Informations de référence sur les types d’entités Microsoft Sentinel

Ce document comprend deux ensembles d’informations concernant les entités et les types d’entités dans Microsoft Sentinel.

  • Le tableau Types et identificateurs d’entité présente les différents types d’entités qui peuvent être utilisés dans le mappage d’entités, à la fois dans les règles d’analyse et dans la chasse. Le tableau présente également, pour chaque type d’entité, les différents identificateurs qui peuvent être utilisés pour identifier une entité.
  • La section Schéma d’entité présente la structure de données et le schéma des entités en général et pour chaque type d’entité en particulier, y compris certains types qui ne sont pas représentés dans la fonctionnalité de mappage d’entité.

Types d'entités et identificateurs

Le tableau suivant présente les types d’entités actuellement disponibles pour le mappage dans Microsoft Sentinel, ainsi que les attributs disponibles en tant qu’identificateurs pour chaque type d’entité. Presque tous ces attributs apparaissent dans la liste déroulante Identificateurs de la section Mappage d’entités de l’Assistant de règle d’analyse (voir les notes de bas de page pour les exceptions).

Vous pouvez utiliser trois identificateurs par mappage d'entités. Les identificateurs forts sont suffisants pour identifier une entité de manière unique, tandis que les identificateurs faibles peuvent le faire uniquement en combinaison avec d’autres identificateurs.

En savoir plus sur les identificateurs forts et faibles.

Type d'entité Identificateurs Identificateurs forts Identificateurs faibles
Compte Nom
FullName *
NTDomain
DNSDomain
UPNSuffix
SID
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name+UPNSuffix
AADUserId
Sid **
Sid+Host**
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid
Nom
Hôte DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP Adresse
AddressScope
Address **
Address+AddressScope **
URL Url Url (si URL absolue)** Url (si URL relative)**
Ressource Azure
(AzureResource)
ResourceId ResourceId
Application cloud
(CloudApplication)
AppId
Nom
InstanceName
AppId
Nom
AppId+InstanceName
Name+InstanceName
Résolution DNS
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
Fichier Répertoire
Nom
Directory+Name
Hachage du fichier
(FileHash)
Algorithm
Valeur
Algorithm+Value
Programme malveillant Nom
Catégorie
Name+Category
Processus ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash
ProcessId+CreationTimeUtc+
   CommandLine (aucun Hôte)
ProcessId+CreationTimeUtc+
   ImageFile (aucun Hôte)
Clé de Registre
(RegistryKey)
Hive
Clé
Hive+Key
Valeur de Registre
(RegistryValue)
Nom
Valeur
ValueType
Key+Name Name (aucun Clé)
Groupe de sécurité
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
Cluster de messagerie
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Menaces
Requête
QueryTime
MailCount
IsVolumeAnomaly
Source
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Source
Message électronique
(MailMessage)
Recipient
Urls
Menaces
Expéditeur
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Objet
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Language *
ThreatDetectionMethods *
NetworkMessageId+Recipient
E-mail d'envoi
(SubmissionMail)
NetworkMessageId
Timestamp
Recipient
Expéditeur
SenderIp
Objet
ReportType
SubmissionId
SubmissionDate
Expéditeur
SubmissionId+NetworkMessageId+
   Recipient+Submitter
Entités Sentinel Entités Entités

Notes de bas de page du tableau :

  • * Ces identificateurs apparaissent dans la liste des identificateurs qui peuvent être utilisés dans le mappage d’entités, mais à proprement parler, ils ne font pas partie du schéma d’entité.
  • ** Ces identificateurs sont considérés comme forts uniquement dans certaines conditions. Suivez les liens des astérisques pour consulter les conditions qui s’appliquent, dans la liste de l’entité concernée qui se trouve dans la section schémas d’entité ci-dessous.
  • Les noms d’identificateurs en italiques (sans astérisque) représentent des entités internes, ce qui signifie qu’un type d’entité peut avoir d’autres types d’entités en tant qu’attributs (voir la section schémas d’entité ci-dessous). Suivez le lien de l’identificateur pour voir le schéma de l’entité interne.

Schémas des types d'entités

La section suivante contient une présentation plus détaillée des schémas complets de chaque type d'entité. Vous remarquerez que beaucoup de ces schémas comportent des liens vers d’autres types d’entités. Par exemple, le schéma Compte comporte un lien vers le type d’entité Hôte, car l’un des attributs d’un compte d’utilisateur correspond à l’hôte sur lequel il est défini. Ces entités comme attributs sont appelées « entités internes », elles ne peuvent pas être utilisées en tant qu’identificateurs pour le mappage des entités, mais elles offrent une image complète des entités sur les pages de celles-ci et sur le graphique d’investigation.

Remarque

Le point d'interrogation qui suit certaines valeurs dans la colonne Type indique que le champ peut accepter la valeur Null.

Liste des schémas des types d’entités

Compte

Nom de l'entité : Account

Champ Type Description
Type Chaîne « account »
Nom String Nom du compte. Ce champ ne doit contenir que le nom, sans domaine.
FullName -- Ne fait pas partie du schéma, inclus à des fins de compatibilité descendante avec l'ancienne version du mappage d'entités.
NTDomain Chaîne Nom de domaine NETBIOS tel qu’il apparaît dans le format d’alerte : domaine\nom d’utilisateur. Exemples : Finance, AUTORITÉ NT
DnsDomain String Nom DNS de domaine complet. Exemple : finance.contoso.com
UPNSuffix String Suffixe du nom de l'utilisateur principal du compte. Dans de nombreux cas, le suffixe UPN est également le nom de domaine. Exemple : contoso.com
Hôte Entity (Hôte) Hôte sur lequel figure le compte, s’il s’agit d’un compte local.
Sid Chaîne Identificateur de sécurité du compte.
AadTenantId Guid? ID du tenant Microsoft Entra, si connu.
AadUserId Guid? ID d’objet du compte Microsoft Entra, si connu.
PUID Guid? ID d’utilisateur Microsoft Entra Passport, si connu.
IsDomainJoined Bool? Indique si le compte est un compte de domaine.
Nom d’affichage -- Ne fait pas partie du schéma, inclus à des fins de compatibilité descendante avec l'ancienne version du mappage d'entités.
ObjectGuid Guid? L'attribut objectGUID est un attribut à valeur unique qui constitue l'identificateur unique de l'objet, attribué par Active Directory.
CloudAppAccountId Chaîne AccountID dans les alertes du fournisseur CloudApp. Fait référence aux ID de compte dans les applications tierces qui ne sont pas prises en charge dans d’autres produits Microsoft.
IsAnonymized Bool? Indique si le nom d’utilisateur est anonymisé. facultatif. Valeur par défaut : false.
Flux Flux Source des journaux de détection liés au compte spécifique. facultatif.

Identificateurs forts d’une entité de compte

  • Name + UPNSuffix
  • AadUserId
  • Sid
    ** Cet identificateur est fort tant que le compte n’est pas l’un des comptes intégrés répertoriés dans la Remarque ci-dessous.
  • Sid + Hôte
    ** Lorsque le compte est l’un des comptes intégrés répertoriés dans la Remarque ci-dessous, le composant Hôte est nécessaire pour rendre cet identificateur fort.
  • Name + NTDomain
    ** Cette combinaison est un identificateur fort lorsque le compte est un compte de domaine, car NTDomain n’est pas un domaine/groupe de travail intégré et est différent du nom d’hôte. Dans ce cas, il s’agit d’un identificateur fort, même sans le composant Hôte.
  • Name + NTDomain + Hôte
    ** Le composant Hôte est nécessaire pour créer un identificateur fort lorsque le compte est un compte local, ce qui signifie que NTDomain est un domaine/groupe de travail intégré.
  • Name + DnsDomain
  • PUID
  • ObjectGuid

Identificateurs faibles d’une entité de compte

  • Nom

Notes

Si l’entité Account est définie à l’aide de l’identificateur Name et que la valeur Name d’une entité particulière est l’un des noms de compte génériques et généralement intégrés suivants, cette entité est supprimée de son alerte.

  • ADMIN
  • ADMINISTRATEUR
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • UTILISATEUR AUTHENTIFIÉ
  • RÉSEAU
  • NULL
  • SYSTÈME LOCAL
  • LOCALSYSTEM
  • SERVICE RÉSEAU

Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

Host

Nom de l’entité : Hôte

Champ Type Description
Type Chaîne « host »
IpInterfaces List<Entity (Ip)> Liste de toutes les interfaces IP sur l’ordinateur hôte.
DnsDomain String Domaine DNS auquel cet hôte appartient. Doit contenir le suffixe DNS complet du domaine, s'il est connu.
NTDomain String Domaine NT auquel cet hôte appartient.
HostName String Nom d'hôte sans suffixe de domaine.
NetBiosName String Nom d'hôte (antérieur à Windows 2000).
IoTDevice Entity (Appareil IoT) Entité Appareil IoT (si cet hôte représente un appareil IoT).
AzureID String ID de ressource Azure de la machine virtuelle, s'il est connu.
OMSAgentID String ID de l'agent OMS, si celui-ci est installé sur l'hôte.
OSFamily Enum? Une des valeurs suivantes :
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String Représentation en texte libre du système d'exploitation.
    Ce champ est destiné à contenir des versions spécifiques plus précises qu'avec OSFamily, ou des valeurs futures non prises en charge par l'énumération OSFamily.
    IsDomainJoined Bool Indique si cet hôte appartient à un domaine.

    Identificateurs forts d’une entité hôte

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Identificateurs faibles d’une entité hôte

    • HostName
    • NetBiosName

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    IP

    Nom de l'entité : IP

    Champ Type Description
    Type Chaîne « ip »
    Adresse Chaîne Adresse IP sous forme de chaîne, par exemple. 127.0.0.1 (soit en IPv4 soit en IPv6).
    AddressScope Chaîne Nom de l’hôte, du sous-réseau ou du réseau privé pour les adresses IP privées et non globales. Nul ou vide pour les adresses IP globales (par défaut).
    Emplacement GeoLocation Contexte de géolocalisation joint à l'entité IP.

    Pour plus d’informations, consultez également Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via l’API REST (préversion publique).
    Flux Flux Source des journaux de détection liés à l’adresse IP spécifique. facultatif.

    Identificateurs forts d’une entité IP

    • Adresse
      ** L’adresse seule est un identificateur unique et fort lorsque l’adresse IP est une adresse globale.
    • Address + AddressScope
      ** Pour les adresses IP privées/internes et non globales, le composant AddressScope est nécessaire pour en faire un identificateur fort.

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Programme malveillant

    Nom de l’entité : Programmes malveillants

    Champ Type Description
    Type Chaîne « malware »
    Nom Chaîne Nom du programme malveillant attribué par le fournisseur (de détection ?), tel que Win32/Toga!rfn.
    Catégorie Chaîne Catégorie du programme malveillant attribué par le fournisseur (de détection ?), par exemple. Cheval de Troie.
    Fichiers List<Entity (Fichier)> Liste des entités Fichier liées sur lesquelles le programme malveillant a été trouvé. Les entités Fichier peuvent être incluses ou fournies en tant que référence.
    Pour plus d'informations sur la structure, consultez l'entité Fichier.
    Processus List<Entity (Processus)> Liste des entités Processus liées sur lesquelles le programme malveillant a été trouvé. Souvent utilisée lorsque l'alerte est déclenchée sur une activité sans fichier.
    Pour plus d'informations sur la structure, consultez l'entité Processus.

    Identificateurs forts d’une entité de programme malveillant

    • Name + Category

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    File

    Nom de l’entité : Fichier

    Champ Type Description
    Type Chaîne « file »
    Directory String Chemin d'accès complet au fichier.
    Nom String Nom du fichier, sans chemin d'accès (certaines alertes peuvent ne pas inclure de chemin d'accès).
    AlternateDataStreamName Chaîne Nom du flux de fichiers dans le système de fichiers NTFS (nul pour le flux principal).
    Hôte Entity (Hôte) Hôte sur lequel le fichier a été stocké.
    HostUrl Entity (URL) URL à partir de laquelle le fichier a été téléchargé
    (Mark of the Web).
    WindowsSecurityZoneType WindowsSecurityZone Zone de sécurité Windows à laquelle appartient l’URL
    (Mark of the Web).
    ReferrerUrl Entity (URL) URL référente de la requête HTTP de téléchargement de fichier
    (Mark of the Web).
    SizeInBytes Long? Taille du fichier en octets.
    FileHashes List<Entity (FileHash)> Hachages associés à ce fichier.

    Identificateurs forts d’une entité de fichier

    • Name + Directory
    • Name + FileHash
    • Name + Directory + FileHash

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Processus

    Nom de l’entité : processus

    Champ Type Description
    Type Chaîne « process »
    ProcessId String ID de processus.
    CommandLine String Ligne de commande utilisée pour créer le processus.
    ElevationToken Enum? Jeton d'élévation associé au processus.
    Valeurs possibles :
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? Moment auquel le processus a démarré.
    ImageFile Entity (Fichier) L'entité Fichier peut être incluse ou fournie en tant que référence.
    Pour plus d'informations sur la structure, consultez l'entité Fichier.
    Compte Entity (Compte) Compte exécutant les processus.
    L'entité Compte peut être incluse ou fournie en tant que référence.
    Pour plus d'informations sur la structure, consultez l'entité Compte.
    ParentProcess Entity (Processus) Entité du processus parent.
    Peut contenir des données partielles, par exemple, le PID uniquement.
    Hôte Entity (Hôte) Hôte sur lequel le processus a été exécuté.
    LogonSession Entity (HostLogonSession) Session dans laquelle le processus a été exécuté.

    Identificateurs forts d’une entité de processus

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Identificateurs faibles d’une entité de processus

    • ProcessId + CreationTimeUtc + CommandLine (et non Host)
    • ProcessId + CreationTimeUtc + ImageFile (et aucun Hôte)

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Application cloud

    Nom de l'entité : CloudApplication

    Champ Type Description
    Type Chaîne « cloud-application »
    AppId Int Déconseillé. Utilisez plutôt le champ SaasId. Identificateur technique de l'application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur facultative. Ne doit pas contenir InstanceId.
    SaasId Int Remplace le champ AppId déconseillé. Identificateur technique de l'application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur facultative. Ne doit pas contenir InstanceId.
    Nom String Nom de l'application cloud associée. Valeur facultative.
    InstanceName String Nom de l'instance tel que défini par l'utilisateur de l'application cloud. Souvent utilisé pour distinguer les différentes applications du même type d'un client.
    InstanceId Int Identificateur de la session spécifique de l’application. Il s’agit d’un nombre en cours d’exécution de base zéro. Valeur facultative.
    Risque AppRisk? Permet de filtrer les applications par score de risque, et donc par exemple de se concentrer uniquement sur les applications très risquées. Valeurs possibles telles que Low, Medium, High ou Unknown.
    Flux Flux Source des journaux de détection liés à l’application cloud spécifique. facultatif.

    Identificateurs forts d’une entité d’application cloud

    • AppId (sans InstanceName)
    • Name (sans InstanceName)
    • AppId + InstanceName
    • Name + InstanceName

    Liste des identificateurs des applications cloud

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Résolution DNS

    Nom de l'entité : DNS

    Champ Type Description
    Type Chaîne « dns »
    DomainName String Nom de l'enregistrement DNS associé à l'alerte.
    IpAddress List<Entity (IP)> Entités correspondant aux adresses IP résolues.
    DnsServerIp Entity (IP) Entité représentant le serveur DNS qui résout la requête.
    HostIpAddress Entity (IP) Entité représentant le client de la requête DNS.

    Identificateurs forts d’une entité DNS

    • DomainName + DnsServerIp + HostIpAddress

    Identificateurs faibles d’une entité DNS

    • DomainName + HostIpAddress

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Ressource Azure

    Nom de l’entité : AzureResource

    Champ Type Description
    Type String « azure-resource »
    ResourceId String ID de ressource Azure de la ressource. Obligatoire.
    SubscriptionId String ID d’abonnement de la ressource.
    ActiveContacts List<ActiveContact> Contacts actifs associés à la ressource.
    ResourceType Chaîne Type de la ressource.
    ResourceName Chaîne Nom de la ressource.

    Identificateurs forts d’une entité de ressource Azure

    • ResourceId

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Hachage du fichier

    Nom de l'entité : FileHash

    Champ Type Description
    Type String « filehash »
    Algorithme Énumération Type d'algorithme de hachage. Obligatoire. Valeurs possibles :
  • Unknown
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Valeur String Valeur de hachage. Obligatoire.

    Identificateurs forts d’une entité de hachage de fichier

    • Algorithm + Value

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Clé de Registre

    Nom de l'entité : RegistryKey

    Champ Type Description
    Type Chaîne « registry-key »
    Hive Enum? Une des valeurs suivantes :
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Clé String Chemin de la clé de Registre.

    Identificateurs forts d’une entité de clé de Registre

    • Hive + Key

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Valeur de Registre

    Nom de l'entité : RegistryValue

    Champ Type Description
    Type Chaîne « registry-value »
    Hôte Entity (Hôte) Hôte auquel appartient le Registre.
    Clé Entity (RegistryKey) Entité Clé de Registre.
    Nom String Nom de la valeur de Registre.
    Valeur String Représentation sous forme de chaîne des données de la valeur.
    ValueType Enum? Une des valeurs suivantes :
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Aucun
  • Unknown
    Les valeurs doivent être conformes à l'énumération Microsoft.Win32.RegistryValueKind.
  • Identificateurs forts d’une entité de valeur de Registre

    • Key + Name

    Identificateurs faibles d’une entité de valeur de Registre

    • Name (sans Key)

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Groupe de sécurité

    Nom de l’entité : SecurityGroup

    Champ Type Description
    Type String « security-group »
    DistinguishedName String Nom distinctif du groupe.
    SID Chaîne Attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe.
    ObjectGuid Guid? Attribut à valeur unique qui constitue l’identificateur unique de l’objet, attribué par Active Directory.

    Identificateurs forts d’une entité de groupe de sécurité

    • DistinguishedName
    • SID
    • ObjectGuid

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    URL

    Nom de l’entité : URL

    Champ Type Description
    Type String « url »
    Url Uri URL complète vers laquelle pointe l'entité. Obligatoire.

    Identificateurs forts d’une entité URL

    • Url (** Cet identificateur est fort lorsque l’URL est une URL absolue.)

    Identificateurs faibles d’une entité URL

    • Url (** Cet identificateur est faible lorsque l’URL est une URL relative.)

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Appareil IoT

    Nom de l'entité : IoTDevice

    Champ Type Description
    Type String « iotdevice »
    IoTHub Entity (AzureResource) Entité AzureResource représentant l'instance IoT Hub à laquelle appartient l'appareil.
    DeviceId String ID de l'appareil dans le contexte d'IoT Hub. Obligatoire.
    DeviceName String Nom convivial de l'appareil.
    Propriétaires List<String> Propriétaires du périphérique.
    IoTSecurityAgentId Guid? ID de l'agent Defender pour IoT exécuté sur l'appareil.
    DeviceType String Type d'appareil (« capteur de température », « congélateur », « éolienne », etc.).
    DeviceTypeId Chaîne ID unique permettant d’identifier chaque type de périphérique en fonction du schéma de type de périphérique, car le type de périphérique lui-même est un nom d’affichage et n’est pas fiable dans les comparaisons.

    Valeurs possibles :
    Non classé = 0
    Divers = 1
    Périphérique réseau = 2
    Imprimante = 3
    Audio et vidéo = 4
    Média et surveillance = 5
    Communication = 7
    Appliance intelligente = 9
    Station de travail = 10
    Serveur = 11
    Mobile = 12
    Installation intelligente = 13
    Industriel = 14
    Équipement opérationnel = 15
    Source String Source (Microsoft/Fournisseur) de l'entité d'appareil.
    SourceRef Entity (Url) Référence URL à l'élément source où l'appareil est géré.
    Fabricant String Fabricant de l’appareil
    Modèle String Modèle de l’appareil
    OperatingSystem String Système d'exploitation que l'appareil utilise.
    IpAddress Entity (IP) Adresse IP actuelle de l'appareil.
    MacAddress String Adresse MAC de l’appareil.
    Nics Entity (carte réseau) Cartes réseau actuelles sur le périphérique.
    Protocoles List<String> Liste des protocoles pris en charge par l'appareil.
    SerialNumber String Numéro de série de l’appareil.
    Site Chaîne Emplacement du site du périphérique.
    Zone Chaîne Emplacement de la zone du périphérique au sein d’un site.
    Capteur Chaîne Capteur qui surveille le périphérique.
    Importance Enum? Une des valeurs suivantes :
  • Faible
  • Normale
  • Élevée
  • PurdueLayer Chaîne Couche Purdue du périphérique.
    IsProgramming Bool? Indique si le périphérique est classé comme appareil de programmation.
    IsAuthorized Bool? Indique si le périphérique est classé comme périphérique autorisé.
    IsScanner Bool? Indique si l’appareil est classé comme appareil de scanneur.
    DevicePageLink Entity (Url) URL de la page du périphérique dans le portail Defender pour IoT.
    DeviceSubType Chaîne Nom du sous-type du périphérique.

    Identificateurs forts d’une entité d’appareil IoT

    • IoTHub + DeviceId

    Identificateurs faibles d’une entité d’appareil IoT

    • DeviceId (sans IoTHub)

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Mailbox

    Nom de l’entité : Boîte aux lettres

    Champ Type Description
    Type String « mailbox »
    MailboxPrimaryAddress String Adresse principale de la boîte aux lettres.
    Nom d’affichage String Nom d'affichage de la boîte aux lettres.
    Upn String UPN de la boîte aux lettres.
    AadId Chaîne Identificateur Azure AD de la boîte aux lettres de l’utilisateur.
    RiskLevel RiskLevel? Niveau de risque associé à cette boîte aux lettres. Valeurs possibles :
  • Aucun
  • Faible
  • Moyenne
  • Élevé
  • ExternalDirectoryObjectId Guid? Identificateur AzureAD de la boîte aux lettres. Semblable à AadUserId pour l'entité Compte, mais cette propriété est spécifique à l'objet de boîte aux lettres du côté Office.

    Identificateurs forts d’une entité de boîte aux lettres

    • MailboxPrimaryAddress

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Cluster de messagerie

    Nom de l'entité : MailCluster

    Champ Type Description
    Type String « mail-cluster »
    NetworkMessageIds IList<String> ID des messages électroniques appartenant au cluster de courrier.
    CountByDeliveryStatus IDictionary<String,Int> Nombre de messages électroniques par représentation sous forme de chaîne DeliveryStatus.
    CountByThreatType IDictionary<String,Int> Nombre de messages électroniques par représentation sous forme de chaîne ThreatType.
    CountByProtectionStatus IDictionary<String,long> Nombre de messages électroniques par représentation sous forme de chaîne d’état de protection.
    CountByDeliveryLocation IDictionary<String,long> Nombre de messages électroniques par représentation sous forme de chaîne d’emplacement de la livraison.
    Threats IList<String> Menaces associées aux messages électroniques appartenant au cluster de courrier.
    Requête String Requête utilisée pour identifier les messages du cluster de courrier.
    QueryTime DateTime? Date/heure de la requête.
    MailCount Int? Nombre de messages électroniques appartenant au cluster de courrier.
    IsVolumeAnomaly Bool? Indique si le cluster de courrier est un cluster de courrier d’anomalie de volume.
    Source Chaîne Source du cluster de courrier (la valeur par défaut est O365 ATP).

    Identificateurs forts d’une entité de cluster de courrier

    • Query + Source

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Message électronique

    Nom de l'entité : MailMessage

    Champ Type Description
    Type String « mail-message »
    Fichiers IList<Entity (Fichier)> Entités Fichier des pièces jointes de ce message électronique.
    Recipient String Destinataire de ce message électronique. Lorsqu'il y a plusieurs destinataires, le message est copié et chaque copie possède un destinataire.
    Urls IList<String> URL contenues dans ce message électronique.
    Threats IList<String> Menaces contenues dans ce message électronique.
    Expéditeur String Adresse e-mail de l’expéditeur.
    SenderIP String Adresse IP de l'expéditeur.
    ReceivedDate DateTime Date de réception de ce message.
    NetworkMessageId Guid? ID de message réseau de ce message électronique.
    InternetMessageId String ID de message Internet de ce message électronique.
    Objet String Objet de ce message électronique.
    AntispamDirection Enum? Directionnalité de ce message électronique. Valeurs possibles :
  • Unknown
  • Trafic entrant
  • Règle de trafic sortant
  • Intraorg (interne)
  • DeliveryAction Enum? Action de remise de ce message électronique. Valeurs possibles :
  • Unknown
  • DeliveredAsSpam
  • Delivered (Livrée)
  • Bloqué
  • Remplacé
  • DeliveryLocation Enum? Emplacement de remise de ce message électronique. Valeurs possibles :
  • Unknown
  • Inbox
  • JunkFolder
  • DeletedFolder
  • Mise en quarantaine
  • Externe
  • Échec
  • Supprimé
  • Forwarded
  • CampaignId Chaîne Identificateur de la campagne dans laquelle ce message électronique est présent.
    SuspiciousRecipients IList<String> Liste des destinataires détectés comme suspects.
    ForwardedRecipients IList<String> Liste de tous les destinataires sur le courrier transféré.
    ForwardingType IList<String> Type de transfert du courrier, tel que SMTP, ETR, etc.

    Identificateurs forts d’une entité de message électronique

    • NetworkMessageId + Recipient

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    E-mail d'envoi

    Nom de l'entité : SubmissionMail

    Champ Type Description
    Type String « SubmissionMail »
    SubmissionId Guid? ID de l'envoi.
    SubmissionDate DateTime? Date et heure indiquées pour cet envoi.
    Expéditeur String Adresse e-mail de l'expéditeur.
    NetworkMessageId Guid? ID de message réseau de l'e-mail auquel l'envoi appartient.
    Timestamp DateTime? Horodatage de réception du message (courrier).
    Recipient String Destinataire du courrier.
    Expéditeur String Expéditeur du courrier.
    SenderIp String Adresse IP de l'expéditeur.
    Objet String Objet du courrier envoyé.
    ReportType String Type d'envoi pour l'instance donnée Les valeurs possibles sont Junk, Phish, Malware ou NotJunk.

    Identificateurs forts d’une entité SubmissionMail

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Entités Sentinel

    Champ Type Description
    Entités String Liste des entités identifiées dans l’alerte. Cette liste est la colonne Entités du schéma SecurityAlert (voir la documentation).

    Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité

    Identificateurs des applications cloud

    La liste suivante définit les identificateurs des applications cloud connues. La valeur ID de l'application est utilisée comme identificateur d'entité de l'application cloud.

    ID de l’application Nom
    10026 DocuSign
    10 395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive Entreprise
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype Entreprise
    25988 Google Docs
    26055 Centre d’administration Microsoft 365
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Étapes suivantes

    Ce document vous a permis de vous familiariser avec la structure, les identificateurs et les schémas des entités dans Microsoft Sentinel.

    Apprenez-en davantage sur les entités et le mappage des entités.