このドキュメントには、Azure portal の Microsoft Sentinel と Defender ポータルの Microsoft Sentinel のエンティティとエンティティの種類に関する 2 つの情報セットが含まれています。
- [エンティティの種類と識別子] テーブルには、アラートとインシデントで識別できるさまざまな種類のエンティティが表示され、それらを追跡および調査できます。 この表には、エンティティ型ごとに、エンティティを識別するために使用できるさまざまな識別子も示されています。
- エンティティスキーマセクションでは、エンティティの一般的なデータ構造とスキーマ、そして各エンティティタイプごとに示されています。
Important
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
エンティティ型と識別子
以下の表は、Microsoft Sentinelが認識可能なエンティティタイプと、それぞれのエンティティタイプで識別子として使用できる属性を示しています。
Microsoft Sentinelは、アナリティメントルール内のエンティティマッピングによって作成されたアラートやインシデントのエンティティを認識します。 また、他のソースから取り込まれたアラートで既に識別されているエンティティも認識します。
現在、Microsoft Sentinel でエンティティ マッピングを作成するときに、特定のエンティティに対して最大 3 つの識別子を使用できます。 強い識別子 だけでエンティティを一意に識別するのに十分ですが、 弱い識別子 は他の識別子と組み合わせてのみ識別可能です。 強い識別子と弱い識別子の詳細を確認します。 Microsoft Sentinel でエンティティ マッピングを作成するときに、このテーブルのすべての識別子を使用できるわけではありません (脚注を参照)。
| エンティティ型 | Identifiers | 強い識別子 | 弱い識別子 |
|---|---|---|---|
| Account | Name フルネーム * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined ディスプレイネーム * ObjectGuid |
Name+UPNSuffix AADUserId シド ** シド+ホスト** 名前+ホスト+NTDomain ** Name + NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName フルネーム * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| エンティティタイプ | Identifiers | 強い識別子 | 弱い識別子 |
| IP | Address AddressScope |
グローバルアドレス: 住所** 私邸: アドレス+アドレススコープ** |
私邸: 住所** |
| URL | Url | URL (絶対 URL の場合)** | URL (相対 URL の場合)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
クラウドアプリケーション (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
DNS解決 (DNS) |
DomainName | DomainName+DNSServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
ファイルハッシュ (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| エンティティタイプ | Identifiers | 強い識別子 | 弱い識別子 |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc ホスト+親プロセスID+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (ホストなし) ProcessId+CreationTimeUtc+ ImageFile (ホストなし) |
|
レジストリキー (RegistryKey) |
Hive Key |
Hive+Key | |
|
レジストリ値 (RegistryValue) |
Name Value ValueType |
Key+Name | Name (キーなし) |
|
セキュリティグループ (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| エンティティタイプ | Identifiers | 強い識別子 | 弱い識別子 |
|
メールクラスター (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * クラスターソースタイプ * ClusterQueryStartTime * ClusterQueryEndTime * クラスターグループ* |
Query+Source | |
|
メールメッセージ (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject ボディフィンガープリントビン1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 言語* 脅威検出方法 * |
NetworkMessageId+Recipient | |
|
投稿メール (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| センチネル・エンティティ | Entities | Entities |
表の脚注:
- * これらの識別子は、エンティティ マッピングで使用できる識別子の一覧に表示されますが、厳密にはエンティティ スキーマの一部ではありません。
- ** これらの識別子は、特定の条件下でのみ強い識別子と見なされます。 アスタリスクのリンクに従って、以下の エンティティ スキーマ セクションの関連エンティティの一覧の下で、適用される条件を確認します。
- 斜体の識別子名 (アスタリスクなし) は内部エンティティを表します。つまり、1 つのエンティティ型に属性として他のエンティティ型を含めることができます ( 後述の「エンティティ スキーマ」セクションを参照)。 識別子のリンクをたどると、内部エンティティ自体のスキーマが確認できます。
- スキーマには他のエンティティが存在する可能性があります。これは、Microsoft Sentinel 以外にも多くのことをサポートする一般的なスキーマです。 この記事には、Microsoft Sentinel で使用できるエンティティのみが記載されています。
エンティティ型スキーマ
以下のセクションでは、各エンティティ型の完全なスキーマの詳細について説明します。 これらのスキーマの多くには、他のエンティティ型へのリンクが含まれていることがわかります。 たとえば、Account のスキーマには、Host エンティティ型へのリンクが含まれています。これは、ユーザー アカウントの 1 つの属性は、それが定義されているホストであるためです。 これらの属性としてのエンティティは "内部エンティティ" と呼ばれ、エンティティ マッピングのための識別子としては使用できませんが、エンティティ ページと調査グラフでエンティティの詳細を提供する場合に非常に便利です。
Note
Type列の値の後にクエスチョンマークが付いていると、そのフィールドがnullableであることを示します。
エンティティ型のスキーマの一覧
- Account
- Host
- IP
- Malware
- File
- Process
- クラウドアプリケーション
- DNS 解決
- Azure リソース
- ファイルハッシュ
- レジストリ キー
- レジストリ値
- セキュリティグループ
- URL
- IoTデバイス
- Mailbox
- メールクラスター
- メールメッセージ
- 投稿メール
- センチネル・エンティティ
Account
エンティティ名: アカウント
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | アカウントの名前。 このフィールドには、ドメインが追加されていない名前のみを設定する必要があります。 |
| FullName | -- | 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。 |
| NTDomain | String | アラート形式 domain\username で表される NETBIOS ドメイン名。 例: 財務、NT自治体 |
| DnsDomain | String | 完全修飾ドメイン DNS 名。 例: finance.contoso.com |
| UPNSuffix | String | アカウントのユーザー プリンシパル名サフィックス。 多くの場合、UPN サフィックスもドメイン名です。 例: contoso.com |
| Host | エンティティ(ホスト) | ローカル アカウントの場合は、アカウントが含まれているホスト。 |
| Sid | String | アカウントのセキュリティ識別子。 |
| AadTenantId | Guid? | Microsoft Entra テナント ID (既知の場合)。 |
| AadUserId | Guid? | Microsoft Entra アカウント オブジェクト ID (既知の場合)。 |
| PUID | Guid? | Microsoft Entra パスワード ユーザー ID (既知の場合)。 |
| IsDomainJoined | Bool? | アカウントがドメイン アカウントかどうかを示します。 |
| DisplayName | -- | 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。 |
| ObjectGuid | Guid? | ObjectGUID 属性は、Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。 |
| CloudAppAccountId | String | CloudApp プロバイダーからのアラートにおける AccountID。 他の Microsoft 製品でサポートされていないサード パーティ製アプリのアカウント ID を参照します。 |
| IsAnonymized | Bool? | ユーザー名が匿名化されているかどうかを示します。 Optional. 既定値 : false。 |
| Stream | Stream | 特定のアカウントに関連する検出ログのソース。 Optional. |
アカウント エンティティの強い識別子
- 名前 + UPNSフィックス
- AadUserId
-
Sid
** この識別子は、下記の注記に記載されている組み込みアカウントのいずれかでない限り強力です。 -
シド+ ホスト
** アカウントが下 記の注 記に記載されている組み込みアカウントのいずれかの場合、ホストコンポーネントがこの識別子を強力なものにするために必要です。 -
名前 + NTDomain
** アカウントがドメイン アカウントの場合、この組み合わせは強い識別子です。NTDomain が組み込みのドメイン/ワークグループではなく、ホスト名と異なるためです。 この場合は、Host コンポーネントがなくても強い識別子です。 -
名前 + NTDomain + ホスト
** アカウントがローカル アカウントの場合、つまり、NTDomain が組み込みのドメイン/ワークグループの場合は、強い識別子を作成するために Host コンポーネントが必要です。 - 名前 + Dnsドメイン
- PUID
- ObjectGuid
アカウント エンティティの弱い識別子
- Name
Note
アカウントエンティティがName識別子で定義され、かつ特定のエンティティの名前値が以下の一般的な組み込みアカウント名のいずれかであれば、そのエンティティはアラートから除外されます。
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- 認証済みユーザー
- NETWORK
- NULL
- ローカルシステム
- LOCALSYSTEM
- ネットワークサービス
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Host
エンティティ名: ホスト
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | リスト<エンティティ(Ip)> | ホスト コンピューター上のすべての IP インターフェイスの一覧。 |
| DnsDomain | String | このホストが属している DNS ドメイン。 既知の場合は、ドメインの完全な DNS サフィックスが含まれている必要があります。 |
| NTDomain | String | このホストが属している NT ドメイン。 |
| HostName | String | ドメイン サフィックスを除いたホスト名。 |
| NetBiosName | String | ホスト名 (Windows 2000 より前)。 |
| IoTDevice | エンティティ(IoTデバイス) | IoT デバイス エンティティ (このホストが IoT デバイスを表している場合)。 |
| AzureID | String | VM の Azure リソース ID (既知の場合)。 |
| OMSAgentID | String | OMS エージェント ID (ホストに OMS エージェントがインストールされている場合)。 |
| OSFamily | Enum? | 次のいずれかの値です。 |
| OSVersion | String | オペレーティング システムの自由記載表現。 このフィールドは、OSFamily より細かい特定のバージョン、または OSFamily 列挙型でサポートされていない将来の値を保持することを意図しています。 |
| IsDomainJoined | Bool | このホストがドメインに属しているかどうかを示します。 |
ホスト エンティティの強い識別子
- ホストネーム + NTDomain
- ホスト名 + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
ホスト エンティティの弱い識別子
- HostName
- NetBiosName
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
IP
エンティティ名: IP
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | 文字列としての IP アドレス (IPv4 または IPv6)。 例: 20.112.250.133、 2603:1030:b:3::152 |
| AddressScope | String | プライベートや非グローバルの IP アドレスのホスト、サブネット、プライベート・ネットワークの名前。 グローバル IP アドレスの場合は Null または空 (既定値)。 例: /27、 255.255.255.128 |
| Location | GeoLocation | IP エンティティに関連付けられている地理的な場所のコンテキスト。 詳細については、「 REST API を使用して位置情報データを使用して Microsoft Sentinel のエンティティを強化する (パブリック プレビュー)」も参照してください。 |
| Stream | Stream | 特定の IP に関連する検出ログのソース。 Optional. |
IP エンティティの強い識別子
-
Address
IP アドレスがグローバル アドレスの場合、アドレス識別子自体は一意の強力な識別子です。 -
アドレス + アドレススコープ
プライベート/内部のグローバル以外の IP アドレスの場合、これを厳密な識別子にするには AddressScope コンポーネントが必要です。
IP エンティティの弱い識別子
-
Address
IP アドレスがプライベート/内部の非グローバル IP アドレスである場合、アドレス識別子自体は弱い識別子です。
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Malware
エンティティ名: マルウェア
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | (検出?) ベンダーによって割り当てられたマルウェア名。例: Win32/Toga!rfn。 |
| Category | String | (検出?) ベンダーによって割り当てられたマルウェアのカテゴリ。例: Trojan. |
| Files | リスト<・エンティティ(ファイル)> | マルウェアが検出された、リンクされたファイル エンティティのリスト。 ファイル エンティティをインラインまたは参照として含めることができます。 構造の詳細については ファイル エンティティをご覧ください。 |
| Processes | List<Entity(プロセス)> | マルウェアが検出された、リンクされたプロセス エンティティのリスト。 これは、ファイルレス アクティビティでアラートがトリガーされたときによく使用されます。 構造の詳細については 「プロセス エンティティ」をご覧ください。 |
マルウェア エンティティの強い識別子
- 名前 + カテゴリ
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
File
エンティティ名: ファイル
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | ファイルへの完全なパスです。 |
| Name | String | パスを除いたファイル名 (一部のアラートにはパスが含まれない場合があります)。 |
| AlternateDataStreamName | String | NTFS ファイルシステム内のファイル ストリーム名 (メイン ストリームの場合は null)。 |
| Host | エンティティ(ホスト) | ファイルが格納されたホスト。 |
| HostUrl | エンティティ(URL) | ファイルがダウンロードされた場所の URL (Web のマーク)。 |
| WindowsSecurityZoneType | WindowsSecurityZone | URL が属する Windows セキュリティ ゾーン (Web のマーク)。 |
| ReferrerUrl | エンティティ(URL) | ファイルダウンロードの HTTP 要求の参照元 URL (Web のマーク)。 |
| SizeInBytes | Long? | ファイルのサイズをバイト単位で指定します。 |
| FileHashes | List<Entity(FileHash)> | このファイルに関連付けられているファイル ハッシュ。 |
ファイル エンティティの強い識別子
- 名前 + ディレクトリ
- 名前 + ファイルハッシュ
- 名前 + ディレクトリ + FileHash
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Process
エンティティ名: プロセス
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | プロセス ID。 |
| CommandLine | String | プロセスを作成するために使用されるコマンド ライン。 |
| ElevationToken | Enum? | プロセスに関連付けられた昇格トークン。 使用可能な値: |
| CreationTimeUtc | DateTime? | プロセスの実行が開始された日時。 |
| ImageFile | エンティティ(ファイル) | ファイル エンティティをインラインまたは参照として含めることができます。 構造の詳細については ファイル エンティティをご覧ください。 |
| Account | 事業体(アカウント) | プロセスが実行されているアカウント。 Account エンティティをインラインまたは参照として含めることができます。 構造の詳細については 、アカウント エンティティをご覧ください。 |
| ParentProcess | エンティティ(プロセス) | 親プロセス エンティティ。 部分的なデータ (PID のみなど) を含めることができます。 |
| Host | エンティティ(ホスト) | プロセスが実行されていたホスト。 |
| LogonSession | エンティティ(HostLogonSession) | セッションが実行されていたホスト。 |
プロセス エンティティの強い識別子
- ホスト + ProcessId + CreationTimeUtc
- ホスト + ParentProcessId + CreationTimeUtc + CommandLine
- ホスト + ProcessID + CreationTimeUtc + ImageFile
- ホスト + ProcessID + CreationTimeUtc + ImageFile.FileHash
プロセス エンティティの弱い識別子
- ProcessId + CreationTimeUtc + CommandLine (Host はなし)
- ProcessID + CreationTimeUtc + ImageFile (ホストなし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
クラウド アプリケーション
エンティティ名: CloudApplication
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | 非推奨です。代わりに SaasId フィールドを使用してください。 アプリケーションの技術的 ID。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 価値は任意です。 InstanceId を含めることはできません。 |
| SaasId | Int | 非推奨の AppId フィールドを置き換えます。 アプリケーションの技術的 ID。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 価値は任意です。 InstanceId を含めることはできません。 |
| Name | String | 関連するクラウド アプリケーションの名前。 価値は任意です。 |
| InstanceName | String | クラウド アプリケーションのユーザー定義のインスタンス名。 多くの場合、顧客が持っている同じ種類の複数のアプリケーションを区別するために使用されます。 |
| InstanceId | Int | アプリケーションの特定のセッションの識別子。 これは、0 から始まる連続番号です。 価値は任意です。 |
| Risk | AppRisk? | リスク スコアでアプリをフィルター処理できるため、たとえば、リスクの高いアプリのみの確認に集中できます。 Low、Medium、High、Unknown が使用可能な値です。 |
| Stream | Stream | 特定のクラウド アプリに関連する検出ログのソース。 Optional. |
クラウド アプリケーション エンティティの強い識別子
- AppId (InstanceName なし)
- 名前 (InstanceName なし)
- AppId + InstanceName
- 名前 + インスタンスネーム
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
DNS 解決
エンティティ名: DNS
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | アラートに関連付けられている DNS レコードの名前。 |
| IpAddress | リスト<・エンティティ(IP)> | 解決された IP アドレスに対応するエンティティ。 |
| DnsServerIp | エンティティ(IP) | 要求を解決する DNS サーバーを表すエンティティ。 |
| HostIpAddress | エンティティ(IP) | DNS 要求クライアントを表すエンティティ。 |
DNS エンティティの強い識別子
- ドメイン名 + dnsServerIp + HostIpAddress
DNS エンティティの弱い識別子
- ドメイン名 + HostIpAddress
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Azure リソース
エンティティ名: AzureResource
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | リソースの Azure リソース ID。 Mandatory. |
| SubscriptionId | String | リソースのサブスクリプション ID。 |
| ActiveContacts | リスト<ActiveContact> | リソースに関連付けられているアクティブな連絡先。 |
| ResourceType | String | リソースの種類。 |
| ResourceName | String | リソースの名前。 |
Azure リソース エンティティの強い識別子
- ResourceId
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
ファイルハッシュ
エンティティ名: FileHash
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | ハッシュ アルゴリズムの種類。 Mandatory. 使用可能な値: |
| Value | String | ハッシュ値。 Mandatory. |
ファイル ハッシュ エンティティの強い識別子
- アルゴリズム + 値
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
レジストリ キー
エンティティ名: RegistryKey
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | 次のいずれかの値です。 |
| Key | String | レジストリ キーのパス |
レジストリ キー エンティティの強い識別子
- Hive + キー
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
レジストリ値
エンティティ名: RegistryValue
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | エンティティ(ホスト) | レジストリが属しているホスト。 |
| Key | エンティティ(RegistryKey) | レジストリ キーのエンティティ。 |
| Name | String | レジストリ値の名前。 |
| Value | String | 値データの文字列形式の表現。 |
| ValueType | Enum? | 次のいずれかの値です。 値は、Microsoft.Win32.RegistryValueKind 列挙型に準拠している必要があります。 |
レジストリ値エンティティの強い識別子
- キー + 名前
レジストリ値エンティティの弱い識別子
- Name (Key なし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
セキュリティ グループ
エンティティ名: SecurityGroup
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | グループの識別名。 |
| SID | String | グループのセキュリティ識別子 (SID) を指定する単一値の属性です。 |
| ObjectGuid | Guid? | Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。 |
セキュリティ グループ エンティティの強い識別子
- DistinguishedName
- SID
- ObjectGuid
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
URL
エンティティ名: URL
| Field | タイプ | Description |
|---|---|---|
| タイプ | String | 'url' |
| Url | Uri | エンティティが指している完全な URL。 Mandatory. |
URL エンティティの強い識別子
- URL (** この識別子はURLが絶対的なURLの場合に強く使われます。)
URL エンティティの弱い識別子
- URL (** URL が相対 URL の場合、この識別子は弱いです。)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
IoT デバイス
エンティティ名: IoTDevice
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | デバイスが属している IoT Hub を表す AzureResource エンティティ。 |
| DeviceId | String | IoT Hub のコンテキストでのデバイスの ID。 Mandatory. |
| DeviceName | String | デバイスのフレンドリ名。 |
| Owners | 文字列<>一覧表示する | デバイスの所有者。 |
| IoTSecurityAgentId | Guid? | デバイスで実行されている Defender for IoT エージェントの ID。 |
| DeviceType | String | デバイスの種類 (例: "temperature sensor"、"freezer"、"wind turbine")。 |
| DeviceTypeId | String | デバイスの種類スキーマに従って各デバイスの種類を識別するための一意の ID。デバイスの種類自体は表示名であり、比較において信頼できるものではありません。 使用可能な値: 未分類 = 0 その他 = 1 ネットワーク デバイス = 2 プリンター = 3 音声とビデオ = 4 メディアと監視 = 5 通信 = 7 スマート アプライアンス = 9 ワークステーション = 10 サーバー = 11 モバイル = 12 スマート機能 = 13 産業用 = 14 運用機器 = 15 |
| Source | String | デバイス エンティティのソース (Microsoft/Vendor)。 |
| SourceRef | エンティティ(URL) | デバイスが管理されているソース項目への URL 参照。 |
| Manufacturer | String | デバイスの製造元。 |
| Model | String | デバイスのモデル。 |
| OperatingSystem | String | デバイスで実行されているオペレーティング システム。 |
| IpAddress | エンティティ(IP) | デバイスの現在の IP アドレス。 |
| MacAddress | String | デバイスの MAC アドレス。 |
| Nics | エンティティ(Nic) | デバイス上の現在の NIC。 |
| Protocols | 文字列<>一覧表示する | デバイスでサポートされているプロトコルのリスト。 |
| SerialNumber | String | デバイスのシリアル番号。 |
| Site | String | デバイスのサイトの場所。 |
| Zone | String | サイト内のデバイスのゾーンの場所。 |
| Sensor | String | デバイスを監視するセンサー。 |
| Importance | Enum? | 次のいずれかの値です。 |
| PurdueLayer | String | デバイスの Purdue レイヤー。 |
| IsProgramming | Bool? | デバイスがプログラミング デバイスとして分類されているかどうかを示します。 |
| IsAuthorized | Bool? | デバイスが承認されたデバイスとして分類されているかどうかを示します。 |
| IsScanner | Bool? | デバイスがスキャナー デバイスとして分類されているかどうかを示します。 |
| DevicePageLink | エンティティ(URL) | Defender for IoT ポータルのデバイス ページへの URL。 |
| DeviceSubType | String | デバイスのサブタイプの名前。 |
IoT デバイス エンティティの強い識別子
- IoTHub + DeviceId
IoT デバイス エンティティの弱い識別子
- DeviceId (IoTHub なし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Mailbox
エンティティ名: メールボックス
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | メールボックスのプライマリ アドレス。 |
| DisplayName | String | メールボックスの表示名。 |
| Upn | String | メールボックスの UPN。 |
| AadId | String | ユーザーのメールボックスの Azure AD 識別子。 |
| RiskLevel | リスクレベル(整数) | このメールボックスのリスク レベル。 使用可能な値: |
| ExternalDirectoryObjectId | Guid? | メールボックスの AzureAD 識別子。 Account エンティティの AadUserId に似ていますが、このプロパティは Office 側でのメールボックス オブジェクトに固有です。 |
メールボックス エンティティの強い識別子
- MailboxPrimaryAddress
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
メール クラスター
エンティティ名: MailCluster
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | IList<String> | メール クラスターの一部であるメール メッセージ ID。 |
| CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 文字列表現別のメール メッセージの数。 |
| CountByThreatType | IDictionary<String,Int> | ThreatType 文字列表現別のメール メッセージの数。 |
| CountByProtectionStatus | IDictionary<String、long> | 保護ステータス文字列表現別のメール メッセージの数。 |
| CountByDeliveryLocation | IDictionary<String、long> | 配信場所文字列表現別のメール メッセージの数。 |
| Threats | IList<String> | メール クラスターの一部であるメール メッセージの脅威。 |
| Query | String | メール クラスターのメッセージの識別に使用されたクエリ。 |
| QueryTime | DateTime? | クエリの日時。 |
| MailCount | Int? | メール クラスターの一部であるメール メッセージの数。 |
| IsVolumeAnomaly | Bool? | メール クラスターがボリューム異常メール クラスターかどうかを示します。 |
| Source | String | メール クラスターのソース (既定値は O365 ATP)。 |
メール クラスター エンティティの強い識別子
- クエリ + ソース
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
メール メッセージ
エンティティ名: MailMessage
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | IList<Entity(ファイル)> | このメール メッセージの添付ファイルのファイル エンティティ。 |
| Recipient | String | このメール メッセージの受信者。 複数の受信者がいる場合、メール メッセージがコピーされ、コピーごとに 1 人の受信者になります。 |
| Urls | IList<String> | このメール メッセージに含まれている URL。 |
| Threats | IList<String> | このメール メッセージに含まれている脅威。 |
| Sender | String | 送信者の電子メール アドレス。 |
| SenderIP | String | 送信者の IP アドレス。 |
| ReceivedDate | DateTime | このメッセージの受信日時。 |
| NetworkMessageId | Guid? | このメール メッセージのネットワーク メッセージ ID。 |
| InternetMessageId | String | このメール メッセージのインターネット メッセージ ID。 |
| Subject | String | このメール メッセージの件名。 |
| AntispamDirection | Enum? | このメール メッセージの方向。 使用可能な値: |
| DeliveryAction | Enum? | このメール メッセージの配信アクション。 使用可能な値: |
| DeliveryLocation | Enum? | このメール メッセージの配信場所。 使用可能な値: |
| CampaignId | String | このメール メッセージが存在するキャンペーンの識別子。 |
| SuspiciousRecipients | IList<String> | 疑わしいと検出された受信者の一覧。 |
| ForwardedRecipients | IList<String> | 転送されたメールのすべての受信者の一覧。 |
| ForwardingType | IList<String> | SMTP、ETR などのメールの転送の種類。 |
メール メッセージ エンティティの強い識別子
- NetworkMessageID + 受信者
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
送信メール
エンティティ名: SubmissionMail
| Field | タイプ | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | 申請 ID。 |
| SubmissionDate | DateTime? | この申請が報告された日時。 |
| Submitter | String | 申請者のメール アドレス。 |
| NetworkMessageId | Guid? | 申請が属しているメールのネットワーク メッセージ ID。 |
| Timestamp | DateTime? | メッセージが受信されたときのタイムスタンプ (メール)。 |
| Recipient | String | メールの受信者。 |
| Sender | String | メールの送信者。 |
| SenderIp | String | 送信者の IP。 |
| Subject | String | 申請メールの件名。 |
| ReportType | String | 特定のインスタンスの申請の種類。 指定できる値は、Junk、Phish、Malware、NotJunk です。 |
送信メール エンティティの強い識別子
- SubmissionId、Submiter、NetworkMessageId、Recipient
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
センチネル・エンティティ
| Field | タイプ | Description |
|---|---|---|
| Entities | String | アラートで識別されたエンティティのリスト。 このリストはSecurityAlertスキーマの エンティティ 欄です(ドキュメント参照)。 |
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
クラウド アプリケーションの識別子
次の一覧では、既知のクラウド アプリケーションの識別子を定義します。 App IDの値は クラウドアプリケーション エンティティ識別子として使われます。
| アプリ ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | コーナーストーン・オンデマンド |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | ジャイブソフトウェア |
| 11114 | Salesforce |
| 11161 | オフィス365 |
| 11162 | Microsoft OneNote Online |
| 11394 | マイクロソフトオンラインサービス |
| 11522 | Yammer |
| 11599 | アマゾン ウェブ サービス |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G スイート |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business(ビジネス用 |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | アリバ株式会社 |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | クラウドアプリ向けのMicrosoft Defender |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion ライフサイクル |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | マイクロソフト Skype for Business |
| 25988 | Googleドキュメント |
| 26055 | Microsoft 365 管理センター |
| 26060 | OPSWATの歯車 |
| 26061 | Microsoft Word Online |
| 26062 | マイクロソフトPowerPointオンライン |
| 26063 | Microsoft Excel Online |
| 26069 | Google ドライブ |
| 26206 | Workiva |
| 26311 | マイクロソフト・ダイナミクス |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Facebookによる職場 |
| 28373 | CAS プロキシ エミュレーター |
| 28375 | Microsoft Teams |
| 32780 | マイクロソフト ダイナミクス 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | マイクロソフト・ダイナミクス・タレント |
次のステップ
このドキュメントでは、Microsoft Azure Sentinel でのエンティティの構造、識別子、スキーマについて学習しました。
エンティティとエンティティマッピングについて詳しく学びましょう。