Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Dette dokumentet inneholder to sett med informasjon om enheter og enhetstyper i Microsoft Sentinel i Azure Portal og Microsoft Sentinel i Defender-portalen.
- Tabellen enhetstyper og identifikatorer viser de ulike typene enheter som kan identifiseres i varsler og hendelser, slik at du kan spore og undersøke dem. Tabellen viser også de forskjellige identifikatorene som kan brukes til å identifisere en enhet, for hver enhetstype.
- Enhetsskjemadelen viser datastrukturen og skjemaet for enheter generelt og for hver enhetstype spesielt.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Enhetstyper og identifikatorer
Tabellen nedenfor viser enhetstypene som kan gjenkjennes av Microsoft Sentinel, og attributtene som kan brukes som identifikatorer for hver enhetstype.
Microsoft Sentinel gjenkjenner enheter i varsler og hendelser som er opprettet av enhetstilordning i analyseregler. Den gjenkjenner også enheter som allerede er identifisert i varsler som er inntatt fra andre kilder.
Du kan for øyeblikket bruke opptil tre identifikatorer for en gitt enhet når du oppretter en enhetstilordning i Microsoft Sentinel. Sterke identifikatorer alene er tilstrekkelige til å identifisere en enhet unikt, mens svake identifikatorer bare kan gjøre dette i kombinasjon med andre identifikatorer. Mer informasjon om sterke og svake identifikatorer. De fleste, men ikke alle identifikatorer i denne tabellen, kan brukes når du oppretter enhetstilordninger i Microsoft Sentinel (se fotnoter).
| Enhetstype | Identifikatorer | Sterke identifikatorer | Svake identifikatorer |
|---|---|---|---|
| Konto | Navn Fullname* NTDomain DnsDomain UPNSuffiks Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Navn+UPNSuffiks AADUserId Sid ** Sid+Host** Navn+Vert+NTDomain ** Navn+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Navn |
| Vert | DnsDomain NTDomain Vertsnavn Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Vertsnavn NetBiosName |
| Enhetstype | Identifikatorer | Sterke identifikatorer | Svake identifikatorer |
| IP | Adresse AddressScope |
Global adresse: Adresse** Privat adresse: Adresse+AddressScope** |
Privat adresse: Adresse** |
| URL | Url | URL-adresse (hvis absolutt URL-adresse)** | URL-adresse (hvis relativ URL-adresse)** |
|
Azure ressurs (AzureResource) |
ResourceId | ResourceId | |
|
Skyprogram (CloudApplication) |
Appid Navn Forekomstnavn |
Appid Navn AppId+InstanceName Name+InstanceName |
|
|
DNS-oppløsning (DNS) |
Domenenavn | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Filen | Katalogen Navn |
Katalog+navn | |
|
Fil-hash (FileHash) |
Algoritme Verdi |
Algoritme+verdi | |
| Malware | Navn Kategori |
Navn+Kategori | |
| Enhetstype | Identifikatorer | Sterke identifikatorer | Svake identifikatorer |
| Prosessen | ProcessId Commandline ElevationToken CreationTimeUtc |
Vert+ProcessID+CreationTimeUtc Vert+ParentProcessId+ CreationTimeUtc+CommandLine Vert+ProcessId+ CreationTimeUtc+ImageFile Vert+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Kommandolinje (ingen vert) ProcessId+CreationTimeUtc+ ImageFile (ingen vert) |
|
Registernøkkel (RegistryKey) |
Strukturen Nøkkel |
Hive+Key | |
|
Registerverdi (RegistryValue) |
Navn Verdi Valuetype |
Tast+navn | Navn (ingen nøkkel) |
|
Sikkerhetsgruppe (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Postboks | MailboxPrimaryAddress Displayname Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Enhetstype | Identifikatorer | Sterke identifikatorer | Svake identifikatorer |
|
E-postklynge (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Trusler Spørring QueryTime MailCount IsVolumeAnomaly Kilde ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Spørring+kilde | |
|
E-postmelding (MailMessage) |
Mottaker Nettadresser Trusler Avsender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * Mottaksdato NetworkMessageId InternetMessageId Emne BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Språk* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Sende e-post (Innsendingspost) |
NetworkMessageId Tidsstempel Mottaker Avsender Avsendertips Emne ReportType SubmissionId Innsendingsdato Innsenderen |
SubmissionId+NetworkMessageId+ Mottaker+Innsender |
|
| Sentinel enheter | Enheter | Enheter |
Fotnoter for tabeller:
- * Disse identifikatorene vises i listen over identifikatorer som kan brukes i enhetstilordning, men strengt tatt er de ikke en del av enhetsskjemaet.
- ** Disse identifikatorene anses som sterke bare under visse betingelser. Følg stjernekoblingene for å se betingelsene som gjelder, under oppføringen for den relevante enheten i delen for enhetsskjemaer nedenfor.
- Kursiverte identifikatornavn (uten stjerne) representerer interne enheter, noe som betyr at én enhetstype kan ha andre enhetstyper som attributter (se inndelingen for enhetsskjemaer nedenfor). Følg identifikatorens kobling for å se den interne enhetens eget skjema.
- Andre enheter kan være til stede i skjemaet, som er et generelt skjema som støtter mange ting i tillegg til Microsoft Sentinel. Bare disse enhetene som er tilgjengelige i Microsoft Sentinel, er oppført i denne artikkelen.
Enhetstypeskjemaer
Den følgende delen inneholder en mer detaljert oversikt over de fullstendige skjemaene for hver enhetstype. Du vil legge merke til at mange av disse skjemaene inkluderer koblinger til andre enhetstyper. Kontoskjemaet inneholder for eksempel en kobling til vertsenhetstypen, siden ett attributt for en brukerkonto er verten det er definert på. Disse enheter-som-attributtene kalles «interne enheter», og de kan ikke brukes som identifikatorer for enhetstilordning, men de er svært nyttige for å gi et fullstendig bilde av enheter på enhetssider og undersøkelsesgrafen.
Obs!
Et spørsmålstegn som følger verdien i Type-kolonnen angir at feltet kan nullstilles.
Liste over enhetstypeskjemaer
- Konto
- Vert
- IP
- Malware
- Filen
- Prosessen
- Skyprogram
- DNS-oppløsning
- Azure ressurs
- Fil-hash
- Registernøkkel
- Registerverdi
- Sikkerhetsgruppe
- URL
- IoT-enhet
- Postboks
- E-postklynge
- E-postmelding
- Sende e-post
- Sentinel enheter
Konto
Enhetsnavn: Konto
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | 'konto' |
| Navn | Streng | Navnet på kontoen. Dette feltet bør bare inneholde prefikset Brukerhovednavn (UPN) uten at det er lagt til et domene. Eksempel: For UPN user@contoso.cominneholder dette feltet bare user. |
| Fullname | -- | Ikke en del av skjemaet, inkludert for bakoverkompatibilitet med gammel versjon av enhetstilordning. |
| NTDomain | Streng | NETBIOS-domenenavnet slik det vises i varselformatet – domene\brukernavn. Eksempler: Finance, NT AUTHORITY |
| DnsDomain | Streng | Det fullstendige DNS-domenenavnet. Eksempel: finance.contoso.com |
| UPNSuffiks | Streng | Hovednavnssuffikset for brukeren for kontoen. I mange tilfeller er UPN Suffiks også domenenavnet. Eksempel: contoso.com |
| Vert | Enhet (vert) | Verten som inneholder kontoen, hvis det er en lokal konto. |
| Sid | Streng | Sikkerhetsidentifikatoren for kontoen. |
| AadTenantId | Guid? | Den Microsoft Entra leier-ID-en, hvis den er kjent. |
| AadUserId | Guid? | Objekt-ID-en for Microsoft Entra konto, hvis den er kjent. |
| PUID | Guid? | Bruker-ID-en for Microsoft Entra Passport, hvis det er kjent. |
| IsDomainJoined | Bool? | Angir om kontoen er en domenekonto. |
| Displayname | -- | Ikke en del av skjemaet, inkludert for bakoverkompatibilitet med gammel versjon av enhetstilordning. |
| ObjectGuid | Guid? | ObjectGUID-attributtet er et attributt med én verdi som er den unike identifikatoren for objektet, tilordnet av Active Directory. |
| CloudAppAccountId | Streng | AccountID i varsler fra CloudApp-leverandøren. Refererer til konto-ID-er i tredjepartsapper som ikke støttes i andre Microsoft-produkter. |
| IsAnonymized | Bool? | Angir om brukernavnet er anonymisert. Valgfritt. Standardverdi: false. |
| Strømme | Strømme | Kilden til søkelogger relatert til den bestemte kontoen. Valgfritt. |
Viktig
Fra og med 1. juli 2026 vil Navn-feltet konsekvent bare inneholde UPN-prefikset for alle kontoer. Tidligere kunne det noen ganger holde hele UPN. Hvis du har automatiseringsregler, strategibøker eller spørringer som sammenligner Navn med en fullstendig UPN-verdi (for eksempel user@contoso.com), kan du oppdatere dem for å rekonstruere den fullstendige verdien fra NAME + UPNSuffix (eller det relevante domenefeltet), eller bruke andre tilgjengelige data i stedet.
Sterke identifikatorer for en kontoenhet
- Navn + UPNSuffiks
- AadUserId
-
Sid
** Denne identifikatoren er sterk så lenge kontoen ikke er en av de innebygde kontoene som er oppført i notatet nedenfor. -
Sid + Host
** Når kontoen er en av de innebygde kontoene som er oppført i notatet nedenfor, kreves vertskomponenten for å gjøre denne identifikatoren sterk. -
Navn + NTDomain
** Denne kombinasjonen er en sterk identifikator når kontoen er en domenekonto, siden NTDomain ikke er et innebygd domene/arbeidsgruppe og er forskjellig fra vertsnavnet. I dette tilfellet er dette en sterk identifikator selv uten vertskomponenten. -
Navn + NTDomain + Vert
** Vertskomponenten er nødvendig for å opprette en sterk identifikator når kontoen er en lokal konto, noe som betyr at NTDomain er et innebygd domene/arbeidsgruppe. - Navn + DnsDomain
- PUID
- ObjectGuid
Svake identifikatorer for en kontoenhet
- Navn
Obs!
Hvis kontoenheten er definert ved hjelp av navneidentifikatoren , og navneverdien for en bestemt enhet er ett av følgende generiske, vanligvis innebygde kontonavn, vil enheten bli fjernet fra varselet.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROTEN
- ANONYM
- GODKJENT BRUKER
- NETTVERK
- NULL
- LOKALT SYSTEM
- LOCALSYSTEM
- NETTVERKSTJENESTE
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Vert
Enhetsnavn: Vert
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «vert» |
| IpInterfaces | Listeenhet<(Ip)> | Liste over alle IP-grensesnitt på vertsmaskinen. |
| DnsDomain | Streng | DNS-domenet som denne verten tilhører. Skal inneholde det fullstendige DNS-suffikset for domenet, hvis det er kjent. |
| NTDomain | Streng | NT-domenet som denne verten tilhører. |
| Vertsnavn | Streng | Vertsnavnet uten domenesuffikset. |
| NetBiosName | Streng | Vertsnavnet (før Windows 2000). |
| IoTDevice | Enhet (IoT-enhet) | IoT-enhetsenheten (hvis denne verten representerer en IoT-enhet). |
| AzureID | Streng | Den Azure ressurs-ID-en til den virtuelle maskinen, hvis den er kjent. |
| OMSAgentID | Streng | Oms-agent-ID-en hvis verten har OMS-agent installert. |
| OSFamily | Enum? | Én av følgende verdier: |
| OSVersion | Streng | En fritekst-representasjon av operativsystemet. Dette feltet er ment å inneholde bestemte versjoner som er mer finkornet enn OSFamily, eller fremtidige verdier som ikke støttes av OSFamily-opplisting. |
| IsDomainJoined | Bool | Angir om denne verten tilhører et domene. |
Sterke identifikatorer for en vertsenhet
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Svake identifikatorer for en vertsenhet
- Vertsnavn
- NetBiosName
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
IP
Enhetsnavn: IP
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | 'ip' |
| Adresse | Streng | IP-adressen som streng (enten i IPv4 eller IPv6). Eksempler: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Streng | Navnet på verten, delnettet eller det private nettverket for private, ikke-globale IP-adresser. Null eller tom for globale IP-adresser (standard). Eksempler: /27, 255.255.255.128 |
| Plasseringen | Geolocation | Den geografiske plasseringskonteksten som er knyttet til IP-enheten. Hvis du vil ha mer informasjon, kan du også se Berike enheter i Microsoft Sentinel med geolokasjonsdata via REST-API (offentlig forhåndsversjon). |
| Strømme | Strømme | Kilden til søkelogger relatert til den bestemte IP-adressen. Valgfritt. |
Sterke identifikatorer for en IP-enhet
-
Adresse
Når IP-adressen er en global adresse, er adresseidentifikatoren i seg selv en unik, sterk identifikator. -
Adresse + AddressScope
For private/interne, ikke-globale IP-adresser kreves AddressScope-komponenten for å gjøre dette til en sterk identifikator.
Svake identifikatorer for en IP-enhet
-
Adresse
Adresseidentifikatoren i seg selv er en svak identifikator når IP-adressen er en privat/intern, ikke-global IP-adresse.
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Malware
Enhetsnavn: Skadelig programvare
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «skadelig programvare» |
| Navn | Streng | Navnet på den skadelige programvaren tilordnet av leverandøren (detection?), for Win32/Toga!rfneksempel . |
| Kategori | Streng | Kategorien for skadelig programvare tilordnet av (gjenkjenning?)-leverandøren, for eksempel. Trojan. |
| Filer | Listeenhet<(fil)> | Liste over koblede filenheter som den skadelige programvaren ble funnet på. Kan inneholde innebygde filenheter eller som referanse. Se Fil-enheten for mer informasjon om struktur. |
| Prosesser | Listeenhet<(prosess)> | Liste over koblede prosessenheter som den skadelige programvaren ble funnet på. Dette vil ofte bli brukt når varselet utløses på filløs aktivitet. Se Prosess-enheten for mer informasjon om struktur. |
Sterke identifikatorer for en enhet for skadelig programvare
- Navn + kategori
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Filen
Enhetsnavn: Fil
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | 'fil' |
| Katalogen | Streng | Den fullstendige banen til filen. |
| Navn | Streng | Filnavnet uten banen (noen varsler inneholder kanskje ikke banen). |
| AlternateDataStreamName | Streng | Filstrømsnavnet i NTFS-filsystemet (null for hovedstrømmen). |
| Vert | Enhet (vert) | Verten der filen ble lagret. |
| HostUrl | Enhet (URL) | URL-adressen der filen ble lastet ned fra (Marker på weben). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows Sikkerhet sone url-adressen tilhører (Marker på weben). |
| ReferrerUrl | Enhet (URL) | Url-adressen til referanseadressen for HTTP-forespørselen om nedlasting av filen (Marker på weben). |
| SizeInBytes | Lang? | Størrelsen på filen i byte. |
| FileHashes | Listeenhet<(FileHash)> | Fil-hash-kodene som er knyttet til denne filen. |
Sterke identifikatorer for en filenhet
- Navn + katalog
- Navn + FileHash
- Navn + Katalog + FileHash
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Prosessen
Enhetsnavn: Prosess
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «prosess» |
| ProcessId | Streng | Prosess-ID-en. |
| Commandline | Streng | Kommandolinjen som brukes til å opprette prosessen. |
| ElevationToken | Enum? | Opphøyningstokenet som er knyttet til prosessen. Mulige verdier: |
| CreationTimeUtc | Datetime? | Tidspunktet da prosessen begynte å kjøre. |
| ImageFile | Enhet (fil) | Kan inneholde filenheten linjebundet eller som referanse. Se Fil-enheten for mer informasjon om struktur. |
| Konto | Enhet (konto) | Kontoen som kjører prosessene. Kan inneholde linjebundet kontoenhet eller som referanse. Se kontoenheten for mer informasjon om struktur. |
| ParentProcess | Enhet (prosess) | Den overordnede prosessenheten. Kan inneholde delvise data, for eksempel bare PID-en. |
| Vert | Enhet (vert) | Verten som prosessen kjørte på. |
| Pålogging | Enhet (HostLogonSession) | Økten der prosessen kjørte. |
Sterke identifikatorer for en prosessenhet
- Vert + ProcessId + CreationTimeUtc
- Vert + ParentProcessId + CreationTimeUtc + CommandLine
- Vert + ProcessId + CreationTimeUtc + ImageFile
- Vert + ProcessId + CreationTimeUtc + ImageFile.FileHash
Svake identifikatorer for en prosessenhet
- ProcessId + CreationTimeUtc + CommandLine (og ingen vert)
- ProcessId + CreationTimeUtc + ImageFile (og ingen vert)
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Skyprogram
Enhetsnavn: CloudApplication
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «skyprogram» |
| Appid | Int | Avskrevet; bruk SaasId-feltet i stedet. Den tekniske identifikatoren for programmet. Mulige verdier er de som er definert i listen over skyprogramidentifikatorer. Verdi valgfritt. Kan ikke inneholde InstanceId. |
| SaasId | Int | Erstatter avskrevet AppId-felt. Den tekniske identifikatoren for programmet. Mulige verdier er de som er definert i listen over skyprogramidentifikatorer. Verdi valgfritt. Kan ikke inneholde InstanceId. |
| Navn | Streng | Navnet på det relaterte skyprogrammet. Verdi valgfritt. |
| Forekomstnavn | Streng | Det brukerdefinerte forekomstnavnet for skyprogrammet. Det brukes ofte til å skille mellom flere programmer av samme type som en kunde har. |
| Instanceid | Int | Identifikatoren for den bestemte økten i programmet. Dette er et nullbasert kjørenummer. Verdi valgfritt. |
| Risiko | AppRisk? | Lar deg filtrere apper etter risikopoengsum, slik at du kan fokusere på for eksempel å se gjennom bare svært risikable apper. Mulige verdier som Lav, Middels, Høy eller Ukjent. |
| Strømme | Strømme | Kilden til oppdagelseslogger relatert til den bestemte skyappen. Valgfritt. |
Sterke identifikatorer for en skyprogramenhet
- AppId (uten InstanceName)
- Navn (uten InstanceName)
- AppId + InstanceName
- Navn + Forekomstnavn
Liste over identifikatorer for skyprogram
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
DNS-oppløsning
Enhetsnavn: DNS
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | 'dns' |
| Domenenavn | Streng | Navnet på DNS-posten som er knyttet til varselet. |
| Ipaddress | Listeenhet<(IP)> | Enheter som tilsvarer de løste IP-adressene. |
| DnsServerIp | Enhet (IP) | En enhet som representerer DNS-serveren som løser forespørselen. |
| HostIpAddress | Enhet (IP) | En enhet som representerer DNS-forespørselsklienten. |
Sterke identifikatorer for en DNS-enhet
- DomainName + DnsServerIp + HostIpAddress
Svake identifikatorer for en DNS-enhet
- DomainName + HostIpAddress
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Azure ressurs
Enhetsnavn: AzureResource
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «azure-resource» |
| ResourceId | Streng | Ressurs-ID-en for Azure. Obligatorisk. |
| SubscriptionId | Streng | Abonnements-ID-en for ressursen. |
| ActiveContacts | List opp<ActiveContact> | Aktive kontakter som er knyttet til ressursen. |
| ResourceType | Streng | Ressurstypen. |
| ResourceName | Streng | Navnet på ressursen. |
Sterke identifikatorer for en Azure ressursenhet
- ResourceId
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Fil-hash
Enhetsnavn: FileHash
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | 'filehash' |
| Algoritme | Enum | Typen hash-algoritme. Obligatorisk. Mulige verdier: |
| Verdi | Streng | Hash-verdien. Obligatorisk. |
Sterke identifikatorer for en hash-enhet for fil
- Algoritme + verdi
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Registernøkkel
Enhetsnavn: RegistryKey
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | "registernøkkel" |
| Strukturen | Enum? | Én av følgende verdier: |
| Nøkkel | Streng | Registernøkkelbanen. |
Sterke identifikatorer for en registernøkkelenhet
- Hive + Key
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Registerverdi
Enhetsnavn: RegistryValue
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | "registerverdi" |
| Vert | Enhet (vert) | Verten som registret tilhører. |
| Nøkkel | Enhet (RegistryKey) | Registernøkkelenheten. |
| Navn | Streng | Navnet på registerverdien. |
| Verdi | Streng | Strengformatert representasjon av verdidataene. |
| Valuetype | Enum? | Én av følgende verdier: Verdier bør samsvare med Opplisting av Microsoft.Win32.RegistryValueKind. |
Sterke identifikatorer for en registerverdienhet
- Tast + navn
Svake identifikatorer for en registerverdienhet
- Navn (uten nøkkel)
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Sikkerhetsgruppe
Enhetsnavn: SecurityGroup
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «sikkerhetsgruppe» |
| DistinguishedName | Streng | Unikt navn for gruppen. |
| SID | Streng | Et attributt med én verdi som angir sikkerhetsidentifikatoren (SID) for gruppen. |
| ObjectGuid | Guid? | Et attributt med én verdi som er den unike identifikatoren for objektet, tilordnet av Active Directory. |
Sterke identifikatorer for en sikkerhetsgruppeenhet
- DistinguishedName
- SID
- ObjectGuid
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
URL
Enhetsnavn: URL-adresse
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type: | Streng | URL-adresse |
| Url | Uri | En fullstendig nettadresse som enheten peker til. Obligatorisk. |
Sterke identifikatorer for en nettadresseenhet
- URL-adresse (** Denne identifikatoren er sterk når URL-adressen er en absolutt URL-adresse.)
Svake identifikatorer for en NETTADRESSE-enhet
- URL-adresse (** Denne identifikatoren er svak når URL-adressen er en relativ URL-adresse.)
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
IoT-enhet
Enhetsnavn: IoTDevice
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | 'iotdevice' |
| IoTHub | Enhet (AzureResource) | AzureResource-enheten som representerer IoT Hub enheten tilhører. |
| Deviceid | Streng | ID-en til enheten i konteksten til IoT Hub. Obligatorisk. |
| DeviceName | Streng | Det egendefinerte navnet på enheten. |
| Eiere | Listestreng<> | Eierne av enheten. |
| IoTSecurityAgentId | Guid? | ID-en til Defender for IoT-agenten som kjører på enheten. |
| DeviceType | Streng | Enhetens type (temperatursensor, fryser, vindturbin osv.). |
| DeviceTypeId | Streng | En unik ID for å identifisere hver enhetstype i henhold til enhetstypeskjemaet, da selve enhetstypen er et visningsnavn og ikke pålitelig i sammenligninger. Mulige verdier: Uklassifisert = 0 Diverse = 1 Nettverksenhet = 2 Skriver = 3 Lyd og video = 4 Media og overvåking = 5 Kommunikasjon = 7 Smart apparat = 9 Arbeidsstasjon = 10 Server = 11 Mobil = 12 Smart anlegg = 13 Industrielt = 14 Driftsutstyr = 15 |
| Kilde | Streng | Kilden (Microsoft/leverandør) til enhetsenheten. |
| SourceRef | Enhet (URL) | En URL-adressereferanse til kildeelementet der enheten administreres. |
| Produsenten | Streng | Produsenten av enheten. |
| Modell | Streng | Modellen til enheten. |
| OperatingSystem | Streng | Operativsystemet som enheten kjører. |
| Ipaddress | Enhet (IP) | Den gjeldende IP-adressen til enheten. |
| MacAddress | Streng | MAC-adressen til enheten. |
| Nettverkskort | Enhet (Nic) | Gjeldende nettverkskort på enheten. |
| Protokoller | Listestreng<> | En liste over protokoller som enheten støtter. |
| SerialNumber | Streng | Serienummeret til enheten. |
| Nettstedet | Streng | Områdeplasseringen til enheten. |
| Sone | Streng | Soneplasseringen for enheten på et område. |
| Sensor | Streng | Sensoren overvåker enheten. |
| Viktighet | Enum? | Én av følgende verdier: |
| PurdueLayer | Streng | Purdue-laget på enheten. |
| IsProgramming | Bool? | Angir om enheten er klassifisert som programmeringsenhet. |
| IsAuthorized | Bool? | Angir om enheten er klassifisert som autorisert enhet. |
| IsScanner | Bool? | Angir om enheten er klassifisert som en skannerenhet. |
| DevicePageLink | Enhet (URL) | En NETTADRESSE til enhetssiden i Defender for IoT-portalen. |
| DeviceSubType | Streng | Navnet på enhetsundertypen. |
Sterke identifikatorer for en IoT-enhet
- IoTHub + DeviceId
Svake identifikatorer for en IoT-enhet
- DeviceId (uten IoTHub)
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Postboks
Enhetsnavn: Postboks
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «postboks» |
| MailboxPrimaryAddress | Streng | Primæradressen til postboksen. |
| Displayname | Streng | Visningsnavnet for postboksen. |
| Upn | Streng | Postboksens UPN. |
| AadId | Streng | Postboksens Azure AD identifikator for brukeren. |
| RiskLevel | RiskLevel (heltall) | Risikonivået for denne postboksen. Mulige verdier: |
| ExternalDirectoryObjectId | Guid? | AzureAD-identifikatoren for postboksen. Ligner på AadUserId i kontoenheten, men denne egenskapen er spesifikk for postboksobjekt på Office-siden. |
Sterke identifikatorer for en postboksenhet
- MailboxPrimaryAddress
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
E-postklynge
Enhetsnavn: MailCluster
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | E-postklynge |
| NetworkMessageIds | IList-streng<> | E-postmeldings-ID-ene som er en del av e-postklyngen. |
| CountByDeliveryStatus | IDictionary-streng<, int> | Antall e-postmeldinger etter DeliveryStatus-strengepresentasjon. |
| CountByThreatType | IDictionary-streng<, int> | Antall e-postmeldinger etter ThreatType-strengangivelse. |
| CountByProtectionStatus | IDictionary-streng<, lang> | Antall e-postmeldinger etter beskyttelsesstatusstrengrepresentasjon. |
| CountByDeliveryLocation | IDictionary-streng<, lang> | Antall e-postmeldinger etter strenggjengivelse for leveringssted. |
| Trusler | IList-streng<> | Truslene om e-postmeldinger som er en del av e-postklyngen. |
| Spørring | Streng | Spørringen som ble brukt til å identifisere meldingene i e-postklyngen. |
| QueryTime | Datetime? | Spørringstidspunktet. |
| MailCount | Int? | Antall e-postmeldinger som er en del av e-postklyngen. |
| IsVolumeAnomaly | Bool? | Angir om e-postklyngen er en e-postklynge for volumavvik. |
| Kilde | Streng | Kilden til e-postklyngen (standard er O365 ATP). |
Sterke identifikatorer for en e-postklyngeenhet
- Spørring + kilde
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
E-postmelding
Enhetsnavn: MailMessage
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | «E-postmelding» |
| Filer | IList-enhet<(fil)> | Fil-enhetene i vedleggene i denne e-postmeldingen. |
| Mottaker | Streng | Mottakeren av denne e-postmeldingen. Når det gjelder flere mottakere, kopieres e-postmeldingen, og hver kopi har én mottaker. |
| Nettadresser | IList-streng<> | URL-adressene i denne e-postmeldingen. |
| Trusler | IList-streng<> | Truslene i denne e-postmeldingen. |
| Avsender | Streng | Avsenderens e-postadresse. |
| SenderIP | Streng | Avsenderens IP-adresse. |
| Mottaksdato | Datetime | Mottaksdatoen for denne meldingen. |
| NetworkMessageId | Guid? | Nettverksmeldings-ID-en for denne e-postmeldingen. |
| InternetMessageId | Streng | Internett-meldings-ID-en for denne e-postmeldingen. |
| Emne | Streng | Emnet for denne e-postmeldingen. |
| AntispamDirection | Enum? | Retningen til denne e-postmeldingen. Mulige verdier: |
| DeliveryAction | Enum? | Leveringshandlingen for denne e-postmeldingen. Mulige verdier: |
| DeliveryLocation | Enum? | Leveringsplasseringen for denne e-postmeldingen. Mulige verdier: |
| Kampanje-ID | Streng | Identifikatoren for kampanjen der denne e-postmeldingen finnes. |
| SuspiciousRecipients | IList-streng<> | Listen over mottakere som ble oppdaget som mistenkelige. |
| ForwardedRecipients | IList-streng<> | Listen over alle mottakere i den videresendte e-postmeldingen. |
| ForwardingType | IList-streng<> | Videresendingstypen for e-postmeldingen, for eksempel SMTP, ETR osv. |
Sterke identifikatorer for en enhet for e-postmeldinger
- NetworkMessageId + mottaker
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Sende e-post
Enhetsnavn: Innsendingspost
| Felt | Type: | Beskrivelse |
|---|---|---|
| Type | Streng | Innsendingspost |
| SubmissionId | Guid? | Innsendings-ID-en. |
| Innsendingsdato | Datetime? | Rapportert datotidspunkt for denne innsendingen. |
| Innsenderen | Streng | E-postadressen til innsenderen. |
| NetworkMessageId | Guid? | Nettverksmeldings-ID-en for e-post som innsendingen tilhører. |
| Tidsstempel | Datetime? | Tidsangivelsen når meldingen mottas (E-post). |
| Mottaker | Streng | Mottakeren av e-postmeldingen. |
| Avsender | Streng | Avsenderen av e-postmeldingen. |
| Avsendertips | Streng | Avsenderens IP. |
| Emne | Streng | Emnet for innsending av e-post. |
| ReportType | Streng | Innsendingstypen for den angitte forekomsten. Mulige verdier er søppelpost, phish, skadelig programvare eller NotJunk. |
Sterke identifikatorer for en SubmissionMail-enhet
- SubmissionId, Submitter, NetworkMessageId, Recipient
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Sentinel enheter
| Felt | Type: | Beskrivelse |
|---|---|---|
| Enheter | Streng | En liste over enhetene som er identifisert i varselet. Denne listen er enheter-kolonnen fra SecurityAlert-skjemaet (se dokumentasjon). |
Tilbake til listen over enhetstypeskjemaer | Tilbake til enhetsidentifikatortabell
Identifikatorer for skyprogram
Listen nedenfor definerer identifikatorer for kjente skyprogrammer. App-ID-verdien brukes som en enhetsidentifikator for skyprogram .
| App-ID | Navn |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Boksen |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Hjørnestein ondemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Arbeidsdag |
| 13843 | LivePerson |
| 13979 | Enige |
| 14509 | ServiceNow |
| 15570 | Tablå |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for skyapper |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Livssyklus for Autodesk Fusion |
| 23043 | Slakk |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Administrasjonssenter for Microsoft 365 |
| 26060 | OPSWAT-tannhjul |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Arbeidsplass etter Facebook |
| 28373 | CAS Proxy Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | Høykvent |
| 35395 | Microsoft Dynamics Talent |
Neste trinn
I dette dokumentet lærte du om enhetsstruktur, identifikatorer og skjema i Microsoft Sentinel.
Mer informasjon om enheter og enhetstilordning.