Informations de référence sur les règles d’automatisation Microsoft Sentinel

Cet article contient des informations de référence sur la configuration des règles d’automatisation et les conditions et propriétés prises en charge.

Pour en savoir plus sur les règles d’automatisation, consultez Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation.

Pour obtenir des instructions sur la création, la gestion et l’utilisation de règles d’automatisation, consultez Créer et utiliser des règles d’automatisation Microsoft Sentinel pour gérer la réponse.

Propriétés d’entité prises en charge

Les entités et les propriétés d’entité suivantes peuvent être utilisées comme conditions pour les règles d’automatisation :

Descriptions des propriétés

Ce tableau montre les propriétés d’entité prises en charge dans l’API de règles d’automatisation. Il s’agit des propriétés d’entité dont vous pouvez définir les valeurs comme conditions pour déclencher une règle d’automatisation.

Pour obtenir la liste complète des propriétés prises en charge, qui incluent des propriétés d’incident, consultez la condition de propriété de règle Automation prise en charge des propriétés prises en charge dans la documentation de l’API règles Automation.

Nom (dans l’API)	Type	Description
AccountAadTenantId	string	ID de locataire Microsoft Entra ID du compte
AccountAadUserId	string	ID d’utilisateur Microsoft Entra ID du compte
AccountName	string	Nom du compte
AccountNTDomain	string	Nom de domaine NetBIOS du compte
AccountPUID	string	L’ID d’utilisateur Microsoft Entra ID Passport du compte
AccountSid	string	Identificateur de sécurité du compte
AccountObjectGuid	string	Identificateur unique de l’objet de compte
AccountUPNSuffix	string	Suffixe de nom d’utilisateur principal du compte
AzureResourceResourceId	string	ID de ressource Azure
AzureResourceSubscriptionId	string	ID d’abonnement aux ressources Azure
CloudApplicationAppId	string	Identificateur d’application cloud
CloudApplicationAppName	string	Nom de l’application cloud
DNSDomainName	string	Nom de domaine d’enregistrement dns
FileDirectory	string	Chemin complet du répertoire de fichiers
FileName	string	Nom de fichier sans chemin d’accès
FileHashValue	string	Valeur de hachage de fichier
HostAzureID	string	ID de ressource Azure hôte
HostName	string	Nom d’hôte sans domaine
HostNetBiosName	string	Nom NetBIOS de l’hôte
HostNTDomain	string	Domaine NT hôte
HostOSVersion	string	Le système d’exploitation hôte
IoTDeviceId	string	ID d’appareil IoT
IoTDeviceName	string	Nom de l’appareil IoT
IoTDeviceType	string	Type d’appareil IoT
IoTDeviceVendor	string	Fournisseur d’appareils IoT
IoTDeviceModel	string	Modèle d’appareil IoT
IoTDeviceOperatingSystem	string	Le système d’exploitation de l’appareil IoT
IPAddress	string	Adresse IP
MailboxDisplayName	string	Nom complet de la boîte aux lettres
MailboxPrimaryAddress	string	Adresse principale de la boîte aux lettres
MailboxUPN	string	Nom d’utilisateur de l’utilisateur de boîte aux lettres
MailMessageDeliveryAction	string	Action de remise des messages électroniques
MailMessageDeliveryLocation	string	Emplacement de remise des messages électroniques
MailMessageRecipient	string	Destinataire du message électronique
MailMessageSenderIP	string	Adresse IP de l’expéditeur du message électronique
MailMessageSubject	string	Objet du message électronique
MailMessageP1Sender	string	Expéditeur P1 du message électronique (expéditeur délégué)
MailMessageP2Sender	string	Expéditeur P2 du message électronique (expéditeur d’origine)
MalwareCategory	string	Catégorie de programmes malveillants
MalwareName	string	Nom du programme malveillant
ProcessCommandLine	string	Ligne de commande d’exécution du processus
ProcessId	string	ID de processus
RegistryKey	string	Chemin de la clé de Registre
RegistryValueData	string	Valeur de clé de Registre dans la représentation mise en forme de chaîne
Url	string	URL

Mappage aux entités

Ce tableau montre comment les propriétés d’entité prises en charge dans l’API règles Automation sont affichées dans la liste déroulante des conditions de l’Assistant Création de règles Automation. Il montre également comment ces propriétés sont mappées aux entités et à leurs identificateurs tels que définis dans les alertes de sécurité Microsoft Sentinel.

Nom dans l’API	Nom dans la liste déroulante de l’interface utilisateur	Entité : Identificateur dans le schéma d’alerte V3
AccountAadTenantId	ID de locataire du compte	Compte : AadTenantId
AccountAadUserId	ID d’utilisateur AAD du compte	Compte : AadUserId
AccountName	Nom du compte	Nom de compte :
AccountNTDomain	Domaine NT du compte	Compte : NTDomain
AccountPUID	PUID du compte	Compte : PUID
AccountSid	SID du compte	Compte : Sid
AccountObjectGuid	ID d’objet du compte	Compte : ObjectGuid
AccountUPNSuffix	Suffixe UPN de compte	Compte : UPNSuffix
AzureResourceResourceId	ID de ressource Azure	AzureResource : ResourceId
AzureResourceSubscriptionId	ID d’abonnement aux ressources Azure	AzureResource : SubscriptionId
CloudApplicationAppId	ID d’application cloud	CloudApplication : AppId
CloudApplicationAppName	Nom de l’application cloud	CloudApplication : Nom
DNSDomainName	Nom du domaine DNS	DNS : DomainName
FileDirectory	Répertoire de fichiers	Fichier : Répertoire
FileName	Nom de fichier	Nom de fichier :
FileHashValue	Hachage du fichier	FileHash : valeur
HostAzureID	ID Azure hôte	Hôte : AzureID
HostName	Nom de l’hôte	Hôte : HostName
HostNetBiosName	Nom NetBIOS de l’hôte	Hôte : NetBiosName
HostNTDomain	Domaine NT hôte	Hôte : NTDomain
HostOSVersion	Système d'exploitation hôte	Hôte : OSVersion
IoTDeviceId	ID d’appareil IoT	IoTDevice : DeviceId
IoTDeviceName	nom de l’appareil IoT	IoTDevice : DeviceName
IoTDeviceType	Type d’appareil IoT	IoTDevice : DeviceType
IoTDeviceVendor	Fournisseur d’appareils IoT	IoTDevice : Fabricant
IoTDeviceModel	Modèle d’appareil IoT	IoTDevice : Modèle
IoTDeviceOperatingSystem	Système d’exploitation d’appareil IoT	IoTDevice : OperatingSystem
IPAddress	Adresse IP	Adresse IP :
MailboxDisplayName	Nom complet de la boîte aux lettres	Boîte aux lettres : DisplayName
MailboxPrimaryAddress	Adresse principale de boîte aux lettres	Boîte aux lettres : MailboxPrimaryAddress
MailboxUPN	UPN de boîte aux lettres	Boîte aux lettres : Upn
MailMessageDeliveryAction	Action de remise des messages électroniques	MailMessage : DeliveryAction
MailMessageDeliveryLocation	Emplacement de remise des messages électroniques	MailMessage : DeliveryLocation
MailMessageRecipient	Destinataire du message électronique	MailMessage : Destinataire
MailMessageSenderIP	Adresse IP de l’expéditeur de messages électroniques	MailMessage : SenderIP
MailMessageSubject	Objet du message électronique	MailMessage : Objet
MailMessageP1Sender	Expéditeur P1 du message électronique	MailMessage : P1Sender
MailMessageP2Sender	Expéditeur P2 du message électronique	MailMessage : P2Sender
MalwareCategory	Catégorie de programmes malveillants	Programme malveillant : catégorie
MalwareName	Nom du programme malveillant	Programme malveillant : Nom
ProcessCommandLine	Traiter la ligne de commande	Processus : Ligne de commande
ProcessId	ID du processus	Processus : ProcessId
RegistryKey	Clé du Registre	RegistryKey : Clé
RegistryValueData	Valeur de Registre	RegistryValue : valeur
Url	Url	URL : URL