Informazioni di riferimento per i tipi di entità di Microsoft Sentinel
Tipi di entità e identificatori
La tabella seguente illustra i tipi di entità attualmente disponibili per il mapping in Microsoft Sentinel e gli attributi disponibili come identificatori per ogni tipo di entità. Questi attributi vengono visualizzati nell'elenco a discesa Identificatori nella sezione mapping di entità della procedura guidata per le regole di analisi.
Ogni identificatore nella colonna identificatori necessari è necessario per identificarne l'entità. Tuttavia, un identificatore obbligatorio potrebbe non essere sufficiente per fornire un'identificazione univoca . Maggiore è la probabilità di identificazione univoca, maggiore è la probabilità di identificatore univoco. È possibile usare fino a tre identificatori per un singolo mapping di entità.
Per ottenere risultati ottimali, per l'identificazione univoca garantita, è consigliabile usare gli identificatori della colonna degli identificatori più sicuri quando possibile. L'uso di più identificatori sicuri consente la correlazione tra identificatori sicuri da origini dati e schemi variabili. Questa correlazione consente a Microsoft Sentinel di fornire informazioni più complete per una determinata entità.
| Tipo di entità | Identificatori | Identificatori obbligatori | Identificatori più sicuri |
|---|---|---|---|
| Account utente (Account) |
Nome FullName NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName Objectguid |
FullName Sid Nome AadUserId PUID Objectguid |
Nome + NTDomain Nome + UPNSuffix AADUserId Sid |
| Host | DnsDomain NTDomain HostName FullName NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
FullName HostName NetBiosName AzureID OMSAgentID |
HostName + NTDomain HostName + DnsDomain NetBiosName + NTDomain NetBiosName + DnsDomain AzureID OMSAgentID |
| Indirizzo IP (IP) |
Indirizzo | Indirizzo | |
| Malware | Nome Category |
Nome | |
| File | Directory Nome |
Nome | |
| Processo | ProcessId CommandLine ElevationToken CreationTimeUtc |
CommandLine ProcessId |
|
| Applicazione cloud (CloudApplication) |
AppId Nome InstanceName |
AppId Nome |
|
| Nome di dominio (DNS) |
DomainName | DomainName | |
| Risorsa di Azure | ResourceId | ResourceId | |
| Hash file (FileHash) |
Algoritmo Valore |
Algoritmo + valore | |
| Chiave del Registro di sistema | Hive Chiave |
Hive Chiave |
Hive + Key |
| Valore del Registro di sistema | Nome Valore ValueType |
Nome | |
| Gruppo di protezione | DistinguishedName SID Objectguid |
DistinguishedName SID Objectguid |
|
| URL | URL | URL | |
| Dispositivo IoT | IoTHub DeviceId DeviceName IoTSecurityAgentId DeviceType Source (Sorgente) SourceRef Produttore Modellare OperatingSystem IpAddress MacAddress Protocolli SerialNumber |
IoTHub DeviceId |
IoTHub + DeviceId |
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Cluster di posta | NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Minacce Query QueryTime MailCount IsVolumeAnomaly Source (Sorgente) ClusterSourceIdentifier ClusterSourceType ClusterQueryStartTime ClusterQueryEndTime ClusterGroup |
Query Source (Sorgente) |
Query + origine |
| Messaggio di posta | Recipient Urls Minacce Mittente P1Sender P1SenderDisplayName P1SenderDomain SenderIP P2Sender P2SenderDisplayName P2SenderDomain ReceivedDate NetworkMessageId InternetMessageId Oggetto BodyFingerprintBin1 BodyFingerprintBin2 BodyFingerprintBin3 BodyFingerprintBin4 BodyFingerprintBin5 AntispamDirection DeliveryAction DeliveryLocation Linguaggio ThreatDetectionMethods |
NetworkMessageId Recipient |
NetworkMessageId + Destinatario |
| Posta elettronica inviata | SubmissionId InvioDate Submitter NetworkMessageId Timestamp Recipient Mittente SenderIp Oggetto ReportType |
SubmissionId NetworkMessageId Recipient Submitter |
|
| Entità Sentinel | Entità | Entità |
Schemi del tipo di entità
La sezione seguente contiene un'analisi più approfondita degli schemi completi di ogni tipo di entità. Si noterà che molti di questi schemi includono collegamenti ad altri tipi di entità, ad esempio lo schema dell'account utente include un collegamento al tipo di entità Host, poiché un attributo di un account utente è l'host definito in. Queste entità collegate esternamente non possono essere usate come identificatori per lo scopo del mapping delle entità, ma sono molto utili per fornire un quadro completo delle entità nelle pagine di entità e nel grafico di analisi.
Nota
Un punto interrogativo che segue il valore nella colonna Type indica che il campo è nullable.
Account utente
Nome entità: Account
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'account' |
| Nome | string | Nome dell'account. Questo campo deve contenere solo il nome senza alcun dominio aggiunto. |
| FullName | N/D | Non parte dello schema, incluso per la compatibilità con le versioni precedenti del mapping delle entità. |
| NTDomain | string | Nome di dominio NETBIOS come viene visualizzato nel formato di avviso : dominio\nome utente. Esempi: Finanza, NT AUTHORITY |
| DnsDomain | string | Nome DNS di dominio completo. Esempi: finance.contoso.com |
| UPNSuffix | string | Suffisso dell'entità utente per l'account. In alcuni casi si tratta anche del nome di dominio. Esempi: contoso.com |
| Host | Entità | Host che contiene l'account, se è un account locale. |
| Sid | string | Identificatore di sicurezza dell'account, ad esempio S-1-5-18. |
| AadTenantId | Guid? | ID tenant di Azure AD, se noto. |
| AadUserId | Guid? | ID oggetto dell'account Azure AD, se noto. |
| PUID | Guid? | ID utente di Azure AD Passport, se noto. |
| IsDomainJoined | Bool? | Determina se si tratta di un account di dominio. |
| DisplayName | string | Nome visualizzato dell'account. |
| Objectguid | Guid? | L'attributo objectGUID è un attributo a valore singolo che è l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
Identificatori sicuri di un'entità account:
- Nome + UPNSuffix
- AadUserId
- Sid + Host (obbligatorio per i SID degli account predefiniti)
- Sid (ad eccezione dei SID degli account predefiniti)
- Nome + NTDomain (a meno che NTDomain non sia un dominio predefinito, ad esempio "Gruppo di lavoro")
- Name + Host (se NTDomain è un dominio predefinito, ad esempio "Workgroup")
- Nome + DnsDomain
- PUID
- Objectguid
Identificatori deboli di un'entità account:
- Nome
Nota
Se l'entità Account viene definita usando l'identificatore Name e il valore Name di una determinata entità è uno dei nomi generici generici, comunemente predefiniti, tale entità verrà eliminata dall'avviso.
- ADMIN
- AMMINISTRATORE
- SYSTEM
- RADICE
- ANONYMOUS
- UTENTE AUTENTICATO
- RETE
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Host
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'host' |
| DnsDomain | string | Dominio DNS a cui appartiene l'host. Deve contenere il suffisso DNS completo per il dominio, se noto. |
| NTDomain | string | Dominio NT a cui appartiene l'host. |
| HostName | string | Nome host senza il suffisso di dominio. |
| FullName | N/D | Non incluso nello schema, incluso per la compatibilità con le versioni precedenti del mapping di entità. |
| NetBiosName | string | Nome host (pre-Windows 2000). |
| IoTDevice | Entità | Entità IoT Device (se questo host rappresenta un dispositivo IoT). |
| AzureID | string | ID risorsa di Azure della macchina virtuale, se noto. |
| OMSAgentID | string | ID agente OMS, se l'host ha installato l'agente OMS. |
| OSFamily | Enum? | Uno dei valori seguenti: |
| OSVersion | string | Rappresentazione a testo libero del sistema operativo. Questo campo è destinato a contenere versioni specifiche con granularità più fine rispetto a OSFamily o valori futuri non supportati dall'enumerazione OSFamily. |
| IsDomainJoined | Bool | Determina se l'host appartiene a un dominio. |
Identificatori sicuri di un'entità host:
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice (non supportato per il mapping delle entità)
Identificatori deboli di un'entità host:
- HostName
- NetBiosName
Indirizzo IP
Nome entità: IP
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'ip' |
| Indirizzo | string | Indirizzo IP come stringa, ad esempio 127.0.0.1 (in IPv4 o IPv6). |
| Posizione | GeoLocation | Contesto della posizione geografica collegato all'entità IP. Per altre informazioni, vedere anche Arricchire le entità in Microsoft Sentinel con i dati di georilevazione tramite l'API REST (anteprima pubblica).For more information, see also Enrich entities in Microsoft Sentinel with geolocation data via REST API (Public preview). |
Identificatori sicuri di un'entità IP:
- Indirizzo
Malware
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'malware' |
| Nome | string | Nome del malware da parte del fornitore, ad esempio Win32/Toga!rfn. |
| Category | string | Categoria di malware da parte del fornitore, ad esempio Trojan. |
| File | Entità elenco<> | Elenco di entità di file collegate in cui è stato trovato il malware. Può contenere le entità File inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità File . |
| Processi | Entità elenco<> | Elenco di entità del processo collegato in cui è stato trovato il malware. Questa operazione viene spesso usata quando l'avviso viene attivato per l'attività senza file. Per altri dettagli sulla struttura, vedere l'entità Process . |
Identificatori sicuri di un'entità malware:
- Nome e categoria
File
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'file' |
| Directory | string | Percorso completo del file. |
| Nome | string | Il nome del file senza il percorso (alcuni avvisi potrebbero non includere il percorso). |
| Host | Entità | Host in cui è stato archiviato il file. |
| FileHashes | Entità elenco<> | Hash del file associati a questo file. |
Identificatori sicuri di un'entità file:
- Nome + Directory
- Nome + FileHash
- Nome + Directory + FileHash
Processo
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'process' |
| ProcessId | string | ID del processo. |
| CommandLine | string | Riga di comando usata per creare il processo. |
| ElevazioneToken | Enum? | Token di elevazione associato al processo. Valori possibili: |
| CreationTimeUtc | DateTime? | Ora in cui il processo è stato avviato per l'esecuzione. |
| ImageFile | Entità (file) | Può contenere l'entità File inline o come riferimento. Per altre informazioni sulla struttura, vedere l'entità File . |
| Account | Entità | Account che esegue i processi. Può contenere l'entità Account inline o come riferimento. Per altre informazioni sulla struttura, vedere l'entità Account . |
| ParentProcess | Entità (processo) | Entità del processo padre. Può contenere dati parziali, ad esempio solo il PID. |
| Host | Entità | Host in cui è in esecuzione il processo. |
| LogonSession | Entità (HostLogonSession) | Sessione in cui è in esecuzione il processo. |
Identificatori sicuri di un'entità di processo:
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificatori deboli di un'entità di processo:
- ProcessId + CreationTimeUtc + CommandLine (e nessun host)
- ProcessId + CreationTimeUtc + ImageFile (e nessun host)
Applicazione cloud
Nome entità: CloudApplication
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'cloud-application' |
| AppId | Int | Identificatore tecnico dell'applicazione. Questo deve essere uno dei valori definiti nell'elenco degli identificatori dell'applicazione cloud. Il valore per il campo AppId è facoltativo. |
| Nome | string | Nome dell'applicazione cloud correlata. Il valore del nome dell'applicazione è facoltativo. |
| InstanceName | string | Nome dell'istanza definita dall'utente dell'applicazione cloud. Viene spesso usato per distinguere tra diverse applicazioni dello stesso tipo che un cliente ha. |
Identificatori sicuri di un'entità dell'applicazione cloud:
- AppId (senza InstanceName)
- Nome (senza InstanceName)
- AppId + InstanceName
- Nome + Nome istanza
Nome di dominio
Nome entità: DNS
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'dns' |
| DomainName | string | Nome del record DNS associato all'avviso. |
| IpAddress | Entità elenco<(IP)> | Entità corrispondenti agli indirizzi IP risolti. |
| DnsServerIp | Entità (IP) | Entità che rappresenta il server DNS che risolve la richiesta. |
| HostIpAddress | Entità (IP) | Entità che rappresenta il client di richiesta DNS. |
Identificatori sicuri di un'entità DNS:
- DomainName + DnsServerIp + HostIpAddress
Identificatori deboli di un'entità DNS:
- DomainName + HostIpAddress
Risorsa di Azure
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'azure-resource' |
| ResourceId | string | ID risorsa di Azure della risorsa. |
| SubscriptionId | string | L'ID sottoscrizione della risorsa. |
| TryGetResourceGroup | Bool | Valore del gruppo di risorse se presente. |
| TryGetProvider | Bool | Valore del provider se presente. |
| TryGetName | Bool | Valore del nome se esistente. |
Identificatori sicuri di un'entità risorsa di Azure:
- ResourceId
Hash file
Nome entità: FileHash
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'filehash' |
| Algoritmo | Enumerazione | Tipo di algoritmo hash. Valori possibili: |
| Valore | string | Valore hash. |
Identificatori sicuri di un'entità hash file:
- Algoritmo + valore
Chiave del Registro di sistema
Nome entità: RegistryKey
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'Registry-key' |
| Hive | Enum? | Uno dei valori seguenti: |
| Chiave | string | Percorso della chiave del Registro di sistema. |
Identificatori sicuri di un'entità chiave del Registro di sistema:
- Hive + Key
Valore del Registro di sistema
Nome entità: RegistryValue
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'Registro di sistema-valore' |
| Chiave | Entità (RegistryKey) | Entità chiave del Registro di sistema. |
| Nome | string | Nome del valore del Registro di sistema. |
| Valore | string | Rappresentazione in formato stringa dei dati del valore. |
| ValueType | Enum? | Uno dei valori seguenti: I valori devono essere conformi all'enumerazione Microsoft.Win32.RegistryValueKind. |
Identificatori sicuri di un'entità valore del Registro di sistema:
- Chiave e nome
Identificatori deboli di un'entità valore del Registro di sistema:
- Nome (senza chiave)
Gruppo di protezione
Nome entità: SecurityGroup
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'security-group' |
| DistinguishedName | string | Nome distinto del gruppo. |
| SID | string | L'attributo SID è un attributo a valore singolo che specifica l'identificatore di sicurezza (SID) del gruppo. |
| Objectguid | Guid? | L'attributo objectGUID è un attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
Identificatori sicuri di un'entità del gruppo di sicurezza:
- DistinguishedName
- SID
- Objectguid
URL
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'url' |
| URL | Uri | URL completo a cui punta l'entità. |
Identificatori sicuri di un'entità URL:
- URL (quando un URL assoluto)
Identificatori deboli di un'entità URL:
- URL (quando un URL relativo)
Dispositivo IoT
Nome entità: IoTDevice
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'iotdevice' |
| IoTHub | Entità (AzureResource) | Entità AzureResource che rappresenta il hub IoT a cui appartiene il dispositivo. |
| DeviceId | string | ID del dispositivo nel contesto del hub IoT. |
| DeviceName | string | Nome descrittivo del dispositivo. |
| IoTSecurityAgentId | Guid? | ID dell'agente Defender per IoT in esecuzione nel dispositivo. |
| DeviceType | string | Tipo di dispositivo ('sensore temperatura', 'freezer', 'turbina eolica' ecc.). |
| Source (Sorgente) | string | Origine (Microsoft/Vendor) dell'entità del dispositivo. |
| SourceRef | Entità (URL) | Riferimento URL all'elemento di origine in cui è gestito il dispositivo. |
| Produttore | string | Produttore del dispositivo. |
| Modellare | string | Modello del dispositivo. |
| OperatingSystem | string | Il sistema operativo in cui è in esecuzione il dispositivo. |
| IpAddress | Entità (IP) | Indirizzo IP corrente del dispositivo. |
| MacAddress | string | Indirizzo MAC del dispositivo. |
| Protocolli | List<String> | Elenco di protocolli supportati dal dispositivo. |
| SerialNumber | string | Numero di serie del dispositivo. |
Identificatori sicuri di un'entità dispositivo IoT:
- IoTHub + DeviceId
Identificatori deboli di un'entità dispositivo IoT:
- DeviceId (senza IoTHub)
Mailbox
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'mailbox' |
| MailboxPrimaryAddress | string | Indirizzo primario della cassetta postale. |
| DisplayName | string | Nome visualizzato della cassetta postale. |
| Upn | string | UPN della cassetta postale. |
| RiskLevel | Enum? | Livello di rischio della cassetta postale. Valori possibili: |
| ExternalDirectoryObjectId | Guid? | Identificatore azureAD della cassetta postale. Analogamente a AadUserId nell'entità Account, ma questa proprietà è specifica per l'oggetto cassetta postale sul lato Office. |
Identificatori sicuri di un'entità cassetta postale:
- MailboxPrimaryAddress
Cluster di posta
Nome entità: MailCluster
Nota
Microsoft Defender per Office 365 era precedentemente noto come Office 365 Advanced Threat Protection (O365 ATP).
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'mail-cluster' |
| NetworkMessageIds | Stringa IList<> | ID dei messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
| CountByDeliveryStatus | Stringa IDictionary<, Int> | Numero di messaggi di posta elettronica in base alla rappresentazione di stringa DeliveryStatus. |
| CountByThreatType | Stringa IDictionary<, Int> | Numero di messaggi di posta elettronica in base alla rappresentazione di stringa ThreatType. |
| CountByProtectionStatus | Stringa IDictionary<, long> | Numero di messaggi di posta elettronica in base allo stato di Threat Protection. |
| Minacce | Stringa IList<> | Minacce dei messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
| Query | string | Query utilizzata per identificare i messaggi del cluster di posta elettronica. |
| QueryTime | DateTime? | Ora della query. |
| MailCount | Int? | Numero di messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
| IsVolumeAnomaly | Bool? | Determina se si tratta di un cluster di posta elettronica anomalie del volume. |
| Source (Sorgente) | string | L'origine del cluster di posta elettronica (il valore predefinito è "O365 ATP"). |
| ClusterSourceIdentifier | string | ID messaggio di rete del messaggio di posta elettronica che rappresenta l'origine del cluster di posta elettronica. |
| ClusterSourceType | string | Tipo di origine del cluster di posta elettronica. Viene eseguito il mapping all'impostazione MailClusterSourceType da Microsoft Defender per Office 365 (vedere la nota precedente). |
| ClusterQueryStartTime | DateTime? | Ora di inizio del cluster: usata come ora di inizio per la query di conteggi del cluster. In genere le date all'ora di fine meno l'impostazione DaysToLookBack da Microsoft Defender per Office 365 (vedere la nota precedente). |
| ClusterQueryEndTime | DateTime? | Ora di fine del cluster: usata come ora di fine per la query di conteggi del cluster. In genere il tempo di ricezione dei dati di posta elettronica. |
| ClusterGroup | string | Corrisponde alla chiave di query Kusto usata in Microsoft Defender per Office 365 (vedere la nota precedente). |
Identificatori sicuri di un'entità cluster di posta elettronica:
- Query + origine
Messaggio di posta
Nome entità: MailMessage
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'mail-message' |
| File | File IList<> | Entità file degli allegati del messaggio di posta elettronica. |
| Recipient | string | Destinatario di questo messaggio di posta elettronica. Nel caso di più destinatari, il messaggio di posta elettronica viene copiato e ogni copia ha un destinatario. |
| Urls | Stringa IList<> | GLI URL contenuti in questo messaggio di posta elettronica. |
| Minacce | Stringa IList<> | Le minacce contenute in questo messaggio di posta elettronica. |
| Mittente | string | Indirizzo di posta elettronica del mittente. |
| P1Sender | string | Email ID dell'utente (delegato) che ha inviato questo messaggio di posta elettronica "per conto dell'utente P2 (primario). Se il messaggio di posta elettronica non viene inviato dal delegato, questo valore è uguale a P2Sender. |
| P1SenderDisplayName | string | Nome visualizzato dell'utente (delegato) che ha inviato questa posta "per conto dell'utente P2 (primario). Rappresentato nell'intestazione di posta elettronica dalla proprietà "OnbehalfofSenderDisplayName". |
| P1SenderDomain | string | Email dominio dell'utente (delegato) che ha inviato questa posta "per conto dell'utente P2 (primario). Se il messaggio di posta elettronica non viene inviato dal delegato, questo valore è uguale a P2SenderDomain. |
| P2Sender | string | Email dell'utente (primario) per conto del quale è stato inviato questo messaggio di posta elettronica. |
| P2SenderDisplayName | string | Nome visualizzato dell'utente (primario) per conto del quale è stato inviato il messaggio di posta elettronica. Se il messaggio di posta elettronica non viene inviato dal delegato, questo rappresenta il nome visualizzato del mittente. |
| P2SenderDomain | string | Email dominio dell'utente (primario) per conto del quale è stato inviato questo messaggio di posta elettronica. Se il messaggio di posta elettronica non viene inviato dal delegato, questo rappresenta il dominio del mittente. |
| SenderIP | string | Indirizzo IP del mittente. |
| ReceivedDate | Datetime | Data ricevuta del messaggio. |
| NetworkMessageId | Guid? | ID messaggio di rete del messaggio di posta elettronica. |
| InternetMessageId | string | ID messaggio Internet del messaggio di posta elettronica. |
| Oggetto | string | Oggetto di questo messaggio di posta elettronica. |
| BodyFingerprintBin1 BodyFingerprintBin2 BodyFingerprintBin3 BodyFingerprintBin4 BodyFingerprintBin5 |
Uint? | Usato da Microsoft Defender per Office 365 per trovare messaggi di posta elettronica corrispondenti o simili. |
| AntispamDirection | Enum? | Direzione del messaggio di posta elettronica. Valori possibili: |
| DeliveryAction | Enum? | Azione di recapito del messaggio di posta elettronica. Valori possibili: |
| DeliveryLocation | Enum? | Percorso di recapito del messaggio di posta elettronica. Valori possibili: |
| Linguaggio | string | Lingua in cui vengono scritti i contenuti della posta. |
| ThreatDetectionMethods | Stringa IList<> | Elenco dei metodi di rilevamento delle minacce applicati a questo messaggio di posta elettronica. |
Identificatori sicuri di un'entità messaggio di posta elettronica:
- NetworkMessageId + Destinatario
Posta elettronica inviata
Nome entità: SubmissionMail
| Campo | Tipo | Descrizione |
|---|---|---|
| Type | string | 'SubmissionMail' |
| SubmissionId | Guid? | ID invio. |
| SubmissionDate | DateTime? | Data segnalata per l'invio. |
| Submitter | string | Indirizzo di posta elettronica del mittente. |
| NetworkMessageId | Guid? | ID del messaggio di rete a cui appartiene l'invio. |
| Timestamp | DateTime? | Timestamp quando il messaggio viene ricevuto (Posta elettronica). |
| Recipient | string | Destinatario del messaggio di posta elettronica. |
| Mittente | string | Mittente del messaggio. |
| SenderIp | string | INDIRIZZO IP del mittente. |
| Oggetto | string | Oggetto della posta di invio. |
| ReportType | string | Tipo di invio per l'istanza specificata. Questo esegue il mapping a Junk, Phish, Malware o NotJunk. |
Identificatori sicuri di un'entità SubmissionMail:
- SubmissionId, Submitter, NetworkMessageId, Recipient
Entità sentinel
| Campo | Tipo | Descrizione |
|---|---|---|
| Entità | string | Elenco delle entità identificate nell'avviso. Questo elenco è la colonna delle entità dello schema SecurityAlert (vedere la documentazione). |
Identificatori dell'applicazione cloud
L'elenco seguente definisce gli identificatori per le applicazioni cloud note. Il valore id app viene usato come identificatore di entità dell'applicazione cloud .
| ID dell'app | Nome |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Casella |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | cornerstone ondemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Ciclo di vita di Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Interfaccia di amministrazione di Microsoft 365 |
| 26060 | Ingranaggi OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Azure AD |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | Emulatore proxy CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Passaggi successivi
In questo documento sono state fornite informazioni sulla struttura delle entità, sugli identificatori e sullo schema in Microsoft Sentinel.
Altre informazioni sulle entità e sul mapping delle entità.