Microsoft Sentinel entitástípusokra vonatkozó referencia
Ez a dokumentum két információkészletet tartalmaz a Microsoft Sentinel és a Microsoft egyesített biztonsági üzemeltetési platformjának entitásairól és entitástípusairól.
- Az Entitástípusok és -azonosítók tábla a riasztásokban és incidensekben azonosítható különböző entitástípusokat jeleníti meg, így nyomon követheti és kivizsgálhatja őket. A táblázat az egyes entitástípusok esetében az entitások azonosítására használható különböző azonosítókat is megjeleníti.
- Az Entitásséma szakasz az entitások adatstruktúráját és sémáját mutatja be általában, és különösen az egyes entitástípusok esetében.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Entitástípusok és -azonosítók
Az alábbi táblázat a Microsoft Sentinel által felismerhető entitástípusokat és az egyes entitástípusok azonosítójaként használható attribútumokat mutatja be.
A Microsoft Sentinel felismeri az elemzési szabályok entitásleképezése által létrehozott riasztásokban és incidensekben lévő entitásokat. Felismeri a más forrásokból származó riasztásokban már azonosított entitásokat is.
Egy adott entitáshoz jelenleg legfeljebb három azonosítót használhat, amikor entitásleképezést hoz létre a Microsoft Sentinelben. Az erős azonosítók önmagukban elegendőek egy entitás egyedi azonosításához, míg a gyenge azonosítók ezt csak más azonosítókkal kombinálva tehetik meg. További információ az erős és gyenge azonosítókról. A tábla legtöbb, de nem minden azonosítója használható entitásleképezések Microsoft Sentinelben történő létrehozásakor (lásd a lábjegyzeteket).
| Entitástípus | Identifiers | Erős azonosítók | Gyenge azonosítók |
|---|---|---|---|
| Számla | Név FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Név |
| Gazdagép | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | Cím AddressScope |
Cím ** Address+AddressScope ** |
|
| URL-cím | URL-cím | URL ( ha abszolút URL-cím) ** | URL ( ha relatív URL-cím) ** |
| Azure-erőforrás (AzureResource) |
ResourceId | ResourceId | |
| Felhőalkalmazás (CloudApplication) |
AppId Név InstanceName |
AppId Név AppId+InstanceName Name+InstanceName |
|
| DNS-feloldás (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Fájl | Címtár Név |
Címtár+Név | |
| Fájlkivonat (FileHash) |
Algoritmus Érték |
Algoritmus+érték | |
| Kártevő | Név Kategória |
Név+Kategória | |
| Folyamat | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (nincs gazdagép) ProcessId+CreationTimeUtc+ ImageFile (nincs gazdagép) |
| Beállításkulcs (RegistryKey) |
Hive Kulcs |
Hive+Kulcs | |
| Beállításjegyzék-érték (RegistryValue) |
Név szerint Érték ÉrtékTípusa |
Kulcs+Név | Név (nincs kulcs) |
| Biztonsági csoport (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Postaláda | MailboxPrimaryAddress Megjelenített név Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Levelezőfürt (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Fenyegetések Lekérdezés QueryTime MailCount IsVolumeAnomaly Forrás ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * Fürtcsoport * |
Lekérdezés+forrás | |
| E-mail üzenet (MailMessage) |
Címzett URL-címek Fenyegetések Küldő P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Tárgy BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Nyelv* ThreatDetectionMethods * |
NetworkMessageId+Címzett | |
| Küldési e-mail (SubmissionMail) |
NetworkMessageId Időbélyegző Címzett Küldő SenderIp Tárgy ReportType SubmissionId SubmissionDate Beküldő |
SubmissionId+NetworkMessageId+ Címzett+Beküldő |
|
| Sentinel-entitások | Entitások | Entitások |
Táblázat lábjegyzetei:
- * Ezek az azonosítók megjelennek az entitásleképezésben használható azonosítók listájában, de szigorúan véve nem részei az entitássémanak.
- ** Ezek az azonosítók csak bizonyos feltételek mellett tekinthetők erősnek. Kövesse a csillaghivatkozásokat, és tekintse meg az alkalmazandó feltételeket az érintett entitás alábbi entitásséma-szakaszában.
- A dőlt azonosítónevek (csillag nélkül) belső entitásokat jelölnek, ami azt jelenti, hogy egy entitástípus más entitástípusokkal is rendelkezhet attribútumként (lásd az entitásséma lenti szakaszát). Kövesse az azonosító hivatkozását a belső entitás saját sémájának megtekintéséhez.
Entitástípus-sémák
Az alábbi szakasz részletesebben is áttekinti az egyes entitástípusok teljes sémáit. Megfigyelheti, hogy sok ilyen séma más entitástípusokra mutató hivatkozásokat is tartalmaz. A Fiókséma például tartalmaz egy, a gazdagép entitástípusára mutató hivatkozást, mivel a felhasználói fiók egyik attribútuma az a gazdagép, amelyen definiálva van. Ezek az entitások mint attribútumok "belső entitások" néven ismertek, és nem használhatók az entitásleképezés azonosítójaként, de nagyon hasznosak az entitásoldalakon és a vizsgálati gráfon található entitások teljes képének megadásában.
Feljegyzés
A Típus oszlopban lévő értéket követő kérdőjel azt jelzi, hogy a mező null értékű.
Entitástípus-sémák listája
- Számla
- Gazdagép
- IP
- Kártevő
- Fájl
- Folyamat
- Felhőalkalmazás
- DNS-feloldás
- Azure-erőforrás
- Fájlkivonat
- Beállításkulcs
- Beállításjegyzék-érték
- Biztonsági csoport
- URL-cím
- IoT-eszköz
- Postaláda
- Levelezőfürt
- E-mail üzenet
- Küldési e-mail
- Sentinel-entitások
Számla
Entitás neve: Fiók
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "fiók" |
| Név | Sztring | A fiók neve. Ennek a mezőnek csak azt a nevet kell tárolnia, amely nem ad hozzá tartományt. |
| FullName | -- | Nem része a sémának, amely az entitásleképezés régi verziójával való visszamenőleges kompatibilitást szolgálja. |
| NTDomain | Sztring | A NETBIOS-tartománynév a riasztási formátumban – tartomány\felhasználónév – jelenik meg. Példák: Pénzügy, NT AUTHORITY |
| DnsDomain | Sztring | A teljes tartomány DNS-neve. Példák: finance.contoso.com |
| UPNSuffix | Sztring | A fiók egyszerű felhasználónév-utótagja. Az UPN-utótag sok esetben a tartománynév is. Példák: contoso.com |
| Gazdagép | Entitás (gazdagép) | A fiókot tartalmazó gazdagép, ha az egy helyi fiók. |
| Sid | Sztring | A fiók biztonsági azonosítója. |
| AadTenantId | Guid? | Ha ismert, a Microsoft Entra bérlőazonosítója. |
| AadUserId | Guid? | Ha ismert, a Microsoft Entra-fiók objektumazonosítója. |
| PUID | Guid? | Ha ismert, a Microsoft Entra Passport felhasználói azonosítója. |
| IsDomainJoined | Bool? | Azt jelzi, hogy a fiók tartományi fiók-e. |
| Megjelenítendő név | -- | Nem része a sémának, amely az entitásleképezés régi verziójával való visszamenőleges kompatibilitást szolgálja. |
| ObjectGuid | Guid? | Az objectGUID attribútum egy egyértékű attribútum, amely az Active Directory által hozzárendelt objektum egyedi azonosítója. |
| CloudAppAccountId | Sztring | Az AccountID a CloudApp-szolgáltató riasztásaiban. Olyan külső alkalmazások fiókazonosítóira hivatkozik, amelyeket más Microsoft-termékek nem támogatnak. |
| IsAnonymized | Bool? | Azt jelzi, hogy a felhasználónév névtelen-e. Opcionális. Alapértelmezett érték: false. |
| Patak | Stream | Az adott fiókhoz kapcsolódó felderítési naplók forrása. Opcionális. |
Fiókentitások erős azonosítójai
- Név + UPNSuffix
- AadUserId
- Sid
** Ez az azonosító erős, ha a fiók nem tartozik az alábbi megjegyzésben felsorolt beépített fiókok közé. - Sid + Gazdagép
** Ha a fiók az alábbi megjegyzésben felsorolt beépített fiókok egyike, a Gazdagép összetevőre van szükség ahhoz, hogy az azonosító erős legyen. - Név + NTDomain
** Ez a kombináció erős azonosító, ha a fiók tartományi fiók, mivel az NTDomain nem beépített tartomány/munkacsoport, és eltér a gazdagép nevétől. Ebben az esetben ez egy erős azonosító, még a Gazdagép összetevő nélkül is. - Név + NTDomain + gazdagép
** A gazdagép összetevőre szükség van egy erős azonosító létrehozásához, ha a fiók helyi fiók, ami azt jelenti, hogy az NTDomain egy beépített tartomány/munkacsoport. - Név + DnsDomain
- PUID
- ObjectGuid
Fiókentitások gyenge azonosítójai
- Név
Feljegyzés
Ha a Fiók entitás a Név azonosítóval van definiálva, és egy adott entitás névértéke az alábbi általános, gyakran beépített fióknevek egyike, akkor az entitás törlődik a riasztásból.
- ADMIN
- RENDSZERGAZDA
- RENDSZER
- GYÖKÉR
- NÉVTELEN
- HITELESÍTETT FELHASZNÁLÓ
- HÁLÓZAT
- NULL
- HELYI RENDSZER
- LOCALSYSTEM
- HÁLÓZATI SZOLGÁLTATÁS
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Gazdagép
Entitás neve: Gazdagép
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "gazdagép" |
| IpInterfaces | Entitás listázása<(Ip)> | A gazdagép összes IP-adapterének listája. |
| DnsDomain | Sztring | Az a DNS-tartomány, amelyhez ez a gazdagép tartozik. Ha ismert, a tartomány teljes DNS-utótagját kell tartalmaznia. |
| NTDomain | Sztring | Az az NT-tartomány, amelyhez ez a gazdagép tartozik. |
| HostName | Sztring | A tartomány utótag nélküli állomásnév. |
| NetBiosName | Sztring | A gazdagép neve (Windows 2000 előtti). |
| IoTDevice | Entitás (IoT-eszköz) | Az IoT-eszköz entitás (ha ez a gazdagép IoT-eszközt jelöl). |
| AzureID | Sztring | Ha ismert, a virtuális gép Azure-erőforrás-azonosítója. |
| OMSAgentID | Sztring | Az OMS-ügynök azonosítója, ha a gazdagépen telepítve van az OMS-ügynök. |
| OSFamily | Enum? | Az alábbi értékek egyike: |
| OSVersion | Sztring | Az operációs rendszer szabadszöveges ábrázolása. Ez a mező adott verziók tárolására szolgál, amelyek részletesebbek, mint az OSFamily, vagy az OSFamily enumerálás által nem támogatott jövőbeli értékek. |
| IsDomainJoined | Bool | Azt jelzi, hogy ez a gazdagép tartományhoz tartozik-e. |
Gazdagépentitás erős azonosítójai
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Gazdagépentitás gyenge azonosítójai
- HostName
- NetBiosName
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
IP
Entitás neve: IP
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "ip" |
| Cím | Sztring | Az IP-cím például sztringként. 127.0.0.1 (IPv4-ben vagy IPv6-ban). |
| AddressScope | Sztring | A magánhálózati, nem globális IP-címek gazdagépének, alhálózatának vagy magánhálózatának neve. Globális IP-címek esetén null értékű vagy üres (alapértelmezett). |
| Helyen | GeoLocation | Az IP-entitáshoz csatolt földrajzi hely környezete. További információ: Entitások bővítése a Microsoft Sentinelben geolokációs adatokkal REST API-n (nyilvános előzetes verzió) keresztül. |
| Patak | Stream | Az adott IP-címhez kapcsolódó felderítési naplók forrása. Opcionális. |
Ip-entitás erős azonosítójai
- Cím
** A cím önmagában egy egyedi, erős azonosító, ha az IP-cím globális cím. - Cím + AddressScope
** Privát/belső, nem globális IP-címek esetén a AddressScope összetevőre van szükség ahhoz, hogy ez erős azonosító legyen.
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Kártevő
Entitás neve: Kártevő
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "kártevő" |
| Név | Sztring | Az (észlelés?) szállító által hozzárendelt kártevő neve, például Win32/Toga!rfn. |
| Kategória | Sztring | Az (észlelés?) gyártó által hozzárendelt kártevő-kategória, például. Trójai. |
| Fájlok | Entitások listázása<(fájl)> | Azon csatolt fájlentitások listája, amelyeken a kártevő található. A Fájl entitásokat beágyazottan vagy hivatkozásként is tartalmazhatja. A struktúrával kapcsolatos további részletekért tekintse meg a Fájl entitást. |
| Folyamatok | Entitás listázása<(folyamat)> | Azoknak a csatolt folyamatentitásoknak a listája, amelyeken a kártevő található. Ezt gyakran használják, amikor a riasztás fájl nélküli tevékenység esetén aktiválódik. A struktúra további részleteiért tekintse meg a Folyamat entitást. |
Egy kártevő entitás erős azonosítójai
- Név + Kategória
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Fájl
Entitás neve: Fájl
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "fájl" |
| Címtár | Sztring | A fájl teljes elérési útja. |
| Név | Sztring | Az elérési út nélküli fájlnév (egyes riasztások nem feltétlenül tartalmazzák az elérési utat). |
| AlternateDataStreamName | Sztring | A fájlstream neve az NTFS fájlrendszerben (a fő stream null értéke). |
| Gazdagép | Entitás (gazdagép) | Az a gazdagép, amelyen a fájlt tárolták. |
| HostUrl | Entitás (URL) | URL-cím, ahonnan a fájlt letöltötték (A web jele). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows biztonság zóna, amelyhez az URL-cím tartozik (A web jele). |
| ReferrerUrl | Entitás (URL) | A fájlletöltési HTTP-kérelem hivatkozó URL-címe (A web jele). |
| SizeInBytes | Hosszú? | A fájl mérete bájtban. |
| FileHashes | Lista<entitás (FileHash)> | A fájlhoz társított fájlkivonatok. |
Egy fájlentitás erős azonosítójai
- Név + Könyvtár
- Név + FileHash
- Név + Könyvtár + FileHash
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Feldolgozás
Entitás neve: Folyamat
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "folyamat" |
| ProcessId | Sztring | A folyamat azonosítója. |
| CommandLine | Sztring | A folyamat létrehozásához használt parancssor. |
| ElevationToken | Enum? | A folyamathoz társított jogosultságszint-emelési jogkivonat. Lehetséges értékek: |
| CreationTimeUtc | DateTime? | A folyamat futásának időpontja. |
| ImageFile | Entitás (fájl) | A Fájl entitást beágyazottként vagy hivatkozásként is tartalmazhatja. A struktúrával kapcsolatos további részletekért tekintse meg a Fájl entitást. |
| Számla | Entitás (fiók) | A folyamatokat futtató fiók. A Fiók entitást beágyazottként vagy hivatkozásként is tartalmazhatja. A struktúrával kapcsolatos további részletekért tekintse meg a Fiók entitást. |
| ParentProcess | Entitás (folyamat) | A szülőfolyamat-entitás. Részleges adatokat tartalmazhat, például csak a PID-t. |
| Gazdagép | Entitás (gazdagép) | Az a gazdagép, amelyen a folyamat futott. |
| Bejelentkezés | Entitás (HostLogonSession) | Az a munkamenet, amelyben a folyamat futott. |
Folyamatentitások erős azonosítójai
- Gazdagép + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Gazdagép + ProcessId + CreationTimeUtc + ImageFile
- Gazdagép + ProcessId + CreationTimeUtc + ImageFile.FileHash
Folyamatentitások gyenge azonosítójai
- ProcessId + CreationTimeUtc + CommandLine (és nincs gazdagép)
- ProcessId + CreationTimeUtc + ImageFile (és nincs gazdagép)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Felhőalkalmazás
Entitás neve: CloudApplication
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "felhőalkalmazás" |
| AppId | Int | Elavult; Használja inkább a SaasId mezőt. Az alkalmazás technikai azonosítója. A lehetséges értékek a felhőalkalmazás-azonosítók listájában definiált értékek. Az érték megadása nem kötelező. Nem tartalmazhat InstanceId azonosítót. |
| SaasId | Int | Lecseréli az elavult AppId mezőt. Az alkalmazás technikai azonosítója. A lehetséges értékek a felhőalkalmazás-azonosítók listájában definiált értékek. Az érték megadása nem kötelező. Nem tartalmazhat InstanceId azonosítót. |
| Név | Sztring | A kapcsolódó felhőalkalmazás neve. Az érték megadása nem kötelező. |
| InstanceName | Sztring | A felhőalkalmazás felhasználó által megadott példányneve. Gyakran használják az ügyfélhez hasonló típusú alkalmazások megkülönböztetésére. |
| InstanceId | Int | Az alkalmazás adott munkamenetének azonosítója. Ez egy nulla alapú futószám. Az érték megadása nem kötelező. |
| Kockázat | AppRisk? | Lehetővé teszi az alkalmazások kockázati pontszám szerinti szűrését, hogy például csak a kockázatos alkalmazások áttekintésére összpontosíthasson. Lehetséges értékek, például Alacsony, Közepes, Magas vagy Ismeretlen. |
| Patak | Stream | Az adott felhőalkalmazáshoz kapcsolódó felderítési naplók forrása. Opcionális. |
Felhőalkalmazás-entitás erős azonosítójai
- AppId (InstanceName nélkül)
- Név (InstanceName nélkül)
- AppId + InstanceName
- Name + InstanceName
Felhőalkalmazás-azonosítók listája
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
DNS feloldása
Entitás neve: DNS
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "dns" |
| DomainName | Sztring | A riasztáshoz társított DNS-rekord neve. |
| IpAddress | Entitás listázása<(IP)> | A feloldott IP-címeknek megfelelő entitások. |
| DnsServerIp | Entitás (IP) | A kérést feloldó DNS-kiszolgálót képviselő entitás. |
| HostIpAddress | Entitás (IP) | A DNS-kérelemügyfélt képviselő entitás. |
EGY DNS-entitás erős azonosítójai
- DomainName + DnsServerIp + HostIpAddress
DNS-entitás gyenge azonosítójai
- DomainName + HostIpAddress
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Azure-erőforrás
Entitás neve: AzureResource
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "azure-resource" |
| ResourceId | Sztring | Az erőforrás Azure-erőforrás-azonosítója. Kötelező. |
| SubscriptionId | Sztring | Az erőforrás előfizetés-azonosítója. |
| ActiveContacts | ActiveContact listázása<> | Az erőforráshoz társított aktív névjegyek. |
| ResourceType | Sztring | Az erőforrás típusa. |
| ResourceName | Sztring | Az erőforrás neve. |
Egy Azure-erőforrás-entitás erős azonosítójai
- ResourceId
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Fájlkivonat
Entitás neve: FileHash
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | 'filehash' |
| Algoritmus | Enumeráció | A kivonatoló algoritmus típusa. Kötelező. Lehetséges értékek: |
| Érték | Sztring | A kivonat értéke. Kötelező. |
Egy fájlkivonat-entitás erős azonosítójai
- Algoritmus + érték
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Beállításkulcs
Entitás neve: RegistryKey
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "beállításkulcs" |
| Hive | Enum? | Az alábbi értékek egyike: |
| Kulcs | Sztring | A beállításkulcs elérési útja. |
A beállításkulcs-entitás erős azonosítójai
- Hive + Kulcs
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Beállításjegyzék-érték
Entitás neve: RegistryValue
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "beállításjegyzék-érték" |
| Gazdagép | Entitás (gazdagép) | Az a gazdagép, amelyhez a beállításjegyzék tartozik. |
| Kulcs | Entitás (RegistryKey) | A beállításkulcs-entitás. |
| Név | Sztring | A beállításjegyzék értékének neve. |
| Érték | Sztring | Az értékadatok sztring formátumú megjelenítése. |
| ValueType | Enum? | Az alábbi értékek egyike: Az értékeknek meg kell felelniük a Microsoft.Win32.RegistryValueKind enumerálásnak. |
A beállításjegyzék-érték entitás erős azonosítójai
- Kulcs + Név
Beállításérték-entitás gyenge azonosítójai
- Név (kulcs nélkül)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Biztonsági csoport
Entitás neve: SecurityGroup
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "biztonsági csoport" |
| DistinguishedName | Sztring | A csoport megkülönböztető neve. |
| SID | Sztring | Egy egyértékű attribútum, amely megadja a csoport biztonsági azonosítóját (SID). |
| ObjectGuid | Guid? | Egy egyértékű attribútum, amely az Active Directory által hozzárendelt objektum egyedi azonosítója. |
Biztonságicsoport-entitás erős azonosítójai
- DistinguishedName
- SID
- ObjectGuid
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
URL-cím
Entitás neve: URL
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "url" |
| URL-cím | Uri | Egy teljes URL-cím, amelyre az entitás mutat. Kötelező. |
Egy URL-entitás erős azonosítójai
- URL (** Ez az azonosító erős, ha az URL abszolút URL-cím.)
Url-entitás gyenge azonosítójai
- URL (** Ez az azonosító gyenge, ha az URL relatív URL.)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
IoT-eszköz
Entitás neve: IoTDevice
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | 'iotdevice' |
| IoTHub | Entitás (AzureResource) | Az AzureResource entitás, amely az eszközhöz tartozó IoT Hubot jelöli. |
| DeviceId | Sztring | Az eszköz azonosítója az IoT Hub kontextusában. Kötelező. |
| DeviceName | Sztring | Az eszköz rövid neve. |
| Tulajdonosok | Listasztring<> | Az eszköz tulajdonosai. |
| IoTSecurityAgentId | Guid? | Az eszközön futó Defender for IoT-ügynök azonosítója. |
| DeviceType | Sztring | Az eszköz típusa ("hőmérséklet-érzékelő", "fagyasztó", "szélturbina" stb.). |
| DeviceTypeId | Sztring | Egyedi azonosító az egyes eszköztípusok azonosításához az eszköztípus sémája alapján, mivel maga az eszköztípus egy megjelenítendő név, és összehasonlításban nem megbízható. Lehetséges értékek: Besorolatlan = 0 Egyéb = 1 Hálózati eszköz = 2 Nyomtató = 3 Hang és videó = 4 Média és felügyelet = 5 Kommunikáció = 7 Intelligens berendezés = 9 Munkaállomás = 10 Kiszolgáló = 11 Mobil = 12 Intelligens létesítmény = 13 Ipari = 14 Operatív berendezések = 15 |
| Forrás | Sztring | Az eszköz entitásának forrása (Microsoft/Vendor). |
| SourceRef | Entitás (URL- cím) | Url-hivatkozás arra a forráselemre, amelyben az eszközt kezelik. |
| Gyártó | Sztring | Az eszköz gyártója. |
| Modell | Sztring | Az eszköz modellje. |
| OperatingSystem | Sztring | Az eszköz operációs rendszere. |
| IpAddress | Entitás (IP) | Az eszköz aktuális IP-címe. |
| MacAddress | Sztring | Az eszköz MAC-címe. |
| Nics | Entitás (hálózati adapter) | Az eszköz aktuális hálózati adaptere. |
| Protokollok | Listasztring<> | Az eszköz által támogatott protokollok listája. |
| SerialNumber | Sztring | Az eszköz sorozatszáma. |
| Oldalon | Sztring | Az eszköz helyének helye. |
| Övezet | Sztring | Az eszköz zónájának helye egy helyen belül. |
| Érzékelő | Sztring | Az érzékelő figyeli az eszközt. |
| Fontosság | Enum? | Az alábbi értékek egyike: |
| PurdueLayer | Sztring | Az eszköz Purdue rétege. |
| IsProgramming | Bool? | Azt jelzi, hogy az eszköz programozási eszközként van-e besorolva. |
| IsAuthorized | Bool? | Azt jelzi, hogy az eszköz engedélyezett eszközként van-e besorolva. |
| IsScanner | Bool? | Azt jelzi, hogy az eszköz képolvasó eszközként van-e besorolva. |
| DevicePageLink | Entitás (URL- cím) | Az eszközoldal URL-címe a Defender for IoT portálon. |
| DeviceSubType | Sztring | Az eszköz altípusának neve. |
Egy IoT-eszköz entitásának erős azonosítójai
- IoTHub + DeviceId
IoT-eszközentitások gyenge azonosítójai
- DeviceId (IoTHub nélkül)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Postaláda
Entitás neve: Postaláda
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "postaláda" |
| MailboxPrimaryAddress | Sztring | A postaláda elsődleges címe. |
| Megjelenítendő név | Sztring | A postaláda megjelenítendő neve. |
| Upn | Sztring | A postaláda UPN-címe. |
| AadId | Sztring | A postaláda Azure AD-azonosítója. |
| RiskLevel | RiskLevel? | A postaláda kockázati szintje. Lehetséges értékek: |
| ExternalDirectoryObjectId | Guid? | A postaláda AzureAD-azonosítója. Hasonló a Fiók entitás AadUserId azonosítójára, de ez a tulajdonság az Office oldalán lévő postaláda-objektumra jellemző. |
Postaláda-entitás erős azonosítójai
- MailboxPrimaryAddress
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Levelezőfürt
Entitás neve: MailCluster
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "levelezési fürt" |
| NetworkMessageIds | IList-sztring<> | A levelezőfürt részét képező e-mail-azonosítók. |
| CountByDeliveryStatus | IDictionary<String,Int> | E-mailek száma DeliveryStatus-sztring-ábrázolás szerint. |
| CountByThreatType | IDictionary<String,Int> | E-mailek száma ThreatType-sztring-ábrázolás szerint. |
| CountByProtectionStatus | IDictionary<String,long> | E-mailek száma védelmi állapotsztring-ábrázolás szerint. |
| CountByDeliveryLocation | IDictionary<String,long> | E-mailek száma kézbesítési hely szerinti sztring-ábrázolás alapján. |
| Fenyegetések | IList-sztring<> | A levelezési fürt részét képező e-mailek fenyegetései. |
| Lekérdezés | Sztring | A levelezőfürt üzeneteinek azonosítására használt lekérdezés. |
| QueryTime | DateTime? | A lekérdezési idő. |
| MailCount | Int? | A levelezőfürt részét képező e-mailek száma. |
| IsVolumeAnomaly | Bool? | Azt jelzi, hogy a levelezőfürt mennyiségi anomáliával rendelkező levelezőfürt-e. |
| Forrás | Sztring | A levelezőfürt forrása (alapértelmezés szerint O365 ATP). |
A levelezési fürt entitásának erős azonosítójai
- Lekérdezés + forrás
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
E-mail üzenet
Entitás neve: MailMessage
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "e-mail-üzenet" |
| Fájlok | IList-entitás<(fájl)> | Az e-mail mellékleteinek Fájl entitásai. |
| Címzett | Sztring | Az e-mail címzettje. Több címzett esetén a program átmásolja az e-mailt, és minden másolathoz egy címzett tartozik. |
| URL-címek | IList-sztring<> | Az e-mailben található URL-címek. |
| Fenyegetések | IList-sztring<> | Az e-mailben található fenyegetések. |
| Feladó | Sztring | A feladó e-mail-címe. |
| SenderIP | Sztring | A feladó IP-címe. |
| ReceivedDate | Dátum/idő | Az üzenet beérkezésének dátuma. |
| NetworkMessageId | Guid? | Az e-mail hálózati üzenetazonosítója. |
| InternetMessageId | Sztring | Az e-mail internetes üzenetazonosítója. |
| Tárgy | Sztring | Az e-mail tárgya. |
| AntispamDirection | Enum? | Az e-mail iránya. Lehetséges értékek: |
| DeliveryAction | Enum? | Az e-mail kézbesítési művelete. Lehetséges értékek: |
| DeliveryLocation | Enum? | Az e-mail kézbesítési helye. Lehetséges értékek: |
| CampaignId | Sztring | Annak a kampánynak az azonosítója, amelyben ez az üzenet jelen van. |
| SuspiciousRecipients | IList-sztring<> | A gyanúsnak talált címzettek listája. |
| ForwardedRecipients | IList-sztring<> | A továbbított e-mail összes címzettjének listája. |
| ForwardingType | IList-sztring<> | A levél továbbítási típusa, például SMTP, ETR stb. |
E-mail entitás erős azonosítójai
- NetworkMessageId + Címzett
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Küldési e-mail
Entitás neve: SubmissionMail
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "SubmissionMail" |
| SubmissionId | Guid? | A beküldés azonosítója. |
| SubmissionDate | DateTime? | A beküldés jelentett dátuma. |
| Beküldő | Sztring | A beküldő e-mail-címe. |
| NetworkMessageId | Guid? | Annak az e-mailnek a hálózati üzenetazonosítója, amelyhez a küldés tartozik. |
| Időbélyeg | DateTime? | Az üzenet fogadásának időbélyege (Posta). |
| Címzett | Sztring | A levél címzettje. |
| Feladó | Sztring | A levél feladója. |
| SenderIp | Sztring | A feladó IP-címe. |
| Tárgy | Sztring | A beküldött e-mail tárgya. |
| ReportType | Sztring | Az adott példány beküldési típusa. Lehetséges értékek a levélszemét, az adathalászat, a kártevő vagy a nem levélszemét. |
A SubmissionMail entitás erős azonosítójai
- SubmitId, Submitter, NetworkMessageId, Recipient
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Sentinel-entitások
| Mező | Típus | Leírás |
|---|---|---|
| Entitások | Sztring | A riasztásban azonosított entitások listája. Ez a lista a SecurityAlert séma entitásoszlopa (lásd a dokumentációt). |
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Felhőalkalmazás-azonosítók
Az alábbi lista az ismert felhőalkalmazások azonosítóit határozza meg. Az alkalmazásazonosító értéke felhőalkalmazás-entitásazonosítóként használatos.
| Alkalmazásazonosító | Név |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon webszolgáltatások |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive Vállalati verzió |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Életciklus |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Vállalati verzió |
| 25988 | Google Docs |
| 26055 | Microsoft 365 felügyeleti központ |
| 26060 | OPSWAT fogaskerekek |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS-proxy emulátor |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Következő lépések
Ebben a dokumentumban megismerkedett a Microsoft Sentinel entitásstruktúráival, azonosítóival és sémáival.
További információ az entitásokról és az entitások leképezéséről.