Informations de référence sur les règles d’automatisation Microsoft Sentinel

Cet article contient des informations de référence sur la configuration des règles d’automatisation et les conditions et propriétés prises en charge.

Pour en savoir plus sur les règles d’automatisation, consultez Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation.

Pour obtenir des instructions sur la création, la gestion et l’utilisation de règles d’automatisation, consultez Créer et utiliser des règles d’automatisation Microsoft Sentinel pour gérer les réponses.

Propriétés d’entité prises en charge

Les entités et propriétés d’entité suivantes peuvent être utilisées comme conditions pour les règles d’automatisation :

Descriptions des propriétés

Ce tableau présente les propriétés d’entité prises en charge dans l’API des règles d’automatisation. Il s’agit des propriétés d’entité dont vous pouvez définir les valeurs comme conditions pour déclencher une règle d’automatisation.

Pour obtenir la liste complète des propriétés prises en charge, y compris les propriétés d’incident, consultez Propriétés prises en charge des conditions de propriété de règle Automation dans la documentation de l’API des règles Automation.

Nom (dans l’API)	Type	Description
AccountAadTenantId	string	ID de locataire Microsoft Entra ID compte
AccountAadUserId	string	Id utilisateur du compte Microsoft Entra ID
AccountName	string	Nom du compte
AccountNTDomain	string	Nom de domaine NetBIOS du compte
AccountPUID	string	Le compte Microsoft Entra ID l’ID d’utilisateur Passport
AccountSid	string	Identificateur de sécurité du compte
AccountObjectGuid	string	Identificateur unique de l’objet de compte
AccountUPNSuffix	string	Suffixe du nom d’utilisateur principal du compte
AzureResourceResourceId	string	ID de ressource Azure
AzureResourceSubscriptionId	string	ID d’abonnement à la ressource Azure
CloudApplicationAppId	string	Identificateur de l’application cloud
CloudApplicationAppName	string	Nom de l’application cloud
DNSDomainName	string	Nom de domaine de l’enregistrement DNS
FileDirectory	string	Chemin d’accès complet du répertoire de fichiers
FileName	string	Nom de fichier sans chemin d’accès
FileHashValue	string	Valeur de hachage de fichier
HostAzureID	string	ID de ressource Azure hôte
HostName	string	Nom d’hôte sans domaine
HostNetBiosName	string	Nom NetBIOS hôte
HostNTDomain	string	Domaine NT hôte
HostOSVersion	string	Le système d’exploitation hôte
IoTDeviceId	string	ID d’appareil IoT
IoTDeviceName	string	Nom de l’appareil IoT
IoTDeviceType	string	Type d’appareil IoT
IoTDeviceVendor	string	Le fournisseur d’appareils IoT
IoTDeviceModel	string	Modèle d’appareil IoT
IoTDeviceOperatingSystem	string	Système d’exploitation de l’appareil IoT
IPAddress	string	L’adresse IP
MailboxDisplayName	string	Nom complet de la boîte aux lettres
MailboxPrimaryAddress	string	Adresse principale de la boîte aux lettres
MailboxUPN	string	Nom d’utilisateur principal de la boîte aux lettres
MailMessageDeliveryAction	string	Action de remise de message électronique
MailMessageDeliveryLocation	string	Emplacement de remise des messages électroniques
MailMessageRecipient	string	Destinataire du message électronique
MailMessageSenderIP	string	Adresse IP de l’expéditeur du message électronique
MailMessageSubject	string	Objet du message électronique
MailMessageP1Sender	string	Expéditeur du message électronique P1 (expéditeur délégué)
MailMessageP2Sender	string	Expéditeur du message électronique P2 (expéditeur d’origine)
Catégorie des programmes malveillants	string	La catégorie de programmes malveillants
Nom du programme malveillant	string	Nom du programme malveillant
ProcessCommandLine	string	Ligne de commande d’exécution du processus
Processid	string	ID de processus
RegistryKey	string	Chemin d’accès de la clé de Registre
RegistryValueData	string	Valeur de clé de Registre dans la représentation au format chaîne
Url	string	URL

Mappage aux entités

Ce tableau montre comment les propriétés d’entité prises en charge dans l’API règles Automation sont affichées dans la liste déroulante des conditions de l’Assistant Création de règles d’automatisation. Il montre également comment ces propriétés sont mappées à des entités et à leurs identificateurs tels que définis dans Microsoft Sentinel alertes de sécurité.

Nom dans l’API	Nom dans la liste déroulante de l’interface utilisateur	Entité : identificateur dans le schéma d’alerte V3
AccountAadTenantId	ID de locataire du compte	Compte : AadTenantId
AccountAadUserId	ID d’utilisateur AAD du compte	Compte : AadUserId
AccountName	Nom du compte	Compte : Nom
AccountNTDomain	Domaine NT du compte	Compte : NTDomain
AccountPUID	PUID de compte	Compte : PUID
AccountSid	SID de compte	Compte : Sid
AccountObjectGuid	ID d’objet de compte	Compte : ObjectGuid
AccountUPNSuffix	Suffixe UPN du compte	Compte : UPNSuffix
AzureResourceResourceId	ID de ressource Azure	AzureResource : ResourceId
AzureResourceSubscriptionId	ID d’abonnement à la ressource Azure	AzureResource : SubscriptionId
CloudApplicationAppId	ID d’application cloud	CloudApplication : AppId
CloudApplicationAppName	Nom de l’application cloud	CloudApplication : Nom
DNSDomainName	Nom de domaine DNS	DNS : DomainName
FileDirectory	Répertoire de fichiers	Fichier : Répertoire
FileName	Nom de fichier	Fichier : Nom
FileHashValue	Hachage de fichier	FileHash : Valeur
HostAzureID	ID de Azure hôte	Hôte : AzureID
HostName	Nom d’hôte	Hôte : HostName
HostNetBiosName	Nom NetBIOS de l’hôte	Hôte : NetBiosName
HostNTDomain	Domaine NT hôte	Hôte : NTDomain
HostOSVersion	Système d’exploitation hôte	Hôte : OSVersion
IoTDeviceId	ID d’appareil IoT	IoTDevice : DeviceId
IoTDeviceName	Nom de l’appareil IoT	IoTDevice : DeviceName
IoTDeviceType	Type d’appareil IoT	IoTDevice : DeviceType
IoTDeviceVendor	Fournisseur d’appareils IoT	IoTDevice : Fabricant
IoTDeviceModel	Modèle d’appareil IoT	IoTDevice : Modèle
IoTDeviceOperatingSystem	Système d’exploitation de l’appareil IoT	IoTDevice : OperatingSystem
IPAddress	Adresse IP	ADRESSE IP : Adresse
MailboxDisplayName	Nom d’affichage de la boîte aux lettres	Boîte aux lettres : DisplayName
MailboxPrimaryAddress	Adresse principale de la boîte aux lettres	Boîte aux lettres : MailboxPrimaryAddress
MailboxUPN	UPN de boîte aux lettres	Boîte aux lettres : Upn
MailMessageDeliveryAction	Action de remise de message électronique	MailMessage : DeliveryAction
MailMessageDeliveryLocation	Emplacement de remise des messages électroniques	MailMessage : DeliveryLocation
MailMessageRecipient	Destinataire du message électronique	MailMessage : Destinataire
MailMessageSenderIP	Adresse IP de l’expéditeur de messages électroniques	MailMessage : SenderIP
MailMessageSubject	Objet du message électronique	MailMessage : Objet
MailMessageP1Sender	Expéditeur du message électronique P1	MailMessage : P1Sender
MailMessageP2Sender	Expéditeur de message électronique P2	MailMessage : P2Sender
Catégorie des programmes malveillants	Catégorie de programmes malveillants	Programme malveillant : Catégorie
Nom du programme malveillant	Nom du programme malveillant	Programme malveillant : nom
ProcessCommandLine	Traiter la ligne de commande	Processus : CommandLine
Processid	ID de processus	Processus : ProcessId
RegistryKey	Clé du Registre	RegistryKey : Clé
RegistryValueData	Valeur de Registre	RegistryValue : Valeur
Url	Url	Url : URL