Informazioni di riferimento per i tipi di entità di Microsoft Sentinel

Questo documento contiene due set di informazioni relative a entità e tipi di entità in Microsoft Sentinel.

  • La tabella Tipi di entità e identificatori mostra i diversi tipi di entità che possono essere usati nel mapping di entità sia nelle regoledi analisi che nella ricerca. La tabella mostra anche, per ogni tipo di entità, i diversi identificatori che possono essere usati per identificare un'entità.
  • La sezione Schema entità mostra la struttura dei dati e lo schema per le entità in generale e per ogni tipo di entità in particolare, inclusi alcuni tipi non rappresentati nella funzionalità di mapping delle entità.

Tipi di entità e identificatori

La tabella seguente illustra i tipi di entità attualmente disponibili per il mapping in Microsoft Sentinel e gli attributi disponibili come identificatori per ogni tipo di entità. Quasi tutti questi attributi vengono visualizzati nell'elenco a discesa Identificatori nella sezione mapping di entità della procedura guidata delle regole di analisi (vedere note a piè di pagina per le eccezioni).

È possibile usare fino a tre identificatori per un singolo mapping di entità. Gli identificatori sicuri da soli sono sufficienti per identificare in modo univoco un'entità, mentre gli identificatori deboli possono farlo solo in combinazione con altri identificatori.

Altre informazioni sugli identificatori sicuri e deboli.

Tipo di entità Identifiers Identificatori sicuri Identificatori deboli
Conto Nome
Fullname*
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
Displayname*
Objectguid
Nome+UPNSuffix
AADUserId
Sid **
Sid+Host**
Nome+Host+NTDomain **
Nome+NTDomain **
Nome+DnsDomain
PUID
Objectguid
Nome
Host DnsDomain
NTDomain
HostName
Fullname*
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP Address
AddressScope
Indirizzo **
Address+AddressScope **
URL Url URL (se URL assoluto)** URL (se URL relativo)**
Risorsa di Azure
(AzureResource)
ResourceId ResourceId
Applicazione cloud
(CloudApplication)
AppId
Nome
InstanceName
AppId
Nome
AppId+InstanceName
Nome+NomeIstanza
Risoluzione DNS
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
file Directory
Nome
Directory+Nome
Hash di file
(FileHash)
Algoritmo
Valore
Algorithm+Value
Malware Nome
Categoria
Nome+Categoria
Processo ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash
ProcessId+CreationTimeUtc+
   CommandLine (nessun host)
ProcessId+CreationTimeUtc+
   ImageFile (nessun host)
Chiave del Registro di sistema
(RegistryKey)
Hive
Key
Hive+Key
Valore del Registro di sistema
(RegistryValue)
Nome
valore
ValueType
Key+Name Nome (nessuna chiave)
Gruppo di sicurezza
(SecurityGroup)
DistinguishedName
SID
Objectguid
DistinguishedName
SID
Objectguid
Cassetta postale MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
Cluster di posta elettronica
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Minacce
Query
QueryTime
MailCount
IsVolumeAnomaly
Origine
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Origine
Messaggio di posta elettronica
(MailMessage)
Destinatario
Url
Minacce
Mittente
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Oggetto
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Lingua*
ThreatDetectionMethods *
NetworkMessageId+Recipient
Posta di invio
(SubmissionMail)
NetworkMessageId
Timestamp:
Destinatario
Mittente
SenderIp
Oggetto
ReportType
Id invio
SubmissionDate
Persona che invia la richiesta
SubmissionId+NetworkMessageId+
   Destinatario+Inviatore
Entità sentinel Entità Entità

Note a piè di pagina della tabella:

  • * Questi identificatori vengono visualizzati nell'elenco di identificatori che possono essere usati nel mapping di entità, ma in modo rigoroso non fanno parte dello schema dell'entità.
  • ** Questi identificatori sono considerati sicuri solo in determinate condizioni. Seguire i collegamenti degli asterischi per visualizzare le condizioni che si applicano, nell'elenco dell'entità pertinente nella sezione schemi di entità seguente.
  • I nomi degli identificatori corsivi (senza un asterisco) rappresentano entità interne, il che significa che un tipo di entità può avere altri tipi di entità come attributi (vedere la sezione schemi di entità di seguito). Seguire il collegamento dell'identificatore per visualizzare lo schema dell'entità interna.

Schemi dei tipi di entità

La sezione seguente contiene un'analisi più approfondita degli schemi completi di ogni tipo di entità. Si noterà che molti di questi schemi includono collegamenti ad altri tipi di entità. Ad esempio, lo schema Account include un collegamento al tipo di entità Host, poiché un attributo di un account utente è l'host su cui è definito. Questi attributi come entità sono noti come "entità interne" e non possono essere usati come identificatori per il mapping delle entità, ma sono molto utili per fornire un quadro completo delle entità nelle pagine delle entità e nel grafico di analisi.

Nota

Un punto interrogativo che segue il valore nella colonna Tipo indica che il campo è nullable.

Elenco di schemi dei tipi di entità

Conto

Nome entità: Account

Campo Tipo Descrizione
Tipo String 'account'
Nome string Nome dell'account. Questo campo deve contenere solo il nome senza alcun dominio aggiunto.
FullName -- Non parte dello schema, inclusa per la compatibilità con le versioni precedenti del mapping di entità.
NTDomain String Il nome di dominio NETBIOS visualizzato nel formato di avviso, dominio\nome utente. Esempi: Finanza, NT AUTHORITY
DnsDomain String Nome DNS di dominio completo. Esempi: finance.contoso.com
UPNSuffix String Suffisso del nome dell'entità utente per l'account. In molti casi il suffisso UPN è anche il nome di dominio. Esempi: contoso.com
Host Entità (host) Host che contiene l'account, se si tratta di un account locale.
Sid String Identificatore di sicurezza dell'account.
AadTenantId Guid? ID tenant di Microsoft Entra, se noto.
AadUserId Guid? ID oggetto dell'account Microsoft Entra, se noto.
PUID Guid? ID utente di Microsoft Entra Passport, se noto.
IsDomainJoined Bool? Indica se l'account è un account di dominio.
DisplayName -- Non parte dello schema, inclusa per la compatibilità con le versioni precedenti del mapping di entità.
Objectguid Guid? L'attributo objectGUID è un attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory.
CloudAppAccountId String AccountID negli avvisi del provider CloudApp. Fa riferimento agli ID account nelle app di terze parti non supportate in altri prodotti Microsoft.
IsAnonymized Bool? Indica se il nome utente è anonimizzato. Facoltativo. Valore predefinito: false
Stream Stream Origine dei log di individuazione correlati all'account specifico. Facoltativo.

Identificatori sicuri di un'entità account

  • Nome + UPNSuffix
  • AadUserId
  • Sid
    ** Questo identificatore è sicuro, purché l'account non sia uno degli account predefiniti elencati nella nota seguente.
  • Sid + Host
    ** Quando l'account è uno degli account predefiniti elencati nella nota seguente, il componente Host è necessario per rendere questo identificatore un elemento sicuro.
  • Nome + NTDomain
    ** Questa combinazione è un identificatore sicuro quando l'account è un account di dominio, poiché NTDomain non è un dominio/gruppo di lavoro predefinito ed è diverso dal nome host. In questo caso, si tratta di un identificatore sicuro anche senza il componente Host.
  • Nome + NTDomain + Host
    ** Il componente host è necessario per creare un identificatore sicuro quando l'account è un account locale, ovvero NTDomain è un dominio/gruppo di lavoro predefinito.
  • Nome + DnsDomain
  • PUID
  • Objectguid

Identificatori deboli di un'entità account

  • Nome

Nota

Se l'entità Account viene definita usando l'identificatore Name e il valore Name di una determinata entità è uno dei nomi di account generici seguenti, comunemente predefiniti, l'entità verrà eliminata dal relativo avviso.

  • AMMIN
  • AMMINISTRATORE
  • SYSTEM
  • RADICE
  • ANONYMOUS
  • AUTHENTICATED U edizione Standard R
  • RETE
  • NULL
  • LOCAL SYSTEM
  • LOCALSYSTEM
  • NETWORK SERVICE

Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

Host

Nome entità: Host

Campo Tipo Descrizione
Tipo String 'host'
IpInterfaces Entità elenco<(ip)> Elenco di tutte le interfacce IP nel computer host.
DnsDomain String Dominio DNS a cui appartiene l'host. Deve contenere il suffisso DNS completo per il dominio, se noto.
NTDomain String Dominio NT a cui appartiene l'host.
HostName String Nome host senza il suffisso di dominio.
NetBiosName String Nome host (pre-Windows 2000).
IoTDevice Entità (dispositivo IoT) Entità IoT Device (se questo host rappresenta un dispositivo IoT).
AzureID String ID risorsa di Azure della macchina virtuale, se noto.
OMSAgentID String ID agente OMS, se l'host ha installato l'agente OMS.
OSFamily Enum? Uno dei valori seguenti:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String Rappresentazione in formato testo libero del sistema operativo.
    Questo campo è destinato a contenere versioni specifiche che sono più granulari rispetto a OSFamily o valori futuri non supportati dall'enumerazione OSFamily.
    IsDomainJoined Bool Indica se l'host appartiene a un dominio.

    Identificatori sicuri di un'entità host

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Identificatori deboli di un'entità host

    • HostName
    • NetBiosName

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    IP

    Nome entità: IP

    Campo Tipo Descrizione
    Tipo String 'ip'
    Indirizzo String Indirizzo IP come stringa, ad esempio. 127.0.0.1 (in IPv4 o IPv6).
    AddressScope String Nome dell'host, della subnet o della rete privata per indirizzi IP privati e non globali. Null o vuoto per gli indirizzi IP globali (impostazione predefinita).
    Location Georilevazione Contesto di posizione geografica collegato all'entità IP.

    Per altre informazioni, vedere anche Arricchire le entità in Microsoft Sentinel con dati di georilevazione tramite l'API REST (anteprima pubblica).
    Stream Stream Origine dei log di individuazione correlati all'indirizzo IP specifico. Facoltativo.

    Identificatori sicuri di un'entità IP

    • Indirizzo
      ** L'indirizzo da solo è un identificatore univoco e sicuro quando l'indirizzo IP è un indirizzo globale.
    • Address + AddressScope
      ** Per gli indirizzi IP privati/interni non globali, il componente AddressScope è necessario per rendere questo identificatore sicuro.

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Malware

    Nome entità: Malware

    Campo Tipo Descrizione
    Tipo String 'malware'
    Nome string Nome del malware assegnato dal fornitore (rilevamento?), ad esempio Win32/Toga!rfn.
    Categoria String Categoria di malware assegnata dal fornitore (rilevamento?), ad esempio. Trojan.
    File Entità elenco<(file)> Elenco di entità di file collegate in cui è stato trovato il malware. Può contenere le entità File inline o come riferimento.
    Per altri dettagli sulla struttura, vedere l'entità File .
    Processi Entità elenco<(processo)> Elenco di entità di processo collegate in cui è stato trovato il malware. Questa operazione viene spesso usata quando l'avviso viene attivato per l'attività senza file.
    Per altri dettagli sulla struttura, vedere l'entità Processo .

    Identificatori sicuri di un'entità malware

    • Nome e categoria

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    file

    Nome entità: File

    Campo Tipo Descrizione
    Tipo String 'file'
    Directory String Percorso completo del file.
    Nome string Il nome del file senza il percorso (alcuni avvisi potrebbero non includere il percorso).
    AlternateDataStreamName String Nome del flusso di file nel file system NTFS (null per il flusso principale).
    Host Entità (host) Host in cui è stato archiviato il file.
    HostUrl Entità (URL) URL da cui è stato scaricato il file
    (Contrassegno del Web).
    WindowsSecurityZoneType WindowsSecurityZone Sicurezza di Windows Zona a cui appartiene l'URL
    (Contrassegno del Web).
    ReferrerUrl Entità (URL) URL del referrer della richiesta HTTP di download del file
    (Contrassegno del Web).
    SizeInBytes Lungo? Le dimensioni del file in byte.
    FileHashes Entità elenco<(FileHash)> Hash del file associati a questo file.

    Identificatori sicuri di un'entità file

    • Nome e directory
    • Nome + FileHash
    • Nome + Directory + FileHash

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Processo

    Nome entità: Processo

    Campo Tipo Descrizione
    Tipo String 'process'
    Processid String ID del processo.
    Commandline String Riga di comando usata per creare il processo.
    ElevationToken Enum? Token di elevazione dei privilegi associato al processo.
    Valori possibili:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? Ora di avvio dell'esecuzione del processo.
    ImageFile Entità (file) Può contenere l'entità File inline o come riferimento.
    Per altri dettagli sulla struttura, vedere l'entità File .
    Conto Entità (account) Account che esegue i processi.
    Può contenere l'entità Account inline o come riferimento.
    Per altri dettagli sulla struttura, vedere l'entità Account .
    ParentProcess Entità (processo) Entità processo padre.
    Può contenere dati parziali, ad esempio solo il PID.
    Host Entità (host) Host in cui è in esecuzione il processo.
    LogonSession Entità (HostLogonSession) Sessione in cui è stato eseguito il processo.

    Identificatori sicuri di un'entità di processo

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Identificatori deboli di un'entità di processo

    • ProcessId + CreationTimeUtc + CommandLine (e nessun host)
    • ProcessId + CreationTimeUtc + ImageFile (e nessun host)

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Applicazione cloud

    Nome entità: CloudApplication

    Campo Tipo Descrizione
    Tipo String 'cloud-application'
    AppId Int Deprecato; usare invece il campo SaasId. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco di identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId.
    SaasId Int Sostituisce il campo AppId deprecato. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco di identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId.
    Nome string Nome dell'applicazione cloud correlata. Valore facoltativo.
    InstanceName String Nome dell'istanza definita dall'utente dell'applicazione cloud. Viene spesso usato per distinguere tra diverse applicazioni dello stesso tipo di cui dispone un cliente.
    InstanceId Int Identificatore della sessione specifica dell'applicazione. Si tratta di un numero in esecuzione in base zero. Valore facoltativo.
    Rischio AppRisk? consente di filtrare le app in base al punteggio di rischio, in modo che sia possibile concentrarsi, ad esempio, sull'esame delle sole app molto rischiose. Valori possibili, ad esempio Low, Medium, High o Unknown.
    Stream Stream Origine dei log di individuazione correlati all'app cloud specifica. Facoltativo.

    Identificatori sicuri di un'entità applicazione cloud

    • AppId (senza InstanceName)
    • Nome (senza InstanceName)
    • AppId + InstanceName
    • Nome e NomeIstanza

    Elenco degli identificatori dell'applicazione cloud

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Risoluzione DNS

    Nome entità: DNS

    Campo Tipo Descrizione
    Tipo String 'dns'
    DomainName String Nome del record DNS associato all'avviso.
    Ipaddress Entità elenco<(IP)> Entità corrispondenti agli indirizzi IP risolti.
    DnsServerIp Entità (IP) Entità che rappresenta il server DNS che risolve la richiesta.
    HostIpAddress Entità (IP) Entità che rappresenta il client di richiesta DNS.

    Identificatori sicuri di un'entità DNS

    • DomainName + DnsServerIp + HostIpAddress

    Identificatori deboli di un'entità DNS

    • DomainName + HostIpAddress

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Risorsa di Azure

    Nome entità: AzureResource

    Campo Tipo Descrizione
    Tipo String 'azure-resource'
    ResourceId String ID risorsa di Azure della risorsa. Obbligatorio.
    SubscriptionId String L'ID sottoscrizione della risorsa.
    ActiveContacts Elenco<ActiveContact> Contatti attivi associati alla risorsa.
    ResourceType String Tipo di risorsa.
    Resourcename String Nome della risorsa.

    Identificatori sicuri di un'entità risorsa di Azure

    • ResourceId

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Hash file

    Nome entità: FileHash

    Campo Tipo Descrizione
    Tipo String 'filehash'
    Algoritmo Enumerazione Tipo di algoritmo hash. Obbligatorio. Valori possibili:
  • Sconosciuto
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • valore String Valore hash. Obbligatorio.

    Identificatori sicuri di un'entità hash di file

    • Algoritmo e valore

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Chiave del Registro di sistema

    Nome entità: RegistryKey

    Campo Tipo Descrizione
    Tipo String 'registry-key'
    Hive Enum? Uno dei valori seguenti:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_U edizione Standard R_LOCAL_edizione Standard TTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Chiave String Percorso della chiave del Registro di sistema.

    Identificatori sicuri di un'entità chiave del Registro di sistema

    • Hive + Key

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Valore del Registro di sistema

    Nome entità: RegistryValue

    Campo Tipo Descrizione
    Tipo String 'registry-value'
    Host Entità (host) Host a cui appartiene il Registro di sistema.
    Chiave Entità (RegistryKey) Entità chiave del Registro di sistema.
    Nome string Nome del valore del Registro di sistema.
    valore String Rappresentazione in formato stringa dei dati del valore.
    ValueType Enum? Uno dei valori seguenti:
  • String
  • Binario
  • DWord
  • QWORD
  • MultiString
  • ExpandString
  • None
  • Sconosciuto
    I valori devono essere conformi all'enumerazione Microsoft.Win32.RegistryValueKind.
  • Identificatori sicuri di un'entità valore del Registro di sistema

    • Chiave e nome

    Identificatori deboli di un'entità del valore del Registro di sistema

    • Nome (senza chiave)

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Gruppo di sicurezza

    Nome entità: SecurityGroup

    Campo Tipo Descrizione
    Tipo String 'security-group'
    Distinguishedname String Nome distinto del gruppo.
    SID String Attributo a valore singolo che specifica l'identificatore di sicurezza (SID) del gruppo.
    Objectguid Guid? Attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory.

    Identificatori sicuri di un'entità del gruppo di sicurezza

    • Distinguishedname
    • SID
    • Objectguid

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    URL

    Nome entità: URL

    Campo Tipo Descrizione
    Tipo String 'url'
    Url URI URL completo a cui punta l'entità. Obbligatorio.

    Identificatori sicuri di un'entità URL

    • URL (** Questo identificatore è sicuro quando l'URL è un URL assoluto).

    Identificatori deboli di un'entità URL

    • URL (** Questo identificatore è debole quando l'URL è un URL relativo.

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Dispositivo IoT

    Nome entità: IoTDevice

    Campo Tipo Descrizione
    Tipo String 'iotdevice'
    IoTHub Entità (AzureResource) Entità AzureResource che rappresenta il hub IoT a cui appartiene il dispositivo.
    Deviceid String ID del dispositivo nel contesto del hub IoT. Obbligatorio.
    DeviceName String Nome descrittivo del dispositivo.
    Proprietari List<String> Proprietari del dispositivo.
    IoTSecurityAgentId Guid? ID dell'agente Defender per IoT in esecuzione nel dispositivo.
    DeviceType String Tipo del dispositivo ('sensore temperatura', 'freezer', 'turbina eolica' ecc.).
    DeviceTypeId String ID univoco per identificare ogni tipo di dispositivo in base allo schema del tipo di dispositivo, perché il tipo di dispositivo stesso è un nome visualizzato e non affidabile nei confronti.

    Valori possibili:
    Non classificato = 0
    Varie = 1
    Dispositivo di rete = 2
    Stampante = 3
    Audio e video = 4
    Media e sorveglianza = 5
    Comunicazione = 7
    Smart Appliance = 9
    Workstation = 10
    Server = 11
    Mobile = 12
    Smart Facility = 13
    Industriale = 14
    Apparecchiature operative = 15
    Origine String Origine (Microsoft/Vendor) dell'entità del dispositivo.
    SourceRef Entità (URL) Riferimento URL all'elemento di origine in cui è gestito il dispositivo.
    Produttore String Produttore del dispositivo.
    Modello String Modello del dispositivo.
    OperatingSystem String Il sistema operativo in cui è in esecuzione il dispositivo.
    Ipaddress Entità (IP) Indirizzo IP corrente del dispositivo.
    Macaddress String Indirizzo MAC del dispositivo.
    Nic Entità (Nic) Schede di interfaccia di rete correnti nel dispositivo.
    Protocolli List<String> Elenco di protocolli supportati dal dispositivo.
    Serialnumber String Numero di serie del dispositivo.
    Sito String Posizione del sito del dispositivo.
    Zona String Posizione della zona del dispositivo all'interno di un sito.
    Sensor String Il sensore che monitora il dispositivo.
    Priorità Enum? Uno dei valori seguenti:
  • Basso
  • Normale
  • Alta
  • PurdueLayer String Livello Purdue del dispositivo.
    IsProgramming Bool? Indica se il dispositivo è classificato come dispositivo di programmazione.
    Isauthorized Bool? Indica se il dispositivo è classificato come dispositivo autorizzato.
    IsScanner Bool? Indica se il dispositivo è classificato come dispositivo scanner.
    DevicePageLink Entità (URL) URL della pagina del dispositivo nel portale di Defender per IoT.
    DeviceSubType String Nome del sottotipo del dispositivo.

    Identificatori sicuri di un'entità dispositivo IoT

    • IoTHub + DeviceId

    Identificatori deboli di un'entità dispositivo IoT

    • DeviceId (senza IoTHub)

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Mailbox

    Nome entità: Cassetta postale

    Campo Tipo Descrizione
    Tipo String 'mailbox'
    MailboxPrimaryAddress String Indirizzo primario della cassetta postale.
    DisplayName String Nome visualizzato della cassetta postale.
    Upn String UPN della cassetta postale.
    AadId String Identificatore di Azure AD della cassetta postale dell'utente.
    RiskLevel RiskLevel? Livello di rischio della cassetta postale. Valori possibili:
  • None
  • Basso
  • Medio
  • Alta
  • ExternalDirectoryObjectId Guid? Identificatore azureAD della cassetta postale. Analogamente a AadUserId nell'entità Account, ma questa proprietà è specifica dell'oggetto cassetta postale sul lato Office.

    Identificatori sicuri di un'entità cassetta postale

    • MailboxPrimaryAddress

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Cluster di posta

    Nome entità: MailCluster

    Campo Tipo Descrizione
    Tipo String 'mail-cluster'
    NetworkMessageIds Stringa IList<> ID messaggio di posta elettronica che fanno parte del cluster di posta elettronica.
    CountByDeliveryStatus Stringa IDictionary<, Int> Numero di messaggi di posta elettronica in base alla rappresentazione di stringa DeliveryStatus.
    CountByThreatType Stringa IDictionary<, Int> Numero di messaggi di posta elettronica in base alla rappresentazione di stringa ThreatType.
    CountByProtectionStatus Stringa IDictionary<, long> Numero di messaggi di posta elettronica in base alla rappresentazione della stringa di stato di protezione.
    CountByDeliveryLocation Stringa IDictionary<, long> Numero di messaggi di posta elettronica in base alla rappresentazione della stringa del percorso di recapito.
    Minacce Stringa IList<> Minacce dei messaggi di posta elettronica che fanno parte del cluster di posta elettronica.
    Query String Query utilizzata per identificare i messaggi del cluster di posta elettronica.
    QueryTime DateTime? Ora della query.
    MailCount Int? Numero di messaggi di posta elettronica che fanno parte del cluster di posta elettronica.
    IsVolumeAnomaly Bool? Indica se il cluster di posta elettronica è un cluster di posta elettronica anomalie del volume.
    Origine String Origine del cluster di posta elettronica (il valore predefinito è O365 ATP).

    Identificatori sicuri di un'entità cluster di posta elettronica

    • Query e origine

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Mail message

    Nome entità: MailMessage

    Campo Tipo Descrizione
    Tipo String 'mail-message'
    File Entità IList<(file)> Entità File degli allegati del messaggio di posta elettronica.
    Destinatario String Destinatario del messaggio di posta elettronica. Nel caso di più destinatari, il messaggio di posta elettronica viene copiato e ogni copia ha un destinatario.
    Url Stringa IList<> URL contenuti in questo messaggio di posta elettronica.
    Minacce Stringa IList<> Minacce contenute in questo messaggio di posta elettronica.
    Mittente String Indirizzo di posta elettronica del mittente.
    SenderIP String Indirizzo IP del mittente.
    ReceivedDate Data/Ora Data di ricezione del messaggio.
    NetworkMessageId Guid? ID messaggio di rete del messaggio di posta elettronica.
    InternetMessageId String ID messaggio Internet del messaggio di posta elettronica.
    Argomento String Oggetto del messaggio di posta elettronica.
    AntispamDirection Enum? Direzione del messaggio di posta elettronica. Valori possibili:
  • Sconosciuto
  • In ingresso
  • In uscita
  • Intraorg (interno)
  • DeliveryAction Enum? Azione di recapito del messaggio di posta elettronica. Valori possibili:
  • Sconosciuto
  • DeliveredAsSpam
  • Consegnati
  • Bloccati
  • Replaced
  • DeliveryLocation Enum? Posizione di recapito del messaggio di posta elettronica. Valori possibili:
  • Sconosciuto
  • Posta in arrivo
  • JunkFolder
  • DeletedFolder
  • Quarantena
  • Esterna
  • Non riuscito
  • Dropped
  • Inoltrati
  • CampaignId String Identificatore della campagna in cui è presente il messaggio di posta elettronica.
    SuspiciousRecipients Stringa IList<> Elenco di destinatari rilevati come sospetti.
    ForwardedRecipients Stringa IList<> Elenco di tutti i destinatari nella posta inoltrata.
    ForwardingType Stringa IList<> Tipo di inoltro della posta, ad esempio SMTP, ETR e così via.

    Identificatori sicuri di un'entità messaggio di posta elettronica

    • NetworkMessageId + Destinatario

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Posta elettronica inviata

    Nome entità: SubmissionMail

    Campo Tipo Descrizione
    Tipo String 'SubmissionMail'
    Id invio Guid? ID invio.
    SubmissionDate DateTime? Data segnalata per l'invio.
    Submitter String Indirizzo di posta elettronica del mittente.
    NetworkMessageId Guid? ID messaggio di rete di posta elettronica a cui appartiene l'invio.
    Timestamp: DateTime? Timestamp quando viene ricevuto il messaggio (Posta).
    Destinatario String Destinatario del messaggio di posta elettronica.
    Mittente String Mittente del messaggio di posta elettronica.
    SenderIp String INDIRIZZO IP del mittente.
    Argomento String Oggetto del messaggio di invio.
    ReportType String Tipo di invio per l'istanza specificata. I valori possibili sono Junk, Phish, Malware o NotJunk.

    Identificatori sicuri di un'entità SubmissionMail

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Entità sentinel

    Campo Tipo Descrizione
    Entità String Elenco delle entità identificate nell'avviso. Questo elenco è la colonna delle entità dello schema SecurityAlert (vedere la documentazione).

    Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità

    Identificatori dell'applicazione cloud

    L'elenco seguente definisce gli identificatori per le applicazioni cloud note. Il valore id app viene usato come identificatore di entità dell'applicazione cloud.

    ID app Nome
    10026 DocuSign
    10395 Anaplan
    10489 Casella
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Servizi online Microsoft
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Ciclo di vita di Autodesk Fusion
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 Interfaccia di amministrazione di Microsoft 365
    26060 Ingranaggi OPSWAT
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Area di lavoro da Facebook
    28373 Emulatore proxy CAS
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Passaggi successivi

    In questo documento sono stati illustrati la struttura delle entità, gli identificatori e lo schema in Microsoft Sentinel.

    Altre informazioni sulle entità e sul mapping delle entità.