnukset, jotka ovat osa postiklusteria. |
| CountByDeliveryStatus | IDictionary<String,Int> | Postien määrä DeliveryStatus-merkkijonoesityksen mukaan. |
| CountByThreatType | IDictionary<String,Int> | Postien määrä ThreatType-merkkijonoesityksen mukaan. |
| CountByProtectionStatus | IDictionary<String,long> | Sähköpostiviestien määrä suojauksen tilamerkkijonon esityksen mukaan. |
| CountByDeliveryLocation | IDictionary<String,long> | Postien määrä toimitussijainnin merkkijonoesityksen mukaan. |
| Uhkia | IList-merkkijono<> | Postiklusteriin kuuluneiden sähköpostiviestien uhat. |
| Kyselyn | Merkkijono | Kysely, jota käytettiin sähköpostiklusterin viestien tunnistamiseen. |
| Kyselyn aika | Datetime? | Kyselyn aika. |
| Postimäärä | Int? | Postiklusteriin kuuluvien sähköpostiviestien määrä. |
| IsVolumeAnomaly | Bool? | Ilmaisee, onko sähköpostiklusteri volyymipoikkeamien postiklusteri. |
| Lähde | Merkkijono | Postiklusterin lähde (oletusarvo on O365 ATP). |
Sähköpostiklusterientiteetin vahvat tunnisteet
- Kysely + lähde
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Sähköpostiviesti
Entiteetin nimi: MailMessage
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'sähköpostiviesti' |
| Tiedostot | IList-kohde<(tiedosto)> | Tämän sähköpostiviestin liitteiden tiedostoentiteetit. |
| Vastaanottaja | Merkkijono | Viestin vastaanottaja. Jos vastaanottajia on useita, sähköpostiviesti kopioidaan ja jokaisella kopiolla on yksi vastaanottaja. |
| Url | IList-merkkijono<> | Tämän sähköpostiviestin sisältämät URL-osoitteet. |
| Uhkia | IList-merkkijono<> | Tämän viestin sisältämät uhat. |
| Lähettäjä | Merkkijono | Lähettäjän sähköpostiosoite. |
| Lähettäjänip | Merkkijono | Lähettäjän IP-osoite. |
| Vastaanotettu päivämäärä | Datetime | Viestin vastaanottopäivä. |
| Verkon viestitunnus | Guid? | Tämän sähköpostiviestin verkkoviestin tunnus. |
| InternetMessageId | Merkkijono | Tämän sähköpostiviestin Internet-viestitunnus. |
| Aihe | Merkkijono | Tämän viestin aihe. |
| AntispamDirection | Enum? | Tämän sähköpostiviestin suunta. Mahdolliset arvot: |
| DeliveryAction | Enum? | Tämän sähköpostiviestin toimitustoiminto. Mahdolliset arvot: |
| DeliveryLocation | Enum? | Tämän viestin toimituspaikka. Mahdolliset arvot: |
| CampaignId | Merkkijono | Sen kampanjan tunnus, jossa tämä sähköpostiviesti on. |
| Epäilyttävät korjaukset | IList-merkkijono<> | Luettelo vastaanottajista, joiden havaittiin olevan epäilyttäviä. |
| Edelleenlähetetyt korjaukset | IList-merkkijono<> | Lähetettyjen viestien kaikkien vastaanottajien luettelo. |
| ForwardingType | IList-merkkijono<> | Sähköpostin edelleenlähetystyyppi, kuten SMTP, ETR jne. |
Viestientiteetin vahvat tunnisteet
- NetworkMessageId + Vastaanottaja
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Lähetyssähköposti
Entiteetin nimi: SubmissionMail
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Tyyppi | Merkkijono | 'Lähetyssähköposti' |
| SubmissionId | Guid? | Lähetystunnus. |
| Lähetyksen päivämäärä | Datetime? | Ilmoitettu lähetyspäivämäärä. |
| Lähettäjä | Merkkijono | Lähettäjän sähköpostiosoite. |
| Verkon viestitunnus | Guid? | Sen sähköpostiviestin verkkoviestitunnus, johon lähetys kuuluu. |
| Aikaleima | Datetime? | Aikaleima, kun viesti vastaanotetaan (Sähköposti). |
| Vastaanottaja | Merkkijono | Sähköpostin vastaanottaja. |
| Lähettäjä | Merkkijono | Sähköpostin lähettäjä. |
| Lähettäjävihje | Merkkijono | Lähettäjän IP-osoite. |
| Aihe | Merkkijono | Lähetyssähköpostin aihe. |
| Raportin tyyppi | Merkkijono | Annetun esiintymän lähetystyyppi. Mahdollisia arvoja ovat Roskaposti, Tietojenkalastelu, Haittaohjelma tai NotJunk. |
SubmissionMail-entiteetin vahvat tunnisteet
- SubmissionId, Submitter, NetworkMessageId, Recipient
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Sentinel entiteetit
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Yhteisöt | Merkkijono | Luettelo ilmoituksesta tunnistetuista entiteeteistä. Tämä luettelo on SecurityAlert-rakenteen entiteettisarake (katso ohjeet). |
Palaa entiteettityyppien rakenteiden | luetteloonTakaisin entiteetin tunnustaulukkoon
Pilvisovelluksen tunnisteet
Seuraavassa luettelossa määritetään tunnettujen pilvisovellusten tunnisteet. Sovellustunnus-arvoa käytetään pilvisovelluksen entiteetin tunnisteena.
| Sovellustunnus | Nimi |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Laatikko |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Kulmakividemandissa |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Laajenna |
| 11770 | G Suite |
| 12005 | Onnistumisen estymismerkit |
| 12260 | Microsoft Azure |
| 12275 | Työpäivä |
| 13843 | LivePerson |
| 13979 | Samaa mieltä |
| 14509 | ServiceNow |
| 15570 | Kuvaelma |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc. |
| 18432 | Z-skaala |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion -elinkaari |
| 23043 | Löysä |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Microsoft 365 -hallintakeskus |
| 26060 | OPSWAT-hammaspyörät |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Työpaikka Facebook mukaan |
| 28373 | CAS-välityspalvelimen emulaattori |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | Korkeaq |
| 35395 | Microsoft Dynamics Talent |
Seuraavat vaiheet
Tässä asiakirjassa olet tutustunut entiteetin rakenteeseen, tunnuksiin ja rakenteeseen Microsoft Sentinel.
Lue lisätietoja entiteeteistä ja entiteettien yhdistämismäärityksistä.