このドキュメントには、Azure portal の Microsoft Sentinel と Defender ポータルの Microsoft Sentinel のエンティティとエンティティの種類に関する 2 つの情報セットが含まれています。
- [エンティティの種類と識別子] テーブルには、アラートとインシデントで識別できるさまざまな種類のエンティティが表示され、それらを追跡および調査できます。 この表には、エンティティ型ごとに、エンティティを識別するために使用できるさまざまな識別子も示されています。
- [Entity schema]\(エンティティ スキーマ\) セクションには、エンティティの一般的なデータ構造とスキーマ、特にエンティティの種類ごとのデータ構造とスキーマが表示されます。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
エンティティ型と識別子
次の表に、Microsoft Sentinel で認識できるエンティティ型と、各エンティティ型の識別子として使用できる属性を示します。
Microsoft Sentinel は、分析ルールのエンティティ マッピングによって作成されたアラートとインシデントのエンティティを認識します。 また、他のソースから取り込まれたアラートで既に識別されているエンティティも認識します。
現在、Microsoft Sentinel でエンティティ マッピングを作成するときに、特定のエンティティに対して最大 3 つの識別子を使用できます。 強い識別子 だけでエンティティを一意に識別できますが、 弱い識別子 は他の識別子と組み合わせてのみ行うことができます。 強い識別子と弱い識別子の詳細を確認します。 Microsoft Sentinel でエンティティ マッピングを作成するときに、このテーブルのすべての識別子を使用できるわけではありません (脚注を参照)。
エンティティ型 | 識別子 | 強い識別子 | 弱い識別子 |
---|---|---|---|
アカウント | 名前 FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid + Host** Name + Host + NTDomain ** Name + NTDomain ** Name + DnsDomain PUID ObjectGuid |
名前 |
ホスト | DnsDomain NTDomain ホストネーム FullName * NetBiosName AzureID OMSAgentID OSFamily OSのバージョン IsDomainJoined |
HostName + NTDomain HostName + DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
ホストネーム NetBiosName |
エンティティ型 | 識別子 | 厳密な識別子 | 弱い識別子 |
IP | 番地 AddressScope |
グローバル アドレス: 住所** プライベート アドレス: Address+AddressScope** |
プライベート アドレス: 住所** |
URL | URL | URL (絶対 URL の場合)** | URL (相対 URL の場合)** |
Azure リソース (AzureResource) |
リソースID | リソースID | |
クラウド アプリケーション (CloudApplication) |
AppId 名前 インスタンス名 |
AppId 名前 AppId+InstanceName Name + InstanceName |
|
DNS 解決 (DNS) |
ドメインネーム | DomainName + DnsServerIp+HostIpAddress | DomainName+ HostIpAddress |
ファイル | ディレクトリ 名前 |
ディレクトリ + 名前 | |
ファイル ハッシュ (FileHash) |
アルゴリズム 値 |
アルゴリズム + 値 | |
マルウェア | 名前 カテゴリ |
名前とカテゴリ | |
エンティティ型 | 識別子 | 厳密な識別子 | 弱い識別子 |
過程 | プロセスID コマンドライン ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc ホスト+ParentProcessId+ CreationTimeUtc + CommandLine Host+ProcessId+ CreationTimeUtc+ ImageFile Host+ProcessId+ CreationTimeUtc+ ImageFile+ FileHash |
ProcessId+ CreationTimeUtc+ CommandLine (ホストなし) ProcessId+ CreationTimeUtc+ ImageFile (ホストなし) |
レジストリ キー (RegistryKey) |
ハイブ キー |
Hive + Key | |
レジストリ値 (RegistryValue) |
名前 値 バリュータイプ |
キー + 名前 | Name (キーなし) |
セキュリティ グループ (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
メールボックス | MailboxPrimaryAddress 表示名 アップン ExternalDirectoryObjectId リスクレベル |
MailboxPrimaryAddress | |
エンティティ型 | 識別子 | 厳密な識別子 | 弱い識別子 |
メール クラスター (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 脅威 クエリ QueryTime MailCount IsVolumeAnomaly ソース ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
クエリ + ソース | |
メール メッセージ (MailMessage) |
受信者 URL 脅威 送信者 P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate ネットワークメッセージID インターネットメッセージID サブジェクト BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction 配送場所 言語* ThreatDetectionMethods * |
NetworkMessageId + Recipient | |
送信メール (SubmissionMail) |
ネットワークメッセージID タイムスタンプ 受信者 送信者 SenderIp サブジェクト ReportType SubmissionId SubmissionDate 申請者 |
SubmissionId+NetworkMessageId+ Recipient + Submiter |
|
Sentinel エンティティ | エンティティ | エンティティ |
表脚注:
- * これらの識別子は、エンティティ マッピングで使用できる識別子の一覧に表示されますが、厳密にはエンティティ スキーマの一部ではありません。
- ** これらの識別子は、特定の条件下でのみ強い識別子と見なされます。 アスタリスクのリンクに従って、以下の エンティティ スキーマ セクションの関連エンティティの一覧の下で、適用される条件を確認します。
- 斜体の識別子名 (アスタリスクなし) は内部エンティティを表します。つまり、1 つのエンティティ型に属性として他のエンティティ型を含めることができます ( 後述の「エンティティ スキーマ」セクションを参照)。 識別子のリンクをたどると、内部エンティティ自体のスキーマが確認できます。
- スキーマには他のエンティティが存在する可能性があります。これは、Microsoft Sentinel 以外にも多くのことをサポートする一般的なスキーマです。 この記事には、Microsoft Sentinel で使用できるエンティティのみが記載されています。
エンティティ型スキーマ
以下のセクションでは、各エンティティ型の完全なスキーマの詳細について説明します。 これらのスキーマの多くには、他のエンティティ型へのリンクが含まれていることがわかります。 たとえば、Account のスキーマには、Host エンティティ型へのリンクが含まれています。これは、ユーザー アカウントの 1 つの属性は、それが定義されているホストであるためです。 これらの属性としてのエンティティは "内部エンティティ" と呼ばれ、エンティティ マッピングのための識別子としては使用できませんが、エンティティ ページと調査グラフでエンティティの詳細を提供する場合に非常に便利です。
注
[型] 列の値の後にある疑問符は、フィールドが null 許容であることを示します。
エンティティ型のスキーマの一覧
- アカウント
- ホスト
- IP
- マルウェア
- ファイル
- 過程
- クラウド アプリケーション
- DNS 解決
- Azure リソース
- ファイル ハッシュ
- レジストリ キー
- レジストリ値
- セキュリティ グループ
- URL
- IoT デバイス
- メールボックス
- メール クラスター
- メール メッセージ
- 送信メール
- Sentinel エンティティ
アカウント
エンティティ名: アカウント
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'account' |
名前 | 糸 | アカウントの名前。 このフィールドには、ドメインが追加されていない名前のみを設定する必要があります。 |
FullName | -- | 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。 |
NTDomain | 糸 | アラート形式 domain\username で表される NETBIOS ドメイン名。 例: 財務、NT AUTHORITY |
DnsDomain | 糸 | 完全修飾ドメイン DNS 名。 例: finance.contoso.com |
UPNSuffix | 糸 | アカウントのユーザー プリンシパル名サフィックス。 多くの場合、UPN サフィックスもドメイン名です。 例: contoso.com |
ホスト | エンティティ (ホスト) | ローカル アカウントの場合は、アカウントが含まれているホスト。 |
Sid | 糸 | アカウントのセキュリティ識別子。 |
AadTenantId | Guid? | Microsoft Entra テナント ID (既知の場合)。 |
AadUserId | Guid? | Microsoft Entra アカウント オブジェクト ID (既知の場合)。 |
PUID | Guid? | Microsoft Entra パスワード ユーザー ID (既知の場合)。 |
IsDomainJoined | ブール? | アカウントがドメイン アカウントかどうかを示します。 |
DisplayName | -- | 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。 |
ObjectGuid | Guid? | ObjectGUID 属性は、Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。 |
CloudAppAccountId | 糸 | CloudApp プロバイダーからのアラートにおける AccountID。 他の Microsoft 製品でサポートされていないサード パーティ製アプリのアカウント ID を参照します。 |
IsAnonymized | ブール? | ユーザー名が匿名化されているかどうかを示します。 省略可能。 既定値 : false 。 |
川 | ストリーム | 特定のアカウントに関連する検出ログのソース。 省略可能。 |
アカウント エンティティの強い識別子
- Name + UPNSuffix
- AadUserId
-
Sid
** アカウントが以下の注に記載されている組み込みアカウントの 1 つでない限り、この識別子は強力です。 -
Sid + Host
** アカウントが以下の 注 に記載されている組み込みアカウントの 1 つである場合、ホスト コンポーネントはこの識別子を強力なものにするために必要です。 -
名前 + NTDomain
** アカウントがドメイン アカウントの場合、この組み合わせは強い識別子です。NTDomain が組み込みのドメイン/ワークグループではなく、ホスト名と異なるためです。 この場合は、Host コンポーネントがなくても強い識別子です。 -
Name + NTDomain + Host
** アカウントがローカル アカウントの場合、つまり、NTDomain が組み込みのドメイン/ワークグループの場合は、強い識別子を作成するために Host コンポーネントが必要です。 - Name + DnsDomain
- PUID
- ObjectGuid
アカウント エンティティの弱い識別子
- 名前
注
Account エンティティが Name 識別子を使用して定義されていて、特定のエンティティの Name 値が次の汎用の一般的な組み込みアカウント名のいずれかである場合、そのエンティティはアラートから削除されます。
- 管理者
- 管理者
- 制
- 根
- アノニマス
- 認証済みユーザー
- ネットワーク
- ヌル
- ローカル システム
- ローカルシステム
- ネットワークサービス
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
ホスト
エンティティ名: ホスト
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'ホスト' |
IpInterfaces | List<Entity (Ip)> | ホスト コンピューター上のすべての IP インターフェイスの一覧。 |
DnsDomain | 糸 | このホストが属している DNS ドメイン。 既知の場合は、ドメインの完全な DNS サフィックスが含まれている必要があります。 |
NTDomain | 糸 | このホストが属している NT ドメイン。 |
HostName | 糸 | ドメイン サフィックスを除いたホスト名。 |
NetBiosName | 糸 | ホスト名 (Windows 2000 より前)。 |
IoTDevice | エンティティ (IoT デバイス) | IoT デバイス エンティティ (このホストが IoT デバイスを表している場合)。 |
AzureID | 糸 | VM の Azure リソース ID (既知の場合)。 |
OMSAgentID | 糸 | OMS エージェント ID (ホストに OMS エージェントがインストールされている場合)。 |
OSFamily | Enum? | 次のいずれかの値です。 |
OSVersion | 糸 | オペレーティング システムの自由記載表現。 このフィールドは、OSFamily より細かい特定のバージョン、または OSFamily 列挙型でサポートされていない将来の値を保持することを意図しています。 |
IsDomainJoined | ブール | このホストがドメインに属しているかどうかを示します。 |
ホスト エンティティの強い識別子
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
ホスト エンティティの弱い識別子
- ホストネーム
- NetBiosName
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
インターネット プロトコル (IP)
エンティティ名: IP
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'ip' |
住所 | 糸 | 文字列としての IP アドレス (IPv4 または IPv6)。 例: 20.112.250.133 、 2603:1030:b:3::152 |
AddressScope | 糸 | プライベートや非グローバルの IP アドレスのホスト、サブネット、プライベート・ネットワークの名前。 グローバル IP アドレスの場合は Null または空 (既定値)。 例: /27 、 255.255.255.128 |
場所 | ジオロケーション | IP エンティティに関連付けられている地理的な場所のコンテキスト。 詳細については、「 REST API を使用して位置情報データを使用して Microsoft Sentinel のエンティティを強化する (パブリック プレビュー)」も参照してください。 |
川 | ストリーム | 特定の IP に関連する検出ログのソース。 省略可能。 |
IP エンティティの強い識別子
-
住所
IP アドレスがグローバル アドレスの場合、アドレス識別子自体は一意の強力な識別子です。 -
Address + AddressScope
プライベート/内部のグローバル以外の IP アドレスの場合、これを厳密な識別子にするには AddressScope コンポーネントが必要です。
IP エンティティの弱い識別子
-
住所
IP アドレスがプライベート/内部の非グローバル IP アドレスである場合、アドレス識別子自体は弱い識別子です。
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
マルウェア
エンティティ名: マルウェア
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'malware' |
名前 | 糸 | (検出?) ベンダーによって割り当てられたマルウェア名。例: Win32/Toga!rfn 。 |
カテゴリ | 糸 | (検出?) ベンダーによって割り当てられたマルウェアのカテゴリ。例: Trojan。 |
ファイル | List<Entity (ファイル)> | マルウェアが検出された、リンクされたファイル エンティティのリスト。 ファイル エンティティをインラインまたは参照として含めることができます。 構造の詳細については、 File エンティティを参照してください。 |
プロセス | List<Entity (Process)> | マルウェアが検出された、リンクされたプロセス エンティティのリスト。 これは、ファイルレス アクティビティでアラートがトリガーされたときによく使用されます。 構造の詳細については、 Process エンティティを参照してください。 |
マルウェア エンティティの強い識別子
- 名前 + カテゴリ
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
ファイル
エンティティ名: ファイル
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'ファイル' |
ディレクトリ | 糸 | ファイルへの完全なパスです。 |
名前 | 糸 | パスを除いたファイル名 (一部のアラートにはパスが含まれない場合があります)。 |
AlternateDataStreamName | 糸 | NTFS ファイルシステム内のファイル ストリーム名 (メイン ストリームの場合は null)。 |
ホスト | エンティティ (ホスト) | ファイルが格納されたホスト。 |
HostUrl | エンティティ (URL) | ファイルがダウンロードされた場所の URL (Web のマーク)。 |
WindowsSecurityZoneType | WindowsSecurityZone | URL が属する Windows セキュリティ ゾーン (Web のマーク)。 |
ReferrerUrl | エンティティ (URL) | ファイルダウンロードの HTTP 要求の参照元 URL (Web のマーク)。 |
SizeInBytes | ロング? | ファイルのサイズをバイト単位で指定します。 |
FileHashes | List<Entity (FileHash)> | このファイルに関連付けられているファイル ハッシュ。 |
ファイル エンティティの強い識別子
- 名前 + ディレクトリ
- Name + FileHash
- 名前 + ディレクトリ + FileHash
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
プロセス
エンティティ名: プロセス
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'process' |
プロセスID | 糸 | プロセス ID。 |
CommandLine | 糸 | プロセスを作成するために使用されるコマンド ライン。 |
ElevationToken | Enum? | プロセスに関連付けられた昇格トークン。 指定できる値 |
CreationTimeUtc | DateTime? | プロセスの実行が開始された日時。 |
ImageFile | エンティティ (ファイル) | ファイル エンティティをインラインまたは参照として含めることができます。 構造の詳細については、 File エンティティを参照してください。 |
アカウント | エンティティ (アカウント) | プロセスが実行されているアカウント。 Account エンティティをインラインまたは参照として含めることができます。 構造の詳細については、 Account エンティティを参照してください。 |
ParentProcess | エンティティ (プロセス) | 親プロセス エンティティ。 部分的なデータ (PID のみなど) を含めることができます。 |
ホスト | エンティティ (ホスト) | プロセスが実行されていたホスト。 |
LogonSession | Entity (HostLogonSession) | セッションが実行されていたホスト。 |
プロセス エンティティの強い識別子
- Host + ProcessId + CreationTimeUtc
- ホスト + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
プロセス エンティティの弱い識別子
- ProcessId + CreationTimeUtc + CommandLine (Host はなし)
- ProcessId + CreationTimeUtc + ImageFile (およびホストなし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
クラウド アプリケーション
エンティティ名: CloudApplication
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'cloud-application' |
AppId | int | 非推奨です。代わりに SaasId フィールドを使用してください。 アプリケーションの技術的 ID。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。 |
SaasId | int | 非推奨の AppId フィールドを置き換えます。 アプリケーションの技術的 ID。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。 |
名前 | 糸 | 関連するクラウド アプリケーションの名前。 値は省略可能です。 |
InstanceName | 糸 | クラウド アプリケーションのユーザー定義のインスタンス名。 多くの場合、顧客が持っている同じ種類の複数のアプリケーションを区別するために使用されます。 |
InstanceId | int | アプリケーションの特定のセッションの識別子。 これは、0 から始まる連続番号です。 値は省略可能です。 |
リスク | AppRisk? | リスク スコアでアプリをフィルター処理できるため、たとえば、リスクの高いアプリのみの確認に集中できます。 Low、Medium、High、Unknown が使用可能な値です。 |
川 | ストリーム | 特定のクラウド アプリに関連する検出ログのソース。 省略可能。 |
クラウド アプリケーション エンティティの強い識別子
- AppId (InstanceName なし)
- 名前 (InstanceName なし)
- AppId + InstanceName
- Name + InstanceName
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
DNS の解決
エンティティ名: DNS
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'dns' |
DomainName | 糸 | アラートに関連付けられている DNS レコードの名前。 |
IpAddress の |
List<Entity (IP)> | 解決された IP アドレスに対応するエンティティ。 |
DnsServerIp | エンティティ (IP) | 要求を解決する DNS サーバーを表すエンティティ。 |
HostIpAddress | エンティティ (IP) | DNS 要求クライアントを表すエンティティ。 |
DNS エンティティの強い識別子
- DomainName + DnsServerIp + HostIpAddress
DNS エンティティの弱い識別子
- DomainName + HostIpAddress
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Azure リソース
エンティティ名: AzureResource
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "azure-resource" |
リソースID | 糸 | リソースの Azure リソース ID。 必須。 |
SubscriptionId | 糸 | リソースのサブスクリプション ID。 |
ActiveContacts | リスト<ActiveContact> | リソースに関連付けられているアクティブな連絡先。 |
リソースタイプ | 糸 | リソースの種類。 |
ResourceName | 糸 | リソースの名前。 |
Azure リソース エンティティの強い識別子
- リソースID
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
ファイル ハッシュ
エンティティ名: FileHash
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "filehash" |
アルゴリズム | 列挙型 | ハッシュ アルゴリズムの種類。 必須。 指定できる値 |
価値 | 糸 | ハッシュ値。 必須。 |
ファイル ハッシュ エンティティの強い識別子
- アルゴリズム + 値
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
レジストリ キー
エンティティ名: RegistryKey
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'registry-key' |
巣箱 | Enum? | 次のいずれかの値です。 |
鍵 | 糸 | レジストリ キーのパス |
レジストリ キー エンティティの強い識別子
- Hive + キー
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
レジストリ値
エンティティ名: RegistryValue
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | 'registry-value' |
ホスト | エンティティ (ホスト) | レジストリが属しているホスト。 |
鍵 | Entity (RegistryKey) | レジストリ キーのエンティティ。 |
名前 | 糸 | レジストリ値の名前。 |
価値 | 糸 | 値データの文字列形式の表現。 |
ValueType | Enum? | 次のいずれかの値です。 値は、Microsoft.Win32.RegistryValueKind 列挙型に準拠している必要があります。 |
レジストリ値エンティティの強い識別子
- キー + 名前
レジストリ値エンティティの弱い識別子
- Name (Key なし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
セキュリティ グループ
エンティティ名: SecurityGroup
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "security-group" |
DistinguishedName | 糸 | グループの識別名。 |
SID | 糸 | グループのセキュリティ識別子 (SID) を指定する単一値の属性です。 |
ObjectGuid | Guid? | Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。 |
セキュリティ グループ エンティティの強い識別子
- DistinguishedName
- SID
- ObjectGuid
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
URL
エンティティ名: URL
フィールド | タイプ | 説明 |
---|---|---|
タイプ | 糸 | "url" |
URL | うり | エンティティが指している完全な URL。 必須。 |
URL エンティティの強い識別子
- URL (** URL が絶対 URL の場合、この識別子は厳密です)。
URL エンティティの弱い識別子
- URL (** URL が相対 URL の場合、この識別子は弱いです。)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
IoT デバイス
エンティティ名: IoTDevice
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "iotdevice" |
IoTHub | Entity (AzureResource) | デバイスが属している IoT Hub を表す AzureResource エンティティ。 |
DeviceId | 糸 | IoT Hub のコンテキストでのデバイスの ID。 必須。 |
DeviceName | 糸 | デバイスのフレンドリ名。 |
所有者 | 文字列<>一覧表示する | デバイスの所有者。 |
IoTSecurityAgentId | Guid? | デバイスで実行されている Defender for IoT エージェントの ID。 |
DeviceType | 糸 | デバイスの種類 (例: "temperature sensor"、"freezer"、"wind turbine")。 |
DeviceTypeId | 糸 | デバイスの種類スキーマに従って各デバイスの種類を識別するための一意の ID。デバイスの種類自体は表示名であり、比較において信頼できるものではありません。 指定できる値 未分類 = 0 その他 = 1 ネットワーク デバイス = 2 プリンター = 3 音声とビデオ = 4 メディアと監視 = 5 通信 = 7 スマート アプライアンス = 9 ワークステーション = 10 サーバー = 11 モバイル = 12 スマート機能 = 13 産業用 = 14 運用機器 = 15 |
源 | 糸 | デバイス エンティティのソース (Microsoft/Vendor)。 |
SourceRef | エンティティ (URL) | デバイスが管理されているソース項目への URL 参照。 |
生産者 | 糸 | デバイスの製造元。 |
モデル | 糸 | デバイスのモデル。 |
OperatingSystem | 糸 | デバイスで実行されているオペレーティング システム。 |
IpAddress の |
エンティティ (IP) | デバイスの現在の IP アドレス。 |
MacAddress | 糸 | デバイスの MAC アドレス。 |
Nics | エンティティ (Nic) | デバイス上の現在の NIC。 |
プロトコル | 文字列<>一覧表示する | デバイスでサポートされているプロトコルのリスト。 |
SerialNumber | 糸 | デバイスのシリアル番号。 |
敷地 | 糸 | デバイスのサイトの場所。 |
ゾーン | 糸 | サイト内のデバイスのゾーンの場所。 |
センサー | 糸 | デバイスを監視するセンサー。 |
重要性 | Enum? | 次のいずれかの値です。 |
PurdueLayer | 糸 | デバイスの Purdue レイヤー。 |
IsProgramming | ブール? | デバイスがプログラミング デバイスとして分類されているかどうかを示します。 |
IsAuthorized | ブール? | デバイスが承認されたデバイスとして分類されているかどうかを示します。 |
IsScanner | ブール? | デバイスがスキャナー デバイスとして分類されているかどうかを示します。 |
DevicePageLink | エンティティ (URL) | Defender for IoT ポータルのデバイス ページへの URL。 |
デバイスサブタイプ | 糸 | デバイスのサブタイプの名前。 |
IoT デバイス エンティティの強い識別子
- IoTHub + DeviceId
IoT デバイス エンティティの弱い識別子
- DeviceId (IoTHub なし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
メールボックス
エンティティ名: メールボックス
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "mailbox" |
MailboxPrimaryAddress | 糸 | メールボックスのプライマリ アドレス。 |
表示名 | 糸 | メールボックスの表示名。 |
Upn | 糸 | メールボックスの UPN。 |
AadId | 糸 | ユーザーのメールボックスの Azure AD 識別子。 |
RiskLevel | RiskLevel? | このメールボックスのリスク レベル。 指定できる値 |
ExternalDirectoryObjectId | Guid? | メールボックスの AzureAD 識別子。 Account エンティティの AadUserId に似ていますが、このプロパティは Office 側でのメールボックス オブジェクトに固有です。 |
メールボックス エンティティの強い識別子
- MailboxPrimaryAddress
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
メール クラスター
エンティティ名: MailCluster
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "mail-cluster" |
NetworkMessageIds | IList<String> | メール クラスターの一部であるメール メッセージ ID。 |
CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 文字列表現別のメール メッセージの数。 |
CountByThreatType | IDictionary<String,Int> | ThreatType 文字列表現別のメール メッセージの数。 |
CountByProtectionStatus | IDictionary<String,long> | 保護ステータス文字列表現別のメール メッセージの数。 |
CountByDeliveryLocation | IDictionary<String,long> | 配信場所文字列表現別のメール メッセージの数。 |
脅威 | IList<String> | メール クラスターの一部であるメール メッセージの脅威。 |
クエリ | 糸 | メール クラスターのメッセージの識別に使用されたクエリ。 |
QueryTime | DateTime? | クエリの日時。 |
MailCount | Int? | メール クラスターの一部であるメール メッセージの数。 |
IsVolumeAnomaly | ブール? | メール クラスターがボリューム異常メール クラスターかどうかを示します。 |
源 | 糸 | メール クラスターのソース (既定値は O365 ATP )。 |
メール クラスター エンティティの強い識別子
- クエリ + ソース
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
メール メッセージ
エンティティ名: MailMessage
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "mail-message" |
ファイル | IList<Entity (ファイル)> | このメール メッセージの添付ファイルのファイル エンティティ。 |
受信者 | 糸 | このメール メッセージの受信者。 複数の受信者がいる場合、メール メッセージがコピーされ、コピーごとに 1 人の受信者になります。 |
URL | IList<String> | このメール メッセージに含まれている URL。 |
脅威 | IList<String> | このメール メッセージに含まれている脅威。 |
差し出し人 | 糸 | 送信者の電子メール アドレス。 |
SenderIP | 糸 | 送信者の IP アドレス。 |
ReceivedDate | 日付と時間 | このメッセージの受信日時。 |
NetworkMessageId | Guid? | このメール メッセージのネットワーク メッセージ ID。 |
InternetMessageId | 糸 | このメール メッセージのインターネット メッセージ ID。 |
件名 | 糸 | このメール メッセージの件名。 |
AntispamDirection | Enum? | このメール メッセージの方向。 指定できる値 |
DeliveryAction | Enum? | このメール メッセージの配信アクション。 指定できる値 |
DeliveryLocation | Enum? | このメール メッセージの配信場所。 指定できる値 |
キャンペーンID | 糸 | このメール メッセージが存在するキャンペーンの識別子。 |
SuspiciousRecipients | IList<String> | 疑わしいと検出された受信者の一覧。 |
ForwardedRecipients | IList<String> | 転送されたメールのすべての受信者の一覧。 |
ForwardingType | IList<String> | SMTP、ETR などのメールの転送の種類。 |
メール メッセージ エンティティの強い識別子
- NetworkMessageId + Recipient
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
送信メール
エンティティ名: SubmissionMail
フィールド | タイプ | 説明 |
---|---|---|
種類 | 糸 | "SubmissionMail" |
SubmissionId | Guid? | 申請 ID。 |
SubmissionDate | DateTime? | この申請が報告された日時。 |
提出 | 糸 | 申請者のメール アドレス。 |
NetworkMessageId | Guid? | 申請が属しているメールのネットワーク メッセージ ID。 |
タイムスタンプ | DateTime? | メッセージが受信されたときのタイムスタンプ (メール)。 |
受信者 | 糸 | メールの受信者。 |
差し出し人 | 糸 | メールの送信者。 |
SenderIp | 糸 | 送信者の IP。 |
件名 | 糸 | 申請メールの件名。 |
ReportType | 糸 | 特定のインスタンスの申請の種類。 指定できる値は、Junk、Phish、Malware、NotJunk です。 |
送信メール エンティティの強い識別子
- SubmissionId、Submiter、NetworkMessageId、Recipient
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Sentinel エンティティ
フィールド | タイプ | 説明 |
---|---|---|
エンティティ | 糸 | アラートで識別されたエンティティのリスト。 この一覧は、SecurityAlert スキーマのエンティティ列です (ドキュメントを参照)。 |
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
クラウド アプリケーションの識別子
次の一覧では、既知のクラウド アプリケーションの識別子を定義します。 アプリ ID 値は、 クラウド アプリケーション エンティティ識別子として使用されます。
アプリ ID | 名前 |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | ボックス |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | cornerstone ondemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | セールスフォース |
11161 | オフィス365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft Online Services |
11522 | Yammer |
11599 | アマゾン ウェブ サービス |
11627 | Dropbox |
11713 | Expensify |
11770 | G スイート |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | 勤務日 |
13843 | LivePerson |
13979 | 同意する |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive for Business |
15782 | Citrix ShareFile |
17152 | アマゾン |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | クラウドアプリ向けのMicrosoft Defender |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Autodesk Fusion ライフサイクル |
23043 | スラック |
23233 | Microsoft Office Online |
25275 | マイクロソフト Skype for Business |
25988 | Google Docs |
26055 | Microsoft 365 管理センター |
26060 | OPSWAT Gears |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google ドライブ |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | マイクロソフト エントラ ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft フォーム |
27592 | Microsoft Flow |
27593 | マイクロソフト パワーアップ |
28353 | Workplace by Facebook |
28373 | CAS プロキシ エミュレーター |
28375 | Microsoft Teams |
32780 | マイクロソフト ダイナミクス 365 |
33626 | グーグル |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
次のステップ
このドキュメントでは、Microsoft Azure Sentinel でのエンティティの構造、識別子、スキーマについて学習しました。
エンティティとエンティティ マッピングの詳細について説明します。