次の方法で共有


Microsoft Azure Sentinel エンティティ型リファレンス

このドキュメントには、Azure portal の Microsoft Sentinel と Defender ポータルの Microsoft Sentinel のエンティティとエンティティの種類に関する 2 つの情報セットが含まれています。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。

エンティティ型と識別子

次の表に、Microsoft Sentinel で認識できるエンティティ型と、各エンティティ型の識別子として使用できる属性を示します。

Microsoft Sentinel は、分析ルールエンティティ マッピングによって作成されたアラートとインシデントのエンティティを認識します。 また、他のソースから取り込まれたアラートで既に識別されているエンティティも認識します。

現在、Microsoft Sentinel でエンティティ マッピングを作成するときに、特定のエンティティに対して最大 3 つの識別子を使用できます。 強い識別子 だけでエンティティを一意に識別できますが、 弱い識別子 は他の識別子と組み合わせてのみ行うことができます。 強い識別子と弱い識別子の詳細を確認します。 Microsoft Sentinel でエンティティ マッピングを作成するときに、このテーブルのすべての識別子を使用できるわけではありません (脚注を参照)。

エンティティ型 識別子 強い識別子 弱い識別子
アカウント 名前
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name+UPNSuffix
AADUserId
Sid **
Sid + Host**
Name + Host + NTDomain **
Name + NTDomain **
Name + DnsDomain
PUID
ObjectGuid
名前
ホスト DnsDomain
NTDomain
ホストネーム
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSのバージョン
IsDomainJoined
HostName + NTDomain
HostName + DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
ホストネーム
NetBiosName
エンティティ型 識別子 厳密な識別子 弱い識別子
IP 番地
AddressScope
グローバル アドレス: 住所**
プライベート アドレス: Address+AddressScope**

プライベート アドレス: 住所**
URL URL URL (絶対 URL の場合)** URL (相対 URL の場合)**
Azure リソース
(AzureResource)
リソースID リソースID
クラウド アプリケーション
(CloudApplication)
AppId
名前
インスタンス名
AppId
名前
AppId+InstanceName
Name + InstanceName
DNS 解決
(DNS)
ドメインネーム DomainName + DnsServerIp+HostIpAddress DomainName+ HostIpAddress
ファイル ディレクトリ
名前
ディレクトリ + 名前
ファイル ハッシュ
(FileHash)
アルゴリズム
アルゴリズム + 値
マルウェア 名前
カテゴリ
名前とカテゴリ
エンティティ型 識別子 厳密な識別子 弱い識別子
過程 プロセスID
コマンドライン
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
ホスト+ParentProcessId+
   CreationTimeUtc + CommandLine
Host+ProcessId+
   CreationTimeUtc+ ImageFile
Host+ProcessId+
   CreationTimeUtc+ ImageFile+
    FileHash
ProcessId+ CreationTimeUtc+
   CommandLine (ホストなし)
ProcessId+ CreationTimeUtc+
    ImageFile (ホストなし)
レジストリ キー
(RegistryKey)
ハイブ
キー
Hive + Key
レジストリ値
(RegistryValue)
名前

バリュータイプ
キー + 名前 Name (キーなし)
セキュリティ グループ
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
メールボックス MailboxPrimaryAddress
表示名
アップン
ExternalDirectoryObjectId
リスクレベル
MailboxPrimaryAddress
エンティティ型 識別子 厳密な識別子 弱い識別子
メール クラスター
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
脅威
クエリ
QueryTime
MailCount
IsVolumeAnomaly
ソース
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
クエリ + ソース
メール メッセージ
(MailMessage)
受信者
URL
脅威
送信者
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
ネットワークメッセージID
インターネットメッセージID
サブジェクト
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
配送場所
言語*
ThreatDetectionMethods *
NetworkMessageId + Recipient
送信メール
(SubmissionMail)
ネットワークメッセージID
タイムスタンプ
受信者
送信者
SenderIp
サブジェクト
ReportType
SubmissionId
SubmissionDate
申請者
SubmissionId+NetworkMessageId+
   Recipient + Submiter
Sentinel エンティティ エンティティ エンティティ

表脚注:

  • * これらの識別子は、エンティティ マッピングで使用できる識別子の一覧に表示されますが、厳密にはエンティティ スキーマの一部ではありません。
  • ** これらの識別子は、特定の条件下でのみ強い識別子と見なされます。 アスタリスクのリンクに従って、以下の エンティティ スキーマ セクションの関連エンティティの一覧の下で、適用される条件を確認します。
  • 斜体の識別子名 (アスタリスクなし) は内部エンティティを表します。つまり、1 つのエンティティ型に属性として他のエンティティ型を含めることができます ( 後述の「エンティティ スキーマ」セクションを参照)。 識別子のリンクをたどると、内部エンティティ自体のスキーマが確認できます。
  • スキーマには他のエンティティが存在する可能性があります。これは、Microsoft Sentinel 以外にも多くのことをサポートする一般的なスキーマです。 この記事には、Microsoft Sentinel で使用できるエンティティのみが記載されています。

エンティティ型スキーマ

以下のセクションでは、各エンティティ型の完全なスキーマの詳細について説明します。 これらのスキーマの多くには、他のエンティティ型へのリンクが含まれていることがわかります。 たとえば、Account のスキーマには、Host エンティティ型へのリンクが含まれています。これは、ユーザー アカウントの 1 つの属性は、それが定義されているホストであるためです。 これらの属性としてのエンティティは "内部エンティティ" と呼ばれ、エンティティ マッピングのための識別子としては使用できませんが、エンティティ ページと調査グラフでエンティティの詳細を提供する場合に非常に便利です。

[型] 列の値の後にある疑問符は、フィールドが null 許容であることを示します。

エンティティ型のスキーマの一覧

アカウント

エンティティ名: アカウント

フィールド タイプ 説明
種類 'account'
名前 アカウントの名前。 このフィールドには、ドメインが追加されていない名前のみを設定する必要があります。
FullName -- 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。
NTDomain アラート形式 domain\username で表される NETBIOS ドメイン名。
例: 財務、NT AUTHORITY
DnsDomain 完全修飾ドメイン DNS 名。
例: finance.contoso.com
UPNSuffix アカウントのユーザー プリンシパル名サフィックス。 多くの場合、UPN サフィックスもドメイン名です。
例: contoso.com
ホスト エンティティ (ホスト) ローカル アカウントの場合は、アカウントが含まれているホスト。
Sid アカウントのセキュリティ識別子。
AadTenantId Guid? Microsoft Entra テナント ID (既知の場合)。
AadUserId Guid? Microsoft Entra アカウント オブジェクト ID (既知の場合)。
PUID Guid? Microsoft Entra パスワード ユーザー ID (既知の場合)。
IsDomainJoined ブール? アカウントがドメイン アカウントかどうかを示します。
DisplayName -- 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。
ObjectGuid Guid? ObjectGUID 属性は、Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。
CloudAppAccountId CloudApp プロバイダーからのアラートにおける AccountID。 他の Microsoft 製品でサポートされていないサード パーティ製アプリのアカウント ID を参照します。
IsAnonymized ブール? ユーザー名が匿名化されているかどうかを示します。 省略可能。 既定値 : false
ストリーム 特定のアカウントに関連する検出ログのソース。 省略可能。

アカウント エンティティの強い識別子

  • Name + UPNSuffix
  • AadUserId
  • Sid
    ** アカウントが以下のに記載されている組み込みアカウントの 1 つでない限り、この識別子は強力です。
  • Sid + Host
    ** アカウントが以下の に記載されている組み込みアカウントの 1 つである場合、ホスト コンポーネントはこの識別子を強力なものにするために必要です。
  • 名前 + NTDomain
    ** アカウントがドメイン アカウントの場合、この組み合わせは強い識別子です。NTDomain が組み込みのドメイン/ワークグループではなく、ホスト名と異なるためです。 この場合は、Host コンポーネントがなくても強い識別子です。
  • Name + NTDomain + Host
    ** アカウントがローカル アカウントの場合、つまり、NTDomain が組み込みのドメイン/ワークグループの場合は、強い識別子を作成するために Host コンポーネントが必要です。
  • Name + DnsDomain
  • PUID
  • ObjectGuid

アカウント エンティティの弱い識別子

  • 名前

Account エンティティが Name 識別子を使用して定義されていて、特定のエンティティの Name 値が次の汎用の一般的な組み込みアカウント名のいずれかである場合、そのエンティティはアラートから削除されます。

  • 管理者
  • 管理者
  • アノニマス
  • 認証済みユーザー
  • ネットワーク
  • ヌル
  • ローカル システム
  • ローカルシステム
  • ネットワークサービス

エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

ホスト

エンティティ名: ホスト

フィールド タイプ 説明
種類 'ホスト'
IpInterfaces List<Entity (Ip)> ホスト コンピューター上のすべての IP インターフェイスの一覧。
DnsDomain このホストが属している DNS ドメイン。 既知の場合は、ドメインの完全な DNS サフィックスが含まれている必要があります。
NTDomain このホストが属している NT ドメイン。
HostName ドメイン サフィックスを除いたホスト名。
NetBiosName ホスト名 (Windows 2000 より前)。
IoTDevice エンティティ (IoT デバイス) IoT デバイス エンティティ (このホストが IoT デバイスを表している場合)。
AzureID VM の Azure リソース ID (既知の場合)。
OMSAgentID OMS エージェント ID (ホストに OMS エージェントがインストールされている場合)。
OSFamily Enum? 次のいずれかの値です。
  • Linux
  • ウィンドウズ
  • アンドロイド
  • iOS
  • マック
  • OSVersion オペレーティング システムの自由記載表現。
    このフィールドは、OSFamily より細かい特定のバージョン、または OSFamily 列挙型でサポートされていない将来の値を保持することを意図しています。
    IsDomainJoined ブール このホストがドメインに属しているかどうかを示します。

    ホスト エンティティの強い識別子

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    ホスト エンティティの弱い識別子

    • ホストネーム
    • NetBiosName

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    インターネット プロトコル (IP)

    エンティティ名: IP

    フィールド タイプ 説明
    種類 'ip'
    住所 文字列としての IP アドレス (IPv4 または IPv6)。
    例:20.112.250.1332603:1030:b:3::152
    AddressScope プライベートや非グローバルの IP アドレスのホスト、サブネット、プライベート・ネットワークの名前。 グローバル IP アドレスの場合は Null または空 (既定値)。
    例:/27255.255.255.128
    場所 ジオロケーション IP エンティティに関連付けられている地理的な場所のコンテキスト。

    詳細については、「 REST API を使用して位置情報データを使用して Microsoft Sentinel のエンティティを強化する (パブリック プレビュー)」も参照してください。
    ストリーム 特定の IP に関連する検出ログのソース。 省略可能。

    IP エンティティの強い識別子

    • 住所
      IP アドレスがグローバル アドレスの場合、アドレス識別子自体は一意の強力な識別子です。
    • Address + AddressScope
      プライベート/内部のグローバル以外の IP アドレスの場合、これを厳密な識別子にするには AddressScope コンポーネントが必要です。

    IP エンティティの弱い識別子

    • 住所
      IP アドレスがプライベート/内部の非グローバル IP アドレスである場合、アドレス識別子自体は弱い識別子です。

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    マルウェア

    エンティティ名: マルウェア

    フィールド タイプ 説明
    種類 'malware'
    名前 (検出?) ベンダーによって割り当てられたマルウェア名。例: Win32/Toga!rfn
    カテゴリ (検出?) ベンダーによって割り当てられたマルウェアのカテゴリ。例: Trojan。
    ファイル List<Entity (ファイル)> マルウェアが検出された、リンクされたファイル エンティティのリスト。 ファイル エンティティをインラインまたは参照として含めることができます。
    構造の詳細については、 File エンティティを参照してください。
    プロセス List<Entity (Process)> マルウェアが検出された、リンクされたプロセス エンティティのリスト。 これは、ファイルレス アクティビティでアラートがトリガーされたときによく使用されます。
    構造の詳細については、 Process エンティティを参照してください。

    マルウェア エンティティの強い識別子

    • 名前 + カテゴリ

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    ファイル

    エンティティ名: ファイル

    フィールド タイプ 説明
    種類 'ファイル'
    ディレクトリ ファイルへの完全なパスです。
    名前 パスを除いたファイル名 (一部のアラートにはパスが含まれない場合があります)。
    AlternateDataStreamName NTFS ファイルシステム内のファイル ストリーム名 (メイン ストリームの場合は null)。
    ホスト エンティティ (ホスト) ファイルが格納されたホスト。
    HostUrl エンティティ (URL) ファイルがダウンロードされた場所の URL
    (Web のマーク)。
    WindowsSecurityZoneType WindowsSecurityZone URL が属する Windows セキュリティ ゾーン
    (Web のマーク)。
    ReferrerUrl エンティティ (URL) ファイルダウンロードの HTTP 要求の参照元 URL
    (Web のマーク)。
    SizeInBytes ロング? ファイルのサイズをバイト単位で指定します。
    FileHashes List<Entity (FileHash)> このファイルに関連付けられているファイル ハッシュ。

    ファイル エンティティの強い識別子

    • 名前 + ディレクトリ
    • Name + FileHash
    • 名前 + ディレクトリ + FileHash

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    プロセス

    エンティティ名: プロセス

    フィールド タイプ 説明
    種類 'process'
    プロセスID プロセス ID。
    CommandLine プロセスを作成するために使用されるコマンド ライン。
    ElevationToken Enum? プロセスに関連付けられた昇格トークン。
    指定できる値
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? プロセスの実行が開始された日時。
    ImageFile エンティティ (ファイル) ファイル エンティティをインラインまたは参照として含めることができます。
    構造の詳細については、 File エンティティを参照してください。
    アカウント エンティティ (アカウント) プロセスが実行されているアカウント。
    Account エンティティをインラインまたは参照として含めることができます。
    構造の詳細については、 Account エンティティを参照してください。
    ParentProcess エンティティ (プロセス) 親プロセス エンティティ。
    部分的なデータ (PID のみなど) を含めることができます。
    ホスト エンティティ (ホスト) プロセスが実行されていたホスト。
    LogonSession Entity (HostLogonSession) セッションが実行されていたホスト。

    プロセス エンティティの強い識別子

    • Host + ProcessId + CreationTimeUtc
    • ホスト + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    プロセス エンティティの弱い識別子

    • ProcessId + CreationTimeUtc + CommandLine (Host はなし)
    • ProcessId + CreationTimeUtc + ImageFile (およびホストなし)

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    クラウド アプリケーション

    エンティティ名: CloudApplication

    フィールド タイプ 説明
    種類 'cloud-application'
    AppId int 非推奨です。代わりに SaasId フィールドを使用してください。 アプリケーションの技術的 ID。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。
    SaasId int 非推奨の AppId フィールドを置き換えます。 アプリケーションの技術的 ID。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。
    名前 関連するクラウド アプリケーションの名前。 値は省略可能です。
    InstanceName クラウド アプリケーションのユーザー定義のインスタンス名。 多くの場合、顧客が持っている同じ種類の複数のアプリケーションを区別するために使用されます。
    InstanceId int アプリケーションの特定のセッションの識別子。 これは、0 から始まる連続番号です。 値は省略可能です。
    リスク AppRisk? リスク スコアでアプリをフィルター処理できるため、たとえば、リスクの高いアプリのみの確認に集中できます。 Low、Medium、High、Unknown が使用可能な値です。
    ストリーム 特定のクラウド アプリに関連する検出ログのソース。 省略可能。

    クラウド アプリケーション エンティティの強い識別子

    • AppId (InstanceName なし)
    • 名前 (InstanceName なし)
    • AppId + InstanceName
    • Name + InstanceName

    クラウド アプリケーション識別子の一覧

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    DNS の解決

    エンティティ名: DNS

    フィールド タイプ 説明
    種類 'dns'
    DomainName アラートに関連付けられている DNS レコードの名前。
    IpAddress の List<Entity (IP)> 解決された IP アドレスに対応するエンティティ。
    DnsServerIp エンティティ (IP) 要求を解決する DNS サーバーを表すエンティティ。
    HostIpAddress エンティティ (IP) DNS 要求クライアントを表すエンティティ。

    DNS エンティティの強い識別子

    • DomainName + DnsServerIp + HostIpAddress

    DNS エンティティの弱い識別子

    • DomainName + HostIpAddress

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    Azure リソース

    エンティティ名: AzureResource

    フィールド タイプ 説明
    種類 "azure-resource"
    リソースID リソースの Azure リソース ID。 必須。
    SubscriptionId リソースのサブスクリプション ID。
    ActiveContacts リスト<ActiveContact> リソースに関連付けられているアクティブな連絡先。
    リソースタイプ リソースの種類。
    ResourceName リソースの名前。

    Azure リソース エンティティの強い識別子

    • リソースID

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    ファイル ハッシュ

    エンティティ名: FileHash

    フィールド タイプ 説明
    種類 "filehash"
    アルゴリズム 列挙型 ハッシュ アルゴリズムの種類。 必須。 指定できる値
  • 未知
  • MD5
  • SHA1
  • SHA256の
  • SHA256AC
  • 価値 ハッシュ値。 必須。

    ファイル ハッシュ エンティティの強い識別子

    • アルゴリズム + 値

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    レジストリ キー

    エンティティ名: RegistryKey

    フィールド タイプ 説明
    種類 'registry-key'
    巣箱 Enum? 次のいずれかの値です。
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • レジストリ キーのパス

    レジストリ キー エンティティの強い識別子

    • Hive + キー

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    レジストリ値

    エンティティ名: RegistryValue

    フィールド タイプ 説明
    種類 'registry-value'
    ホスト エンティティ (ホスト) レジストリが属しているホスト。
    Entity (RegistryKey) レジストリ キーのエンティティ。
    名前 レジストリ値の名前。
    価値 値データの文字列形式の表現。
    ValueType Enum? 次のいずれかの値です。
  • バイナリ
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • なし
  • 未知
    値は、Microsoft.Win32.RegistryValueKind 列挙型に準拠している必要があります。
  • レジストリ値エンティティの強い識別子

    • キー + 名前

    レジストリ値エンティティの弱い識別子

    • Name (Key なし)

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    セキュリティ グループ

    エンティティ名: SecurityGroup

    フィールド タイプ 説明
    種類 "security-group"
    DistinguishedName グループの識別名。
    SID グループのセキュリティ識別子 (SID) を指定する単一値の属性です。
    ObjectGuid Guid? Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。

    セキュリティ グループ エンティティの強い識別子

    • DistinguishedName
    • SID
    • ObjectGuid

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    URL

    エンティティ名: URL

    フィールド タイプ 説明
    タイプ "url"
    URL うり エンティティが指している完全な URL。 必須。

    URL エンティティの強い識別子

    • URL (** URL が絶対 URL の場合、この識別子は厳密です)。

    URL エンティティの弱い識別子

    • URL (** URL が相対 URL の場合、この識別子は弱いです。)

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    IoT デバイス

    エンティティ名: IoTDevice

    フィールド タイプ 説明
    種類 "iotdevice"
    IoTHub Entity (AzureResource) デバイスが属している IoT Hub を表す AzureResource エンティティ。
    DeviceId IoT Hub のコンテキストでのデバイスの ID。 必須。
    DeviceName デバイスのフレンドリ名。
    所有者 文字列<>一覧表示する デバイスの所有者。
    IoTSecurityAgentId Guid? デバイスで実行されている Defender for IoT エージェントの ID。
    DeviceType デバイスの種類 (例: "temperature sensor"、"freezer"、"wind turbine")。
    DeviceTypeId デバイスの種類スキーマに従って各デバイスの種類を識別するための一意の ID。デバイスの種類自体は表示名であり、比較において信頼できるものではありません。

    指定できる値
    未分類 = 0
    その他 = 1
    ネットワーク デバイス = 2
    プリンター = 3
    音声とビデオ = 4
    メディアと監視 = 5
    通信 = 7
    スマート アプライアンス = 9
    ワークステーション = 10
    サーバー = 11
    モバイル = 12
    スマート機能 = 13
    産業用 = 14
    運用機器 = 15
    デバイス エンティティのソース (Microsoft/Vendor)。
    SourceRef エンティティ (URL) デバイスが管理されているソース項目への URL 参照。
    生産者 デバイスの製造元。
    モデル デバイスのモデル。
    OperatingSystem デバイスで実行されているオペレーティング システム。
    IpAddress の エンティティ (IP) デバイスの現在の IP アドレス。
    MacAddress デバイスの MAC アドレス。
    Nics エンティティ (Nic) デバイス上の現在の NIC。
    プロトコル 文字列<>一覧表示する デバイスでサポートされているプロトコルのリスト。
    SerialNumber デバイスのシリアル番号。
    敷地 デバイスのサイトの場所。
    ゾーン サイト内のデバイスのゾーンの場所。
    センサー デバイスを監視するセンサー。
    重要性 Enum? 次のいずれかの値です。
  • 正常
  • PurdueLayer デバイスの Purdue レイヤー。
    IsProgramming ブール? デバイスがプログラミング デバイスとして分類されているかどうかを示します。
    IsAuthorized ブール? デバイスが承認されたデバイスとして分類されているかどうかを示します。
    IsScanner ブール? デバイスがスキャナー デバイスとして分類されているかどうかを示します。
    DevicePageLink エンティティ (URL) Defender for IoT ポータルのデバイス ページへの URL。
    デバイスサブタイプ デバイスのサブタイプの名前。

    IoT デバイス エンティティの強い識別子

    • IoTHub + DeviceId

    IoT デバイス エンティティの弱い識別子

    • DeviceId (IoTHub なし)

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    メールボックス

    エンティティ名: メールボックス

    フィールド タイプ 説明
    種類 "mailbox"
    MailboxPrimaryAddress メールボックスのプライマリ アドレス。
    表示名 メールボックスの表示名。
    Upn メールボックスの UPN。
    AadId ユーザーのメールボックスの Azure AD 識別子。
    RiskLevel RiskLevel? このメールボックスのリスク レベル。 指定できる値
  • なし
  • ミディアム
  • ExternalDirectoryObjectId Guid? メールボックスの AzureAD 識別子。 Account エンティティの AadUserId に似ていますが、このプロパティは Office 側でのメールボックス オブジェクトに固有です。

    メールボックス エンティティの強い識別子

    • MailboxPrimaryAddress

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    メール クラスター

    エンティティ名: MailCluster

    フィールド タイプ 説明
    種類 "mail-cluster"
    NetworkMessageIds IList<String> メール クラスターの一部であるメール メッセージ ID。
    CountByDeliveryStatus IDictionary<String,Int> DeliveryStatus 文字列表現別のメール メッセージの数。
    CountByThreatType IDictionary<String,Int> ThreatType 文字列表現別のメール メッセージの数。
    CountByProtectionStatus IDictionary<String,long> 保護ステータス文字列表現別のメール メッセージの数。
    CountByDeliveryLocation IDictionary<String,long> 配信場所文字列表現別のメール メッセージの数。
    脅威 IList<String> メール クラスターの一部であるメール メッセージの脅威。
    クエリ メール クラスターのメッセージの識別に使用されたクエリ。
    QueryTime DateTime? クエリの日時。
    MailCount Int? メール クラスターの一部であるメール メッセージの数。
    IsVolumeAnomaly ブール? メール クラスターがボリューム異常メール クラスターかどうかを示します。
    メール クラスターのソース (既定値は O365 ATP)。

    メール クラスター エンティティの強い識別子

    • クエリ + ソース

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    メール メッセージ

    エンティティ名: MailMessage

    フィールド タイプ 説明
    種類 "mail-message"
    ファイル IList<Entity (ファイル)> このメール メッセージの添付ファイルのファイル エンティティ。
    受信者 このメール メッセージの受信者。 複数の受信者がいる場合、メール メッセージがコピーされ、コピーごとに 1 人の受信者になります。
    URL IList<String> このメール メッセージに含まれている URL。
    脅威 IList<String> このメール メッセージに含まれている脅威。
    差し出し人 送信者の電子メール アドレス。
    SenderIP 送信者の IP アドレス。
    ReceivedDate 日付と時間 このメッセージの受信日時。
    NetworkMessageId Guid? このメール メッセージのネットワーク メッセージ ID。
    InternetMessageId このメール メッセージのインターネット メッセージ ID。
    件名 このメール メッセージの件名。
    AntispamDirection Enum? このメール メッセージの方向。 指定できる値
  • 未知
  • 受信
  • 送信
  • Intraorg (内部)
  • DeliveryAction Enum? このメール メッセージの配信アクション。 指定できる値
  • 未知
  • 配信されたスパム
  • 配信済み
  • [ブロック済み]
  • 置換後
  • DeliveryLocation Enum? このメール メッセージの配信場所。 指定できる値
  • 未知
  • 受信トレイ
  • ジャンクフォルダ
  • 削除済みフォルダ
  • 検疫
  • 外部
  • 失敗
  • 削除
  • 転送
  • キャンペーンID このメール メッセージが存在するキャンペーンの識別子。
    SuspiciousRecipients IList<String> 疑わしいと検出された受信者の一覧。
    ForwardedRecipients IList<String> 転送されたメールのすべての受信者の一覧。
    ForwardingType IList<String> SMTP、ETR などのメールの転送の種類。

    メール メッセージ エンティティの強い識別子

    • NetworkMessageId + Recipient

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    送信メール

    エンティティ名: SubmissionMail

    フィールド タイプ 説明
    種類 "SubmissionMail"
    SubmissionId Guid? 申請 ID。
    SubmissionDate DateTime? この申請が報告された日時。
    提出 申請者のメール アドレス。
    NetworkMessageId Guid? 申請が属しているメールのネットワーク メッセージ ID。
    タイムスタンプ DateTime? メッセージが受信されたときのタイムスタンプ (メール)。
    受信者 メールの受信者。
    差し出し人 メールの送信者。
    SenderIp 送信者の IP。
    件名 申請メールの件名。
    ReportType 特定のインスタンスの申請の種類。 指定できる値は、Junk、Phish、Malware、NotJunk です。

    送信メール エンティティの強い識別子

    • SubmissionId、Submiter、NetworkMessageId、Recipient

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    Sentinel エンティティ

    フィールド タイプ 説明
    エンティティ アラートで識別されたエンティティのリスト。 この一覧は、SecurityAlert スキーマのエンティティ列です (ドキュメントを参照)。

    エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る

    クラウド アプリケーションの識別子

    次の一覧では、既知のクラウド アプリケーションの識別子を定義します。 アプリ ID 値は、 クラウド アプリケーション エンティティ識別子として使用されます。

    アプリ ID 名前
    10026 DocuSign
    10395 Anaplan
    10489 ボックス
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 セールスフォース
    11161 オフィス365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 アマゾン ウェブ サービス
    11627 Dropbox
    11713 Expensify
    11770 G スイート
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 勤務日
    13843 LivePerson
    13979 同意する
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 アマゾン
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 クラウドアプリ向けのMicrosoft Defender
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion ライフサイクル
    23043 スラック
    23233 Microsoft Office Online
    25275 マイクロソフト Skype for Business
    25988 Google Docs
    26055 Microsoft 365 管理センター
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google ドライブ
    26206 Workiva
    26311 Microsoft Dynamics
    26318 マイクロソフト エントラ ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft フォーム
    27592 Microsoft Flow
    27593 マイクロソフト パワーアップ
    28353 Workplace by Facebook
    28373 CAS プロキシ エミュレーター
    28375 Microsoft Teams
    32780 マイクロソフト ダイナミクス 365
    33626 グーグル
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    次のステップ

    このドキュメントでは、Microsoft Azure Sentinel でのエンティティの構造、識別子、スキーマについて学習しました。

    エンティティとエンティティ マッピングの詳細について説明します