Informations de référence sur les types d’entités Microsoft Sentinel

  • Article

Types d'entités et identificateurs

Le tableau suivant présente les types d’entités actuellement disponibles pour le mappage dans Microsoft Sentinel, ainsi que les attributs disponibles en tant qu’identificateurs pour chaque type d’entité. Ces attributs apparaissent dans la liste déroulante Identificateurs de la section Mappage d’entités de l’Assistant Règle d’analytique.

Chacun des identificateurs de la colonne Identificateurs requis est nécessaire pour identifier l'entité correspondante. Cela dit, un identifiant requis peut ne pas suffire à lui seul à fournir une identification unique. Plus le nombre d'identifiants utilisés est élevé, plus la probabilité d'identification unique est grande. Vous pouvez utiliser trois identificateurs par mappage d'entités.

Pour des résultats optimaux (et une identification unique garantie), utilisez de préférence les identificateurs de la colonne Identificateurs les plus forts. L'utilisation de plusieurs identificateurs forts permet d'établir une corrélation entre les identificateurs forts issus de sources de données et de schémas différents. Cette corrélation permet à Microsoft Sentinel de fournir des informations plus complètes sur une entité donnée.

Type d'entité Identificateurs Identificateurs requis Identificateurs les plus forts
Compte d’utilisateur
(Account)		 Nom
FullName
NTDomain
DNSDomain
UPNSuffix
SID
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName
ObjectGuid		 FullName
SID
Nom
AadUserId
PUID
ObjectGuid		 Name + NTDomain
Name + UPNSuffix
AADUserId
SID
Host DnsDomain
NTDomain
HostName
FullName
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 FullName
HostName
NetBiosName
AzureID
OMSAgentID		 HostName + NTDomain
HostName + DnsDomain
NetBiosName + NTDomain
NetBiosName + DnsDomain
AzureID
OMSAgentID
Adresse IP
(IP)		 Adresse Adresse
Programme malveillant Nom
Category		 Nom
Fichier Répertoire
Nom		 Nom
Processus ProcessId
CommandLine
ElevationToken
CreationTimeUtc		 CommandLine
ProcessId
Application cloud
(CloudApplication)		 AppId
Nom
InstanceName		 AppId
Nom
Nom de domaine
(DNS)		 DomainName DomainName
Ressource Azure ResourceId ResourceId
Hachage du fichier
(FileHash)		 Algorithm
Valeur		 Algorithm + Value
Clé de Registre Hive
Clé :		 Hive
Clé :		 Hive + Key
Valeur de Registre Nom
Valeur
ValueType		 Nom
Groupe de sécurité DistinguishedName
SID
ObjectGuid		 DistinguishedName
SID
ObjectGuid
URL Url Url
Appareil IoT IoTHub
DeviceId
DeviceName
IoTSecurityAgentId
DeviceType
Source
SourceRef
Fabricant
Modéliser
OperatingSystem
IpAddress
MacAddress
Protocoles
SerialNumber		 IoTHub
deviceId		 IoTHub + DeviceId
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
Cluster de messagerie NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Menaces
Requête
QueryTime
MailCount
IsVolumeAnomaly
Source
ClusterSourceIdentifier
ClusterSourceType
ClusterQueryStartTime
ClusterQueryEndTime
ClusterGroup		 Requête
Source		 Query + Source
Message électronique Recipient
Urls
Menaces
Expéditeur
P1Sender
P1SenderDisplayName
P1SenderDomain
SenderIP
P2Sender
P2SenderDisplayName
P2SenderDomain
ReceivedDate
NetworkMessageId
InternetMessageId
Objet
BodyFingerprintBin1
BodyFingerprintBin2
BodyFingerprintBin3
BodyFingerprintBin4
BodyFingerprintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Langage
ThreatDetectionMethods		 NetworkMessageId
Recipient		 NetworkMessageId + Recipient
E-mail d'envoi SubmissionId
SubmissionDate
Expéditeur
NetworkMessageId
Timestamp
Recipient
Expéditeur
SenderIp
Objet
ReportType		 SubmissionId
NetworkMessageId
Recipient
Expéditeur
Entités Sentinel Entités Entités

Schémas des types d'entités

La section suivante contient une présentation plus détaillée des schémas complets de chaque type d'entité. Beaucoup de ces schémas comportent des liens vers d'autres types d'entités ; par exemple, le schéma Compte d'utilisateur comporte un lien vers le type d'entité Hôte, car l'un des attributs d'un compte d'utilisateur correspond à l'hôte sur lequel il est défini. Ces entités liées en externe ne peuvent pas être utilisées en tant qu'identificateurs pour le mappage des entités, mais elles offrent une image complète des entités sur les pages de celles-ci et sur le graphique d'investigation.

Notes

Le point d'interrogation qui suit certaines valeurs dans la colonne Type indique que le champ peut accepter la valeur Null.

Compte d’utilisateur

Nom de l'entité : Account

Champ Type Description
Type String « account »
Nom String Nom du compte. Ce champ ne doit contenir que le nom, sans domaine.
FullName N/A Ne fait pas partie du schéma, inclus à des fins de compatibilité descendante avec l'ancienne version du mappage d'entités.
NTDomain String Nom de domaine NETBIOS tel qu'il apparaît dans le format d'alerte -domaine\nom d'utilisateur. Exemples : Finance, AUTORITÉ NT
DnsDomain String Nom DNS de domaine complet. Exemple : finance.contoso.com
UPNSuffix String Suffixe du nom de l'utilisateur principal du compte. Dans certains cas, il s'agit également du nom de domaine. Exemple : contoso.com
Host Entité Hôte sur lequel figure le compte, s'il s'agit d'un compte local.
SID String Identificateur de sécurité du compte, par exemple S-1-5-18.
AadTenantId Guid? ID du locataire Azure AD, s'il est connu.
AadUserId Guid? ID de l'objet compte Azure AD, s'il est connu.
PUID Guid? ID de l'utilisateur Azure AD Passport, s'il est connu.
IsDomainJoined Bool? Détermine s'il s’agit d'un compte de domaine.
DisplayName String Nom d'affichage du compte.
ObjectGuid Guid? L'attribut objectGUID est un attribut à valeur unique qui constitue l'identificateur unique de l'objet, attribué par Active Directory.

Identificateurs forts d'une entité Compte :

  • Name + UPNSuffix
  • AadUserId
  • Sid + Host (requis pour les SID des comptes intégrés)
  • Sid (sauf pour les SID des comptes intégrés)
  • Name + NTDomain (sauf si NTDomain est un domaine intégré, par exemple « Groupe de travail »)
  • Name + Host (si NTDomain est un domaine intégré, par exemple « Groupe de travail »)
  • Name + DnsDomain
  • PUID
  • ObjectGuid

Identificateurs faibles d'une entité Compte :

  • Nom

Notes

Si l’entité Account est définie à l’aide de l’identificateur Name et que la valeur Name d’une entité particulière est l’un des noms de compte génériques et généralement intégrés suivants, cette entité est supprimée de son alerte.

  • ADMIN
  • ADMINISTRATEUR
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • UTILISATEUR AUTHENTIFIÉ
  • RÉSEAU
  • NULL
  • SYSTÈME LOCAL
  • LOCALSYSTEM
  • SERVICE RÉSEAU

Host

Champ Type Description
Type String « host »
DnsDomain String Domaine DNS auquel cet hôte appartient. Doit contenir le suffixe DNS complet du domaine, s'il est connu.
NTDomain String Domaine NT auquel cet hôte appartient.
HostName String Nom d'hôte sans suffixe de domaine.
FullName N/A Ne fait pas partie du schéma, inclus à des fins de compatibilité descendante avec l'ancienne version du mappage d'entités.
NetBiosName String Nom d'hôte (antérieur à Windows 2000).
IoTDevice Entité Entité Appareil IoT (si cet hôte représente un appareil IoT).
AzureID String ID de ressource Azure de la machine virtuelle, s'il est connu.
OMSAgentID String ID de l'agent OMS, si celui-ci est installé sur l'hôte.
OSFamily Enum? Une des valeurs suivantes :
  • Linux
  • Windows
  • Android
  • IOS
    		•
    OSVersion String Représentation en texte libre du système d'exploitation.
    Ce champ est destiné à contenir des versions spécifiques plus précises qu'avec OSFamily, ou des valeurs futures non prises en charge par l'énumération OSFamily.
    IsDomainJoined Bool Détermine si cet hôte appartient à un domaine.

    Identificateurs forts d'une entité Hôte :

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice (non pris en charge pour le mappage d'entités)

    Identificateurs faibles d'une entité Hôte :

    • HostName
    • NetBiosName

    Adresse IP

    Nom de l'entité : IP

    Champ Type Description
    Type String « ip »
    Adresse String Adresse IP sous forme de chaîne, par exemple 127.0.0.1 (dans IPv4 ou IPv6).
    Emplacement GeoLocation Contexte de géolocalisation joint à l'entité IP.

    Pour plus d’informations, consultez également Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via l’API REST (préversion publique).

    Identificateurs forts d'une entité IP :

    • Adresse

    Programme malveillant

    Champ Type Description
    Type String « malware »
    Nom String Nom du programme malveillant tel qu'indiqué par le fournisseur, par exemple Win32/Toga!rfn.
    Category String Catégorie du programme malveillant telle qu'indiquée par le fournisseur, par exemple Cheval de Troie.
    Fichiers List<Entity> Liste des entités Fichier liées sur lesquelles le programme malveillant a été trouvé. Les entités Fichier peuvent être incluses ou fournies en tant que référence.
    Pour plus d'informations sur la structure, consultez l'entité Fichier.
    Processus List<Entity> Liste des entités Processus liées sur lesquelles le programme malveillant a été trouvé. Souvent utilisée lorsque l'alerte est déclenchée sur une activité sans fichier.
    Pour plus d'informations sur la structure, consultez l'entité Processus.

    Identificateurs forts d'une entité Programme malveillant :

    • Name + Category

    Fichier

    Champ Type Description
    Type String « file »
    Répertoire String Chemin d'accès complet au fichier.
    Nom String Nom du fichier, sans chemin d'accès (certaines alertes peuvent ne pas inclure de chemin d'accès).
    Host Entité Hôte sur lequel le fichier a été stocké.
    FileHashes List<Entity> Hachages associés à ce fichier.

    Identificateurs forts d'une entité Fichier :

    • Name + Directory
    • Name + FileHash
    • Name + Directory + FileHash

    Processus

    Champ Type Description
    Type String « process »
    ProcessId String ID de processus.
    CommandLine String Ligne de commande utilisée pour créer le processus.
    ElevationToken Enum? Jeton d'élévation associé au processus.
    Valeurs possibles :
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc DateTime? Moment auquel le processus a démarré.
    ImageFile Entity (File) L'entité Fichier peut être incluse ou fournie en tant que référence.
    Pour plus d'informations sur la structure, consultez l'entité Fichier.
    Compte Entité Compte exécutant les processus.
    L'entité Compte peut être incluse ou fournie en tant que référence.
    Pour plus d'informations sur la structure, consultez l'entité Compte.
    ParentProcess Entity (Process) Entité du processus parent.
    Peut contenir des données partielles (PID uniquement).
    Host Entité Hôte sur lequel le processus a été exécuté.
    LogonSession Entity (HostLogonSession) Session dans laquelle le processus a été exécuté.

    Identificateurs forts d'une entité Processus :

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Identificateurs faibles d'une entité Processus :

    • ProcessId + CreationTimeUtc + CommandLine (et non Host)
    • ProcessId + CreationTimeUtc + ImageFile (et non Host)

    Application cloud

    Nom de l'entité : CloudApplication

    Champ Type Description
    Type String « cloud-application »
    AppId Int Identificateur technique de l'application. Il doit s'agir de l'une des valeurs définies dans la liste des identificateurs d'application cloud. La valeur du champ AppId est facultative.
    Nom String Nom de l'application cloud associée. La valeur du nom de l'application est facultative.
    InstanceName String Nom de l'instance tel que défini par l'utilisateur de l'application cloud. Souvent utilisé pour distinguer les différentes applications du même type d'un client.

    Identificateurs forts d'une entité Application cloud :

    • AppId (sans InstanceName)
    • Name (sans InstanceName)
    • AppId + InstanceName
    • Name + InstanceName

    Nom de domaine

    Nom de l'entité : DNS

    Champ Type Description
    Type String « dns »
    DomainName String Nom de l'enregistrement DNS associé à l'alerte.
    IpAddress List<Entity (IP)> Entités correspondant aux adresses IP résolues.
    DnsServerIp Entity (IP) Entité représentant le serveur DNS qui résout la requête.
    HostIpAddress Entity (IP) Entité représentant le client de la requête DNS.

    Identificateurs forts d'une entité DNS :

    • DomainName + DnsServerIp + HostIpAddress

    Identificateurs faibles d'une entité DNS :

    • DomainName + HostIpAddress

    Ressource Azure

    Champ Type Description
    Type String « azure-resource »
    ResourceId String ID de ressource Azure de la ressource.
    SubscriptionId String ID d’abonnement de la ressource.
    TryGetResourceGroup Bool Valeur du groupe de ressources, le cas échéant.
    TryGetProvider Bool Valeur du fournisseur, le cas échéant.
    TryGetName Bool Valeur du nom, le cas échéant.

    Identificateurs forts d'une entité Ressource Azure :

    • ResourceId

    Hachage du fichier

    Nom de l'entité : FileHash

    Champ Type Description
    Type String « filehash »
    Algorithm Énumération Type d'algorithme de hachage. Valeurs possibles :
  • Unknown
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Valeur String Valeur de hachage.

    Identificateurs forts d'une entité Hachage de fichier :

    • Algorithm + Value

    Clé de Registre

    Nom de l'entité : RegistryKey

    Champ Type Description
    Type String « registry-key »
    Hive Enum? Une des valeurs suivantes :
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Clé : String Chemin de la clé de Registre.

    Identificateurs forts d'une entité Clé de Registre :

    • Hive + Key

    Valeur de Registre

    Nom de l'entité : RegistryValue

    Champ Type Description
    Type String « registry-value »
    Clé : Entity (RegistryKey) Entité Clé de Registre.
    Nom String Nom de la valeur de Registre.
    Valeur String Représentation sous forme de chaîne des données de la valeur.
    ValueType Enum? Une des valeurs suivantes :
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Aucun
  • Unknown
    Les valeurs doivent être conformes à l'énumération Microsoft.Win32.RegistryValueKind.
    		•

    Identificateurs forts d'une entité Valeur de Registre :

    • Key + Name

    Identificateurs faibles d'une entité Valeur de Registre :

    • Name (sans Key)

    Groupe de sécurité

    Nom de l’entité : SecurityGroup

    Champ Type Description
    Type String « security-group »
    DistinguishedName String Nom distinctif du groupe.
    SID String L'attribut SID est un attribut à valeur unique qui spécifie l'identificateur de sécurité (SID) du groupe.
    ObjectGuid Guid? L'attribut objectGUID est un attribut à valeur unique qui constitue l'identificateur unique de l'objet, attribué par Active Directory.

    Identificateurs forts d'une entité Groupe de sécurité :

    • DistinguishedName
    • SID
    • ObjectGuid

    URL

    Champ Type Description
    Type String « url »
    Url Uri URL complète vers laquelle pointe l'entité.

    Identificateurs forts d'une entité URL :

    • URL (lorsqu'il s'agit d'une URL absolue)

    Identificateurs faibles d'une entité URL :

    • URL (lorsqu'il s'agit d'une URL relative)

    Appareil IoT

    Nom de l'entité : IoTDevice

    Champ Type Description
    Type String « iotdevice »
    IoTHub Entity (AzureResource) Entité AzureResource représentant l'instance IoT Hub à laquelle appartient l'appareil.
    deviceId String ID de l'appareil dans le contexte d'IoT Hub.
    DeviceName String Nom convivial de l'appareil.
    IoTSecurityAgentId Guid? ID de l'agent Defender pour IoT exécuté sur l'appareil.
    DeviceType String Type d'appareil (« capteur de température », « congélateur », « éolienne », etc.).
    Source String Source (Microsoft/Fournisseur) de l'entité d'appareil.
    SourceRef Entity (Url) Référence URL à l'élément source où l'appareil est géré.
    Fabricant String Fabricant de l’appareil
    Modéliser String Modèle de l’appareil
    OperatingSystem String Système d'exploitation que l'appareil utilise.
    IpAddress Entity (IP) Adresse IP actuelle de l'appareil.
    MacAddress String Adresse MAC de l’appareil.
    Protocoles List<String> Liste des protocoles pris en charge par l'appareil.
    SerialNumber String Numéro de série de l’appareil.

    Identificateurs forts d'une entité Appareil IoT :

    • IoTHub + DeviceId

    Identificateurs faibles d'une entité Appareil IoT :

    • DeviceId (sans IoTHub)

    Mailbox

    Champ Type Description
    Type String « mailbox »
    MailboxPrimaryAddress String Adresse principale de la boîte aux lettres.
    DisplayName String Nom d'affichage de la boîte aux lettres.
    Upn String UPN de la boîte aux lettres.
    RiskLevel Enum? Niveau de risque associé à cette boîte aux lettres. Valeurs possibles :
  • Aucun
  • Faible
  • Moyenne
  • Élevé
    		•
    ExternalDirectoryObjectId Guid? Identificateur AzureAD de la boîte aux lettres. Semblable à AadUserId pour l'entité Compte, mais cette propriété est spécifique à l'objet de boîte aux lettres du côté Office.

    Identificateurs forts d'une entité Boîte aux lettres :

    • MailboxPrimaryAddress

    Cluster de messagerie

    Nom de l'entité : MailCluster

    Notes

    Microsoft Defender pour Office 365 était auparavant connu sous le nom d'Office 365 Advanced Threat Protection (O365 ATP).

    Champ Type Description
    Type String « mail-cluster »
    NetworkMessageIds IList<String> ID des messages électroniques appartenant au cluster de courrier.
    CountByDeliveryStatus IDictionary<String,Int> Nombre de messages électroniques par représentation sous forme de chaîne DeliveryStatus.
    CountByThreatType IDictionary<String,Int> Nombre de messages électroniques par représentation sous forme de chaîne ThreatType.
    CountByProtectionStatus IDictionary<String,long> Nombre de messages électroniques par état de protection contre les menaces.
    Menaces IList<String> Menaces associées aux messages électroniques appartenant au cluster de courrier.
    Requête String Requête utilisée pour identifier les messages du cluster de courrier.
    QueryTime DateTime? Date/heure de la requête.
    MailCount Int? Nombre de messages électroniques appartenant au cluster de courrier.
    IsVolumeAnomaly Bool? Détermine s'il s'agit d'un cluster de courrier avec anomalie de volume.
    Source String Source du cluster de courrier (la source par défaut est « O365 ATP »).
    ClusterSourceIdentifier String ID de message réseau du courrier qui est la source de ce cluster de courrier.
    ClusterSourceType String Type de source du cluster de courrier. Correspond au paramètre MailClusterSourceType de Microsoft Defender pour Office 365 (voir la remarque ci-dessus).
    ClusterQueryStartTime DateTime? Heure de début du cluster - utilisée comme heure de début pour la requête de comptage du cluster. Les dates correspondent généralement à l'heure de fin moins le paramètre DaysToLookBack de Microsoft Defender pour Office 365 (voir la remarque ci-dessus).
    ClusterQueryEndTime DateTime? Heure de fin du cluster - utilisée comme heure de fin pour la requête de comptage du cluster. En général, il s'agit de l'heure de réception des données de courrier.
    ClusterGroup String Correspond à la clé de requête Kusto utilisée sur Microsoft Defender pour Office 365 (voir la remarque ci-dessus).

    Identificateurs forts d'une entité Cluster de courrier :

    • Query + Source

    Message électronique

    Nom de l'entité : MailMessage

    Champ Type Description
    Type String « mail-message »
    Fichiers IList<File> Entités Fichier des pièces jointes de ce message électronique.
    Recipient String Destinataire de ce message électronique. Lorsqu'il y a plusieurs destinataires, le message est copié et chaque copie possède un destinataire.
    Urls IList<String> URL contenues dans ce message électronique.
    Menaces IList<String> Menaces contenues dans ce message électronique.
    Expéditeur String Adresse e-mail de l’expéditeur.
    P1Sender String Adresse e-mail de l'utilisateur (délégué) qui a envoyé ce courrier « au nom de l'utilisateur P2 (principal) ». Si l'e-mail n'est pas envoyé par le délégué, cette valeur est égale à P2Sender.
    P1SenderDisplayName String Nom d'affichage de l'utilisateur (délégué) qui a envoyé ce courrier « au nom de l'utilisateur P2 (principal) ». Représenté dans l'en-tête de l'e-mail par la propriété « OnbehalfofSenderDisplayName ».
    P1SenderDomain String Domaine de courrier de l'utilisateur (délégué) qui a envoyé ce courrier « au nom de l'utilisateur P2 (principal) ». Si l'e-mail n'a pas été envoyé par le délégué, cette valeur est égale à P2SenderDomain.
    P2Sender String Adresse e-mail de l'utilisateur (principal) au nom duquel cet e-mail a été envoyé.
    P2SenderDisplayName String Nom d'affichage de l'utilisateur (principal) au nom duquel cet e-mail a été envoyé. Si l'e-mail n'a pas été envoyé par le délégué, il s'agit du nom d'affichage de l'expéditeur.
    P2SenderDomain String Domaine de courrier de l'utilisateur (principal) au nom duquel cet e-mail a été envoyé. Si l'e-mail n'a pas été envoyé par le délégué, il s'agit du domaine de l'expéditeur.
    SenderIP String Adresse IP de l'expéditeur.
    ReceivedDate DateTime Date de réception de ce message.
    NetworkMessageId Guid? ID de message réseau de ce message électronique.
    InternetMessageId String ID de message Internet de ce message électronique.
    Objet String Objet de ce message électronique.
    BodyFingerprintBin1
    BodyFingerprintBin2
    BodyFingerprintBin3
    BodyFingerprintBin4
    BodyFingerprintBin5    		 UInt? Utilisé par Microsoft Defender pour Office 365 afin de rechercher des messages électroniques correspondants ou similaires.
    AntispamDirection Enum? Directionnalité de ce message électronique. Valeurs possibles :
  • Unknown
  • Trafic entrant
  • Règle de trafic sortant
  • Intraorg (interne)
    		•
    DeliveryAction Enum? Action de remise de ce message électronique. Valeurs possibles :
  • Unknown
  • DeliveredAsSpam
  • Delivered (Livrée)
  • Bloqué
  • Remplacé
    		•
    DeliveryLocation Enum? Emplacement de remise de ce message électronique. Valeurs possibles :
  • Unknown
  • Inbox
  • JunkFolder
  • DeletedFolder
  • Mise en quarantaine
  • Externe
  • Échec
  • Supprimé
  • Forwarded
    		•
    Langage String Langue dans laquelle le contenu du courrier est rédigé.
    ThreatDetectionMethods IList<String> Liste des méthodes de détection des menaces appliquées à ce courrier.

    Identificateurs forts d'une entité Message électronique :

    • NetworkMessageId + Recipient

    E-mail d'envoi

    Nom de l'entité : SubmissionMail

    Champ Type Description
    Type String « SubmissionMail »
    SubmissionId Guid? ID de l'envoi.
    SubmissionDate DateTime? Date et heure indiquées pour cet envoi.
    Expéditeur String Adresse e-mail de l'expéditeur.
    NetworkMessageId Guid? ID de message réseau de l'e-mail auquel l'envoi appartient.
    Timestamp DateTime? Horodatage de réception du message (courrier).
    Recipient String Destinataire du courrier.
    Expéditeur String Expéditeur du courrier.
    SenderIp String Adresse IP de l'expéditeur.
    Objet String Objet du courrier envoyé.
    ReportType String Type d'envoi pour l'instance donnée (Junk, Phish, Malware ou NotJunk).

    Identificateurs forts d'une entité SubmissionMail :

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Entités Sentinel

    Champ Type Description
    Entités String Liste des entités identifiées dans l’alerte. Cette liste est la colonne Entités du schéma SecurityAlert (voir la documentation).

    Identificateurs des applications cloud

    La liste suivante définit les identificateurs des applications cloud connues. La valeur ID de l'application est utilisée comme identificateur d'entité de l'application cloud.

    ID de l’application Nom
    10026 DocuSign
    10 395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive Entreprise
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype Entreprise
    25988 Google Docs
    26055 Centre d’administration Microsoft 365
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Azure AD
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Étapes suivantes

    Ce document vous a permis de vous familiariser avec la structure, les identificateurs et les schémas des entités dans Microsoft Sentinel.

    Apprenez-en davantage sur les entités et le mappage des entités.