Informazioni di riferimento per i tipi di entità di Microsoft Sentinel
Questo documento contiene due set di informazioni relative a entità e tipi di entità in Microsoft Sentinel nel portale di Azure e Microsoft Sentinel nel portale di Defender.
- La tabella Tipi di entità e identificatori mostra i diversi tipi di entità che possono essere identificati negli avvisi e negli eventi imprevisti, consentendo di tenere traccia e analizzarli. La tabella mostra anche, per ogni tipo di entità, i diversi identificatori che possono essere usati per identificare un'entità.
- La sezione Entity Schema (Schema entità) mostra la struttura dei dati e lo schema per le entità in generale e per ogni tipo di entità in particolare.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
La tabella seguente illustra i tipi di entità che possono essere riconosciuti da Microsoft Sentinel e gli attributi che possono essere usati come identificatori per ogni tipo di entità.
Microsoft Sentinel riconosce le entità negli avvisi e negli eventi imprevisti creati dal mapping delle entità nelle regole di analisi. Riconosce anche le entità già identificate negli avvisi inseriti da altre origini.
È attualmente possibile usare fino a tre identificatori per una determinata entità durante la creazione di un mapping di entità in Microsoft Sentinel. Gli identificatori sicuri da soli sono sufficienti per identificare in modo univoco un'entità, mentre gli identificatori deboli possono farlo solo in combinazione con altri identificatori. Altre informazioni sugli identificatori sicuri e deboli. La maggior parte, ma non tutti gli identificatori in questa tabella, possono essere usati durante la creazione di mapping di entità in Microsoft Sentinel (vedere le note a piè di pagina).
Tipo di entità | Identificatori | Identificatori sicuri | Identificatori deboli |
---|---|---|---|
Conto | Nome FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Nome+UPNSuffix AADUserId Sid ** Sid+Host ** Nome+Host+NTDomain ** Nome+NTDomain ** Nome+DnsDomain PUID ObjectGuid |
Nome |
Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
IP | Address AddressScope |
Indirizzo ** Address+AddressScope ** |
|
URL | Url | URL (se URL assoluto) ** | URL (se URL relativo) ** |
Risorsa di Azure (AzureResource) |
ResourceId | ResourceId | |
Applicazione cloud (CloudApplication) |
AppId Nome InstanceName |
AppId Nome AppId+InstanceName Nome+NomeIstanza |
|
Risoluzione DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
file | Directory Nome |
Directory+Nome | |
Hash file (FileHash) |
Algoritmo Valore |
Algorithm+Value | |
Malware | Nome Categoria |
Nome+Categoria | |
Processo | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (nessun host) ProcessId+CreationTimeUtc+ ImageFile (nessun host) |
Chiave del Registro di sistema (RegistryKey) |
Hive Key |
Hive+Key | |
Valore del Registro di sistema (RegistryValue) |
Nome Valore ValueType |
Key+Name | Nome (nessuna chiave) |
Gruppo di sicurezza (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
Cassetta postale | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
Cluster di posta (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Minacce Query QueryTime MailCount IsVolumeAnomaly Origine ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Origine | |
Messaggio di posta (MailMessage) |
Destinatario URL Minacce Mittente P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Oggetto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Lingua* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
Invio di messaggio di posta elettronica (SubmissionMail) |
NetworkMessageId Timestamp: Destinatario Mittente SenderIp Oggetto ReportType Id invio SubmissionDate Persona che invia la richiesta |
SubmissionId+NetworkMessageId+ Destinatario+Inviatore |
|
Entità sentinel | Entità | Entità |
Note a piè di pagina della tabella:
- * Questi identificatori vengono visualizzati nell'elenco di identificatori che possono essere usati nel mapping di entità, ma in modo rigoroso non fanno parte dello schema dell'entità.
- ** Questi identificatori sono considerati sicuri solo in determinate condizioni. Seguire i collegamenti degli asterischi per visualizzare le condizioni che si applicano, nell'elenco dell'entità pertinente nella sezione schemi di entità seguente.
- I nomi degli identificatori corsivi (senza un asterisco) rappresentano entità interne, il che significa che un tipo di entità può avere altri tipi di entità come attributi (vedere la sezione schemi di entità di seguito). Seguire il collegamento dell'identificatore per visualizzare lo schema dell'entità interna.
- Altre entità possono essere presenti nello schema, ovvero uno schema generale che supporta molti aspetti oltre a Microsoft Sentinel. In questo articolo sono elencate solo le entità disponibili in Microsoft Sentinel.
La sezione seguente contiene un'analisi più approfondita degli schemi completi di ogni tipo di entità. Si noterà che molti di questi schemi includono collegamenti ad altri tipi di entità. Ad esempio, lo schema Account include un collegamento al tipo di entità Host, poiché un attributo di un account utente è l'host su cui è definito. Questi attributi come entità sono noti come "entità interne" e non possono essere usati come identificatori per il mapping delle entità, ma sono molto utili per fornire un quadro completo delle entità nelle pagine delle entità e nel grafico di analisi.
Nota
Un punto interrogativo che segue il valore nella colonna Tipo indica che il campo è nullable.
- Conto
- Host
- IP
- Malware
- file
- Processo
- Applicazione cloud
- Risoluzione DNS
- Risorsa di Azure
- Hash file
- Chiave del Registro di sistema
- Valore del Registro di sistema
- Gruppo di sicurezza
- URL
- Dispositivo IoT
- Cassetta postale
- Cluster di posta
- Messaggio di posta
- Invio di messaggio di posta elettronica
- Entità sentinel
Nome entità: Account
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'account' |
Nome | string | Nome dell'account. Questo campo deve contenere solo il nome senza alcun dominio aggiunto. |
FullName | -- | Non parte dello schema, inclusa per la compatibilità con le versioni precedenti del mapping di entità. |
NTDomain | String | Il nome di dominio NETBIOS visualizzato nel formato di avviso, dominio\nome utente. Esempi: Finanza, NT AUTHORITY |
DnsDomain | String | Nome DNS di dominio completo. Esempi: finance.contoso.com |
UPNSuffix | String | Suffisso del nome dell'entità utente per l'account. In molti casi il suffisso UPN è anche il nome di dominio. Esempi: contoso.com |
Host | Entità (host) | Host che contiene l'account, se si tratta di un account locale. |
Sid | String | Identificatore di sicurezza dell'account. |
AadTenantId | Guid? | ID tenant di Microsoft Entra, se noto. |
AadUserId | Guid? | ID oggetto dell'account Microsoft Entra, se noto. |
PUID | Guid? | ID utente di Microsoft Entra Passport, se noto. |
IsDomainJoined | Bool? | Indica se l'account è un account di dominio. |
DisplayName | -- | Non parte dello schema, inclusa per la compatibilità con le versioni precedenti del mapping di entità. |
ObjectGuid | Guid? | L'attributo objectGUID è un attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
CloudAppAccountId | String | AccountID negli avvisi del provider CloudApp. Fa riferimento agli ID account nelle app di terze parti non supportate in altri prodotti Microsoft. |
IsAnonymized | Bool? | Indica se il nome utente è anonimizzato. Facoltativo. Valore predefinito: false |
Stream | Stream | Origine dei log di individuazione correlati all'account specifico. Facoltativo. |
- Nome + UPNSuffix
- AadUserId
- Sid
** Questo identificatore è sicuro, purché l'account non sia uno degli account predefiniti elencati nella nota seguente. - Sid + Host
** Quando l'account è uno degli account predefiniti elencati nella nota seguente, il componente Host è necessario per rendere questo identificatore un elemento sicuro. - Nome + NTDomain
** Questa combinazione è un identificatore sicuro quando l'account è un account di dominio, poiché NTDomain non è un dominio/gruppo di lavoro predefinito ed è diverso dal nome host. In questo caso, si tratta di un identificatore sicuro anche senza il componente Host. - Nome + NTDomain + Host
** Il componente host è necessario per creare un identificatore sicuro quando l'account è un account locale, ovvero NTDomain è un dominio/gruppo di lavoro predefinito. - Nome + DnsDomain
- PUID
- ObjectGuid
- Nome
Nota
Se l'entità Account viene definita usando l'identificatore Name e il valore Name di una determinata entità è uno dei nomi di account generici seguenti, comunemente predefiniti, l'entità verrà eliminata dal relativo avviso.
- AMMIN
- AMMINISTRATORE
- SYSTEM
- RADICE
- ANONYMOUS
- AUTHENTICATED USER
- RETE
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: Host
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'host' |
IpInterfaces | Entità elenco<(ip)> | Elenco di tutte le interfacce IP nel computer host. |
DnsDomain | String | Dominio DNS a cui appartiene l'host. Deve contenere il suffisso DNS completo per il dominio, se noto. |
NTDomain | String | Dominio NT a cui appartiene l'host. |
HostName | String | Nome host senza il suffisso di dominio. |
NetBiosName | String | Nome host (pre-Windows 2000). |
IoTDevice | Entità (dispositivo IoT) | Entità IoT Device (se questo host rappresenta un dispositivo IoT). |
AzureID | String | ID risorsa di Azure della macchina virtuale, se noto. |
OMSAgentID | String | ID agente OMS, se l'host ha installato l'agente OMS. |
OSFamily | Enumerazione? | Uno dei valori seguenti: |
OSVersion | String | Rappresentazione in formato testo libero del sistema operativo. Questo campo è destinato a contenere versioni specifiche che sono più granulari rispetto a OSFamily o valori futuri non supportati dall'enumerazione OSFamily. |
IsDomainJoined | Bool | Indica se l'host appartiene a un dominio. |
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
- HostName
- NetBiosName
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: IP
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'ip' |
Indirizzo | String | Indirizzo IP come stringa, ad esempio. 127.0.0.1 (in IPv4 o IPv6). |
AddressScope | String | Nome dell'host, della subnet o della rete privata per indirizzi IP privati e non globali. Null o vuoto per gli indirizzi IP globali (impostazione predefinita). |
Location | Georilevazione | Contesto di posizione geografica collegato all'entità IP. Per altre informazioni, vedere anche Arricchire le entità in Microsoft Sentinel con dati di georilevazione tramite l'API REST (anteprima pubblica). |
Stream | Stream | Origine dei log di individuazione correlati all'indirizzo IP specifico. Facoltativo. |
- Indirizzo
** L'indirizzo da solo è un identificatore univoco e sicuro quando l'indirizzo IP è un indirizzo globale. - Address + AddressScope
** Per gli indirizzi IP privati/interni non globali, il componente AddressScope è necessario per rendere questo identificatore sicuro.
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: Malware
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'malware' |
Nome | string | Nome del malware assegnato dal fornitore (rilevamento?), ad esempio Win32/Toga!rfn . |
Categoria | String | Categoria di malware assegnata dal fornitore (rilevamento?), ad esempio. Troiano. |
File | Entità elenco<(file)> | Elenco di entità di file collegate in cui è stato trovato il malware. Può contenere le entità File inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità File . |
Processi | Entità elenco<(processo)> | Elenco di entità di processo collegate in cui è stato trovato il malware. Questa operazione viene spesso usata quando l'avviso viene attivato per l'attività senza file. Per altri dettagli sulla struttura, vedere l'entità Processo . |
- Nome e categoria
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: File
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'file' |
Directory | String | Percorso completo del file. |
Nome | string | Il nome del file senza il percorso (alcuni avvisi potrebbero non includere il percorso). |
AlternateDataStreamName | String | Nome del flusso di file nel file system NTFS (null per il flusso principale). |
Host | Entità (host) | Host in cui è stato archiviato il file. |
HostUrl | Entità (URL) | URL da cui è stato scaricato il file (Contrassegno del Web). |
WindowsSecurityZoneType | WindowsSecurityZone | Sicurezza di Windows Zona a cui appartiene l'URL (Contrassegno del Web). |
ReferrerUrl | Entità (URL) | URL del referrer della richiesta HTTP di download del file (Contrassegno del Web). |
SizeInBytes | Lungo? | Le dimensioni del file in byte. |
FileHashes | Entità elenco<(FileHash)> | Hash del file associati a questo file. |
- Nome e directory
- Nome + FileHash
- Nome + Directory + FileHash
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: Processo
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'process' |
ProcessId | String | ID del processo. |
CommandLine | String | Riga di comando usata per creare il processo. |
ElevationToken | Enumerazione? | Token di elevazione dei privilegi associato al processo. Valori possibili: |
CreationTimeUtc | DateTime? | Ora di avvio dell'esecuzione del processo. |
ImageFile | Entità (file) | Può contenere l'entità File inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità File . |
Conto | Entità (account) | Account che esegue i processi. Può contenere l'entità Account inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità Account . |
ParentProcess | Entità (processo) | Entità processo padre. Può contenere dati parziali, ad esempio solo il PID. |
Host | Entità (host) | Host in cui è in esecuzione il processo. |
LogonSession | Entità (HostLogonSession) | Sessione in cui è stato eseguito il processo. |
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
- ProcessId + CreationTimeUtc + CommandLine (e nessun host)
- ProcessId + CreationTimeUtc + ImageFile (e nessun host)
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: CloudApplication
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'cloud-application' |
AppId | Int | Deprecato; usare invece il campo SaasId. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco di identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId. |
SaasId | Int | Sostituisce il campo AppId deprecato. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco di identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId. |
Nome | string | Nome dell'applicazione cloud correlata. Valore facoltativo. |
InstanceName | String | Nome dell'istanza definita dall'utente dell'applicazione cloud. Viene spesso usato per distinguere tra diverse applicazioni dello stesso tipo di cui dispone un cliente. |
InstanceId | Int | Identificatore della sessione specifica dell'applicazione. Si tratta di un numero in esecuzione in base zero. Valore facoltativo. |
Rischio | AppRisk? | consente di filtrare le app in base al punteggio di rischio, in modo che sia possibile concentrarsi, ad esempio, sull'esame delle sole app molto rischiose. Valori possibili, ad esempio Low, Medium, High o Unknown. |
Stream | Stream | Origine dei log di individuazione correlati all'app cloud specifica. Facoltativo. |
- AppId (senza InstanceName)
- Nome (senza InstanceName)
- AppId + InstanceName
- Nome e NomeIstanza
Elenco degli identificatori dell'applicazione cloud
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: DNS
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'dns' |
DomainName | String | Nome del record DNS associato all'avviso. |
IpAddress | Entità elenco<(IP)> | Entità corrispondenti agli indirizzi IP risolti. |
DnsServerIp | Entità (IP) | Entità che rappresenta il server DNS che risolve la richiesta. |
HostIpAddress | Entità (IP) | Entità che rappresenta il client di richiesta DNS. |
- DomainName + DnsServerIp + HostIpAddress
- DomainName + HostIpAddress
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: AzureResource
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'azure-resource' |
ResourceId | String | ID risorsa di Azure della risorsa. Obbligatorio. |
SubscriptionId | String | L'ID sottoscrizione della risorsa. |
ActiveContacts | Elenco<ActiveContact> | Contatti attivi associati alla risorsa. |
ResourceType | String | Tipo di risorsa. |
ResourceName | String | Nome della risorsa. |
- ResourceId
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: FileHash
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'filehash' |
Algoritmo | Enum | Tipo di algoritmo hash. Obbligatorio. Valori possibili: |
valore | String | Valore hash. Obbligatorio. |
- Algoritmo e valore
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: RegistryKey
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'registry-key' |
Hive | Enumerazione? | Uno dei valori seguenti: |
Chiave | String | Percorso della chiave del Registro di sistema. |
- Hive + Key
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: RegistryValue
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'registry-value' |
Host | Entità (host) | Host a cui appartiene il Registro di sistema. |
Chiave | Entità (RegistryKey) | Entità chiave del Registro di sistema. |
Nome | string | Nome del valore del Registro di sistema. |
valore | String | Rappresentazione in formato stringa dei dati del valore. |
ValueType | Enumerazione? | Uno dei valori seguenti: I valori devono essere conformi all'enumerazione Microsoft.Win32.RegistryValueKind. |
- Chiave e nome
- Nome (senza chiave)
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: SecurityGroup
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'security-group' |
DistinguishedName | String | Nome distinto del gruppo. |
SID | String | Attributo a valore singolo che specifica l'identificatore di sicurezza (SID) del gruppo. |
ObjectGuid | Guid? | Attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
- DistinguishedName
- SID
- ObjectGuid
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: URL
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'url' |
Url | URI | URL completo a cui punta l'entità. Obbligatorio. |
- URL (** Questo identificatore è sicuro quando l'URL è un URL assoluto).
- URL (** Questo identificatore è debole quando l'URL è un URL relativo.
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: IoTDevice
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'iotdevice' |
IoTHub | Entità (AzureResource) | Entità AzureResource che rappresenta il hub IoT a cui appartiene il dispositivo. |
DeviceId | String | ID del dispositivo nel contesto del hub IoT. Obbligatorio. |
DeviceName | String | Nome descrittivo del dispositivo. |
Proprietari | List<String> | Proprietari del dispositivo. |
IoTSecurityAgentId | Guid? | ID dell'agente Defender per IoT in esecuzione nel dispositivo. |
DeviceType | String | Tipo del dispositivo ('sensore temperatura', 'freezer', 'turbina eolica' ecc.). |
DeviceTypeId | String | ID univoco per identificare ogni tipo di dispositivo in base allo schema del tipo di dispositivo, perché il tipo di dispositivo stesso è un nome visualizzato e non affidabile nei confronti. Valori possibili: Non classificato = 0 Varie = 1 Dispositivo di rete = 2 Stampante = 3 Audio e video = 4 Media e sorveglianza = 5 Comunicazione = 7 Smart Appliance = 9 Workstation = 10 Server = 11 Mobile = 12 Smart Facility = 13 Industriale = 14 Apparecchiature operative = 15 |
Origine | String | Origine (Microsoft/Vendor) dell'entità del dispositivo. |
SourceRef | Entità (URL) | Riferimento URL all'elemento di origine in cui è gestito il dispositivo. |
Produttore | String | Il produttore del dispositivo. |
Modello | String | Modello del dispositivo. |
OperatingSystem | String | Il sistema operativo in cui è in esecuzione il dispositivo. |
IpAddress | Entità (IP) | Indirizzo IP corrente del dispositivo. |
MacAddress | String | L'indirizzo MAC del dispositivo. |
Schede di interfaccia di rete | Entità (Nic) | Schede di interfaccia di rete correnti nel dispositivo. |
Protocolli | List<String> | Elenco di protocolli supportati dal dispositivo. |
SerialNumber | String | Numero di serie del dispositivo. |
Sito | String | Posizione del sito del dispositivo. |
Zona | String | Posizione della zona del dispositivo all'interno di un sito. |
Sensor | String | Il sensore che monitora il dispositivo. |
Priorità | Enumerazione? | Uno dei valori seguenti: |
PurdueLayer | String | Livello Purdue del dispositivo. |
IsProgramming | Bool? | Indica se il dispositivo è classificato come dispositivo di programmazione. |
Non autorizzato | Bool? | Indica se il dispositivo è classificato come dispositivo autorizzato. |
IsScanner | Bool? | Indica se il dispositivo è classificato come dispositivo scanner. |
DevicePageLink | Entità (URL) | URL della pagina del dispositivo nel portale di Defender per IoT. |
DeviceSubType | String | Nome del sottotipo del dispositivo. |
- IoTHub + DeviceId
- DeviceId (senza IoTHub)
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: Cassetta postale
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'mailbox' |
MailboxPrimaryAddress | String | Indirizzo primario della cassetta postale. |
DisplayName | String | Nome visualizzato della cassetta postale. |
Upn | String | UPN della cassetta postale. |
AadId | String | Identificatore di Azure AD della cassetta postale dell'utente. |
RiskLevel | RiskLevel? | Livello di rischio della cassetta postale. Valori possibili: |
ExternalDirectoryObjectId | Guid? | Identificatore azureAD della cassetta postale. Analogamente a AadUserId nell'entità Account, ma questa proprietà è specifica dell'oggetto cassetta postale sul lato Office. |
- MailboxPrimaryAddress
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: MailCluster
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'mail-cluster' |
NetworkMessageIds | Stringa IList<> | ID messaggio di posta elettronica che fanno parte del cluster di posta elettronica. |
CountByDeliveryStatus | Stringa IDictionary<, Int> | Numero di messaggi di posta elettronica in base alla rappresentazione di stringa DeliveryStatus. |
CountByThreatType | Stringa IDictionary<, Int> | Numero di messaggi di posta elettronica in base alla rappresentazione di stringa ThreatType. |
CountByProtectionStatus | Stringa IDictionary<, long> | Numero di messaggi di posta elettronica in base alla rappresentazione della stringa di stato di protezione. |
CountByDeliveryLocation | Stringa IDictionary<, long> | Numero di messaggi di posta elettronica in base alla rappresentazione della stringa del percorso di recapito. |
Minacce | Stringa IList<> | Minacce dei messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
Query | String | Query utilizzata per identificare i messaggi del cluster di posta elettronica. |
QueryTime | DateTime? | Ora della query. |
MailCount | Int? | Numero di messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
IsVolumeAnomaly | Bool? | Indica se il cluster di posta elettronica è un cluster di posta elettronica anomalie del volume. |
Origine | String | Origine del cluster di posta elettronica (il valore predefinito è O365 ATP ). |
- Query e origine
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: MailMessage
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'mail-message' |
File | Entità IList<(file)> | Entità File degli allegati del messaggio di posta elettronica. |
Destinatario | String | Destinatario del messaggio di posta elettronica. Nel caso di più destinatari, il messaggio di posta elettronica viene copiato e ogni copia ha un destinatario. |
URL | Stringa IList<> | URL contenuti in questo messaggio di posta elettronica. |
Minacce | Stringa IList<> | Minacce contenute in questo messaggio di posta elettronica. |
Mittente | String | Indirizzo di posta elettronica del mittente. |
SenderIP | String | Indirizzo IP del mittente. |
ReceivedDate | Data/Ora | Data di ricezione del messaggio. |
NetworkMessageId | Guid? | ID messaggio di rete del messaggio di posta elettronica. |
InternetMessageId | String | ID messaggio Internet del messaggio di posta elettronica. |
Argomento | String | Oggetto del messaggio di posta elettronica. |
AntispamDirection | Enumerazione? | Direzione del messaggio di posta elettronica. Valori possibili: |
DeliveryAction | Enumerazione? | Azione di recapito del messaggio di posta elettronica. Valori possibili: |
DeliveryLocation | Enumerazione? | Posizione di recapito del messaggio di posta elettronica. Valori possibili: |
CampaignId | String | Identificatore della campagna in cui è presente il messaggio di posta elettronica. |
SuspiciousRecipients | Stringa IList<> | Elenco di destinatari rilevati come sospetti. |
ForwardedRecipients | Stringa IList<> | Elenco di tutti i destinatari nella posta inoltrata. |
ForwardingType | Stringa IList<> | Tipo di inoltro della posta, ad esempio SMTP, ETR e così via. |
- NetworkMessageId + Destinatario
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Nome entità: SubmissionMail
Campo | Tipo | Descrizione |
---|---|---|
Tipo | String | 'SubmissionMail' |
Id invio | Guid? | ID invio. |
SubmissionDate | DateTime? | Data segnalata per l'invio. |
Persona che invia la richiesta | String | Indirizzo di posta elettronica del mittente. |
NetworkMessageId | Guid? | ID messaggio di rete di posta elettronica a cui appartiene l'invio. |
Timestamp: | DateTime? | Timestamp quando viene ricevuto il messaggio (Posta). |
Destinatario | String | Destinatario del messaggio di posta elettronica. |
Mittente | String | Mittente del messaggio di posta elettronica. |
SenderIp | String | INDIRIZZO IP del mittente. |
Argomento | String | Oggetto del messaggio di invio. |
ReportType | String | Tipo di invio per l'istanza specificata. I valori possibili sono Junk, Phish, Malware o NotJunk. |
- SubmissionId, Submitter, NetworkMessageId, Recipient
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Campo | Tipo | Descrizione |
---|---|---|
Entità | String | Elenco delle entità identificate nell'avviso. Questo elenco è la colonna delle entità dello schema SecurityAlert (vedere la documentazione). |
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
L'elenco seguente definisce gli identificatori per le applicazioni cloud note. Il valore id app viene usato come identificatore di entità dell'applicazione cloud.
ID app | Nome |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | Box |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | Cornerstone OnDemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Servizi online Microsoft |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive for Business |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud Apps |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Ciclo di vita di Autodesk Fusion |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype for Business |
25988 | Google Docs |
26055 | Interfaccia di amministrazione di Microsoft 365 |
26060 | Ingranaggi OPSWAT |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google Drive |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Area di lavoro da Facebook |
28373 | Emulatore proxy CAS |
28375 | Microsoft Teams |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
In questo documento sono stati illustrati la struttura delle entità, gli identificatori e lo schema in Microsoft Sentinel.