dokumentacja typów jednostek usługi Microsoft Sentinel

Uwaga

Usługa Azure Sentinel jest teraz nazywana Microsoft Sentinel i będziemy aktualizować te strony w najbliższych tygodniach. Dowiedz się więcej o najnowszych ulepszeniach zabezpieczeń Microsoft.

Typy jednostek i identyfikatory

W poniższej tabeli przedstawiono typy jednostek, które są obecnie dostępne do mapowania w usłudze Microsoft Sentinel, oraz atrybuty dostępne jako identyfikatory dla każdego typu jednostki — które są wyświetlane na liście rozwijanej Identyfikatory w sekcji mapowania jednostekkreatora reguł analizy.

Każdy z identyfikatorów w wymaganej kolumnie identyfikatorów jest minimalnie niezbędny do zidentyfikowania jego jednostki. Jednak wymagany identyfikator może nie być wystarczający do zapewnienia unikatowej identyfikacji. Im więcej używanych identyfikatorów, tym większe prawdopodobieństwo unikatowej identyfikacji. Do mapowania pojedynczej jednostki można użyć maksymalnie trzech identyfikatorów.

Aby uzyskać najlepsze wyniki — w celu uzyskania gwarantowanej unikatowej identyfikacji należy użyć identyfikatorów z kolumny najsilniejszych identyfikatorów , jeśli to możliwe. Użycie wielu silnych identyfikatorów umożliwia korelację między silnymi identyfikatorami z różnych źródeł danych i schematów. To z kolei umożliwia Microsoft Sentinel zapewnienie bardziej kompleksowych szczegółowych informacji dla danej jednostki.

Typ jednostki Identyfikatory Wymagane identyfikatory Najsilniejsze identyfikatory
Konto użytkownika
(Konto)
Nazwa
Pełna nazwa
NTDomain
Domena dns
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
Nazwa wyświetlana
Objectguid
Pełna nazwa
Sid
Nazwa
AadUserId
PUID
Objectguid
Nazwa + NTDomain
Nazwa + UPNSuffix
AADUserId
Sid
Host Domena dns
NTDomain
HostName
Pełna nazwa
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
Pełna nazwa
HostName
NetBiosName
AzureID
OMSAgentID
Nazwa hosta i domena NTDomain
Nazwa hosta i domena DnsDomain
NetBiosName + NTDomain
NetBiosName + DnsDomain
AzureID
OMSAgentID
Adres IP
(ADRES IP)
Adres Adres
Złośliwe oprogramowanie Nazwa
Kategoria
Nazwa
Plik Katalog
Nazwa
Nazwa
Proces Identyfikator procesu
CommandLine
Podniesienie uprawnień
CreationTimeUtc
CommandLine
Identyfikator procesu
Aplikacja w chmurze
(CloudApplication)
AppId
Nazwa
InstanceName
AppId
Nazwa
Nazwa domeny
(DNS)
DomainName DomainName
Zasób platformy Azure ResourceId ResourceId
Wartość skrótu pliku
(PlikHash)
Algorytm
Wartość
Algorytm i wartość
Klucz rejestru Hive
Klucz
Hive
Klucz
Hive + Klucz
Wartość rejestru Nazwa
Wartość
ValueType
Nazwa
Grupa zabezpieczeń Distinguishedname
Identyfikator SID
Objectguid
Distinguishedname
Identyfikator SID
Objectguid
Adres URL Url Url
Urządzenie IoT IoTHub
DeviceId
DeviceName
IoTSecurityAgentId
DeviceType
Element źródłowy
SourceRef
Producent
Model
OperatingSystem
Ipaddress
MacAddress
Protokoły
SerialNumber
IoTHub
DeviceId
IoTHub + DeviceId
Mailbox MailboxPrimaryAddress
Nazwa wyświetlana
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
Klaster poczty NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Zagrożenia
Zapytanie
QueryTime
MailCount
IsVolumeAnomaly
Element źródłowy
ClusterSourceIdentifier
ClusterSourceType
ClusterQueryStartTime
ClusterQueryEndTime
Grupa klastrów
Zapytanie
Element źródłowy
Zapytanie i źródło
Wiadomość e-mail Adresat
Adresy url
Zagrożenia
Nadawca
P1Sender
P1SenderDisplayName
P1SenderDomain
AdresIP nadawcy
P2Sender
P2SenderDisplayName
P2SenderDomain
Data odebrania
NetworkMessageId
InternetMessageId
Temat
BodyFingerprintBin1
BodyFingerprintBin2
BodyFingerprintBin3
BodyFingerprintBin4
BodyFingerprintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Język
ThreatDetectionMethods
NetworkMessageId
Adresat
NetworkMessageId + Odbiorca
Wiadomość e-mail z przesłaniem Identyfikator przesyłania
Data przesłania
Nadesłał
NetworkMessageId
Znacznik czasu
Adresat
Nadawca
SenderIp
Temat
Typ raportu
Identyfikator przesyłania
NetworkMessageId
Adresat
Nadesłał
Jednostki usługi Sentinel Jednostki Jednostki

Schematy typu jednostki

Poniżej przedstawiono bardziej szczegółowe omówienie pełnych schematów każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek — na przykład schemat konta użytkownika zawiera link do typu jednostki Host, ponieważ jednym z atrybutów konta użytkownika jest host, na którym jest zdefiniowany. Tych połączonych zewnętrznie jednostek nie można używać jako identyfikatorów do mapowania jednostek, ale są one bardzo przydatne w zapewnianiu pełnego obrazu jednostek na stronach jednostek i wykresie badania.

Uwaga

Znak zapytania po wartości w kolumnie Typ wskazuje, że pole jest dopuszczane do wartości null.

Konto użytkownika

Nazwa jednostki: Konto

Pole Typ Opis
Typ Ciąg "konto"
Nazwa Ciąg Nazwa konta. To pole powinno zawierać tylko nazwę bez żadnej domeny dodanej do niej.
Fullname Nie dotyczy Nie jest częścią schematu, uwzględnioną w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek.
NTDomain Ciąg Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, NT AUTHORITY
Domena DNS Ciąg W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com
UPNSuffix Ciąg Sufiks głównej nazwy użytkownika dla konta. W niektórych przypadkach jest to również nazwa domeny. Przykłady: contoso.com
Host Jednostka Host, który zawiera konto, jeśli jest kontem lokalnym.
Sid Ciąg Identyfikator zabezpieczeń konta, taki jak S-1-5-18.
AadTenantId Identyfikator guid? Identyfikator dzierżawy Azure AD, jeśli jest znany.
AadUserId Identyfikator guid? Identyfikator obiektu konta Azure AD, jeśli jest znany.
PUID Identyfikator guid? Identyfikator użytkownika usługi Azure AD Passport, jeśli jest znany.
IsDomainJoined Bool? Określa, czy jest to konto domeny.
Nazwa wyświetlana Ciąg Nazwa wyświetlana konta.
Objectguid Identyfikator guid? Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu, przypisanym przez usługę Active Directory.

Silne identyfikatory jednostki konta:

  • Nazwa + UPNSuffix
  • AadUserId
  • Sid + host (wymagany dla identyfikatorów SID kont wbudowanych)
  • Sid (z wyjątkiem identyfikatorów SID kont wbudowanych)
  • Name + NTDomain (chyba że NTDomain jest domeną wbudowaną, na przykład "Grupa robocza")
  • Name + Host (jeśli NTDomain jest domeną wbudowaną, na przykład "Grupa robocza")
  • Nazwa i domena dns
  • PUID
  • Objectguid

Słabe identyfikatory jednostki konta:

  • Nazwa

Host

Pole Typ Opis
Typ Ciąg "host"
Domena DNS Ciąg Domena DNS, do którego należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany.
NTDomain Ciąg Domena NT, do którego należy ten host.
HostName Ciąg Nazwa hosta bez sufiksu domeny.
Fullname Nie dotyczy Nie jest częścią schematu, uwzględnioną w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek.
NetBiosName Ciąg Nazwa hosta (pre-Windows 2000).
IoTDevice Jednostka Jednostka Urządzenie IoT (jeśli ten host reprezentuje urządzenie IoT).
AzureID Ciąg Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany.
Identyfikator OMSAgentID Ciąg Identyfikator agenta pakietu OMS, jeśli host ma zainstalowanego agenta pakietu OMS.
OSFamily Enum? Jedna z następujących wartości:
  • Linux
  • Windows
  • Android
  • System iOS
  • OSVersion Ciąg Wolna reprezentacja systemu operacyjnego.
    To pole ma zawierać określone wersje, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily.
    IsDomainJoined Wartość logiczna Określa, czy ten host należy do domeny.

    Silne identyfikatory jednostki hosta:

    • Nazwa hosta + NTDomain
    • Nazwa hosta i domena DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • Identyfikator OMSAgentID
    • IoTDevice (nieobsługiwane w przypadku mapowania jednostek)

    Słabe identyfikatory jednostki hosta:

    • HostName
    • NetBiosName

    Adres IP

    Nazwa jednostki: IP

    Pole Typ Opis
    Typ Ciąg "ip"
    Adres Ciąg Adres IP jako ciąg, np. 127.0.0.1 (w protokole IPv4 lub IPv6).
    Lokalizacja Geolokalizacja Kontekst lokalizacji geograficznej dołączony do jednostki IP.

    Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza).

    Silne identyfikatory jednostki IP:

    • Adres

    Złośliwe oprogramowanie

    Pole Typ Opis
    Typ Ciąg "malware"
    Nazwa Ciąg Nazwa złośliwego oprogramowania przez dostawcę, na przykład Win32/Toga!rfn.
    Kategoria Ciąg Kategoria złośliwego oprogramowania przez dostawcę, np. trojan.
    Pliki Jednostka listy<> Lista połączonych jednostek plików, w których znaleziono złośliwe oprogramowanie. Może zawierać jednostki File w tekście lub jako odwołanie.
    Zobacz jednostkę File (Plik), aby uzyskać dodatkowe informacje na temat struktury.
    Procesy Jednostka listy<> Lista połączonych jednostek procesów, w których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert został wyzwolony w przypadku działania bez plików.
    Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Process .

    Silne identyfikatory jednostki złośliwego oprogramowania:

    • Nazwa i kategoria

    Plik

    Pole Typ Opis
    Typ Ciąg "plik"
    Katalog Ciąg Pełna ścieżka do pliku.
    Nazwa Ciąg Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki).
    Host Jednostka Host, na którym był przechowywany plik.
    Skróty plików Lista<jednostek> Skróty plików skojarzone z tym plikiem.

    Silne identyfikatory jednostki pliku:

    • Nazwa i katalog
    • Nazwa i plikHash
    • Nazwa + katalog + plikHash

    Proces

    Pole Typ Opis
    Typ Ciąg "proces"
    Identyfikator procesu Ciąg Identyfikator procesu.
    CommandLine Ciąg Wiersz polecenia używany do utworzenia procesu.
    Podniesienie uprawnień Enum? Token podniesienia uprawnień skojarzony z procesem.
    Możliwe wartości:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc Datetime? Czas rozpoczęcia procesu.
    ImageFile Jednostka (plik) Może zawierać jednostkę File w tekście lub jako odwołanie.
    Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Plik.
    Konto Jednostka Konto, na którym są uruchomione procesy.
    Może zawierać jednostkę Account w tekście lub jako odwołanie.
    Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Konto .
    ParentProcess Jednostka (proces) Jednostka procesu nadrzędnego.
    Może zawierać dane częściowe, tj. tylko dane PID.
    Host Jednostka Host, na którym był uruchomiony proces.
    Logowanie Jednostka (HostLogonSession) Sesja, w której był uruchomiony proces.

    Silne identyfikatory jednostki procesu:

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Słabe identyfikatory jednostki procesu:

    • ProcessId + CreationTimeUtc + CommandLine (i bez hosta)
    • ProcessId + CreationTimeUtc + ImageFile (i bez hosta)

    Aplikacja w chmurze

    Nazwa jednostki: CloudApplication

    Pole Typ Opis
    Typ Ciąg "aplikacja w chmurze"
    AppId int Identyfikator techniczny aplikacji. Powinna to być jedna z wartości zdefiniowanych na liście identyfikatorów aplikacji w chmurze. Wartość pola AppId jest opcjonalna.
    Nazwa Ciąg Nazwa powiązanej aplikacji w chmurze. Wartość nazwy aplikacji jest opcjonalna.
    InstanceName Ciąg Nazwa wystąpienia zdefiniowanego przez użytkownika aplikacji w chmurze. Jest on często używany do rozróżniania kilku aplikacji tego samego typu, które ma klient.

    Silne identyfikatory jednostki aplikacji w chmurze:

    • AppId (bez wystąpieniaName)
    • Nazwa (bez nazwy wystąpienia)
    • AppId + InstanceName
    • Nazwa i nazwa wystąpienia

    Nazwa domeny

    Nazwa jednostki: DNS

    Pole Typ Opis
    Typ Ciąg "dns"
    DomainName Ciąg Nazwa rekordu DNS skojarzonego z alertem.
    Ipaddress Jednostka listy<(IP)> Jednostki odpowiadające rozpoznanych adresom IP.
    DnsServerIp Jednostka (IP) Jednostka reprezentująca serwer DNS rozpoznający żądanie.
    HostIpAddress Jednostka (IP) Jednostka reprezentująca klienta żądania DNS.

    Silne identyfikatory jednostki DNS:

    • DomainName + DnsServerIp + HostIpAddress

    Słabe identyfikatory jednostki DNS:

    • DomainName + HostIpAddress

    Zasób platformy Azure

    Pole Typ Opis
    Typ Ciąg "azure-resource"
    ResourceId Ciąg Identyfikator zasobu platformy Azure.
    SubscriptionId Ciąg Identyfikator subskrypcji zasobu.
    TryGetResourceGroup Wartość logiczna Wartość grupy zasobów, jeśli istnieje.
    TryGetProvider Wartość logiczna Wartość dostawcy, jeśli istnieje.
    TryGetName Wartość logiczna Wartość nazwy, jeśli istnieje.

    Silne identyfikatory jednostki zasobu platformy Azure:

    • ResourceId

    Wartość skrótu pliku

    Nazwa jednostki: FileHash

    Pole Typ Opis
    Typ Ciąg "filehash"
    Algorytm Wyliczenie Typ algorytmu skrótu. Możliwe wartości:
  • Nieznane
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Wartość Ciąg Wartość skrótu.

    Silne identyfikatory jednostki skrótu pliku:

    • Algorytm i wartość

    Klucz rejestru

    Nazwa jednostki: RegistryKey

    Pole Typ Opis
    Typ Ciąg "registry-key"
    Hive Enum? Jedna z następujących wartości:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Klucz Ciąg Ścieżka klucza rejestru.

    Silne identyfikatory jednostki klucza rejestru:

    • Hive + klucz

    Wartość rejestru

    Nazwa jednostki: RegistryValue

    Pole Typ Opis
    Typ Ciąg "registry-value"
    Klucz Jednostka (RegistryKey) Jednostka klucza rejestru.
    Nazwa Ciąg Nazwa wartości rejestru.
    Wartość Ciąg Reprezentacja danych wartości w formacie ciągu.
    ValueType Enum? Jedna z następujących wartości:
  • Ciąg
  • Binarne
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Brak
  • Nieznane
    Wartości powinny być zgodne z Microsoft. Win32.RegistryValueKind, wyliczenie.
  • Silne identyfikatory jednostki wartości rejestru:

    • Klucz i nazwa

    Słabe identyfikatory jednostki wartości rejestru:

    • Nazwa (bez klucza)

    Grupa zabezpieczeń

    Nazwa jednostki: SecurityGroup

    Pole Typ Opis
    Typ Ciąg "Grupa zabezpieczeń"
    Distinguishedname Ciąg Nazwa wyróżniająca grupy.
    Identyfikator SID Ciąg Atrybut SID jest atrybutem o pojedynczej wartości, który określa identyfikator zabezpieczeń (SID) grupy.
    Objectguid Identyfikator guid? Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu, przypisanym przez usługę Active Directory.

    Silne identyfikatory jednostki grupy zabezpieczeń:

    • Distinguishedname
    • Identyfikator SID
    • Objectguid

    Adres URL

    Pole Typ Opis
    Typ Ciąg "url"
    Url Identyfikator uri Pełny adres URL wskazywany przez jednostkę.

    Silne identyfikatory jednostki ADRESU URL:

    • Adres URL (gdy bezwzględny adres URL)

    Słabe identyfikatory jednostki ADRESU URL:

    • Adres URL (gdy względny adres URL)

    Urządzenie IoT

    Nazwa jednostki: IoTDevice

    Pole Typ Opis
    Typ Ciąg "iotdevice"
    IoTHub Jednostka (AzureResource) Jednostka AzureResource reprezentująca IoT Hub, do którego należy urządzenie.
    DeviceId Ciąg Identyfikator urządzenia w kontekście IoT Hub.
    DeviceName Ciąg Przyjazna nazwa urządzenia.
    IoTSecurityAgentId Identyfikator guid? Identyfikator agenta usługi Defender for IoT uruchomionego na urządzeniu.
    DeviceType Ciąg Typ urządzenia (czujnik temperatury, zamrażarka, turbina wiatrowa itp.).
    Element źródłowy Ciąg Źródło (Microsoft/Vendor) jednostki urządzenia.
    ŹródłoOdzysłów Jednostka (adres URL) Odwołanie do adresu URL elementu źródłowego, w którym jest zarządzane urządzenie.
    Producent Ciąg Producent urządzenia.
    Model Ciąg Model urządzenia.
    OperatingSystem Ciąg System operacyjny, na którym jest uruchomione urządzenie.
    Ipaddress Jednostka (IP) Bieżący adres IP urządzenia.
    MacAddress Ciąg Adres MAC urządzenia.
    Protokoły Ciąg listy<> Lista protokołów, które obsługuje urządzenie.
    SerialNumber Ciąg Numer seryjny urządzenia.

    Silne identyfikatory jednostki urządzenia IoT:

    • IoTHub + DeviceId

    Słabe identyfikatory jednostki urządzenia IoT:

    • DeviceId (bez usługi IoTHub)

    Mailbox

    Pole Typ Opis
    Typ Ciąg "skrzynka pocztowa"
    MailboxPrimaryAddress Ciąg Podstawowy adres skrzynki pocztowej.
    Nazwa wyświetlana Ciąg Nazwa wyświetlana skrzynki pocztowej.
    Upn Ciąg Nazwa UPN skrzynki pocztowej.
    RiskLevel Enum? Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości:
  • Brak
  • Niski
  • Śred.
  • Wys.
  • ExternalDirectoryObjectId Identyfikator guid? Identyfikator usługi AzureAD skrzynki pocztowej. Podobnie jak AadUserId w jednostce Account, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office.

    Silne identyfikatory jednostki skrzynki pocztowej:

    • MailboxPrimaryAddress

    Klaster poczty

    Nazwa jednostki: MailCluster

    Uwaga

    Ochrona usługi Office 365 w usłudze Microsoft Defender był wcześniej znany jako Office 365 Advanced Threat Protection (O365 ATP).

    Pole Typ Opis
    Typ Ciąg "mail-cluster"
    NetworkMessageIds Ciąg IList<> Identyfikatory wiadomości e-mail, które są częścią klastra poczty.
    CountByDeliveryStatus Ciąg IDictionary<, Int> Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus.
    CountByThreatType Ciąg IDictionary<, Int> Liczba wiadomości e-mail według reprezentacji ciągu ThreatType.
    CountByProtectionStatus Ciąg IDictionary,long<> Liczba wiadomości e-mail według stanu ochrony przed zagrożeniami.
    Zagrożenia Ciąg IList<> Zagrożenia wiadomości e-mail, które są częścią klastra poczty.
    Zapytanie Ciąg Zapytanie używane do identyfikowania wiadomości klastra poczty.
    Czas kwerendy Datetime? Czas zapytania.
    MailCount Int? Liczba wiadomości e-mail, które są częścią klastra poczty.
    IsVolumeAnomaly Bool? Określa, czy jest to klaster poczty anomalii woluminu.
    Element źródłowy Ciąg Źródło klastra poczty (wartość domyślna to "O365 ATP").
    ClusterSourceIdentifier Ciąg Identyfikator wiadomości sieciowej poczty, która jest źródłem tego klastra poczty.
    Typ źródła klastra Ciąg Typ źródłowy klastra poczty. Spowoduje to mapowanie ustawienia MailClusterSourceType z Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej).
    ClusterQueryStartTime Datetime? Czas rozpoczęcia klastra — używany jako czas rozpoczęcia zapytania liczby klastrów. Zazwyczaj daty do ustawienia Godzina zakończenia minus DaysToLookBack z Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej).
    ClusterQueryEndTime Datetime? Czas zakończenia klastra — używany jako czas zakończenia zapytania liczby klastrów. Zazwyczaj czas odebrania danych poczty.
    Grupa klastrów Ciąg Odpowiada kluczowi zapytania Kusto używanemu w Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej).

    Silne identyfikatory jednostki klastra poczty:

    • Zapytanie i źródło

    Wiadomość e-mail

    Nazwa jednostki: MailMessage

    Pole Typ Opis
    Typ Ciąg "wiadomość-mail"
    Pliki Plik IList<> Jednostki Plik załączników tej wiadomości e-mail.
    Adresat Ciąg Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata.
    Adresy url Ciąg IList<> Adresy URL zawarte w tej wiadomości e-mail.
    Zagrożenia Ciąg IList<> Zagrożenia zawarte w tej wiadomości e-mail.
    Nadawca Ciąg Adres e-mail nadawcy.
    P1Sender Ciąg Email identyfikator użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, ta wartość jest równa P2Sender.
    P1SenderDisplayName Ciąg Nazwa wyświetlana użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Reprezentowane w nagłówku wiadomości e-mail przez właściwość "OnbehalfofSenderDisplayName".
    P1SenderDomain Ciąg Email domenę użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Jeśli wiadomość e-mail nie jest wysyłana przez pełnomocnika, ta wartość jest równa P2SenderDomain.
    P2Sender Ciąg Email użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail.
    P2SenderDisplayName Ciąg Nazwa wyświetlana użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail. Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, reprezentuje nazwę wyświetlaną nadawcy.
    P2SenderDomain Ciąg Email domenę użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail. Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, reprezentuje domenę nadawcy.
    AdresIP nadawcy Ciąg Adres IP nadawcy.
    Data odebrania DateTime Data odebrania tej wiadomości.
    NetworkMessageId Identyfikator guid? Identyfikator wiadomości sieciowej tej wiadomości e-mail.
    InternetMessageId Ciąg Identyfikator wiadomości internetowej tej wiadomości e-mail.
    Temat Ciąg Temat tej wiadomości e-mail.
    BodyFingerprintBin1
    BodyFingerprintBin2
    BodyFingerprintBin3
    BodyFingerprintBin4
    BodyFingerprintBin5
    Uint? Używany przez Ochrona usługi Office 365 w usłudze Microsoft Defender do znajdowania pasujących lub podobnych wiadomości e-mail.
    AntispamDirection Enum? Kierunek tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • Przychodzący
  • Wychodzący
  • Intraorg (wewnętrzny)
  • DeliveryAction Enum? Akcja dostarczania tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • DeliveredAsSpam
  • Dostarczono
  • Zablokowane
  • Zastąpione
  • DeliveryLocation Enum? Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • Skrzynka odbiorcza
  • Folder śmieci
  • Usuniętyfolder
  • Kwarantanna
  • Zewnętrzna
  • Niepowodzenie
  • Spadła
  • Przekazywane
  • Język Ciąg Język, w którym jest zapisywana zawartość wiadomości e-mail.
    ThreatDetectionMethods Ciąg IList<> Lista metod wykrywania zagrożeń zastosowanych w tej wiadomości e-mail.

    Silne identyfikatory jednostki wiadomości e-mail:

    • NetworkMessageId + Odbiorca

    Wiadomość e-mail z przesłaniem

    Nazwa jednostki: SubmissionMail

    Pole Typ Opis
    Typ Ciąg "SubmissionMail"
    Identyfikator przesyłania Identyfikator guid? Identyfikator przesyłania.
    Data przesłania Datetime? Zgłoszona data przesłania.
    Nadesłał Ciąg Adres e-mail przesyłającej.
    NetworkMessageId Identyfikator guid? Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie.
    Znacznik czasu Datetime? Sygnatura czasowa odebrania wiadomości (Poczta).
    Adresat Ciąg Adresat wiadomości e-mail.
    Nadawca Ciąg Nadawca poczty.
    SenderIp Ciąg Adres IP nadawcy.
    Temat Ciąg Temat przesłanej wiadomości e-mail.
    Typ raportu Ciąg Typ przesyłania dla danego wystąpienia. Jest to mapowanie na śmieci, phish, malware lub NotJunk.

    Silne identyfikatory jednostki SubmissionMail:

    • SubmitId, Submitter, NetworkMessageId, Recipient

    Jednostki usługi Sentinel

    Pole Typ Opis
    Jednostki Ciąg Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna jednostek ze schematu SecurityAlert (zobacz dokumentację).

    Identyfikatory aplikacji w chmurze

    Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość identyfikatora aplikacji jest używana jako identyfikator jednostki aplikacji w chmurze .

    Identyfikator aplikacji Nazwa
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Oprogramowanie Jive
    11114 SalesForce
    11161 Office 365
    11162 Microsoft oneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive dla Firm
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Cykl życia programu Autodesk Fusion
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype dla firm
    25988 Google Docs
    26055 Centrum administracyjne platformy Microsoft 365
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Dysk Google
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Azure AD
    26320 Microsoft office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Następne kroki

    W tym dokumencie przedstawiono strukturę jednostki, identyfikatory i schemat w usłudze Microsoft Sentinel.

    Dowiedz się więcej o jednostkach i mapowaniu jednostek.