このドキュメントには、defender ポータルのAzure portalとMicrosoft SentinelのMicrosoft Sentinelのエンティティとエンティティの種類に関する 2 つの情報セットが含まれています。
- [エンティティの種類と識別子] テーブルには、アラートとインシデントで識別できるさまざまな種類のエンティティが表示され、それらを追跡および調査できます。 テーブルには、エンティティの種類ごとに、エンティティを識別するために使用できるさまざまな識別子も示されています。
- [ Entity schema]\(エンティティ スキーマ \) セクションには、一般的なエンティティのデータ構造とスキーマ、および特定のエンティティ型ごとのデータ構造とスキーマが表示されます。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
エンティティの型と識別子
次の表は、Microsoft Sentinelで認識できるエンティティ型と、各エンティティ型の識別子として使用できる属性を示しています。
Microsoft Sentinelは、分析ルールのエンティティ マッピングによって作成されたアラートとインシデントのエンティティを認識します。 また、他のソースから取り込まれたアラートで既に識別されているエンティティも認識します。
現在、Microsoft Sentinelでエンティティ マッピングを作成するときに、特定のエンティティに対して最大 3 つの識別子を使用できます。 強力な識別子 だけではエンティティを一意に識別するのに十分ですが、 弱い識別子 は他の識別子と組み合わせてのみ行うことができます。 強い識別子と弱い識別子について詳しくは、こちらをご覧ください。 このテーブルのすべての識別子は、Microsoft Sentinelでエンティティ マッピングを作成するときに使用できるわけではありません (脚注を参照)。
| エンティティの種類 | 識別子 | 厳密な識別子 | 弱い識別子 |
|---|---|---|---|
| アカウント | 名前 Fullname* NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+ Host** Name+Host+NTDomain ** Name+NTDomain ** Name+ DnsDomain PUID ObjectGuid |
名前 |
| ホスト | DnsDomain NTDomain HostName Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| エンティティの型 | 識別子 | 厳密な識別子 | 弱い識別子 |
| Ip | アドレス AddressScope |
グローバル アドレス: アドレス** プライベート アドレス: Address+AddressScope** |
プライベート アドレス: アドレス** |
| Url | Url | URL (絶対 URL の場合)** | URL (相対 URL の場合)** |
|
Azure リソース (AzureResource) |
ResourceId | ResourceId | |
|
クラウド アプリケーション (CloudApplication) |
Appid 名前 Instancename |
Appid 名前 AppId+InstanceName Name+ InstanceName |
|
|
DNS 解決 (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | ディレクトリ 名前 |
Directory+ Name | |
|
ファイル ハッシュ (FileHash) |
Algorithm 値 |
アルゴリズムと値 | |
| マルウェア | 名前 カテゴリ |
名前とカテゴリ | |
| エンティティの型 | 識別子 | 厳密な識別子 | 弱い識別子 |
| プロセス | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+ CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+ CreationTimeUtc+ CommandLine (ホストなし) ProcessId+ CreationTimeUtc+ ImageFile (ホストなし) |
|
レジストリ キー (RegistryKey) |
Hive キー |
Hive + Key | |
|
レジストリ値 (RegistryValue) |
名前 値 Valuetype |
キーと名前 | 名前 (キーなし) |
|
セキュリティ グループ (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| メールボックス | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| エンティティの型 | 識別子 | 厳密な識別子 | 弱い識別子 |
|
メール クラスター (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats クエリ QueryTime MailCount IsVolumeAnomaly ソース ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
クエリとソース | |
|
メール メッセージ (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId 件名 BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 言語* ThreatDetectionMethods * |
NetworkMessageId + Recipient | |
|
送信メール (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp 件名 ReportType SubmissionId SubmissionDate 提出 |
SubmissionId+NetworkMessageId+ Recipient+Submiter |
|
| エンティティのSentinel | Entities | Entities |
テーブル脚注:
- * これらの識別子は、エンティティ マッピングで使用できる識別子の一覧に表示されますが、厳密にはエンティティ スキーマの一部ではありません。
- ** これらの識別子は、特定の条件下でのみ強力と見なされます。 アスタリスクのリンクに従って、以下のエンティティ スキーマ セクションの関連エンティティの一覧の下に適用される条件を確認します。
- 斜体の識別子名 (アスタリスクなし) は内部エンティティを表します。つまり、1 つのエンティティ型に属性として他のエンティティ型を含めることができます ( 下のエンティティ スキーマのセクションを参照)。 識別子のリンクに従って、内部エンティティの独自のスキーマを確認します。
- スキーマには他のエンティティが存在する場合があります。これは、Microsoft Sentinel以外にも多くのことをサポートする一般的なスキーマです。 この記事では、Microsoft Sentinelで使用できるエンティティのみを一覧表示します。
エンティティ型スキーマ
次のセクションでは、各エンティティ型の完全なスキーマについて詳しく説明します。 これらのスキーマの多くには、他のエンティティ型へのリンクが含まれていることがわかります。 たとえば、アカウント スキーマには、ユーザー アカウントの 1 つの属性が定義されているホストであるため、Host エンティティ型へのリンクが含まれています。 これらの属性としてのエンティティは "内部エンティティ" と呼ばれ、エンティティ マッピングの識別子として使用することはできませんが、エンティティ ページと調査グラフ上のエンティティの全体像を示す場合に非常に便利です。
注:
[型] 列の値に続く疑問符は、フィールドが null 許容であることを示します。
エンティティ型スキーマの一覧
- Account
- Host
- IP
- Malware
- ファイル
- プロセス
- クラウド アプリケーション
- DNS 解決
- Azure リソース
- ファイル ハッシュ
- レジストリ キー
- レジストリ値
- セキュリティ グループ
- URL
- IoT デバイス
- メールボックス
- メール クラスター
- メール メッセージ
- 送信メール
- エンティティのSentinel
取引
エンティティ名: アカウント
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'account' |
| Name | 文字列 | アカウントの名前。 このフィールドには、ドメインが追加されていない名前のみを保持する必要があります。 |
| FullName | -- | 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。 |
| NTDomain | 文字列 | アラート形式 (domain\username) で表示される NETBIOS ドメイン名。 例: 財務、NT AUTHORITY |
| DnsDomain | 文字列 | 完全修飾ドメイン DNS 名。 例: finance.contoso.com |
| UPNSuffix | 文字列 | アカウントのユーザー プリンシパル名サフィックス。 多くの場合、UPN サフィックスもドメイン名です。 例: contoso.com |
| Host | エンティティ (ホスト) | ローカル アカウントの場合は、アカウントを含むホスト。 |
| Sid | 文字列 | アカウントのセキュリティ識別子。 |
| AadTenantId | Guid。 | Microsoft Entraテナント ID (既知の場合)。 |
| AadUserId | Guid。 | Microsoft Entra アカウント オブジェクト ID (既知の場合)。 |
| PUID | Guid。 | Microsoft Entra Passport ユーザー ID (既知の場合)。 |
| IsDomainJoined | Bool。 | アカウントがドメイン アカウントであるかどうかを示します。 |
| DisplayName | -- | 以前のバージョンのエンティティ マッピングとの下位互換性のために含まれるスキーマの一部ではありません。 |
| ObjectGuid | Guid。 | objectGUID 属性は、Active Directory によって割り当てられたオブジェクトの一意識別子である単一値属性です。 |
| CloudAppAccountId | 文字列 | CloudApp プロバイダーからのアラートの AccountID。 他の Microsoft 製品でサポートされていないサード パーティ製アプリのアカウント ID を参照します。 |
| IsAnonymized | Bool。 | ユーザー名が匿名化されているかどうかを示します。 省略可能。 既定値: false。 |
| Stream | Stream | 特定のアカウントに関連する検出ログのソース。 省略可能。 |
アカウント エンティティの厳密な識別子
- Name + UPNSuffix
- AadUserId
-
Sid
** アカウントが以下の注に記載されている組み込みアカウントの 1 つでない限り、この識別子は強力です。 -
Sid + Host
** アカウントが以下の 注 に記載されている組み込みアカウントの 1 つである場合、この識別子を強力なものにするにはホスト コンポーネントが必要です。 -
名前 + NTDomain
** NTDomain は組み込みのドメイン/ワークグループではなく、ホスト名とは異なるため、アカウントがドメイン アカウントの場合、この組み合わせは強力な識別子です。 この場合、これはホスト コンポーネントがなくても強力な識別子です。 -
名前 + NTDomain + Host
** ホスト コンポーネントは、アカウントがローカル アカウントである場合に強力な識別子を作成するために必要です。つまり、NTDomain は組み込みのドメイン/ワークグループです。 - 名前 + DnsDomain
- PUID
- ObjectGuid
アカウント エンティティの弱い識別子
- 名前
注:
Account エンティティが Name 識別子を使用して定義され、特定のエンティティの Name 値が次の一般的な一般的な組み込みアカウント名のいずれかである場合、そのエンティティはアラートから削除されます。
- 管理者
- 管理者
- SYSTEM
- ルート
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- Localsystem
- NETWORK SERVICE
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
ホスト
エンティティ名: ホスト
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'host' |
| IpInterfaces | List<Entity (Ip)> | ホスト コンピューター上のすべての IP インターフェイスの一覧。 |
| DnsDomain | 文字列 | このホストが属する DNS ドメイン。 ドメインの完全な DNS サフィックス (既知の場合) を含める必要があります。 |
| NTDomain | 文字列 | このホストが属する NT ドメイン。 |
| HostName | 文字列 | ドメイン サフィックスのないホスト名。 |
| NetBiosName | 文字列 | ホスト名 (Windows 2000 より前)。 |
| IoTDevice | エンティティ (IoT デバイス) | IoT デバイス エンティティ (このホストが IoT デバイスを表す場合)。 |
| AzureID | 文字列 | VM のAzureリソース ID (既知の場合)。 |
| OMSAgentID | 文字列 | OMS エージェント ID (ホストに OMS エージェントがインストールされている場合)。 |
| OSFamily | Enum。 | 以下のどちらかの値 : |
| Osversion | 文字列 | オペレーティング システムのフリー テキスト表現。 このフィールドは、特定のバージョンを保持することを目的としており、OSFamily よりもきめ細かい値、または OSFamily 列挙でサポートされていない将来の値を保持します。 |
| IsDomainJoined | ブール | このホストがドメインに属しているかどうかを示します。 |
ホスト エンティティの厳密な識別子
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
ホスト エンティティの弱い識別子
- HostName
- NetBiosName
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
IP
エンティティ名: IP
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'ip' |
| Address | 文字列 | 文字列としての IP アドレス (IPv4 または IPv6)。 例: 20.112.250.133、 2603:1030:b:3::152 |
| AddressScope | 文字列 | プライベート、グローバル以外の IP アドレスのホスト、サブネット、またはプライベート ネットワークの名前。 グローバル IP アドレスの場合は Null または空 (既定値)。 例: /27、 255.255.255.128 |
| Location | 位置情報 | IP エンティティにアタッチされている geo ロケーション コンテキスト。 詳細については、「REST API を使用して位置情報データを使用してMicrosoft Sentinelのエンティティをエンリッチする (パブリック プレビュー)」も参照してください。 |
| Stream | Stream | 特定の IP に関連する検出ログのソース。 省略可能。 |
IP エンティティの厳密な識別子
-
Address
IP アドレスがグローバル アドレスの場合、アドレス識別子自体は一意の強力な識別子です。 -
Address + AddressScope
プライベート/内部のグローバル以外の IP アドレスの場合、これを強力な識別子にするには AddressScope コンポーネントが必要です。
IP エンティティの弱い識別子
-
Address
アドレス識別子自体は、IP アドレスがプライベート/内部の非グローバル IP アドレスである場合の弱い識別子です。
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
マルウェア
エンティティ名: マルウェア
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'malware' |
| Name | 文字列 | (検出?) ベンダーによって割り当てられたマルウェア名 ( Win32/Toga!rfnなど)。 |
| [カテゴリ] | 文字列 | たとえば、(検出?) ベンダーによって割り当てられたマルウェア カテゴリ。 トロイ。 |
| ファイル | List<Entity (File)> | マルウェアが検出されたリンク されたファイル エンティティの一覧。 File エンティティをインラインまたは参照として含めることができます。 構造の詳細については、 File エンティティを参照してください。 |
| プロセス | List<Entity (Process)> | マルウェアが検出されたリンクされたプロセス エンティティの一覧。 これは、多くの場合、ファイルレス アクティビティでアラートがトリガーされたときに使用されます。 構造の詳細については、 Process エンティティを参照してください。 |
マルウェア エンティティの強力な識別子
- 名前 + カテゴリ
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
File
エンティティ名: ファイル
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'file' |
| Directory | 文字列 | ファイルへの完全なパス。 |
| Name | 文字列 | パスのないファイル名 (一部のアラートにはパスが含まれていない場合があります)。 |
| AlternateDataStreamName | 文字列 | NTFS ファイルシステムのファイル ストリーム名 (メイン ストリームの場合は null)。 |
| Host | エンティティ (ホスト) | ファイルが格納されたホスト。 |
| HostUrl | エンティティ (URL) | ファイルのダウンロード元の URL (Web のマーク)。 |
| WindowsSecurityZoneType | WindowsSecurityZone | WINDOWS セキュリティ URL が属するゾーン (Web のマーク)。 |
| ReferrerUrl | エンティティ (URL) | ファイルダウンロード HTTP 要求の参照元 URL (Web のマーク)。 |
| SizeInBytes | 長い。 | ファイルのサイズ (バイト単位)。 |
| FileHashes | List<Entity (FileHash)> | このファイルに関連付けられているファイル ハッシュ。 |
ファイル エンティティの厳密な識別子
- 名前 + ディレクトリ
- Name + FileHash
- Name + Directory + FileHash
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
プロセス
エンティティ名: プロセス
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'process' |
| ProcessId | 文字列 | プロセス ID。 |
| CommandLine | 文字列 | プロセスの作成に使用されるコマンド ライン。 |
| ElevationToken | Enum。 | プロセスに関連付けられている昇格トークン。 使用可能な値: |
| CreationTimeUtc | Datetime。 | プロセスの実行を開始した時刻。 |
| ImageFile | エンティティ (ファイル) | File エンティティをインラインまたは参照として含めることができます。 構造の詳細については、 File エンティティを参照してください。 |
| Account | エンティティ (アカウント) | プロセスを実行しているアカウント。 Account エンティティをインラインまたは参照として含めることができます。 構造の詳細については、 Account エンティティを参照してください。 |
| ParentProcess | エンティティ (プロセス) | 親プロセス エンティティ。 部分的なデータ (たとえば、PID のみ) を含めることができます。 |
| Host | エンティティ (ホスト) | プロセスが実行されていたホスト。 |
| LogonSession | Entity (HostLogonSession) | プロセスが実行されていたセッション。 |
プロセス エンティティの厳密な識別子
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
プロセス エンティティの弱い識別子
- ProcessId + CreationTimeUtc + CommandLine (およびホストなし)
- ProcessId + CreationTimeUtc + ImageFile (およびホストなし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
クラウド アプリケーション
エンティティ名: CloudApplication
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'cloud-application' |
| Appid | Int | 廃止;代わりに SaasId フィールドを使用してください。 アプリケーションの技術識別子。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めないようにしてください。 |
| SaasId | Int | 非推奨の AppId フィールドを置き換えます。 アプリケーションの技術識別子。 使用可能な値は、 クラウド アプリケーション識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めないようにしてください。 |
| Name | 文字列 | 関連するクラウド アプリケーションの名前。 値は省略可能です。 |
| Instancename | 文字列 | クラウド アプリケーションのユーザー定義インスタンス名。 多くの場合、顧客が持っているのと同じ種類の複数のアプリケーションを区別するために使用されます。 |
| InstanceId | Int | アプリケーションの特定のセッションの識別子。 これは、0 から始まる実行番号です。 値は省略可能です。 |
| リスク要素 | AppRisk? | リスク スコアでアプリをフィルター処理して、リスクの高いアプリのみを確認するなど、集中できるようにします。 低、中、高、不明などの使用可能な値。 |
| Stream | Stream | 特定のクラウド アプリに関連する検出ログのソース。 省略可能。 |
クラウド アプリケーション エンティティの強力な識別子
- AppId (InstanceName なし)
- 名前 (InstanceName なし)
- AppId + InstanceName
- Name + InstanceName
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
DNS 解決
エンティティ名: DNS
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'dns' |
| DomainName | 文字列 | アラートに関連付けられている DNS レコードの名前。 |
| Ipaddress | List<Entity (IP)> | 解決された IP アドレスに対応するエンティティ。 |
| DnsServerIp | エンティティ (IP) | 要求を解決する DNS サーバーを表すエンティティ。 |
| HostIpAddress | エンティティ (IP) | DNS 要求クライアントを表すエンティティ。 |
DNS エンティティの厳密な識別子
- DomainName + DnsServerIp + HostIpAddress
DNS エンティティの弱い識別子
- DomainName + HostIpAddress
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Azure リソース
エンティティ名: AzureResource
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'azure-resource' |
| ResourceId | 文字列 | リソースのAzureリソース ID。 必須。 |
| SubscriptionId | 文字列 | リソースのサブスクリプション ID。 |
| ActiveContacts | List<ActiveContact> | リソースに関連付けられているアクティブな連絡先。 |
| ResourceType | 文字列 | リソースの種類。 |
| ResourceName | 文字列 | リソースの名前。 |
Azure リソース エンティティの厳密な識別子
- ResourceId
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
ファイル ハッシュ
エンティティ名: FileHash
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'filehash' |
| Algorithm | 列挙 | ハッシュ アルゴリズムの種類。 必須。 使用可能な値: |
| 値 | 文字列 | ハッシュ値。 必須。 |
ファイル ハッシュ エンティティの厳密な識別子
- アルゴリズムと値
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
レジストリ キー
エンティティ名: RegistryKey
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'registry-key' |
| Hive | Enum。 | 以下のどちらかの値 : |
| Key | 文字列 | レジストリ キー のパス。 |
レジストリ キー エンティティの厳密な識別子
- Hive + Key
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
レジストリ値
エンティティ名: RegistryValue
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'registry-value' |
| Host | エンティティ (ホスト) | レジストリが属するホスト。 |
| Key | Entity (RegistryKey) | レジストリ キー エンティティ。 |
| Name | 文字列 | レジストリ値の名前。 |
| 値 | 文字列 | 値データの文字列形式の表現。 |
| Valuetype | Enum。 | 以下のどちらかの値 : 値は Microsoft.Win32.RegistryValueKind 列挙型に準拠している必要があります。 |
レジストリ値エンティティの厳密な識別子
- キー + 名前
レジストリ値エンティティの弱い識別子
- 名前 (キーなし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
セキュリティ グループ
エンティティ名: SecurityGroup
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'security-group' |
| DistinguishedName | 文字列 | グループ識別名。 |
| SID | 文字列 | グループのセキュリティ識別子 (SID) を指定する単一値属性。 |
| ObjectGuid | Guid。 | Active Directory によって割り当てられたオブジェクトの一意の識別子である単一値属性。 |
セキュリティ グループ エンティティの厳密な識別子
- DistinguishedName
- SID
- ObjectGuid
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
URL
エンティティ名: URL
| フィールド | 種類 | 説明 |
|---|---|---|
| 型 | String | 'url' |
| Url | Uri | エンティティが指す完全な URL。 必須。 |
URL エンティティの厳密な識別子
- URL (** URL が絶対 URL の場合、この識別子は強力です)。
URL エンティティの弱い識別子
- URL (** URL が相対 URL の場合、この識別子は脆弱です)。
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
IoT デバイス
エンティティ名: IoTDevice
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'iotdevice' |
| IoTHub | エンティティ (AzureResource) | デバイスが属するIoT Hubを表す AzureResource エンティティ。 |
| DeviceId | 文字列 | IoT Hubのコンテキストでのデバイスの ID。 必須。 |
| DeviceName | 文字列 | デバイスのフレンドリ名。 |
| 所有者 | List<String> | デバイスの所有者。 |
| IoTSecurityAgentId | Guid。 | デバイスで実行されている Defender for IoT エージェントの ID。 |
| DeviceType | 文字列 | デバイスの種類 ("温度センサー"、"フリーザー"、"風力タービン" など)。 |
| DeviceTypeId | 文字列 | デバイスの種類自体は表示名であり、比較では信頼性が高くなっていないので、デバイスの種類のスキーマに従って各デバイスの種類を識別する一意の ID。 使用可能な値: 未分類 = 0 その他 = 1 ネットワーク デバイス = 2 プリンター = 3 オーディオとビデオ = 4 メディアと監視 = 5 通信 = 7 スマート アプライアンス = 9 Workstation = 10 サーバー = 11 Mobile = 12 スマートファシリティ = 13 Industrial = 14 運用機器 = 15 |
| Source | 文字列 | デバイス エンティティのソース (Microsoft/Vendor)。 |
| SourceRef | エンティティ (URL) | デバイスが管理されているソース項目への URL 参照。 |
| 製造元 | 文字列 | デバイスの製造元。 |
| Model | 文字列 | デバイスのモデル。 |
| OperatingSystem | 文字列 | デバイスが実行されているオペレーティング システム。 |
| Ipaddress | エンティティ (IP) | デバイスの現在の IP アドレス。 |
| MacAddress | 文字列 | デバイスの MAC アドレス。 |
| Nic | Entity (Nic) | デバイス上の現在の NIC。 |
| プロトコル | List<String> | デバイスがサポートするプロトコルの一覧。 |
| SerialNumber | 文字列 | デバイスのシリアル番号。 |
| Site | 文字列 | デバイスのサイトの場所。 |
| Zone | 文字列 | サイト内のデバイスのゾーンの場所。 |
| センサー | 文字列 | デバイスを監視するセンサー。 |
| Importance | Enum。 | 以下のどちらかの値 : |
| PurdueLayer | 文字列 | デバイスの Purdue レイヤー。 |
| IsProgramming | Bool。 | デバイスがプログラミング デバイスとして分類されているかどうかを示します。 |
| IsAuthorized | Bool。 | デバイスが承認されたデバイスとして分類されているかどうかを示します。 |
| IsScanner | Bool。 | デバイスがスキャナー デバイスとして分類されているかどうかを示します。 |
| DevicePageLink | エンティティ (URL) | Defender for IoT ポータルのデバイス ページへの URL。 |
| DeviceSubType | 文字列 | デバイス サブタイプの名前。 |
IoT デバイス エンティティの厳密な識別子
- IoTHub + DeviceId
IoT デバイス エンティティの弱い識別子
- DeviceId (IoTHub なし)
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
Mailbox
エンティティ名: メールボックス
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'mailbox' |
| MailboxPrimaryAddress | 文字列 | メールボックスのプライマリ アドレス。 |
| DisplayName | 文字列 | メールボックスの表示名。 |
| Upn | 文字列 | メールボックスの UPN。 |
| AadId | 文字列 | ユーザーのメールボックスのAzure AD 識別子。 |
| RiskLevel | RiskLevel (整数) | このメールボックスのリスク レベル。 使用可能な値: |
| ExternalDirectoryObjectId | Guid。 | メールボックスの AzureAD 識別子。 Account エンティティの AadUserId と同様ですが、このプロパティは Office 側のメールボックス オブジェクトに固有です。 |
メールボックス エンティティの厳密な識別子
- MailboxPrimaryAddress
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
メール クラスター
エンティティ名: MailCluster
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'mail-cluster' |
| NetworkMessageIds | IList<String> | メール クラスターの一部であるメール メッセージ ID。 |
| CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 文字列表現によるメール メッセージの数。 |
| CountByThreatType | IDictionary<String,Int> | ThreatType 文字列表現によるメール メッセージの数。 |
| CountByProtectionStatus | IDictionary<String,long> | Protection 状態文字列表現によるメール メッセージの数。 |
| CountByDeliveryLocation | IDictionary<String,long> | 配信場所の文字列表現によるメール メッセージの数。 |
| Threats | IList<String> | メール クラスターに含まれているメール メッセージの脅威。 |
| Query | 文字列 | メール クラスターのメッセージを識別するために使用されたクエリ。 |
| QueryTime | Datetime。 | クエリ時刻。 |
| MailCount | Int。 | メール クラスターの一部であるメール メッセージの数。 |
| IsVolumeAnomaly | Bool。 | メール クラスターがボリューム異常メール クラスターであるかどうかを示します。 |
| Source | 文字列 | メール クラスターのソース (既定値は O365 ATP)。 |
メール クラスター エンティティの厳密な識別子
- クエリとソース
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
メール メッセージ
エンティティ名: MailMessage
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'mail-message' |
| ファイル | IList<Entity (File)> | このメール メッセージの添付ファイル エンティティ。 |
| [受信者] | 文字列 | このメール メッセージの受信者。 複数の受信者の場合、メール メッセージがコピーされ、各コピーに 1 つの受信者が含まれます。 |
| Urls | IList<String> | このメール メッセージに含まれる URL。 |
| Threats | IList<String> | このメール メッセージに含まれる脅威。 |
| Sender | 文字列 | 送信者のメール アドレス。 |
| SenderIP | 文字列 | 送信者の IP アドレス。 |
| ReceivedDate | DateTime | このメッセージの受信日。 |
| NetworkMessageId | Guid。 | このメール メッセージのネットワーク メッセージ ID。 |
| InternetMessageId | 文字列 | このメール メッセージのインターネット メッセージ ID。 |
| 件名 | 文字列 | このメール メッセージの件名。 |
| AntispamDirection | Enum。 | このメール メッセージの方向。 使用可能な値: |
| DeliveryAction | Enum。 | このメール メッセージの配信アクション。 使用可能な値: |
| DeliveryLocation | Enum。 | このメール メッセージの配信場所。 使用可能な値: |
| CampaignId | 文字列 | このメール メッセージが存在するキャンペーンの識別子。 |
| SuspiciousRecipients | IList<String> | 疑わしいと検出された受信者の一覧。 |
| ForwardedRecipients | IList<String> | 転送されたメールのすべての受信者の一覧。 |
| ForwardingType | IList<String> | SMTP、ETR などのメールの転送の種類。 |
メール メッセージ エンティティの厳密な識別子
- NetworkMessageId + Recipient
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
送信メール
エンティティ名: SubmissionMail
| フィールド | 種類 | 説明 |
|---|---|---|
| Type | 文字列 | 'SubmissionMail' |
| SubmissionId | Guid。 | 申請 ID。 |
| SubmissionDate | Datetime。 | この申請の報告日時。 |
| 提出 | 文字列 | 提出者のメール アドレス。 |
| NetworkMessageId | Guid。 | 申請が属するメールのネットワーク メッセージ ID。 |
| Timestamp | Datetime。 | メッセージが受信されたときのタイム スタンプ (メール)。 |
| [受信者] | 文字列 | メールの受信者。 |
| Sender | 文字列 | メールの送信者。 |
| SenderIp | 文字列 | 送信者の IP。 |
| 件名 | 文字列 | 送信メールの件名。 |
| ReportType | 文字列 | 指定されたインスタンスの申請の種類。 可能な値は、迷惑メール、フィッシング、マルウェア、または NotJunk です。 |
SubmissionMail エンティティの厳密な識別子
- SubmissionId、Submiter、NetworkMessageId、Recipient
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
エンティティのSentinel
| フィールド | 種類 | 説明 |
|---|---|---|
| Entities | 文字列 | アラートで識別されるエンティティの一覧。 この一覧は、SecurityAlert スキーマのエンティティ列です (ドキュメントを参照)。 |
エンティティ型スキーマの一覧に戻ります | エンティティ識別子テーブルに戻る
クラウド アプリケーション識別子
次の一覧では、既知のクラウド アプリケーションの識別子を定義します。 アプリ ID の値は、 クラウド アプリケーション エンティティ識別子として使用されます。
| アプリ ID | 名前 |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G スイート |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | 同意 |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion ライフサイクル |
| 23043 | 余裕期間 |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Microsoft 365 管理センター |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google ドライブ |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS プロキシ エミュレーター |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
次の手順
このドキュメントでは、Microsoft Sentinelのエンティティ構造、識別子、およびスキーマについて学習しました。
エンティティとエンティティ マッピングの詳細については、こちらをご覧ください。