Entities - List
Obtient toutes les entités.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities?api-version=2025-07-01-previewParamètres URI
| Nom | Dans | Obligatoire | Type | Description |
|---|---|---|---|---|
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Nom du groupe de ressources. Le nom ne respecte pas la casse. |
|
subscription
|
path | True |
string (uuid) |
ID de l’abonnement cible. La valeur doit être un UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
Nom de l’espace de travail. |
|
api-version
|
query | True |
string minLength: 1 |
Version de l’API à utiliser pour cette opération. |
Réponses
| Nom | Type | Description |
|---|---|---|
| 200 OK |
Opération Azure terminée avec succès. |
|
| Other Status Codes |
Réponse d’erreur inattendue. |
Sécurité
azure_auth
Azure Active Directory OAuth2 Flow.
Type:
oauth2
Flux:
implicit
URL d’autorisation:
https://login.microsoftonline.com/common/oauth2/authorize
Étendues
| Nom | Description |
|---|---|
| user_impersonation | emprunter l’identité de votre compte d’utilisateur |
Exemples
Get all entities.
Exemple de requête
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities?api-version=2025-07-01-preview
Exemple de réponse
{
"value": [
{
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"kind": "Account",
"properties": {
"aadTenantId": "70fbdad0-7441-4564-b2b5-2b8862d0fee0",
"aadUserId": "f7033626-2572-46b1-bba0-06646f4f95b3",
"accountName": "administrator",
"friendlyName": "administrator",
"isDomainJoined": true,
"ntDomain": "domain",
"objectGuid": "11227b78-3c6e-436e-a2a2-02fc7662eca0",
"puid": "ee3cb2d8-14ba-45ef-8009-d6f1cacfa04d",
"sid": "S-1-5-18",
"upnSuffix": "contoso"
}
},
{
"name": "fed9fe89-dce8-40f2-bf44-70f23fe93b3c",
"type": "Microsoft.SecurityInsights/entities",
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/fed9fe89-dce8-40f2-bf44-70f23fe93b3c",
"kind": "Host",
"properties": {
"azureID": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.Compute/virtualMachines/vm1",
"dnsDomain": "contoso",
"friendlyName": "vm1",
"hostName": "vm1",
"isDomainJoined": true,
"netBiosName": "contoso",
"ntDomain": "domain",
"omsAgentID": "70fbdad0-7441-4564-b2b5-2b8862d0fee0",
"osFamily": "Windows",
"osVersion": "1.0"
}
},
{
"name": "af378b21-b4aa-4fe7-bc70-13f8621a322f",
"type": "Microsoft.SecurityInsights/entities",
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/af378b21-b4aa-4fe7-bc70-13f8621a322f",
"kind": "File",
"properties": {
"directory": "C:\\Windows\\System32",
"fileName": "cmd.exe",
"friendlyName": "cmd.exe"
}
}
]
}Définitions
| Nom | Description |
|---|---|
|
Account |
Représente une entité de compte. |
|
Alert |
Gravité de l’alerte |
|
Alert |
État du cycle de vie de l’alerte. |
|
Antispam |
Direction de ce message électronique |
|
Attack |
Gravité des alertes créées par cette règle d’alerte. |
|
Azure |
Représente une entité de ressource Azure. |
|
Cloud |
Représente une entité d’application cloud. |
|
Cloud |
Structure de réponse d’erreur. |
|
Cloud |
Détails de l’erreur. |
|
Confidence |
Niveau de confiance de cette alerte. |
|
Confidence |
État du calcul du score de confiance, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou final. |
|
created |
Type d’identité qui a créé la ressource. |
|
Delivery |
Action de remise de ce message électronique, par exemple remise, bloquée, remplacée, etc. |
|
Delivery |
Emplacement de remise de ce message électronique comme boîte de réception, JunkFolder, etc. |
|
Device |
Importance de l’appareil, détermine si l’appareil classé comme « bijou de couronne » |
|
Dns |
Représente une entité dns. |
|
Elevation |
Jeton d'élévation associé au processus. |
|
Entity |
Le type d’entité |
|
Entity |
Liste de toutes les entités. |
|
File |
Représente une entité de fichier. |
|
File |
Type d'algorithme de hachage. |
|
File |
Représente une entité de hachage de fichier. |
|
Geo |
Contexte de géolocalisation attaché à l’entité IP |
|
Host |
Représente une entité hôte. |
|
Hunting |
Représente une entité de signet de chasse. |
|
Incident |
Décrit les informations relatives aux incidents pour le signet |
|
Incident |
Gravité de l’incident |
|
Io |
Représente une entité d’appareil IoT. |
|
Ip |
Représente une entité IP. |
|
Kill |
Intention de l’alerte. |
|
Mailbox |
Représente une entité de boîte aux lettres. |
|
Mail |
Représente une entité de cluster de messagerie. |
|
Mail |
Représente une entité de message électronique. |
|
Malware |
Représente une entité de programme malveillant. |
|
Nic |
Représente une entité d’interface réseau. |
| OSFamily |
Type de système d’exploitation. |
|
Process |
Représente une entité de processus. |
|
Registry |
hive qui contient la clé de Registre. |
|
Registry |
Représente une entité de clé de Registre. |
|
Registry |
Représente une entité de valeur de Registre. |
|
Registry |
Spécifie les types de données à utiliser lors du stockage de valeurs dans le Registre ou identifie le type de données d’une valeur dans le Registre. |
|
Security |
Représente une entité d’alerte de sécurité. |
|
Security |
Item de raison de confiance |
|
Security |
Représente une entité de groupe de sécurité. |
|
Submission |
Représente une entité de messagerie de soumission. |
|
system |
Métadonnées relatives à la création et à la dernière modification de la ressource. |
|
threat |
Conteneur de propriétés ThreatIntelligence. |
|
Url |
Représente une entité d’URL. |
|
User |
Informations utilisateur qui ont effectué une action |
AccountEntity
Représente une entité de compte.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Account |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.aadTenantId |
string |
ID de locataire Azure Active Directory. |
| properties.aadUserId |
string |
ID d’utilisateur Azure Active Directory. |
| properties.accountName |
string |
Nom du compte. Ce champ ne doit contenir que le nom sans domaine ajouté à celui-ci, c’est-à-dire l’administrateur. |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.displayName |
string |
Nom complet du compte. |
| properties.dnsDomain |
string |
Nom DNS de domaine complet. |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte qui contient le compte au cas où il s’agit d’un compte local (et non joint à un domaine) |
| properties.isDomainJoined |
boolean |
Détermine s’il s’agit d’un compte de domaine. |
| properties.ntDomain |
string |
Nom de domaine NetBIOS tel qu’il apparaît dans le domaine/nom d’utilisateur au format d’alerte. Exemples : NT AUTHORITY. |
| properties.objectGuid |
string (uuid) |
L’attribut objectGUID est un attribut à valeur unique qui est l’identificateur unique de l’objet, affecté par Active Directory. |
| properties.puid |
string |
ID d’utilisateur Azure Active Directory Passport. |
| properties.sid |
string |
Identificateur de sécurité du compte, par exemple S-1-5-18. |
| properties.upnSuffix |
string |
Le suffixe de nom d’utilisateur principal du compte, dans certains cas, il s’agit également du nom de domaine. Exemples : contoso.com. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
AlertSeverity
Gravité de l’alerte
| Valeur | Description |
|---|---|
| High |
Gravité élevée |
| Medium |
Gravité moyenne |
| Low |
Faible gravité |
| Informational |
Gravité de l’information |
AlertStatus
État du cycle de vie de l’alerte.
| Valeur | Description |
|---|---|
| Unknown |
Valeur inconnue |
| New |
Nouvelle alerte |
| Resolved |
Alerte fermée après la gestion |
| Dismissed |
Alerte ignorée en tant que faux positif |
| InProgress |
L’alerte est gérée |
AntispamMailDirection
Direction de ce message électronique
| Valeur | Description |
|---|---|
| Unknown |
Unknown |
| Inbound |
Inbound |
| Outbound |
Outbound |
| Intraorg |
Intraorg |
AttackTactic
Gravité des alertes créées par cette règle d’alerte.
| Valeur | Description |
|---|---|
| Reconnaissance |
Reconnaissance technique |
| ResourceDevelopment |
Développement des ressources |
| InitialAccess |
InitialAccess |
| Execution |
Execution |
| Persistence |
Persévérance |
| PrivilegeEscalation |
Escalade de privilèges |
| DefenseEvasion |
DefenseEvasion |
| CredentialAccess |
Accès-crédential |
| Discovery |
Découverte |
| LateralMovement |
LateralMovement |
| Collection |
Recouvrement |
| Exfiltration |
Exfiltration |
| CommandAndControl |
Commandementetcontrôle |
| Impact |
Impact |
| PreAttack |
Pré-attaque |
| ImpairProcessControl |
ImpairProcessControl |
| InhibitResponseFunction |
InhibitResponseFunction |
AzureResourceEntity
Représente une entité de ressource Azure.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Azure |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.resourceId |
string |
ID de ressource Azure de la ressource |
| properties.subscriptionId |
string |
ID d’abonnement de la ressource |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
CloudApplicationEntity
Représente une entité d’application cloud.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Cloud |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.appId |
integer (int32) |
Identificateur technique de l'application. |
| properties.appName |
string |
Nom de l'application cloud associée. |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.instanceName |
string |
Nom d’instance défini par l’utilisateur de l’application cloud. Souvent utilisé pour distinguer les différentes applications du même type d'un client. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
CloudError
Structure de réponse d’erreur.
| Nom | Type | Description |
|---|---|---|
| error |
Données d’erreur |
CloudErrorBody
Détails de l’erreur.
| Nom | Type | Description |
|---|---|---|
| code |
string |
Identificateur de l’erreur. Les codes sont invariants et sont destinés à être consommés par programme. |
| message |
string |
Message décrivant l’erreur, destiné à être adapté à l’affichage dans une interface utilisateur. |
ConfidenceLevel
Niveau de confiance de cette alerte.
| Valeur | Description |
|---|---|
| Unknown |
Confiance inconnue, la valeur par défaut est |
| Low |
Confiance faible, ce qui signifie que nous avons quelques doutes, c’est en effet malveillant ou une partie d’une attaque |
| High |
Confiance élevée que l’alerte est vraie malveillante positive |
ConfidenceScoreStatus
État du calcul du score de confiance, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou final.
| Valeur | Description |
|---|---|
| NotApplicable |
Le score ne sera pas calculé pour cette alerte, car elle n’est pas prise en charge par l’analyste virtuel |
| InProcess |
Aucun score n’a encore été défini et le calcul est en cours |
| NotFinal |
Le score est calculé et affiché dans le cadre de l’alerte, mais peut être mis à jour ultérieurement après le traitement de données supplémentaires |
| Final |
Le score final a été calculé et disponible |
createdByType
Type d’identité qui a créé la ressource.
| Valeur | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
DeliveryAction
Action de remise de ce message électronique, par exemple remise, bloquée, remplacée, etc.
| Valeur | Description |
|---|---|
| Unknown |
Unknown |
| DeliveredAsSpam |
DeliveredAsSpam |
| Delivered |
Delivered |
| Blocked |
Blocked |
| Replaced |
Replaced |
DeliveryLocation
Emplacement de remise de ce message électronique comme boîte de réception, JunkFolder, etc.
| Valeur | Description |
|---|---|
| Unknown |
Unknown |
| Inbox |
Inbox |
| JunkFolder |
JunkFolder |
| DeletedFolder |
DeletedFolder |
| Quarantine |
Quarantine |
| External |
External |
| Failed |
Failed |
| Dropped |
Dropped |
| Forwarded |
Forwarded |
DeviceImportance
Importance de l’appareil, détermine si l’appareil classé comme « bijou de couronne »
| Valeur | Description |
|---|---|
| Unknown |
Inconnu - Valeur par défaut |
| Low |
Low |
| Normal |
Normal |
| High |
High |
DnsEntity
Représente une entité dns.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Dns |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.dnsServerIpEntityId |
string |
ID d’entité IP pour le serveur dns qui résout la requête |
| properties.domainName |
string |
Nom de l’enregistrement dns associé à l’alerte |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hostIpAddressEntityId |
string |
ID d’entité IP pour le client de requête dns |
| properties.ipAddressEntityIds |
string[] |
Identificateurs d’entité IP pour l’adresse IP résolue. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
ElevationToken
Jeton d'élévation associé au processus.
| Valeur | Description |
|---|---|
| Default |
Jeton d’élévation par défaut |
| Full |
Jeton d’élévation complet |
| Limited |
Jeton d’élévation limité |
EntityKindEnum
Le type d’entité
| Valeur | Description |
|---|---|
| Account |
L’entité représente le compte dans le système. |
| Host |
L’entité représente l’hôte dans le système. |
| File |
L’entité représente le fichier dans le système. |
| AzureResource |
L’entité représente la ressource Azure dans le système. |
| CloudApplication |
L’entité représente l’application cloud dans le système. |
| DnsResolution |
L’entité représente la résolution dns dans le système. |
| FileHash |
L’entité représente le hachage de fichier dans le système. |
| Ip |
L’entité représente ip dans le système. |
| Malware |
L’entité représente les programmes malveillants dans le système. |
| Process |
L’entité représente le processus dans le système. |
| RegistryKey |
L’entité représente la clé de Registre dans le système. |
| RegistryValue |
L’entité représente la valeur de Registre dans le système. |
| SecurityGroup |
L’entité représente le groupe de sécurité dans le système. |
| Url |
L’entité représente l’URL dans le système. |
| IoTDevice |
L’entité représente l’appareil IoT dans le système. |
| SecurityAlert |
L’entité représente l’alerte de sécurité dans le système. |
| Bookmark |
L’entité représente le signet dans le système. |
| MailCluster |
L’entité représente le cluster de messagerie dans le système. |
| MailMessage |
L’entité représente le message électronique dans le système. |
| Mailbox |
L’entité représente la boîte aux lettres dans le système. |
| SubmissionMail |
L’entité représente le courrier de soumission dans le système. |
| Nic |
L’entité représente l’interface réseau dans le système. |
EntityList
Liste de toutes les entités.
| Nom | Type | Description |
|---|---|---|
| nextLink |
string (uri) |
Lien vers la page suivante des éléments |
| value |
Entity[]:
|
Les éléments Entité sur cette page |
FileEntity
Représente une entité de fichier.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
File |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.directory |
string |
Chemin d'accès complet au fichier. |
| properties.fileHashEntityIds |
string[] |
Identificateurs d’entité de hachage de fichier associés à ce fichier |
| properties.fileName |
string |
Nom de fichier sans chemin d’accès (certaines alertes peuvent ne pas inclure le chemin d’accès). |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte auquel appartient le fichier |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
FileHashAlgorithm
Type d'algorithme de hachage.
| Valeur | Description |
|---|---|
| Unknown |
Algorithme de hachage inconnu |
| MD5 |
Type de hachage MD5 |
| SHA1 |
Type de hachage SHA1 |
| SHA256 |
Type de hachage SHA256 |
| SHA256AC |
Type de hachage Authenticode SHA256 |
FileHashEntity
Représente une entité de hachage de fichier.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
File |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.algorithm |
Type d'algorithme de hachage. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hashValue |
string |
Valeur de hachage de fichier. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
GeoLocation
Contexte de géolocalisation attaché à l’entité IP
| Nom | Type | Description |
|---|---|---|
| asn |
integer (int32) |
Numéro de système autonome |
| city |
string |
Nom de la ville |
| countryCode |
string |
Code de pays selon le format ISO 3166 |
| countryName |
string |
Nom du pays selon ISO 3166 Alpha 2 : minuscule du nom court anglais |
| latitude |
number (double) |
Latitude de l’emplacement identifié, exprimée sous la forme d’un nombre à virgule flottante compris entre - 90 et 90. La latitude et la longitude sont dérivées de la ville ou du code postal. |
| longitude |
number (double) |
Longitude de l’emplacement identifié, exprimée sous la forme d’un nombre à virgule flottante avec une plage de -180 à 180. La latitude et la longitude sont dérivées de la ville ou du code postal. |
| state |
string |
Nom de l’État |
HostEntity
Représente une entité hôte.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Host |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.azureID |
string |
ID de ressource Azure de la machine virtuelle. |
| properties.dnsDomain |
string |
Domaine DNS auquel cet hôte appartient. Doit contenir le suffixe DNS de concurrence pour le domaine |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hostName |
string |
Nom d'hôte sans suffixe de domaine. |
| properties.isDomainJoined |
boolean |
Détermine si cet hôte appartient à un domaine. |
| properties.netBiosName |
string |
Nom d’hôte (pré-windows2000). |
| properties.ntDomain |
string |
Domaine NT auquel cet hôte appartient. |
| properties.omsAgentID |
string |
ID de l’agent OMS, si l’hôte a installé l’agent OMS. |
| properties.osFamily |
Type de système d’exploitation. |
|
| properties.osVersion |
string |
Représentation de texte libre du système d’exploitation. Ce champ est destiné à contenir des versions spécifiques dont les valeurs sont plus affinées que OSFamily ou les valeurs futures non prises en charge par l’énumération OSFamily |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
HuntingBookmark
Représente une entité de signet de chasse.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Bookmark |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.created |
string (date-time) |
Heure de création du signet |
| properties.createdBy |
Décrit un utilisateur qui a créé le signet |
|
| properties.displayName |
string |
Nom complet du signet |
| properties.eventTime |
string (date-time) |
Heure de l’événement |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.incidentInfo |
Décrit un incident lié au signet |
|
| properties.labels |
string[] |
Liste des étiquettes pertinentes pour ce signet |
| properties.notes |
string |
Notes du signet |
| properties.query |
string |
Requête du signet. |
| properties.queryResult |
string |
Résultat de la requête du signet. |
| properties.updated |
string (date-time) |
La dernière fois que le signet a été mis à jour |
| properties.updatedBy |
Décrit un utilisateur qui a mis à jour le signet |
|
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
IncidentInfo
Décrit les informations relatives aux incidents pour le signet
| Nom | Type | Description |
|---|---|---|
| incidentId |
string |
ID de l’incident |
| relationName |
string |
Nom de la relation |
| severity |
Gravité de l’incident |
|
| title |
string |
Titre de l’incident |
IncidentSeverity
Gravité de l’incident
| Valeur | Description |
|---|---|
| High |
Gravité élevée |
| Medium |
Gravité moyenne |
| Low |
Faible gravité |
| Informational |
Gravité de l’information |
IoTDeviceEntity
Représente une entité d’appareil IoT.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Io |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.deviceId |
string |
ID de l’appareil IoT dans ioT Hub |
| properties.deviceName |
string |
Nom convivial de l’appareil |
| properties.deviceSubType |
string |
Sous-type de l’appareil ('PLC', 'HMI', 'EWS', etc.) |
| properties.deviceType |
string |
Type de l’appareil |
| properties.edgeId |
string |
ID de l’appareil de périphérie |
| properties.firmwareVersion |
string |
Version du microprogramme de l’appareil |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte de cet appareil |
| properties.importance |
Importance de l’appareil, détermine si l’appareil classé comme « bijou de couronne » |
|
| properties.iotHubEntityId |
string |
ID d’entité AzureResource du hub IoT |
| properties.iotSecurityAgentId |
string (uuid) |
ID de l’agent de sécurité en cours d’exécution sur l’appareil |
| properties.ipAddressEntityId |
string |
Entité IP si de cet appareil |
| properties.isAuthorized |
boolean |
Détermine si l’appareil est classé comme appareil autorisé |
| properties.isProgramming |
boolean |
Détermine si l’appareil classé comme appareil de programmation |
| properties.isScanner |
boolean |
L’appareil est-il classé en tant qu’appareil de scanneur |
| properties.macAddress |
string |
Adresse MAC de l’appareil |
| properties.model |
string |
Modèle de l’appareil |
| properties.nicEntityIds |
string[] |
Liste des ID d’entité de carte réseau de l’entité IoTDevice. |
| properties.operatingSystem |
string |
Système d’exploitation de l’appareil |
| properties.owners |
string[] |
Liste des propriétaires de l’entité IoTDevice. |
| properties.protocols |
string[] |
Liste des protocoles de l’entité IoTDevice. |
| properties.purdueLayer |
string |
Couche Purdue de l’appareil |
| properties.sensor |
string |
Le capteur de l’appareil est surveillé par |
| properties.serialNumber |
string |
Numéro de série de l’appareil |
| properties.site |
string |
Site de l’appareil |
| properties.source |
string |
Source de l’appareil |
| properties.threatIntelligence |
Liste des contextes TI attachés à l’entité IoTDevice. |
|
| properties.vendor |
string |
Fournisseur de l’appareil |
| properties.zone |
string |
Emplacement de zone de l’appareil dans un site |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
IpEntity
Représente une entité IP.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Ip |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.address |
string |
Adresse IP sous forme de chaîne, par exemple 127.0.0.1 (dans Ipv4 ou Ipv6) |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.location |
Contexte de géolocalisation attaché à l’entité IP |
|
| properties.threatIntelligence |
Liste des contextes TI attachés à l’entité IP. |
|
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
KillChainIntent
Intention de l’alerte.
| Valeur | Description |
|---|---|
| Unknown |
La valeur par défaut. |
| Probing |
La détection peut être une tentative d’accès à une certaine ressource, quelle que soit une intention malveillante ou une tentative d’accès à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau pour tenter d’analyser le système cible et de trouver un moyen. |
| Exploitation |
L’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires pourront souvent contrôler la ressource après cette phase. |
| Persistence |
La persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires devront souvent conserver l’accès aux systèmes par le biais d’interruptions telles que les redémarrages du système, la perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou pour récupérer l’accès. |
| PrivilegeEscalation |
L’escalade de privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau supérieur d’autorisations sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur pour fonctionner et sont probablement nécessaires à de nombreux points tout au long d’une opération. Les comptes d’utilisateur disposant d’autorisations d’accès à des systèmes spécifiques ou exécutent des fonctions spécifiques nécessaires pour que les adversaires atteignent leur objectif peuvent également être considérés comme une escalade de privilèges. |
| DefenseEvasion |
L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Parfois, ces actions sont identiques ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulières. |
| CredentialAccess |
L’accès aux informations d’identification représente des techniques permettant d’accéder ou de contrôler les informations d’identification du système, du domaine ou du service utilisées dans un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateur (administrateur système local ou utilisateurs de domaine disposant d’un accès administrateur) à utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure dans l’environnement. |
| Discovery |
La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque les adversaires accèdent à un nouveau système, ils doivent se rendre à ce qu’ils contrôlent et quels avantages tirent parti de ce système donnent à leurs objectifs actuels ou globaux pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs qui facilitent cette phase de collecte d’informations post-compromis. |
| LateralMovement |
Le mouvement latéral se compose de techniques qui permettent à un adversaire d’accéder aux systèmes distants et de contrôler les systèmes distants sur un réseau et ne peut pas nécessairement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral pourraient permettre à un adversaire de recueillir des informations à partir d’un système sans avoir besoin d’outils supplémentaires, tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution à distance d’outils, la pivotation vers des systèmes supplémentaires, l’accès à des informations ou des fichiers spécifiques, l’accès à des informations d’identification supplémentaires ou pour provoquer un effet. |
| Execution |
La tactique d’exécution représente des techniques qui entraînent l’exécution du code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès aux systèmes distants sur un réseau. |
| Collection |
La collection se compose de techniques utilisées pour identifier et collecter des informations, telles que des fichiers sensibles, à partir d’un réseau cible avant l’exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
| Exfiltration |
L’exfiltration fait référence aux techniques et attributs qui entraînent ou aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
| CommandAndControl |
La tactique de commande et de contrôle représente la façon dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
| Impact |
L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau ; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Cela ferait souvent référence à des techniques telles que le rançongiciel, la défacement, la manipulation des données et d’autres. |
MailboxEntity
Représente une entité de boîte aux lettres.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Mailbox |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.displayName |
string |
Nom complet de la boîte aux lettres |
| properties.externalDirectoryObjectId |
string (uuid) |
Identificateur AzureAD de la boîte aux lettres. Similaire à AadUserId dans l’entité de compte, mais cette propriété est spécifique à l’objet de boîte aux lettres côté bureau |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.mailboxPrimaryAddress |
string |
Adresse principale de la boîte aux lettres |
| properties.upn |
string |
UPN de la boîte aux lettres |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
MailClusterEntity
Représente une entité de cluster de messagerie.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Mail |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.clusterGroup |
string |
Groupe de clusters |
| properties.clusterQueryEndTime |
string (date-time) |
Heure de fin de la requête de cluster |
| properties.clusterQueryStartTime |
string (date-time) |
Heure de début de la requête de cluster |
| properties.clusterSourceIdentifier |
string |
ID de la source du cluster |
| properties.clusterSourceType |
string |
Type de la source du cluster |
| properties.countByDeliveryStatus |
Nombre de messages électroniques par représentation sous forme de chaîne DeliveryStatus |
|
| properties.countByProtectionStatus |
Nombre de messages électroniques par représentation sous forme de chaîne ProtectionStatus |
|
| properties.countByThreatType |
Nombre de messages électroniques par représentation sous forme de chaîne ThreatType |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.isVolumeAnomaly |
boolean |
S’agit-il d’un cluster de messagerie d’anomalie de volume |
| properties.mailCount |
integer (int32) |
Nombre de messages électroniques qui font partie du cluster de messagerie |
| properties.networkMessageIds |
string[] |
ID de message électronique qui font partie du cluster de messagerie |
| properties.query |
string |
Requête utilisée pour identifier les messages du cluster de messagerie |
| properties.queryTime |
string (date-time) |
Heure de la requête |
| properties.source |
string |
Source du cluster de messagerie (la valeur par défaut est « O365 ATP ») |
| properties.threats |
string[] |
Menaces des messages électroniques qui font partie du cluster de messagerie |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
MailMessageEntity
Représente une entité de message électronique.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Mail |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.antispamDirection |
Direction de ce message électronique |
|
| properties.bodyFingerprintBin1 |
integer (int32) |
BodyFingerprintBin1 |
| properties.bodyFingerprintBin2 |
integer (int32) |
BodyFingerprintBin2 |
| properties.bodyFingerprintBin3 |
integer (int32) |
BodyFingerprintBin3 |
| properties.bodyFingerprintBin4 |
integer (int32) |
BodyFingerprintBin4 |
| properties.bodyFingerprintBin5 |
integer (int32) |
BodyFingerprintBin5 |
| properties.deliveryAction |
Action de remise de ce message électronique, par exemple remise, bloquée, remplacée, etc. |
|
| properties.deliveryLocation |
Emplacement de remise de ce message électronique comme boîte de réception, JunkFolder, etc. |
|
| properties.fileEntityIds |
string[] |
ID d’entité de fichier des pièces jointes de ce message électronique |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.internetMessageId |
string |
ID de message Internet de ce message électronique |
| properties.language |
string |
Langue de ce message électronique |
| properties.networkMessageId |
string (uuid) |
ID de message réseau de ce message électronique |
| properties.p1Sender |
string |
Adresse e-mail de l’expéditeur p1 |
| properties.p1SenderDisplayName |
string |
Nom complet de l’expéditeur p1 |
| properties.p1SenderDomain |
string |
Domaine de l’expéditeur p1 |
| properties.p2Sender |
string |
Adresse e-mail de l’expéditeur p2 |
| properties.p2SenderDisplayName |
string |
Nom complet de l’expéditeur p2 |
| properties.p2SenderDomain |
string |
Domaine de l’expéditeur p2 |
| properties.receiveDate |
string (date-time) |
Date de réception de ce message |
| properties.recipient |
string |
Destinataire de ce message électronique. Notez que dans le cas de plusieurs destinataires, le message électronique est forked et chaque copie a un destinataire |
| properties.senderIP |
string |
Adresse IP de l’expéditeur |
| properties.subject |
string |
Objet de ce message électronique |
| properties.threatDetectionMethods |
string[] |
Méthodes de détection des menaces |
| properties.threats |
string[] |
Menaces de ce message électronique |
| properties.urls |
string[] |
URL contenues dans ce message électronique |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
MalwareEntity
Représente une entité de programme malveillant.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Malware |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.category |
string |
Catégorie de programmes malveillants par le fournisseur, par exemple Troie |
| properties.fileEntityIds |
string[] |
Liste des identificateurs d’entité de fichier lié sur lesquels le programme malveillant a été trouvé |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.malwareName |
string |
Nom du programme malveillant par le fournisseur, par exemple Win32/Toga !rfn |
| properties.processEntityIds |
string[] |
Liste des identificateurs d’entité de processus liés sur lesquels le programme malveillant a été trouvé. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
NicEntity
Représente une entité d’interface réseau.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Nic |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.ipAddressEntityId |
string |
ID d’entité IP de cette interface réseau |
| properties.macAddress |
string |
Adresse MAC de cette interface réseau |
| properties.vlans |
string[] |
Liste des réseaux locaux virtuels de l’entité d’interface réseau. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
OSFamily
Type de système d’exploitation.
| Valeur | Description |
|---|---|
| Linux |
Héberger avec le système d’exploitation Linux. |
| Windows |
Héberger avec le système d’exploitation Windows. |
| Android |
Héberger avec le système d’exploitation Android. |
| IOS |
Héberger avec le système d’exploitation IOS. |
| Unknown |
Héberger avec un système d’exploitation inconnu. |
ProcessEntity
Représente une entité de processus.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Process |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.accountEntityId |
string |
ID d’entité de compte exécutant les processus. |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.commandLine |
string |
Ligne de commande utilisée pour créer le processus |
| properties.creationTimeUtc |
string (date-time) |
Heure à laquelle le processus a commencé à s’exécuter |
| properties.elevationToken |
Jeton d'élévation associé au processus. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte sur lequel le processus s’exécutait |
| properties.hostLogonSessionEntityId |
string |
ID d’entité de session dans lequel le processus s’exécutait |
| properties.imageFileEntityId |
string |
ID d’entité de fichier image |
| properties.parentProcessEntityId |
string |
ID d’entité du processus parent. |
| properties.processId |
string |
ID de processus |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
RegistryHive
hive qui contient la clé de Registre.
| Valeur | Description |
|---|---|
| HKEY_LOCAL_MACHINE |
HKEY_LOCAL_MACHINE |
| HKEY_CLASSES_ROOT |
HKEY_CLASSES_ROOT |
| HKEY_CURRENT_CONFIG |
HKEY_CURRENT_CONFIG |
| HKEY_USERS |
HKEY_USERS |
| HKEY_CURRENT_USER_LOCAL_SETTINGS |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
| HKEY_PERFORMANCE_DATA |
HKEY_PERFORMANCE_DATA |
| HKEY_PERFORMANCE_NLSTEXT |
HKEY_PERFORMANCE_NLSTEXT |
| HKEY_PERFORMANCE_TEXT |
HKEY_PERFORMANCE_TEXT |
| HKEY_A |
HKEY_A |
| HKEY_CURRENT_USER |
HKEY_CURRENT_USER |
RegistryKeyEntity
Représente une entité de clé de Registre.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Registry |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.hive |
hive qui contient la clé de Registre. |
|
| properties.key |
string |
Chemin de la clé de Registre. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
RegistryValueEntity
Représente une entité de valeur de Registre.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Registry |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.keyEntityId |
string |
ID d’entité de clé de Registre. |
| properties.valueData |
string |
Représentation mise en forme de chaîne des données de valeur. |
| properties.valueName |
string |
Nom de la valeur de Registre. |
| properties.valueType |
Spécifie les types de données à utiliser lors du stockage de valeurs dans le Registre ou identifie le type de données d’une valeur dans le Registre. |
|
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
RegistryValueKind
Spécifie les types de données à utiliser lors du stockage de valeurs dans le Registre ou identifie le type de données d’une valeur dans le Registre.
| Valeur | Description |
|---|---|
| None |
None |
| Unknown |
Type de valeur inconnu |
| String |
Type de valeur de chaîne |
| ExpandString |
Type de valeur ExpandString |
| Binary |
Type de valeur binaire |
| DWord |
Type de valeur DWord |
| MultiString |
Type de valeur MultiString |
| QWord |
Type de valeur QWord |
SecurityAlert
Représente une entité d’alerte de sécurité.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind | string: |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.alertDisplayName |
string |
Nom complet de l’alerte. |
| properties.alertLink |
string |
Lien d’URI de l’alerte. |
| properties.alertType |
string |
Nom de type de l’alerte. |
| properties.compromisedEntity |
string |
Nom complet de l’entité principale signalée. |
| properties.confidenceLevel |
Niveau de confiance de cette alerte. |
|
| properties.confidenceReasons |
Les raisons de confiance |
|
| properties.confidenceScore |
number (double) |
Score de confiance de l’alerte. |
| properties.confidenceScoreStatus |
État du calcul du score de confiance, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou final. |
|
| properties.description |
string |
Description de l’alerte. |
| properties.endTimeUtc |
string (date-time) |
Heure de fin de l’alerte d’impact (heure du dernier événement contribuant à l’alerte). |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.intent |
Contient le mappage des phases d’intention d’alerte pour cette alerte. |
|
| properties.processingEndTime |
string (date-time) |
Heure à laquelle l’alerte a été mise à disposition pour la consommation. |
| properties.productComponentName |
string |
Nom d’un composant à l’intérieur du produit qui a généré l’alerte. |
| properties.productName |
string |
Nom du produit qui a publié cette alerte. |
| properties.productVersion |
string |
Version du produit générant l’alerte. |
| properties.providerAlertId |
string |
Identificateur de l’alerte à l’intérieur du produit qui a généré l’alerte. |
| properties.remediationSteps |
string[] |
Éléments d’action manuels à entreprendre pour corriger l’alerte. |
| properties.resourceIdentifiers |
Security |
Liste des identificateurs de ressource de l’alerte. |
| properties.severity |
Gravité de l’alerte |
|
| properties.startTimeUtc |
string (date-time) |
Heure de début de l’impact de l’alerte (heure du premier événement contribuant à l’alerte). |
| properties.status |
État du cycle de vie de l’alerte. |
|
| properties.systemAlertId |
string |
Contient l’identificateur du produit de l’alerte pour le produit. |
| properties.tactics |
Tactiques de l’alerte |
|
| properties.timeGenerated |
string (date-time) |
Heure de génération de l’alerte. |
| properties.vendorName |
string |
Nom du fournisseur qui déclenche l’alerte. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
SecurityAlertPropertiesConfidenceReasonsItem
Item de raison de confiance
| Nom | Type | Description |
|---|---|---|
| reason |
string |
Description de la raison |
| reasonType |
string |
Type (catégorie) de la raison |
SecurityGroupEntity
Représente une entité de groupe de sécurité.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Security |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.distinguishedName |
string |
Nom unique du groupe |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.objectGuid |
string (uuid) |
Attribut à valeur unique qui est l’identificateur unique de l’objet, affecté par Active Directory. |
| properties.sid |
string |
L’attribut SID est un attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
SubmissionMailEntity
Représente une entité de messagerie de soumission.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Submission |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.networkMessageId |
string (uuid) |
ID de message réseau de l’e-mail auquel appartient la soumission |
| properties.recipient |
string |
Destinataire de l’e-mail |
| properties.reportType |
string |
Type d'envoi pour l'instance donnée Cela correspond au courrier indésirable, au phish, aux programmes malveillants ou aux notJunk. |
| properties.sender |
string |
Expéditeur de l’e-mail |
| properties.senderIp |
string |
Adresse IP de l’expéditeur |
| properties.subject |
string |
Objet du courrier de soumission |
| properties.submissionDate |
string (date-time) |
Date de soumission |
| properties.submissionId |
string (uuid) |
ID de soumission |
| properties.submitter |
string |
L’auteur de la demande |
| properties.timestamp |
string (date-time) |
Horodatage lorsque le message est reçu (courrier) |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
systemData
Métadonnées relatives à la création et à la dernière modification de la ressource.
| Nom | Type | Description |
|---|---|---|
| createdAt |
string (date-time) |
Horodatage de la création de ressources (UTC). |
| createdBy |
string |
Identité qui a créé la ressource. |
| createdByType |
Type d’identité qui a créé la ressource. |
|
| lastModifiedAt |
string (date-time) |
Horodatage de la dernière modification de ressource (UTC) |
| lastModifiedBy |
string |
Identité qui a modifié la ressource pour la dernière fois. |
| lastModifiedByType |
Type d’identité qui a modifié la ressource pour la dernière fois. |
threatIntelligence
Conteneur de propriétés ThreatIntelligence.
| Nom | Type | Description |
|---|---|---|
| confidence |
number (double) |
Confiance (doit être comprise entre 0 et 1) |
| providerName |
string |
Nom du fournisseur à partir duquel ces informations de renseignement sur les menaces ont été reçues |
| reportLink |
string |
Lien vers le rapport |
| threatDescription |
string |
Description des menaces (texte libre) |
| threatName |
string |
Nom de la menace (par exemple, « Programme malveillant Jedobot ») |
| threatType |
string |
Type de menace (par exemple, « Botnet ») |
UrlEntity
Représente une entité d’URL.
| Nom | Type | Description |
|---|---|---|
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| kind |
string:
Url |
Métadonnées utilisées par le portail/l’outil/etc pour afficher différentes expériences d’expérience utilisateur pour les ressources du même type ; Par exemple, ApiApps est un type de Microsoft.Web/sites. Si elle est prise en charge, le fournisseur de ressources doit valider et conserver cette valeur. |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Un conteneur de champs personnalisés qui doivent faire partie de l’entité et qui sera présenté à l’utilisateur. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
| properties.url |
string |
URL complète vers laquelle l’entité pointe vers |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
UserInfo
Informations utilisateur qui ont effectué une action
| Nom | Type | Description |
|---|---|---|
|
string |
E-mail de l’utilisateur. |
|
| name |
string |
Nom de l’utilisateur. |
| objectId |
string (uuid) |
ID d’objet de l’utilisateur. |