Microsoft Sentinel entitástípusokra vonatkozó referencia
Ez a dokumentum két információkészletet tartalmaz a Microsoft Sentinel entitásaival és entitástípusaival kapcsolatban.
- Az Entitástípusok és -azonosítók tábla azokat az entitástípusokat jeleníti meg, amelyek az elemzési szabályokban és a vadászatban egyaránt használhatók az entitásleképezésben. A táblázat az egyes entitástípusok esetében az entitások azonosítására használható különböző azonosítókat is megjeleníti.
- Az Entitásséma szakasz az entitások adatstruktúráját és sémáját jeleníti meg általában és különösen az egyes entitástípusok esetében, beleértve az entitásleképezési funkcióban nem szereplő típusokat is.
Entitástípusok és -azonosítók
Az alábbi táblázat a Microsoft Sentinelben jelenleg elérhető leképezéshez elérhető entitástípusokat és az egyes entitástípusok azonosítójaként elérhető attribútumokat mutatja be. Szinte mindegyik attribútum megjelenik az Azonosítók legördülő listában az elemzési szabály varázsló entitásleképezési szakaszában (a kivételekhez lásd a lábjegyzeteket).
Egyetlen entitásleképezéshez legfeljebb három azonosítót használhat. Az erős azonosítók önmagukban elegendőek egy entitás egyedi azonosításához, míg a gyenge azonosítók ezt csak más azonosítókkal kombinálva tehetik meg.
További információ az erős és gyenge azonosítókról.
| Entitástípus | Identifiers | Erős azonosítók | Gyenge azonosítók |
|---|---|---|---|
| Számla | Név FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Név |
| Gazdagép | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | Cím AddressScope |
Cím ** Address+AddressScope ** |
|
| URL-cím | URL-cím | URL ( ha abszolút URL-cím)** | URL ( ha relatív URL-cím)** |
| Azure-erőforrás (AzureResource) |
ResourceId | ResourceId | |
| Felhőalkalmazás (CloudApplication) |
AppId Név InstanceName |
AppId Név AppId+InstanceName Name+InstanceName |
|
| DNS-feloldás (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Fájl | Címtár Név |
Címtár+Név | |
| Fájlkivonat (FileHash) |
Algoritmus Érték |
Algoritmus+érték | |
| Kártevő | Név Kategória |
Név+Kategória | |
| Folyamat | ProcessId Commandline ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (nincs gazdagép) ProcessId+CreationTimeUtc+ ImageFile (nincs gazdagép) |
| Beállításkulcs (RegistryKey) |
Hive Kulcs |
Hive+Kulcs | |
| Beállításjegyzék-érték (RegistryValue) |
Név szerint Érték ÉrtékTípusa |
Kulcs+Név | Név (nincs kulcs) |
| Biztonsági csoport (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Postaláda | MailboxPrimaryAddress Megjelenített név Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Levelezőfürt (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Fenyegetések Lekérdezés QueryTime MailCount IsVolumeAnomaly Forrás ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * Fürtcsoport * |
Lekérdezés+forrás | |
| E-mail üzenet (MailMessage) |
Címzett Urls Fenyegetések Küldő P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Tárgy BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Nyelv* ThreatDetectionMethods * |
NetworkMessageId+Címzett | |
| Küldési e-mail (SubmissionMail) |
NetworkMessageId Időbélyegző Címzett Küldő SenderIp Tárgy ReportType SubmissionId SubmissionDate Beküldő |
SubmissionId+NetworkMessageId+ Címzett+Beküldő |
|
| Sentinel-entitások | Entitások | Entitások |
Táblázat lábjegyzetei:
- * Ezek az azonosítók megjelennek az entitásleképezésben használható azonosítók listájában, de szigorúan véve nem részei az entitássémanak.
- ** Ezek az azonosítók csak bizonyos feltételek mellett tekinthetők erősnek. Kövesse a csillaghivatkozásokat, és tekintse meg az alkalmazandó feltételeket az érintett entitás alábbi entitásséma-szakaszában.
- A dőlt azonosítónevek (csillag nélkül) belső entitásokat jelölnek, ami azt jelenti, hogy egy entitástípus más entitástípusokkal is rendelkezhet attribútumként (lásd az entitásséma lenti szakaszát). Kövesse az azonosító hivatkozását a belső entitás saját sémájának megtekintéséhez.
Entitástípus-sémák
Az alábbi szakasz részletesebben is áttekinti az egyes entitástípusok teljes sémáit. Megfigyelheti, hogy sok ilyen séma más entitástípusokra mutató hivatkozásokat is tartalmaz. A Fiókséma például tartalmaz egy, a gazdagép entitástípusára mutató hivatkozást, mivel a felhasználói fiók egyik attribútuma az a gazdagép, amelyen definiálva van. Ezek az entitások mint attribútumok "belső entitások" néven ismertek, és nem használhatók az entitásleképezés azonosítójaként, de nagyon hasznosak az entitásoldalakon és a vizsgálati gráfon található entitások teljes képének megadásában.
Feljegyzés
A Típus oszlopban lévő értéket követő kérdőjel azt jelzi, hogy a mező null értékű.
Entitástípus-sémák listája
- Számla
- Gazdagép
- IP
- Kártevő
- Fájl
- Folyamat
- Felhőalkalmazás
- DNS-feloldás
- Azure-erőforrás
- Fájlkivonat
- Beállításkulcs
- Beállításjegyzék-érték
- Biztonsági csoport
- URL-cím
- IoT-eszköz
- Postaláda
- Levelezőfürt
- E-mail üzenet
- Küldési e-mail
- Sentinel-entitások
Számla
Entitás neve: Fiók
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "fiók" |
| Név | Sztring | A fiók neve. Ennek a mezőnek csak azt a nevet kell tárolnia, amely nem ad hozzá tartományt. |
| FullName | -- | Nem része a sémának, amely az entitásleképezés régi verziójával való visszamenőleges kompatibilitást szolgálja. |
| NTDomain | Sztring | A NETBIOS-tartománynév a riasztási formátumban – tartomány\felhasználónév – jelenik meg. Példák: Pénzügy, NT AUTHORITY |
| DnsDomain | Sztring | A teljes tartomány DNS-neve. Példák: finance.contoso.com |
| UPNSuffix | Sztring | A fiók egyszerű felhasználónév-utótagja. Az UPN-utótag sok esetben a tartománynév is. Példák: contoso.com |
| Gazdagép | Entitás (gazdagép) | A fiókot tartalmazó gazdagép, ha az egy helyi fiók. |
| Sid | Sztring | A fiók biztonsági azonosítója. |
| AadTenantId | Guid? | Ha ismert, a Microsoft Entra bérlőazonosítója. |
| AadUserId | Guid? | Ha ismert, a Microsoft Entra-fiók objektumazonosítója. |
| PUID | Guid? | Ha ismert, a Microsoft Entra Passport felhasználói azonosítója. |
| IsDomainJoined | Bool? | Azt jelzi, hogy a fiók tartományi fiók-e. |
| Megjelenítendő név | -- | Nem része a sémának, amely az entitásleképezés régi verziójával való visszamenőleges kompatibilitást szolgálja. |
| ObjectGuid | Guid? | Az objectGUID attribútum egy egyértékű attribútum, amely az Active Directory által hozzárendelt objektum egyedi azonosítója. |
| CloudAppAccountId | Sztring | Az AccountID a CloudApp-szolgáltató riasztásaiban. Olyan külső alkalmazások fiókazonosítóira hivatkozik, amelyeket más Microsoft-termékek nem támogatnak. |
| IsAnonymized | Bool? | Azt jelzi, hogy a felhasználónév névtelen-e. Opcionális. Alapértelmezett érték: false. |
| Patak | Stream | Az adott fiókhoz kapcsolódó felderítési naplók forrása. Opcionális. |
Fiókentitások erős azonosítójai
- Név + UPNSuffix
- AadUserId
- Sid
** Ez az azonosító erős, ha a fiók nem tartozik az alábbi megjegyzésben felsorolt beépített fiókok közé. - Sid + Gazdagép
** Ha a fiók az alábbi megjegyzésben felsorolt beépített fiókok egyike, a Gazdagép összetevőre van szükség ahhoz, hogy az azonosító erős legyen. - Név + NTDomain
** Ez a kombináció erős azonosító, ha a fiók tartományi fiók, mivel az NTDomain nem beépített tartomány/munkacsoport, és eltér a gazdagép nevétől. Ebben az esetben ez egy erős azonosító, még a Gazdagép összetevő nélkül is. - Név + NTDomain + gazdagép
** A gazdagép összetevőre szükség van egy erős azonosító létrehozásához, ha a fiók helyi fiók, ami azt jelenti, hogy az NTDomain egy beépített tartomány/munkacsoport. - Név + DnsDomain
- PUID
- ObjectGuid
Fiókentitások gyenge azonosítójai
- Név
Feljegyzés
Ha a Fiók entitás a Név azonosítóval van definiálva, és egy adott entitás névértéke az alábbi általános, gyakran beépített fióknevek egyike, akkor az entitás törlődik a riasztásból.
- ADMIN
- RENDSZERGAZDA
- RENDSZER
- GYÖKÉR
- NÉVTELEN
- HITELESÍTETT U Standard kiadás R
- HÁLÓZATI
- NULL
- HELYI RENDSZER
- LOCALSYSTEM
- NETWORK Standard kiadás RVICE
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Gazdagép
Entitás neve: Gazdagép
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "gazdagép" |
| IpInterfaces | Entitás listázása<(Ip)> | A gazdagép összes IP-adapterének listája. |
| DnsDomain | Sztring | Az a DNS-tartomány, amelyhez ez a gazdagép tartozik. Ha ismert, a tartomány teljes DNS-utótagját kell tartalmaznia. |
| NTDomain | Sztring | Az az NT-tartomány, amelyhez ez a gazdagép tartozik. |
| Hostname | Sztring | A tartomány utótag nélküli állomásnév. |
| NetBiosName | Sztring | A gazdagép neve (Windows 2000 előtti). |
| IoTDevice | Entitás (IoT-eszköz) | Az IoT-eszköz entitás (ha ez a gazdagép IoT-eszközt jelöl). |
| AzureID | Sztring | Ha ismert, a virtuális gép Azure-erőforrás-azonosítója. |
| OMSAgentID | Sztring | Az OMS-ügynök azonosítója, ha a gazdagépen telepítve van az OMS-ügynök. |
| OSFamily | Enum? | Az alábbi értékek egyike: |
| OSVersion | Sztring | Az operációs rendszer szabadszöveges ábrázolása. Ez a mező adott verziók tárolására szolgál, amelyek részletesebbek, mint az OSFamily, vagy az OSFamily enumerálás által nem támogatott jövőbeli értékek. |
| IsDomainJoined | Bool | Azt jelzi, hogy ez a gazdagép tartományhoz tartozik-e. |
Gazdagépentitás erős azonosítójai
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Gazdagépentitás gyenge azonosítójai
- HostName
- NetBiosName
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
IP
Entitás neve: IP
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "ip" |
| Cím | Sztring | Az IP-cím például sztringként. 127.0.0.1 (IPv4-ben vagy IPv6-ban). |
| AddressScope | Sztring | A magánhálózati, nem globális IP-címek gazdagépének, alhálózatának vagy magánhálózatának neve. Globális IP-címek esetén null értékű vagy üres (alapértelmezett). |
| Helyen | GeoLocation | Az IP-entitáshoz csatolt földrajzi hely környezete. További információ: Entitások bővítése a Microsoft Sentinelben geolokációs adatokkal REST API-n (nyilvános előzetes verzió) keresztül. |
| Patak | Stream | Az adott IP-címhez kapcsolódó felderítési naplók forrása. Opcionális. |
Ip-entitás erős azonosítójai
- Cím
** A cím önmagában egy egyedi, erős azonosító, ha az IP-cím globális cím. - Cím + AddressScope
** Privát/belső, nem globális IP-címek esetén a AddressScope összetevőre van szükség ahhoz, hogy ez erős azonosító legyen.
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Kártevő
Entitás neve: Kártevő
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "kártevő" |
| Név | Sztring | Az (észlelés?) szállító által hozzárendelt kártevő neve, például Win32/Toga!rfn. |
| Kategória | Sztring | Az (észlelés?) gyártó által hozzárendelt kártevő-kategória, például. Trójai. |
| Fájlok | Entitások listázása<(fájl)> | Azon csatolt fájlentitások listája, amelyeken a kártevő található. A Fájl entitásokat beágyazottan vagy hivatkozásként is tartalmazhatja. A struktúrával kapcsolatos további részletekért tekintse meg a Fájl entitást. |
| Folyamatok | Entitás listázása<(folyamat)> | Azoknak a csatolt folyamatentitásoknak a listája, amelyeken a kártevő található. Ezt gyakran használják, amikor a riasztás fájl nélküli tevékenység esetén aktiválódik. A struktúra további részleteiért tekintse meg a Folyamat entitást. |
Egy kártevő entitás erős azonosítójai
- Név + Kategória
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Fájl
Entitás neve: Fájl
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "fájl" |
| Taglista | Sztring | A fájl teljes elérési útja. |
| Név | Sztring | Az elérési út nélküli fájlnév (egyes riasztások nem feltétlenül tartalmazzák az elérési utat). |
| AlternateDataStreamName | Sztring | A fájlstream neve az NTFS fájlrendszerben (a fő stream null értéke). |
| Gazdagép | Entitás (gazdagép) | Az a gazdagép, amelyen a fájlt tárolták. |
| HostUrl | Entitás (URL) | URL-cím, ahonnan a fájlt letöltötték (A web jele). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows biztonság zóna, amelyhez az URL-cím tartozik (A web jele). |
| ReferrerUrl | Entitás (URL) | A fájlletöltési HTTP-kérelem hivatkozó URL-címe (A web jele). |
| SizeInBytes | Hosszú? | A fájl mérete bájtban. |
| FileHashes | Lista<entitás (FileHash)> | A fájlhoz társított fájlkivonatok. |
Egy fájlentitás erős azonosítójai
- Név + Könyvtár
- Név + FileHash
- Név + Könyvtár + FileHash
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Feldolgozás
Entitás neve: Folyamat
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "folyamat" |
| ProcessId | Sztring | A folyamat azonosítója. |
| Commandline | Sztring | A folyamat létrehozásához használt parancssor. |
| ElevationToken | Enum? | A folyamathoz társított jogosultságszint-emelési jogkivonat. Lehetséges értékek: |
| CreationTimeUtc | Datetime? | A folyamat futásának időpontja. |
| ImageFile | Entitás (fájl) | A Fájl entitást beágyazottként vagy hivatkozásként is tartalmazhatja. A struktúrával kapcsolatos további részletekért tekintse meg a Fájl entitást. |
| Számla | Entitás (fiók) | A folyamatokat futtató fiók. A Fiók entitást beágyazottként vagy hivatkozásként is tartalmazhatja. A struktúrával kapcsolatos további részletekért tekintse meg a Fiók entitást. |
| ParentProcess | Entitás (folyamat) | A szülőfolyamat-entitás. Részleges adatokat tartalmazhat, például csak a PID-t. |
| Gazdagép | Entitás (gazdagép) | Az a gazdagép, amelyen a folyamat futott. |
| Bejelentkezés | Entitás (HostLogonSession) | Az a munkamenet, amelyben a folyamat futott. |
Folyamatentitások erős azonosítójai
- Gazdagép + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Gazdagép + ProcessId + CreationTimeUtc + ImageFile
- Gazdagép + ProcessId + CreationTimeUtc + ImageFile.FileHash
Folyamatentitások gyenge azonosítójai
- ProcessId + CreationTimeUtc + CommandLine (és nincs gazdagép)
- ProcessId + CreationTimeUtc + ImageFile (és nincs gazdagép)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Felhőalkalmazás
Entitás neve: CloudApplication
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "felhőalkalmazás" |
| Appid | Int | Elavult; Használja inkább a SaasId mezőt. Az alkalmazás technikai azonosítója. A lehetséges értékek a felhőalkalmazás-azonosítók listájában definiált értékek. Az érték megadása nem kötelező. Nem tartalmazhat InstanceId azonosítót. |
| SaasId | Int | Lecseréli az elavult AppId mezőt. Az alkalmazás technikai azonosítója. A lehetséges értékek a felhőalkalmazás-azonosítók listájában definiált értékek. Az érték megadása nem kötelező. Nem tartalmazhat InstanceId azonosítót. |
| Név | Sztring | A kapcsolódó felhőalkalmazás neve. Az érték megadása nem kötelező. |
| InstanceName | Sztring | A felhőalkalmazás felhasználó által megadott példányneve. Gyakran használják az ügyfélhez hasonló típusú alkalmazások megkülönböztetésére. |
| InstanceId | Int | Az alkalmazás adott munkamenetének azonosítója. Ez egy nulla alapú futószám. Az érték megadása nem kötelező. |
| Kockázat | AppRisk? | Lehetővé teszi az alkalmazások kockázati pontszám szerinti szűrését, hogy például csak a kockázatos alkalmazások áttekintésére összpontosíthasson. Lehetséges értékek, például Alacsony, Közepes, Magas vagy Ismeretlen. |
| Patak | Stream | Az adott felhőalkalmazáshoz kapcsolódó felderítési naplók forrása. Opcionális. |
Felhőalkalmazás-entitás erős azonosítójai
- AppId (InstanceName nélkül)
- Név (InstanceName nélkül)
- AppId + InstanceName
- Name + InstanceName
Felhőalkalmazás-azonosítók listája
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
DNS feloldása
Entitás neve: DNS
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "dns" |
| Tartománynév | Sztring | A riasztáshoz társított DNS-rekord neve. |
| IpAddress | Entitás listázása<(IP)> | A feloldott IP-címeknek megfelelő entitások. |
| DnsServerIp | Entitás (IP) | A kérést feloldó DNS-kiszolgálót képviselő entitás. |
| HostIpAddress | Entitás (IP) | A DNS-kérelemügyfélt képviselő entitás. |
EGY DNS-entitás erős azonosítójai
- DomainName + DnsServerIp + HostIpAddress
DNS-entitás gyenge azonosítójai
- DomainName + HostIpAddress
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Azure-erőforrás
Entitás neve: AzureResource
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "azure-resource" |
| ResourceId | Sztring | Az erőforrás Azure-erőforrás-azonosítója. Kötelező. |
| SubscriptionId | Sztring | Az erőforrás előfizetés-azonosítója. |
| ActiveContacts | ActiveContact listázása<> | Az erőforráshoz társított aktív névjegyek. |
| ResourceType | Sztring | Az erőforrás típusa. |
| ResourceName | Sztring | Az erőforrás neve. |
Egy Azure-erőforrás-entitás erős azonosítójai
- ResourceId
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Fájlkivonat
Entitás neve: FileHash
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | 'filehash' |
| Algoritmus | Enumeráció | A kivonatoló algoritmus típusa. Kötelező. Lehetséges értékek: |
| Érték | Sztring | A kivonat értéke. Kötelező. |
Egy fájlkivonat-entitás erős azonosítójai
- Algoritmus + érték
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Beállításkulcs
Entitás neve: RegistryKey
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "beállításkulcs" |
| Hive | Enum? | Az alábbi értékek egyike: |
| Kulcs | Sztring | A beállításkulcs elérési útja. |
A beállításkulcs-entitás erős azonosítójai
- Hive + Kulcs
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Beállításjegyzék-érték
Entitás neve: RegistryValue
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "beállításjegyzék-érték" |
| Gazdagép | Entitás (gazdagép) | Az a gazdagép, amelyhez a beállításjegyzék tartozik. |
| Kulcs | Entitás (RegistryKey) | A beállításkulcs-entitás. |
| Név | Sztring | A beállításjegyzék értékének neve. |
| Érték | Sztring | Az értékadatok sztring formátumú megjelenítése. |
| ValueType | Enum? | Az alábbi értékek egyike: Az értékeknek meg kell felelniük a Microsoft.Win32.RegistryValueKind enumerálásnak. |
A beállításjegyzék-érték entitás erős azonosítójai
- Kulcs + Név
Beállításérték-entitás gyenge azonosítójai
- Név (kulcs nélkül)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Biztonsági csoport
Entitás neve: SecurityGroup
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "biztonsági csoport" |
| DistinguishedName | Sztring | A csoport megkülönböztető neve. |
| SID | Sztring | Egy egyértékű attribútum, amely megadja a csoport biztonsági azonosítóját (SID). |
| ObjectGuid | Guid? | Egy egyértékű attribútum, amely az Active Directory által hozzárendelt objektum egyedi azonosítója. |
Biztonságicsoport-entitás erős azonosítójai
- DistinguishedName
- SID
- ObjectGuid
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
URL-cím
Entitás neve: URL
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "url" |
| URL-cím | Uri | Egy teljes URL-cím, amelyre az entitás mutat. Kötelező. |
Egy URL-entitás erős azonosítójai
- URL (** Ez az azonosító erős, ha az URL abszolút URL-cím.)
Url-entitás gyenge azonosítójai
- URL (** Ez az azonosító gyenge, ha az URL relatív URL.)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
IoT-eszköz
Entitás neve: IoTDevice
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | 'iotdevice' |
| IoTHub | Entitás (AzureResource) | Az AzureResource entitás, amely az eszközhöz tartozó IoT Hubot jelöli. |
| Deviceid | Sztring | Az eszköz azonosítója az IoT Hub kontextusában. Kötelező. |
| DeviceName | Sztring | Az eszköz rövid neve. |
| Tulajdonosok | Listasztring<> | Az eszköz tulajdonosai. |
| IoTSecurityAgentId | Guid? | Az eszközön futó Defender for IoT-ügynök azonosítója. |
| DeviceType | Sztring | Az eszköz típusa ("hőmérséklet-érzékelő", "fagyasztó", "szélturbina" stb.). |
| DeviceTypeId | Sztring | Egyedi azonosító az egyes eszköztípusok azonosításához az eszköztípus sémája alapján, mivel maga az eszköztípus egy megjelenítendő név, és összehasonlításban nem megbízható. Lehetséges értékek: Besorolatlan = 0 Egyéb = 1 Hálózati eszköz = 2 Nyomtató = 3 Hang és videó = 4 Média és felügyelet = 5 Kommunikáció = 7 Intelligens berendezés = 9 Munkaállomás = 10 Kiszolgáló = 11 Mobil = 12 Intelligens létesítmény = 13 Ipari = 14 Operatív berendezések = 15 |
| Forrás | Sztring | Az eszköz entitásának forrása (Microsoft/Vendor). |
| SourceRef | Entitás (URL- cím) | Url-hivatkozás arra a forráselemre, amelyben az eszközt kezelik. |
| Gyártó | Sztring | Az eszköz gyártója. |
| Modell | Sztring | Az eszköz modellje. |
| OperatingSystem | Sztring | Az eszköz operációs rendszere. |
| IpAddress | Entitás (IP) | Az eszköz aktuális IP-címe. |
| MacAddress | Sztring | Az eszköz MAC-címe. |
| Nic | Entitás (hálózati adapter) | Az eszköz aktuális hálózati adaptere. |
| Protokollok | Listasztring<> | Az eszköz által támogatott protokollok listája. |
| SerialNumber | Sztring | Az eszköz sorozatszáma. |
| Oldalon | Sztring | Az eszköz helyének helye. |
| Zóna | Sztring | Az eszköz zónájának helye egy helyen belül. |
| Érzékelő | Sztring | Az érzékelő figyeli az eszközt. |
| Fontos | Enum? | Az alábbi értékek egyike: |
| PurdueLayer | Sztring | Az eszköz Purdue rétege. |
| IsProgramming | Bool? | Azt jelzi, hogy az eszköz programozási eszközként van-e besorolva. |
| IsAuthorized | Bool? | Azt jelzi, hogy az eszköz engedélyezett eszközként van-e besorolva. |
| IsScanner | Bool? | Azt jelzi, hogy az eszköz képolvasó eszközként van-e besorolva. |
| DevicePageLink | Entitás (URL- cím) | Az eszközoldal URL-címe a Defender for IoT portálon. |
| DeviceSubType | Sztring | Az eszköz altípusának neve. |
Egy IoT-eszköz entitásának erős azonosítójai
- IoTHub + DeviceId
IoT-eszközentitások gyenge azonosítójai
- DeviceId (IoTHub nélkül)
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Postaláda
Entitás neve: Postaláda
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "postaláda" |
| MailboxPrimaryAddress | Sztring | A postaláda elsődleges címe. |
| Megjelenítendő név | Sztring | A postaláda megjelenítendő neve. |
| Upn | Sztring | A postaláda UPN-címe. |
| AadId | Sztring | A postaláda Azure AD-azonosítója. |
| RiskLevel | RiskLevel? | A postaláda kockázati szintje. Lehetséges értékek: |
| ExternalDirectoryObjectId | Guid? | A postaláda AzureAD-azonosítója. Hasonló a Fiók entitás AadUserId azonosítójára, de ez a tulajdonság az Office oldalán lévő postaláda-objektumra jellemző. |
Postaláda-entitás erős azonosítójai
- MailboxPrimaryAddress
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Levelezőfürt
Entitás neve: MailCluster
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "levelezési fürt" |
| NetworkMessageIds | IList-sztring<> | A levelezőfürt részét képező e-mail-azonosítók. |
| CountByDeliveryStatus | IDictionary<String,Int> | E-mailek száma DeliveryStatus-sztring-ábrázolás szerint. |
| CountByThreatType | IDictionary<String,Int> | E-mailek száma ThreatType-sztring-ábrázolás szerint. |
| CountByProtectionStatus | IDictionary<String,long> | E-mailek száma védelmi állapotsztring-ábrázolás szerint. |
| CountByDeliveryLocation | IDictionary<String,long> | E-mailek száma kézbesítési hely szerinti sztring-ábrázolás alapján. |
| Fenyegetések | IList-sztring<> | A levelezési fürt részét képező e-mailek fenyegetései. |
| Lekérdezés | Sztring | A levelezőfürt üzeneteinek azonosítására használt lekérdezés. |
| QueryTime | Datetime? | A lekérdezési idő. |
| MailCount | Int? | A levelezőfürt részét képező e-mailek száma. |
| IsVolumeAnomaly | Bool? | Azt jelzi, hogy a levelezőfürt mennyiségi anomáliával rendelkező levelezőfürt-e. |
| Forrás | Sztring | A levelezőfürt forrása (alapértelmezés szerint O365 ATP). |
A levelezési fürt entitásának erős azonosítójai
- Lekérdezés + forrás
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
E-mail üzenet
Entitás neve: MailMessage
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "e-mail-üzenet" |
| Fájlok | IList-entitás<(fájl)> | Az e-mail mellékleteinek Fájl entitásai. |
| Címzett | Sztring | Az e-mail címzettje. Több címzett esetén a program átmásolja az e-mailt, és minden másolathoz egy címzett tartozik. |
| Urls | IList-sztring<> | Az e-mailben található URL-címek. |
| Fenyegetések | IList-sztring<> | Az e-mailben található fenyegetések. |
| Feladó | Sztring | A feladó e-mail-címe. |
| SenderIP | Sztring | A feladó IP-címe. |
| ReceivedDate | Dátum/idő | Az üzenet beérkezésének dátuma. |
| NetworkMessageId | Guid? | Az e-mail hálózati üzenetazonosítója. |
| InternetMessageId | Sztring | Az e-mail internetes üzenetazonosítója. |
| Tárgy | Sztring | Az e-mail tárgya. |
| AntispamDirection | Enum? | Az e-mail iránya. Lehetséges értékek: |
| DeliveryAction | Enum? | Az e-mail kézbesítési művelete. Lehetséges értékek: |
| DeliveryLocation | Enum? | Az e-mail kézbesítési helye. Lehetséges értékek: |
| CampaignId | Sztring | Annak a kampánynak az azonosítója, amelyben ez az üzenet jelen van. |
| SuspiciousRecipients | IList-sztring<> | A gyanúsnak talált címzettek listája. |
| ForwardedRecipients | IList-sztring<> | A továbbított e-mail összes címzettjének listája. |
| ForwardingType | IList-sztring<> | A levél továbbítási típusa, például SMTP, ETR stb. |
E-mail entitás erős azonosítójai
- NetworkMessageId + Címzett
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Küldési e-mail
Entitás neve: SubmissionMail
| Mező | Típus | Leírás |
|---|---|---|
| Típus | Sztring | "SubmissionMail" |
| SubmissionId | Guid? | A beküldés azonosítója. |
| SubmissionDate | Datetime? | A beküldés jelentett dátuma. |
| Beküldő | Sztring | A beküldő e-mail-címe. |
| NetworkMessageId | Guid? | Annak az e-mailnek a hálózati üzenetazonosítója, amelyhez a küldés tartozik. |
| Időbélyeg | Datetime? | Az üzenet fogadásának időbélyege (Posta). |
| Címzett | Sztring | A levél címzettje. |
| Feladó | Sztring | A levél feladója. |
| SenderIp | Sztring | A feladó IP-címe. |
| Tárgy | Sztring | A beküldött e-mail tárgya. |
| ReportType | Sztring | Az adott példány beküldési típusa. Lehetséges értékek a levélszemét, az adathalászat, a kártevő vagy a nem levélszemét. |
A SubmissionMail entitás erős azonosítójai
- SubmitId, Submitter, NetworkMessageId, Recipient
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Sentinel-entitások
| Mező | Típus | Leírás |
|---|---|---|
| Entitások | Sztring | A riasztásban azonosított entitások listája. Ez a lista a SecurityAlert séma entitásoszlopa (lásd a dokumentációt). |
Vissza az entitástípus-sémák | listájához Vissza az entitásazonosítók táblához
Felhőalkalmazás-azonosítók
Az alábbi lista az ismert felhőalkalmazások azonosítóit határozza meg. Az alkalmazásazonosító értéke felhőalkalmazás-entitásazonosítóként használatos.
| Alkalmazásazonosító | Név |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon webszolgáltatások |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive Vállalati verzió |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Életciklus |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Vállalati verzió |
| 25988 | Google Docs |
| 26055 | Microsoft 365 felügyeleti központ |
| 26060 | OPSWAT fogaskerekek |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS-proxy emulátor |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Következő lépések
Ebben a dokumentumban megismerkedett a Microsoft Sentinel entitásstruktúráival, azonosítóival és sémáival.
További információ az entitásokról és az entitások leképezéséről.