Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit document bevat twee sets met informatie over entiteiten en entiteitstypen in Microsoft Sentinel in de Azure Portal en Microsoft Sentinel in de Defender-portal.
- In de tabel Entiteitstypen en -id's ziet u de verschillende typen entiteiten die kunnen worden geïdentificeerd in waarschuwingen en incidenten, zodat u deze kunt bijhouden en onderzoeken. De tabel bevat ook voor elk entiteitstype de verschillende id's die kunnen worden gebruikt om een entiteit te identificeren.
- In de sectie Entiteitsschema ziet u de gegevensstructuur en het schema voor entiteiten in het algemeen en voor elk entiteitstype in het bijzonder.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Entiteitstypen en -id's
In de volgende tabel ziet u de entiteitstypen die kunnen worden herkend door Microsoft Sentinel en de kenmerken die kunnen worden gebruikt als id's voor elk entiteitstype.
Microsoft Sentinel herkent entiteiten in waarschuwingen en incidenten die zijn gemaakt door entiteitstoewijzing in analyseregels. Het herkent ook entiteiten die al zijn geïdentificeerd in waarschuwingen die zijn opgenomen uit andere bronnen.
U kunt momenteel maximaal drie id's voor een bepaalde entiteit gebruiken bij het maken van een entiteitstoewijzing in Microsoft Sentinel. Sterke id's alleen zijn voldoende om een entiteit uniek te identificeren, terwijl zwakke id's dit alleen kunnen doen in combinatie met andere id's. Meer informatie over sterke en zwakke id's. De meeste, maar niet alle id's in deze tabel kunnen worden gebruikt bij het maken van entiteitstoewijzingen in Microsoft Sentinel (zie voetnoten).
| Entiteitstype | Identificatiemiddelen | Sterke id's | Zwakke id's |
|---|---|---|---|
| Account | Naam Fullname* NTDomain DnsDomain UPNS-achtervoegsel Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Naam+UPNS-achtervoegsel AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Naam |
| Host | DnsDomain NTDomain Hostname Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Hostname NetBiosName |
| Entiteitstype | Identificatiemiddelen | Sterke id's | Zwakke id's |
| IP | Adres AddressScope |
Globaal adres: Adres** Privéadres: Address+AddressScope** |
Privéadres: Adres** |
| URL | Url | URL (indien absolute URL)** | URL (indien relatieve URL)** |
|
Azure resource (AzureResource) |
Resourceid | Resourceid | |
|
Cloudtoepassing (CloudApplication) |
Appid Naam Instancename |
Appid Naam AppId+InstanceName Name+InstanceName |
|
|
DNS-resolutie (DNS) |
Domeinnaam | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Bestand | Directory Naam |
Directory+naam | |
|
Bestands-hash (FileHash) |
Algoritme Waarde |
Algoritme+waarde | |
| Malware | Naam Categorie |
Naam+categorie | |
| Entiteitstype | Identificatiemiddelen | Sterke id's | Zwakke id's |
| Proces | ProcessId Commandline ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (geen host) ProcessId+CreationTimeUtc+ ImageFile (geen host) |
|
Registersleutel (RegistryKey) |
Component Sleutel |
Hive+Key | |
|
Registerwaarde (RegistryValue) |
Naam Waarde Valuetype |
Key+naam | Naam (geen sleutel) |
|
Beveiligingsgroep (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Postvak | MailboxPrimaryAddress Displayname Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Entiteitstype | Identificatiemiddelen | Sterke id's | Zwakke id's |
|
E-mailcluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Bedreigingen Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+bron | |
|
E-mailbericht (MailMessage) |
Ontvanger Urls Bedreigingen Afzender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Onderwerp BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Language* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
E-mail verzenden (SubmissionMail) |
NetworkMessageId Tijdstempel Ontvanger Afzender SenderIp Onderwerp ReportType SubmissionId Inzenddatum Inzender |
SubmissionId+NetworkMessageId+ Geadresseerde+inzender |
|
| entiteiten Sentinel | Entiteiten | Entiteiten |
Tabelvoetnoten:
- * Deze id's worden weergegeven in de lijst met id's die kunnen worden gebruikt bij entiteitstoewijzing, maar strikt genomen maken ze geen deel uit van het entiteitsschema.
- ** Deze id's worden alleen onder bepaalde voorwaarden als sterk beschouwd. Volg de sterretjeskoppelingen om de voorwaarden te zien die van toepassing zijn, onder de lijst van de relevante entiteit in de sectie entiteitsschema's hieronder.
- Cursieve id-namen (zonder sterretje) vertegenwoordigen interne entiteiten, wat betekent dat het ene entiteitstype andere entiteitstypen als kenmerken kan hebben (zie de sectie entiteitsschema's hieronder). Volg de koppeling van de id om het eigen schema van de interne entiteit te bekijken.
- Andere entiteiten kunnen aanwezig zijn in het schema, een algemeen schema dat naast Microsoft Sentinel veel dingen ondersteunt. Alleen de entiteiten die beschikbaar zijn in Microsoft Sentinel worden in dit artikel vermeld.
Schema's van entiteitstype
De volgende sectie bevat een uitgebreidere beschrijving van de volledige schema's van elk entiteitstype. U zult merken dat veel van deze schema's koppelingen naar andere entiteitstypen bevatten. Het accountschema bevat bijvoorbeeld een koppeling naar het entiteitstype Host, omdat één kenmerk van een gebruikersaccount de host is waarop het is gedefinieerd. Deze entiteiten-als-kenmerken worden 'interne entiteiten' genoemd en kunnen niet worden gebruikt als id's voor entiteitstoewijzing, maar ze zijn erg handig bij het geven van een volledig beeld van entiteiten op entiteitspagina's en de onderzoeksgrafiek.
Opmerking
Een vraagteken na de waarde in de kolom Type geeft aan dat het veld null-kan worden gebruikt.
Lijst met schema's van entiteitstype
- Account
- Host
- IP
- Malware
- Bestand
- Proces
- Cloudtoepassing
- DNS-resolutie
- Azure resource
- Bestands-hash
- Registersleutel
- Registerwaarde
- Beveiligingsgroep
- URL
- IoT-apparaat
- Postvak
- E-mailcluster
- E-mailbericht
- E-mail verzenden
- entiteiten Sentinel
Account
Entiteitsnaam: Account
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'account' |
| Naam | Tekenreeks | De naam van het account. Dit veld mag alleen de naam bevatten zonder dat er een domein aan is toegevoegd. |
| Fullname | -- | Maakt geen deel uit van het schema, opgenomen voor achterwaartse compatibiliteit met de oude versie van entiteitstoewijzing. |
| NTDomain | Tekenreeks | De NETBIOS-domeinnaam zoals deze wordt weergegeven in de waarschuwingsindeling: domein\gebruikersnaam. Voorbeelden: Financiën, NT AUTHORITY |
| DnsDomain | Tekenreeks | De fully qualified domain DNS-naam. Voorbeelden: finance.contoso.com |
| UPNS-achtervoegsel | Tekenreeks | Het achtervoegsel van de user principal name voor het account. In veel gevallen is het UPN-achtervoegsel ook de domeinnaam. Voorbeelden: contoso.com |
| Host | Entiteit (host) | De host die het account bevat, als het een lokaal account is. |
| Sid | Tekenreeks | De beveiligings-id van het account. |
| AadTenantId | Guid? | De Microsoft Entra tenant-id, indien bekend. |
| AadUserId | Guid? | De Microsoft Entra accountobject-id, indien bekend. |
| PUID | Guid? | De Microsoft Entra Passport-gebruikers-id, indien bekend. |
| IsDomainJoined | Bool? | Geeft aan of het account een domeinaccount is. |
| Displayname | -- | Maakt geen deel uit van het schema, opgenomen voor achterwaartse compatibiliteit met de oude versie van entiteitstoewijzing. |
| ObjectGuid | Guid? | Het kenmerk objectGUID is een kenmerk met één waarde dat de unieke id voor het object is, toegewezen door Active Directory. |
| CloudAppAccountId | Tekenreeks | De AccountID in waarschuwingen van de CloudApp-provider. Verwijst naar account-id's in apps van derden die niet worden ondersteund in andere Microsoft-producten. |
| IsAnonymized | Bool? | Geeft aan of de gebruikersnaam is geanonimiseerd. Optionele. Standaardwaarde: false. |
| Stream | Stream | De bron van detectielogboeken die betrekking hebben op het specifieke account. Optionele. |
Sterke id's van een accountentiteit
- Naam + UPNS-achtervoegsel
- AadUserId
-
Sid
** Deze id is sterk zolang het account niet een van de ingebouwde accounts is die worden vermeld in de opmerking hieronder. -
Sid + host
** Wanneer het account een van de ingebouwde accounts is die worden vermeld in de opmerking hieronder, is het hostonderdeel vereist om deze id sterk te maken. -
Naam + NTDomain
** Deze combinatie is een sterke id wanneer het account een domeinaccount is, omdat NTDomain geen ingebouwd domein/werkgroep is en verschilt van de hostnaam. In dit geval is dit een sterke id, zelfs zonder het hostonderdeel. -
Naam + NTDomain + Host
** Het hostonderdeel is nodig om een sterke id te maken wanneer het account een lokaal account is, wat betekent dat het NTDomain een ingebouwd domein/werkgroep is. - Naam + DnsDomain
- PUID
- ObjectGuid
Zwakke id's van een accountentiteit
- Naam
Opmerking
Als de entiteit Account is gedefinieerd met behulp van de naam-id en de waarde Naam van een bepaalde entiteit een van de volgende algemene, vaak ingebouwde accountnamen is, wordt die entiteit verwijderd uit de waarschuwing.
- ADMIN
- BEHEERDER
- SYSTEEM
- ROOT
- Anoniem
- Geverifieerde gebruiker
- Netwerk
- NULL
- Lokaal systeem
- LOCALSYSTEM
- NETWERKSERVICE
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Host
Entiteitsnaam: Host
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'host' |
| IpInterfaces | Lijstentiteit<(IP)> | Lijst met alle IP-interfaces op de hostcomputer. |
| DnsDomain | Tekenreeks | Het DNS-domein waartoe deze host behoort. Moet het volledige DNS-achtervoegsel voor het domein bevatten, indien bekend. |
| NTDomain | Tekenreeks | Het NT-domein waartoe deze host behoort. |
| Hostname | Tekenreeks | De hostnaam zonder het domeinachtervoegsel. |
| NetBiosName | Tekenreeks | De hostnaam (pre-Windows 2000). |
| IoTDevice | Entiteit (IoT-apparaat) | De entiteit IoT-apparaat (als deze host een IoT-apparaat vertegenwoordigt). |
| AzureID | Tekenreeks | De Azure resource-id van de VM, indien bekend. |
| OMSAgentID | Tekenreeks | De OMS-agent-id, als de OMS-agent is geïnstalleerd op de host. |
| OSFamily | Enum? | Een van de volgende waarden: |
| OSVersion | Tekenreeks | Een vrije-tekstweergave van het besturingssysteem. Dit veld is bedoeld voor specifieke versies die gedetailleerder zijn dan OSFamily, of toekomstige waarden die niet worden ondersteund door OSFamily-inventarisatie. |
| IsDomainJoined | Bool | Geeft aan of deze host deel uitmaakt van een domein. |
Sterke id's van een hostentiteit
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Zwakke id's van een hostentiteit
- Hostname
- NetBiosName
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
IP
Entiteitsnaam: IP
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'ip' |
| Address | Tekenreeks | Het IP-adres als tekenreeks (in IPv4 of IPv6). Voorbeelden: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | Tekenreeks | Naam van de host, het subnet of het privénetwerk voor privé, niet-globale IP-adressen. Null of leeg voor globale IP-adressen (standaard). Voorbeelden: /27255.255.255.128 |
| Locatie | Geolocation | De geo-locatiecontext die is gekoppeld aan de IP-entiteit. Zie ook Entiteiten in Microsoft Sentinel verrijken met geolocatiegegevens via REST API (openbare preview) voor meer informatie. |
| Stream | Stream | De bron van detectielogboeken met betrekking tot het specifieke IP-adres. Optionele. |
Sterke id's van een IP-entiteit
-
Address
Wanneer het IP-adres een globaal adres is, is de adres-id op zichzelf een unieke, sterke id. -
Adres + Adresbereik
Voor privé-/interne, niet-globale IP-adressen is het onderdeel AddressScope vereist om hiervan een sterke id te maken.
Zwakke id's van een IP-entiteit
-
Address
De adres-id op zich is een zwakke id wanneer het IP-adres een privé/intern, niet-globaal IP-adres is.
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Malware
Entiteitsnaam: Malware
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'malware' |
| Naam | Tekenreeks | De malwarenaam die is toegewezen door de (detectie?) leverancier, zoals Win32/Toga!rfn. |
| Categorie | Tekenreeks | De malwarecategorie die is toegewezen door de (detectie?) leverancier, bijvoorbeeld. Trojan. |
| Bestanden | Lijstentiteit<(bestand)> | Lijst met gekoppelde bestandsentiteiten waarop de malware is gevonden. Kan de bestandsentiteiten inline of als verwijzing bevatten. Zie de entiteit Bestand voor meer informatie over de structuur. |
| Processen | Lijstentiteit<(proces)> | Lijst met gekoppelde procesentiteiten waarop de malware is gevonden. Dit wordt vaak gebruikt wanneer de waarschuwing wordt geactiveerd bij bestandsloze activiteiten. Zie de entiteit Proces voor meer informatie over de structuur. |
Sterke id's van een malware-entiteit
- Naam en categorie
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Bestand
Entiteitsnaam: Bestand
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'bestand' |
| Directory | Tekenreeks | Het volledige pad naar het bestand. |
| Naam | Tekenreeks | De bestandsnaam zonder het pad (sommige waarschuwingen bevatten mogelijk geen pad). |
| AlternateDataStreamName | Tekenreeks | De naam van de bestandsstroom in het NTFS-bestandssysteem (null voor de hoofdstroom). |
| Host | Entiteit (host) | De host waarop het bestand is opgeslagen. |
| HostUrl | Entiteit (URL) | URL van waaruit het bestand is gedownload (Kenmerk van het web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows-beveiliging zone waartoe de URL behoort (Kenmerk van het web). |
| ReferrerUrl | Entiteit (URL) | Referrer-URL van de HTTP-aanvraag voor het downloaden van bestanden (Kenmerk van het web). |
| SizeInBytes | Lange? | De grootte van het bestand in bytes. |
| FileHashes | Lijstentiteit<(FileHash)> | De bestands-hashes die aan dit bestand zijn gekoppeld. |
Sterke id's van een bestandsentiteit
- Naam en map
- Naam + FileHash
- Naam + Map + FileHash
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Proces
Entiteitsnaam: Proces
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'proces' |
| ProcessId | Tekenreeks | De proces-id. |
| Commandline | Tekenreeks | De opdrachtregel die wordt gebruikt om het proces te maken. |
| ElevationToken | Enum? | Het uitbreidingstoken dat is gekoppeld aan het proces. Mogelijke waarden: |
| CreationTimeUtc | Datetime? | Het tijdstip waarop het proces is gestart. |
| ImageFile | Entiteit (bestand) | Kan de bestandsentiteit inline of als verwijzing bevatten. Zie de entiteit Bestand voor meer informatie over de structuur. |
| Account | Entiteit (account) | Het account waarop de processen worden uitgevoerd. Kan de entiteit Account inline of als verwijzing bevatten. Zie de entiteit Account voor meer informatie over de structuur. |
| ParentProcess | Entiteit (proces) | De bovenliggende procesentiteit. Kan gedeeltelijke gegevens bevatten, bijvoorbeeld alleen de PID. |
| Host | Entiteit (host) | De host waarop het proces werd uitgevoerd. |
| AanmeldingSession | Entiteit (HostLogonSession) | De sessie waarin het proces werd uitgevoerd. |
Sterke id's van een procesentiteit
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Zwakke id's van een procesentiteit
- ProcessId + CreationTimeUtc + CommandLine (en geen host)
- ProcessId + CreationTimeUtc + ImageFile (en geen host)
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Cloudtoepassing
Entiteitsnaam: CloudApplication
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'cloud-toepassing' |
| Appid | Int | Afgekeurd; gebruik in plaats hiervan het veld SaasId. De technische id van de toepassing. Mogelijke waarden zijn de waarden die zijn gedefinieerd in de lijst met cloudtoepassings-id's. Waarde optioneel. Mag geen InstanceId bevatten. |
| SaasId | Int | Vervangt het afgeschafte AppId-veld. De technische id van de toepassing. Mogelijke waarden zijn de waarden die zijn gedefinieerd in de lijst met cloudtoepassings-id's. Waarde optioneel. Mag geen InstanceId bevatten. |
| Naam | Tekenreeks | De naam van de gerelateerde cloudtoepassing. Waarde optioneel. |
| Instancename | Tekenreeks | De door de gebruiker gedefinieerde exemplaarnaam van de cloudtoepassing. Het wordt vaak gebruikt om onderscheid te maken tussen verschillende toepassingen van hetzelfde type dat een klant heeft. |
| InstanceId | Int | De id van de specifieke sessie van de toepassing. Dit is een lopend getal op basis van nul. Waarde optioneel. |
| Risico | AppRisk? | Hiermee kunt u apps filteren op risicoscore, zodat u zich bijvoorbeeld kunt richten op het beoordelen van alleen zeer riskante apps. Mogelijke waarden zoals Laag, Gemiddeld, Hoog of Onbekend. |
| Stream | Stream | De bron van detectielogboeken met betrekking tot de specifieke cloud-app. Optionele. |
Sterke id's van een cloudtoepassingsentiteit
- AppId (zonder InstanceName)
- Name (zonder InstanceName)
- AppId + InstanceName
- Name + InstanceName
Lijst met cloudtoepassings-id's
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
DNS-resolutie
Entiteitsnaam: DNS
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'dns' |
| Domeinnaam | Tekenreeks | De naam van de DNS-record die is gekoppeld aan de waarschuwing. |
| IpAddress | Lijstentiteit<(IP)> | Entiteiten die overeenkomen met de opgeloste IP-adressen. |
| DnsServerIp | Entiteit (IP) | Een entiteit die de DNS-server vertegenwoordigt die de aanvraag omzet. |
| HostIpAddress | Entiteit (IP) | Een entiteit die de DNS-aanvraagclient vertegenwoordigt. |
Sterke id's van een DNS-entiteit
- DomainName + DnsServerIp + HostIpAddress
Zwakke id's van een DNS-entiteit
- DomainName + HostIpAddress
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Azure resource
Entiteitsnaam: AzureResource
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'azure-resource' |
| Resourceid | Tekenreeks | De Azure resource-id van de resource. Verplicht. |
| SubscriptionId | Tekenreeks | De abonnements-id van de resource. |
| ActiveContacts | ActiveContact<weergeven> | Actieve contactpersonen die zijn gekoppeld aan de resource. |
| Resourcetype | Tekenreeks | Het type resource. |
| Resourcename | Tekenreeks | De naam van de resource. |
Sterke id's van een Azure resource-entiteit
- Resourceid
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Bestands-hash
Entiteitsnaam: FileHash
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'filehash' |
| Algoritme | Enum | Het hash-algoritmetype. Verplicht. Mogelijke waarden: |
| Value | Tekenreeks | De hash-waarde. Verplicht. |
Sterke id's van een bestands-hash-entiteit
- Algoritme + waarde
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Registersleutel
Entiteitsnaam: RegistryKey
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'registry-key' |
| Component | Enum? | Een van de volgende waarden: |
| Sleutel | Tekenreeks | Het pad naar de registersleutel. |
Sterke id's van een registersleutelentiteit
- Hive + Key
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Registerwaarde
Entiteitsnaam: RegistryValue
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'registry-value' |
| Host | Entiteit (host) | De host waartoe het register behoort. |
| Sleutel | Entiteit (RegistryKey) | De registersleutelentiteit. |
| Naam | Tekenreeks | De naam van de registerwaarde. |
| Value | Tekenreeks | Tekenreeksgeformatteerde weergave van de waardegegevens. |
| Valuetype | Enum? | Een van de volgende waarden: Waarden moeten voldoen aan de opsomming Microsoft.Win32.RegistryValueKind. |
Sterke id's van een entiteit met registerwaarden
- Sleutel + naam
Zwakke id's van een entiteit met registerwaarden
- Naam (zonder sleutel)
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Beveiligingsgroep
Entiteitsnaam: SecurityGroup
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'beveiligingsgroep' |
| DistinguishedName | Tekenreeks | De DN-naam van de groep. |
| SID | Tekenreeks | Een kenmerk met één waarde dat de beveiligings-id (SID) van de groep aangeeft. |
| ObjectGuid | Guid? | Een kenmerk met één waarde dat de unieke id voor het object is, toegewezen door Active Directory. |
Sterke id's van een beveiligingsgroepsentiteit
- DistinguishedName
- SID
- ObjectGuid
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
URL
Entiteitsnaam: URL
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'url' |
| Url | Uri | Een volledige URL waarnaar de entiteit verwijst. Verplicht. |
Sterke id's van een URL-entiteit
- URL (** Deze id is sterk wanneer de URL een absolute URL is.)
Zwakke id's van een URL-entiteit
- URL (** Deze id is zwak wanneer de URL een relatieve URL is.)
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
IoT-apparaat
Entiteitsnaam: IoTDevice
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | "iotdevice" |
| IoTHub | Entiteit (AzureResource) | De entiteit AzureResource die de IoT Hub waartoe het apparaat behoort vertegenwoordigt. |
| DeviceId | Tekenreeks | De id van het apparaat in de context van de IoT Hub. Verplicht. |
| DeviceName | Tekenreeks | De beschrijvende naam van het apparaat. |
| Eigenaren | Lijsttekenreeks<> | De eigenaren van het apparaat. |
| IoTSecurityAgentId | Guid? | De id van de Defender for IoT-agent die op het apparaat wordt uitgevoerd. |
| DeviceType | Tekenreeks | Het type apparaat ('temperatuursensor', 'vriezer', 'windturbine' enz.). |
| DeviceTypeId | Tekenreeks | Een unieke id om elk apparaattype te identificeren volgens het apparaattypeschema, omdat het apparaattype zelf een weergavenaam is en niet betrouwbaar is in vergelijkingen. Mogelijke waarden: Niet-geclassificeerd = 0 Overige = 1 Netwerkapparaat = 2 Printer = 3 Audio en video = 4 Media en surveillance = 5 Communicatie = 7 Slim apparaat = 9 Werkstation = 10 Server = 11 Mobiel = 12 Smart Facility = 13 Industrieel = 14 Operationele apparatuur = 15 |
| Source | Tekenreeks | De bron (Microsoft/leverancier) van de apparaatentiteit. |
| SourceRef | Entiteit (URL) | Een URL-verwijzing naar het bronitem waarin het apparaat wordt beheerd. |
| Fabrikant | Tekenreeks | De fabrikant van het apparaat. |
| Model | Tekenreeks | Het model van het apparaat. |
| Operatingsystem | Tekenreeks | Het besturingssysteem waarop het apparaat wordt uitgevoerd. |
| IpAddress | Entiteit (IP) | Het huidige IP-adres van het apparaat. |
| MacAddress | Tekenreeks | Het MAC-adres van het apparaat. |
| Netwerkkaarten | Entiteit (Nic) | De huidige NIC's op het apparaat. |
| Protocollen | Lijsttekenreeks<> | Een lijst met protocollen die door het apparaat worden ondersteund. |
| Serienummer | Tekenreeks | Het serienummer van het apparaat. |
| Site | Tekenreeks | De locatie van het apparaat. |
| Zone | Tekenreeks | De zonelocatie van het apparaat binnen een site. |
| Sensor | Tekenreeks | De sensor die het apparaat bewaakt. |
| Belangrijkheid | Enum? | Een van de volgende waarden: |
| PurdueLayer | Tekenreeks | De Purdue-laag van het apparaat. |
| IsProgramming | Bool? | Geeft aan of het apparaat is geclassificeerd als programmeerapparaat. |
| IsAuthorized | Bool? | Geeft aan of het apparaat is geclassificeerd als geautoriseerd apparaat. |
| IsScanner | Bool? | Geeft aan of het apparaat is geclassificeerd als een scannerapparaat. |
| DevicePageLink | Entiteit (URL) | Een URL naar de apparaatpagina in de Defender for IoT-portal. |
| DeviceSubType | Tekenreeks | De naam van het apparaatsubtype. |
Sterke id's van een IoT-apparaatentiteit
- IoTHub + DeviceId
Zwakke id's van een IoT-apparaatentiteit
- DeviceId (zonder IoTHub)
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Postvak
Entiteitsnaam: Postvak
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'postvak' |
| MailboxPrimaryAddress | Tekenreeks | Het primaire adres van het postvak. |
| Displayname | Tekenreeks | De weergavenaam van het postvak. |
| Upn | Tekenreeks | De UPN van het postvak. |
| AadId | Tekenreeks | De Azure AD-id van de gebruiker van het postvak. |
| RiskLevel | RiskLevel (geheel getal) | Het risiconiveau van dit postvak. Mogelijke waarden: |
| ExternalDirectoryObjectId | Guid? | De AzureAD-id van het postvak. Vergelijkbaar met AadUserId in de entiteit Account, maar deze eigenschap is specifiek voor het postvakobject aan de Office-zijde. |
Sterke id's van een postvakentiteit
- MailboxPrimaryAddress
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
E-mailcluster
Entiteitsnaam: MailCluster
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'mail-cluster' |
| NetworkMessageIds | IList-tekenreeks<> | De e-mailbericht-id's die deel uitmaken van het e-mailcluster. |
| CountByDeliveryStatus | IDictionary-tekenreeks<, int> | Aantal e-mailberichten per weergave van de deliverystatustekenreeks. |
| CountByThreatType | IDictionary-tekenreeks<, int> | Aantal e-mailberichten op bedreigingstypetekenreeksweergave. |
| CountByProtectionStatus | IDictionary-tekenreeks<, lang> | Aantal e-mailberichten op tekenreeksweergave van de beveiligingsstatus. |
| CountByDeliveryLocation | IDictionary-tekenreeks<, lang> | Aantal e-mailberichten per weergave van de bezorgingslocatie. |
| Bedreigingen | IList-tekenreeks<> | De bedreigingen van e-mailberichten die deel uitmaken van het e-mailcluster. |
| Query | Tekenreeks | De query die is gebruikt om de berichten van het e-mailcluster te identificeren. |
| QueryTime | Datetime? | De querytijd. |
| MailCount | Int? | Het aantal e-mailberichten dat deel uitmaakt van het e-mailcluster. |
| IsVolumeAnomaly | Bool? | Geeft aan of het e-mailcluster een volume anomalie e-mailcluster is. |
| Source | Tekenreeks | De bron van het e-mailcluster (standaard is O365 ATP). |
Sterke id's van een e-mailclusterentiteit
- Query en bron
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
E-mailbericht
Entiteitsnaam: MailMessage
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'mail-message' |
| Bestanden | IList-entiteit<(bestand)> | De bestandsentiteiten van de bijlagen van dit e-mailbericht. |
| Ontvanger | Tekenreeks | De geadresseerde van dit e-mailbericht. In het geval van meerdere geadresseerden wordt het e-mailbericht gekopieerd en heeft elke kopie één geadresseerde. |
| Urls | IList-tekenreeks<> | De URL's in dit e-mailbericht. |
| Bedreigingen | IList-tekenreeks<> | De bedreigingen in dit e-mailbericht. |
| Afzender | Tekenreeks | Het e-mailadres van de afzender. |
| SenderIP | Tekenreeks | Het IP-adres van de afzender. |
| ReceivedDate | Datetime | De ontvangen datum van dit bericht. |
| NetworkMessageId | Guid? | De netwerkbericht-id van dit e-mailbericht. |
| InternetMessageId | Tekenreeks | De internetbericht-id van dit e-mailbericht. |
| Onderwerp | Tekenreeks | Het onderwerp van dit e-mailbericht. |
| AntispamDirection | Enum? | De richting van dit e-mailbericht. Mogelijke waarden: |
| DeliveryAction | Enum? | De bezorgingsactie van dit e-mailbericht. Mogelijke waarden: |
| DeliveryLocation | Enum? | De bezorgingslocatie van dit e-mailbericht. Mogelijke waarden: |
| CampaignId | Tekenreeks | De id van de campagne waarin dit e-mailbericht aanwezig is. |
| SuspiciousRecipients | IList-tekenreeks<> | De lijst met geadresseerden die als verdacht zijn gedetecteerd. |
| ForwardedRecipients | IList-tekenreeks<> | De lijst met alle geadresseerden op de doorgestuurde e-mail. |
| ForwardingType | IList-tekenreeks<> | Het doorstuurtype van de e-mail, zoals SMTP, ETR, enzovoort. |
Sterke id's van een e-mailberichtentiteit
- NetworkMessageId + ontvanger
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
E-mail verzenden
Entiteitsnaam: SubmissionMail
| Veld | Type | Beschrijving |
|---|---|---|
| Type | Tekenreeks | 'SubmissionMail' |
| SubmissionId | Guid? | De inzendings-id. |
| Inzenddatum | Datetime? | Gerapporteerde datum/tijd voor deze inzending. |
| Inzender | Tekenreeks | Het e-mailadres van de inzender. |
| NetworkMessageId | Guid? | De netwerkbericht-id van e-mail waartoe de inzending behoort. |
| Tijdstempel | Datetime? | Het tijdstempel wanneer het bericht wordt ontvangen (E-mail). |
| Ontvanger | Tekenreeks | De geadresseerde van de e-mail. |
| Afzender | Tekenreeks | De afzender van de e-mail. |
| SenderIp | Tekenreeks | Het IP-adres van de afzender. |
| Onderwerp | Tekenreeks | Het onderwerp van de inzendingsmail. |
| ReportType | Tekenreeks | Het verzendtype voor het opgegeven exemplaar. Mogelijke waarden zijn Ongewenste e-mail, Phish, Malware of NotJunk. |
Sterke id's van een SubmissionMail-entiteit
- SubmissionId, Submitter, NetworkMessageId, Ontvanger
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
entiteiten Sentinel
| Veld | Type | Beschrijving |
|---|---|---|
| Entiteiten | Tekenreeks | Een lijst met de entiteiten die in de waarschuwing zijn geïdentificeerd. Deze lijst is de entiteitskolom uit het SecurityAlert-schema (zie documentatie). |
Terug naar lijst met schema's van entiteitstype | Terug naar tabel met entiteits-id's
Cloudtoepassings-id's
In de volgende lijst worden id's voor bekende cloudtoepassingen gedefinieerd. De waarde van de app-id wordt gebruikt als entiteits-id voor cloudtoepassingen .
| App-id | Naam |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Vak |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Werkdag |
| 13843 | LivePerson |
| 13979 | Eens |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive voor Bedrijven |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Levenscyclus van Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype voor Bedrijven |
| 25988 | Google Docs |
| 26055 | Microsoft 365-beheercentrum |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace per Facebook |
| 28373 | CAS-proxyemulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Volgende stappen
In dit document hebt u geleerd over entiteitsstructuur, id's en schema in Microsoft Sentinel.
Meer informatie over entiteiten en entiteitstoewijzing.