Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten dokument zawiera dwa zestawy informacji dotyczących jednostek i typów jednostek w Microsoft Sentinel w Azure Portal i Microsoft Sentinel w portalu usługi Defender.
- Tabela Typy i identyfikatory jednostek zawiera różne typy jednostek , które można zidentyfikować w alertach i zdarzeniach, co umożliwia ich śledzenie i badanie. W tabeli przedstawiono również dla każdego typu jednostki różne identyfikatory, których można użyć do identyfikacji jednostki.
- Sekcja Schemat jednostki przedstawia strukturę danych i schemat dla jednostek w ogóle, a w szczególności dla każdego typu jednostki.
Ważna
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.
Typy i identyfikatory jednostek
W poniższej tabeli przedstawiono typy jednostek, które mogą być rozpoznawane przez Microsoft Sentinel, oraz atrybuty, które mogą być używane jako identyfikatory dla każdego typu jednostki.
Microsoft Sentinel rozpoznaje jednostki w alertach i zdarzeniach tworzonych przez mapowanie jednostek w regułach analizy. Rozpoznaje również jednostki już zidentyfikowane w alertach pozyskanych z innych źródeł.
Obecnie można użyć maksymalnie trzech identyfikatorów dla danej jednostki podczas tworzenia mapowania jednostek w Microsoft Sentinel. Same silne identyfikatory są wystarczające, aby jednoznacznie zidentyfikować jednostkę, podczas gdy słabe identyfikatory mogą to zrobić tylko w połączeniu z innymi identyfikatorami. Dowiedz się więcej o silnych i słabych identyfikatorach. Większość, ale nie wszystkie identyfikatory w tej tabeli mogą być używane podczas tworzenia mapowań jednostek w Microsoft Sentinel (zobacz przypisy dolne).
| Typ jednostki | Identyfikatory | Silne identyfikatory | Słabe identyfikatory |
|---|---|---|---|
| Konta | Name (Nazwa) Fullname* NTDomain Domena Dns UPNSuffix Sid AadTenantId AadUserId IDENTYFIKATOR PUID IsDomainJoined Displayname* Objectguid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain IDENTYFIKATOR PUID Objectguid |
Name (Nazwa) |
| Host | Domena Dns NTDomain Nazwa hosta Fullname* NetBiosName AzureID Identyfikator OMSAgentID OSFamily Osversion IsDomainJoined |
Nazwa hosta+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID Identyfikator OMSAgentID |
Nazwa hosta NetBiosName |
| Typ jednostki | Identyfikatory | Silne identyfikatory | Słabe identyfikatory |
| Adres IP | Adres AddressScope |
Adres globalny: Adres** Adres prywatny: Address+AddressScope** |
Adres prywatny: Adres** |
| URL | Adres url | Adres URL (jeśli bezwzględny adres URL)** | Adres URL (jeśli względny adres URL)** |
|
zasób Azure (AzureResource) |
Resourceid | Resourceid | |
|
Aplikacja w chmurze (CloudApplication) |
Appid Name (Nazwa) Instancename |
Appid Name (Nazwa) AppId+InstanceName Name+InstanceName |
|
|
Rozpoznawanie nazw DNS (DNS) |
Nazwa_domeny | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Plik | Katalogu Name (Nazwa) |
Katalog+Nazwa | |
|
Skrót pliku (FileHash) |
Algorytm Value |
Algorytm+wartość | |
| Złośliwego oprogramowania | Name (Nazwa) Kategoria |
Nazwa+Kategoria | |
| Typ jednostki | Identyfikatory | Silne identyfikatory | Słabe identyfikatory |
| Proces | Processid Commandline ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Hosta+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (brak hosta) ProcessId+CreationTimeUtc+ ImageFile (bez hosta) |
|
Klucz rejestru (RegistryKey) |
Gałęzi Klucz |
Hive+Key | |
|
Wartość rejestru (RegistryValue) |
Name (Nazwa) Value Valuetype |
Klucz+Nazwa | Nazwa (bez klucza) |
|
Grupa zabezpieczeń (SecurityGroup) |
Distinguishedname SID Objectguid |
Distinguishedname SID Objectguid |
|
| Skrzynki pocztowej | Skrzynka pocztowaPrimaryAddress Displayname Upn ExternalDirectoryObjectId RiskLevel |
Skrzynka pocztowaPrimaryAddress | |
| Typ jednostki | Identyfikatory | Silne identyfikatory | Słabe identyfikatory |
|
Klaster poczty (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Zagrożeń Kwerendy QueryTime Konto poczty IsVolumeAnomaly Źródło ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Zapytanie+źródło | |
|
Wiadomość e-mail (MailMessage) |
Odbiorcy Adresy url Zagrożeń Nadawcy P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Temat BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Język* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Przesyłanie wiadomości e-mail (SubmissionMail) |
NetworkMessageId Znacznik czasu Odbiorcy Nadawcy SenderIp Temat Typ raportu Identyfikator przesyłania SubmissionDate Nadesłał |
SubmissionId+NetworkMessageId+ Adresat i przesyłacz |
|
| jednostki Sentinel | Podmioty | Podmioty |
Przypisy dolne tabeli:
- * Te identyfikatory są wyświetlane na liście identyfikatorów, które mogą być używane w mapowaniu jednostek, ale ściśle mówiąc nie są częścią schematu jednostki.
- ** Te identyfikatory są uważane za silne tylko w określonych warunkach. Postępuj zgodnie z linkami gwiazdki, aby zobaczyć warunki, które mają zastosowanie, w ramach listy odpowiedniej jednostki w sekcji schematów jednostek poniżej.
- Kursywą nazwy identyfikatorów (bez gwiazdki) reprezentują jednostki wewnętrzne, co oznacza, że jeden typ jednostki może mieć inne typy jednostek jako atrybuty (zobacz sekcję schematów jednostek poniżej). Postępuj zgodnie z linkiem identyfikatora, aby wyświetlić własny schemat jednostki wewnętrznej.
- Inne jednostki mogą być obecne w schemacie, który jest ogólnym schematem, który obsługuje wiele elementów oprócz Microsoft Sentinel. W tym artykule wymieniono tylko te jednostki dostępne w Microsoft Sentinel.
Schematy typów jednostek
Poniższa sekcja zawiera bardziej szczegółowe spojrzenie na pełne schematy każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek. Na przykład schemat Konta zawiera link do typu jednostki Host, ponieważ jeden atrybut konta użytkownika jest hostem, na który jest zdefiniowany. Te jednostki jako atrybuty są nazywane "jednostkami wewnętrznymi" i nie mogą być używane jako identyfikatory mapowania jednostek, ale są bardzo przydatne w zapewnieniu pełnego obrazu jednostek na stronach jednostki i grafie badania.
Uwaga
Znak zapytania następujący po wartości w kolumnie Typ wskazuje, że pole ma wartość null.
Lista schematów typu jednostki
- Konta
- Host
- Adres IP
- Złośliwego oprogramowania
- Plik
- Proces
- Aplikacja w chmurze
- Rozpoznawanie nazw DNS
- zasób Azure
- Skrót pliku
- Klucz rejestru
- Wartość rejestru
- Grupa zabezpieczeń
- URL
- Urządzenie IoT
- Skrzynki pocztowej
- Klaster poczty
- Wiadomość e-mail
- Przesyłanie wiadomości e-mail
- jednostki Sentinel
Konta
Nazwa jednostki: Konto
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "konto" |
| Nazwa | Ciąg | Nazwa konta. To pole powinno zawierać tylko nazwę bez dodania do niego żadnej domeny. |
| Fullname | -- | Nie jest częścią schematu dołączonego w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
| NTDomain | Ciąg | Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, NT AUTHORITY |
| Domena Dns | Ciąg | W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com |
| UPNSuffix | Ciąg | Sufiks głównej nazwy użytkownika dla konta. W wielu przypadkach sufiks nazwy UPN jest również nazwą domeny. Przykłady: contoso.com |
| Host | Jednostka (host) | Host, który zawiera konto, jeśli jest to konto lokalne. |
| Sid | Ciąg | Identyfikator zabezpieczeń konta. |
| AadTenantId | Identyfikator guid? | Identyfikator dzierżawy Microsoft Entra, jeśli jest znany. |
| AadUserId | Identyfikator guid? | Identyfikator obiektu konta Microsoft Entra, jeśli jest znany. |
| IDENTYFIKATOR PUID | Identyfikator guid? | Identyfikator użytkownika usługi Microsoft Entra Passport, jeśli jest znany. |
| IsDomainJoined | Bool? | Wskazuje, czy konto jest kontem domeny. |
| Displayname | -- | Nie jest częścią schematu dołączonego w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
| Objectguid | Identyfikator guid? | Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanym przez usługę Active Directory. |
| CloudAppAccountId | Ciąg | Identyfikator AccountID w alertach od dostawcy usługi CloudApp. Odnosi się do identyfikatorów kont w aplikacjach innych firm, które nie są obsługiwane w innych produktach firmy Microsoft. |
| IsAnonymized | Bool? | Wskazuje, czy nazwa użytkownika jest anonimowa. Opcjonalne. Wartość domyślna: false. |
| Stream | Stream | Źródło dzienników odnajdywania związanych z określonym kontem. Opcjonalne. |
Silne identyfikatory jednostki konta
- Nazwa + UPNSufiks
- AadUserId
-
Sid
** Ten identyfikator jest silny, o ile konto nie jest jednym z wbudowanych kont wymienionych w poniższej notatce . -
Sid + Host
** Jeśli konto jest jednym z wbudowanych kont wymienionych w poniższej notatce , składnik Host jest wymagany, aby ten identyfikator był silny. -
Nazwa + NTDomain
** Ta kombinacja jest silnym identyfikatorem, gdy konto jest kontem domeny, ponieważ NTDomain nie jest wbudowaną domeną/grupą roboczą i różni się od nazwy hosta. W tym przypadku jest to silny identyfikator nawet bez składnika Host. -
Nazwa + NTDomain + Host
** Składnik Host jest niezbędny do utworzenia silnego identyfikatora, gdy konto jest kontem lokalnym, co oznacza, że NTDomain jest wbudowaną domeną/grupą roboczą. - Name + DnsDomain
- IDENTYFIKATOR PUID
- Objectguid
Słabe identyfikatory jednostki konta
- Name (Nazwa)
Uwaga
Jeśli jednostka Konto jest zdefiniowana przy użyciu identyfikatora nazwy , a wartość Nazwa określonej jednostki jest jedną z następujących ogólnych, często wbudowanych nazw kont, jednostka zostanie usunięta z alertu.
- ADMIN
- ADMINISTRATORA
- SYSTEM
- GŁÓWNEGO
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Host
Nazwa jednostki: Host
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "host" |
| IpInterfaces | Jednostka listy<(Ip)> | Lista wszystkich interfejsów IP na maszynie hosta. |
| Domena Dns | Ciąg | Domena DNS, do której należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany. |
| NTDomain | Ciąg | Domena NT, do której należy ten host. |
| Nazwa hosta | Ciąg | Nazwa hosta bez sufiksu domeny. |
| NetBiosName | Ciąg | Nazwa hosta (przed systemem Windows 2000). |
| IoTDevice | Jednostka (urządzenie IoT) | Jednostka urządzenia IoT (jeśli ten host reprezentuje urządzenie IoT). |
| AzureID | Ciąg | Identyfikator zasobu Azure maszyny wirtualnej, jeśli jest znany. |
| Identyfikator OMSAgentID | Ciąg | Identyfikator agenta pakietu OMS, jeśli na hoście zainstalowano agenta pakietu OMS. |
| OSFamily | Enum? | Jedna z następujących wartości: |
| Osversion | Ciąg | Reprezentacja systemu operacyjnego w postaci wolnego tekstu. To pole jest przeznaczone do przechowywania określonych wersji, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily. |
| IsDomainJoined | Bool | Wskazuje, czy ten host należy do domeny. |
Silne identyfikatory jednostki hosta
- Nazwa hosta + NTDomain
- Nazwa hosta + Domena Dns
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- Identyfikator OMSAgentID
- IoTDevice
Słabe identyfikatory jednostki hosta
- Nazwa hosta
- NetBiosName
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Adres IP
Nazwa jednostki: IP
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "ip" |
| Address (Adres) | Ciąg | Adres IP jako ciąg (W IPv4 lub IPv6). Przykłady: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Ciąg | Nazwa hosta, podsieci lub sieci prywatnej dla prywatnych, nieglobowych adresów IP. Wartość null lub pusta dla globalnych adresów IP (wartość domyślna). Przykłady: /27, 255.255.255.128 |
| Lokalizacji | Geolokalizacja | Kontekst lokalizacji geograficznej dołączony do jednostki IP. Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w Microsoft Sentinel z danymi geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza). |
| Stream | Stream | Źródło dzienników odnajdywania związanych z określonym adresem IP. Opcjonalne. |
Silne identyfikatory jednostki IP
-
Address (Adres)
Gdy adres IP jest adresem globalnym, identyfikator adresu sam w sobie jest unikatowym, silnym identyfikatorem. -
Adres i zakres adresów
W przypadku prywatnych/wewnętrznych, nieglosowych adresów IP składnik AddressScope jest wymagany do utworzenia silnego identyfikatora.
Słabe identyfikatory jednostki IP
-
Address (Adres)
Sam identyfikator adresu jest słabym identyfikatorem, gdy adres IP jest prywatnym/wewnętrznym, nieglowerowym adresem IP.
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Złośliwego oprogramowania
Nazwa jednostki: Złośliwe oprogramowanie
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "złośliwe oprogramowanie" |
| Nazwa | Ciąg | Nazwa złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?), na przykład Win32/Toga!rfn. |
| Kategoria | Ciąg | Na przykład kategoria złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?). Trojan. |
| Files | Jednostka listy<(plik)> | Lista połączonych jednostek plików, na których znaleziono złośliwe oprogramowanie. Może zawierać jednostki plików w tekście lub jako odwołanie. Zobacz jednostkę Plik , aby uzyskać więcej szczegółów na temat struktury. |
| Procesów | Jednostka listy<(proces)> | Lista połączonych jednostek procesu, na których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert jest wyzwalany w przypadku działania bez plików. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Proces . |
Silne identyfikatory jednostki złośliwego oprogramowania
- Nazwa i kategoria
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Plik
Nazwa jednostki: Plik
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "plik" |
| Katalogu | Ciąg | Pełna ścieżka do pliku. |
| Nazwa | Ciąg | Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki). |
| AlternateDataStreamName | Ciąg | Nazwa strumienia plików w systemie plików NTFS (wartość null dla strumienia głównego). |
| Host | Jednostka (host) | Host, na którym był przechowywany plik. |
| HostUrl | Jednostka (adres URL) | Adres URL, z którego pobrano plik (Znacznik sieci Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zabezpieczenia Windows strefy, do której należy adres URL (Znacznik sieci Web). |
| ReferrerUrl | Jednostka (adres URL) | Adres URL odwołań żądania HTTP pobierania pliku (Znacznik sieci Web). |
| SizeInBytes | Długi? | Rozmiar pliku w bajtach. |
| FileHashes | Jednostka listy<(FileHash)> | Skróty plików skojarzone z tym plikiem. |
Silne identyfikatory jednostki pliku
- Nazwa i katalog
- Nazwa + FileHash
- Nazwa + Katalog + FileHash
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Proces
Nazwa jednostki: Proces
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "proces" |
| Processid | Ciąg | Identyfikator procesu. |
| Commandline | Ciąg | Wiersz polecenia użyty do utworzenia procesu. |
| ElevationToken | Enum? | Token podniesienia uprawnień skojarzony z procesem. Możliwe wartości: |
| CreationTimeUtc | Datetime? | Czas rozpoczęcia procesu. |
| Plik obrazu | Jednostka (plik) | Może zawierać jednostkę Plik w tekście lub jako odwołanie. Zobacz jednostkę Plik , aby uzyskać więcej szczegółów na temat struktury. |
| Konta | Jednostka (konto) | Konto z uruchomionymi procesami. Może zawierać jednostkę Konto w tekście lub jako odwołanie. Zobacz jednostkę Konto , aby uzyskać więcej szczegółów na temat struktury. |
| ParentProcess | Jednostka (proces) | Nadrzędna jednostka procesu. Może zawierać dane częściowe, na przykład tylko identyfikator PID. |
| Host | Jednostka (host) | Host, na którym był uruchomiony proces. |
| LogowanieSesja | Jednostka (HostLogonSession) | Sesja, w której proces był uruchomiony. |
Silne identyfikatory jednostki procesu
- Host + ProcessId + CreationTimeUtc
- Hosta + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Słabe identyfikatory jednostki procesu
- ProcessId + CreationTimeUtc + CommandLine (bez hosta)
- ProcessId + CreationTimeUtc + ImageFile (bez hosta)
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Aplikacja w chmurze
Nazwa jednostki: CloudApplication
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "cloud-application" |
| Appid | Int | Przestarzałe; zamiast tego użyj pola SaasId. Identyfikator techniczny aplikacji. Możliwe wartości to wartości zdefiniowane na liście identyfikatorów aplikacji w chmurze. Wartość opcjonalna. Nie powinno zawierać identyfikatora InstanceId. |
| Identyfikator SaasId | Int | Zastępuje przestarzałe pole AppId. Identyfikator techniczny aplikacji. Możliwe wartości to wartości zdefiniowane na liście identyfikatorów aplikacji w chmurze. Wartość opcjonalna. Nie powinno zawierać identyfikatora InstanceId. |
| Nazwa | Ciąg | Nazwa powiązanej aplikacji w chmurze. Wartość opcjonalna. |
| Instancename | Ciąg | Zdefiniowana przez użytkownika nazwa wystąpienia aplikacji w chmurze. Jest on często używany do rozróżniania kilku aplikacji tego samego typu, które ma klient. |
| Instanceid | Int | Identyfikator określonej sesji aplikacji. Jest to numer uruchomiony oparty na zerach. Wartość opcjonalna. |
| Ryzyko | AppRisk? | Umożliwia filtrowanie aplikacji według oceny ryzyka, aby można było skupić się na np. przeglądaniu tylko wysoce ryzykownych aplikacji. Możliwe wartości, takie jak Niski, Średni, Wysoki lub Nieznany. |
| Stream | Stream | Źródło dzienników odnajdywania związanych z konkretną aplikacją w chmurze. Opcjonalne. |
Silne identyfikatory jednostki aplikacji w chmurze
- AppId (bez InstanceName)
- Nazwa (bez instancename)
- AppId + InstanceName
- Nazwa + Nazwa wystąpienia
Lista identyfikatorów aplikacji w chmurze
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Rozpoznawanie nazw DNS
Nazwa jednostki: DNS
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "dns" |
| Nazwa_domeny | Ciąg | Nazwa rekordu DNS skojarzonego z alertem. |
| Ipaddress | Jednostka listy<(IP)> | Jednostki odpowiadające rozpoznanym adresom IP. |
| DnsServerIp | Jednostka (IP) | Jednostka reprezentująca serwer DNS, który rozwiązuje żądanie. |
| HostIpAddress | Jednostka (IP) | Jednostka reprezentująca klienta żądania DNS. |
Silne identyfikatory jednostki DNS
- DomainName + DnsServerIp + HostIpAddress
Słabe identyfikatory jednostki DNS
- DomainName + HostIpAddress
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
zasób Azure
Nazwa jednostki: AzureResource
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "azure-resource" |
| Resourceid | Ciąg | Identyfikator zasobu Azure. Obowiązkowe. |
| SubscriptionId | Ciąg | Identyfikator subskrypcji zasobu. |
| ActiveContacts | Wyświetlanie listy<elementów ActiveContact> | Aktywne kontakty skojarzone z zasobem. |
| Resourcetype | Ciąg | Typ zasobu. |
| Resourcename | Ciąg | Nazwa zasobu. |
Silne identyfikatory jednostki zasobu Azure
- Resourceid
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Skrót pliku
Nazwa jednostki: FileHash
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "filehash" |
| Algorytm | Enum | Typ algorytmu skrótu. Obowiązkowe. Możliwe wartości: |
| Wartość | Ciąg | Wartość skrótu. Obowiązkowe. |
Silne identyfikatory jednostki skrótu pliku
- Algorytm i wartość
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Klucz rejestru
Nazwa jednostki: RegistryKey
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "klucz rejestru" |
| Gałęzi | Enum? | Jedna z następujących wartości: |
| Klucz | Ciąg | Ścieżka klucza rejestru. |
Silne identyfikatory jednostki klucza rejestru
- Hive + Klucz
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Wartość rejestru
Nazwa jednostki: RegistryValue
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "wartość rejestru" |
| Host | Jednostka (host) | Host, do którego należy rejestr. |
| Klucz | Jednostka (RegistryKey) | Jednostka klucza rejestru. |
| Nazwa | Ciąg | Nazwa wartości rejestru. |
| Wartość | Ciąg | Reprezentacja danych wartości w formacie ciągu. |
| Valuetype | Enum? | Jedna z następujących wartości: Wartości powinny być zgodne z wyliczeniem Microsoft.Win32.RegistryValueKind. |
Silne identyfikatory jednostki wartości rejestru
- Klucz i nazwa
Słabe identyfikatory jednostki wartości rejestru
- Nazwa (bez klucza)
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Grupa zabezpieczeń
Nazwa jednostki: SecurityGroup
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "Grupa zabezpieczeń" |
| Distinguishedname | Ciąg | Nazwa wyróżniająca grupy. |
| SID | Ciąg | Atrybut o pojedynczej wartości określający identyfikator zabezpieczeń (SID) grupy. |
| Objectguid | Identyfikator guid? | Atrybut o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanym przez usługę Active Directory. |
Silne identyfikatory jednostki grupy zabezpieczeń
- Distinguishedname
- SID
- Objectguid
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
URL
Nazwa jednostki: adres URL
| Pole | Wpisać | Opis |
|---|---|---|
| Wpisać | Ciąg | "url" |
| Adres url | Identyfikator uri | Pełny adres URL, na który wskazuje jednostka. Obowiązkowe. |
Silne identyfikatory jednostki adresu URL
- Adres URL (** Ten identyfikator jest silny, gdy adres URL jest bezwzględnym adresem URL).
Słabe identyfikatory jednostki adresu URL
- Adres URL (** Ten identyfikator jest słaby, gdy adres URL jest względnym adresem URL).
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Urządzenie IoT
Nazwa jednostki: IoTDevice
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "iotdevice" |
| IoTHub | Jednostka (AzureResource) | Jednostka AzureResource reprezentująca IoT Hub, do której należy urządzenie. |
| Deviceid | Ciąg | Identyfikator urządzenia w kontekście IoT Hub. Obowiązkowe. |
| DeviceName | Ciąg | Przyjazna nazwa urządzenia. |
| Właściciele | Ciąg listy<> | Właściciele urządzenia. |
| IoTSecurityAgentId | Identyfikator guid? | Identyfikator agenta usługi Defender for IoT działającego na urządzeniu. |
| Devicetype | Ciąg | Typ urządzenia ("czujnik temperatury", "zamrażarka", "turbina wiatrowa" itp.). |
| DeviceTypeId | Ciąg | Unikatowy identyfikator identyfikujący każdy typ urządzenia zgodnie ze schematem typu urządzenia, ponieważ sam typ urządzenia jest nazwą wyświetlaną i nie jest niezawodny w porównaniach. Możliwe wartości: Niesklasyfikowane = 0 Różne = 1 Urządzenie sieciowe = 2 Drukarka = 3 Dźwięk i wideo = 4 Media i nadzór = 5 Komunikacja = 7 Urządzenie inteligentne = 9 Stacja robocza = 10 Serwer = 11 Mobile = 12 Inteligentny obiekt = 13 Przemysłowe = 14 Sprzęt operacyjny = 15 |
| Źródło | Ciąg | Źródło (Microsoft/Vendor) jednostki urządzenia. |
| ŹródłoRef | Jednostka (adres URL) | Odwołanie do elementu źródłowego, w którym zarządzane jest urządzenie. |
| Producent | Ciąg | Producent urządzenia. |
| Modelu | Ciąg | Model urządzenia. |
| Operatingsystem | Ciąg | System operacyjny, na który działa urządzenie. |
| Ipaddress | Jednostka (IP) | Bieżący adres IP urządzenia. |
| MacAddress | Ciąg | Adres MAC urządzenia. |
| Karty sieciowe | Jednostka (nic) | Bieżące karty sieciowe na urządzeniu. |
| Protokołów | Ciąg listy<> | Lista protokołów obsługiwanych przez urządzenie. |
| Numer seryjny | Ciąg | Numer seryjny urządzenia. |
| Witryny | Ciąg | Lokalizacja lokacji urządzenia. |
| Zone (Strefa) | Ciąg | Lokalizacja strefy urządzenia w lokacji. |
| Czujnik | Ciąg | Czujnik monitoruje urządzenie. |
| Znaczenie | Enum? | Jedna z następujących wartości: |
| PurdueLayer | Ciąg | Warstwa Purdue urządzenia. |
| IsProgramming | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie programistyczne. |
| Isauthorized | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako autoryzowane urządzenie. |
| IsScanner | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie skanera. |
| DevicePageLink | Jednostka (adres URL) | Adres URL strony urządzenia w portalu usługi Defender for IoT. |
| DeviceSubType | Ciąg | Nazwa podtypu urządzenia. |
Silne identyfikatory jednostki urządzenia IoT
- IoTHub + DeviceId
Słabe identyfikatory jednostki urządzenia IoT
- DeviceId (bez usługi IoTHub)
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Skrzynki pocztowej
Nazwa jednostki: Skrzynka pocztowa
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "skrzynka pocztowa" |
| Skrzynka pocztowaPrimaryAddress | Ciąg | Adres podstawowy skrzynki pocztowej. |
| Displayname | Ciąg | Nazwa wyświetlana skrzynki pocztowej. |
| Upn | Ciąg | Nazwa UPN skrzynki pocztowej. |
| AadId | Ciąg | Identyfikator Azure AD skrzynki pocztowej użytkownika. |
| RiskLevel | RiskLevel (liczba całkowita) | Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości: |
| ExternalDirectoryObjectId | Identyfikator guid? | Identyfikator usługi AzureAD skrzynki pocztowej. Podobnie jak aadUserId w jednostce Konto, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office. |
Silne identyfikatory jednostki skrzynki pocztowej
- Skrzynka pocztowaPrimaryAddress
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Klaster poczty
Nazwa jednostki: MailCluster
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "klaster poczty" |
| NetworkMessageIds | Ciąg listy IList<> | Identyfikatory wiadomości e-mail, które są częścią klastra poczty. |
| CountByDeliveryStatus | Ciąg IDictionary,Int<> | Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus. |
| CountByThreatType | Ciąg IDictionary,Int<> | Liczba wiadomości e-mail według reprezentacji ciągu ThreatType. |
| CountByProtectionStatus | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu stanu ochrony. |
| CountByDeliveryLocation | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu lokalizacji dostarczania. |
| Zagrożeń | Ciąg listy IList<> | Zagrożenia związane z wiadomościami e-mail, które są częścią klastra poczty. |
| Kwerendy | Ciąg | Zapytanie, które zostało użyte do identyfikacji wiadomości klastra poczty. |
| QueryTime | Datetime? | Czas zapytania. |
| Konto poczty | Int? | Liczba wiadomości e-mail, które są częścią klastra poczty. |
| IsVolumeAnomaly | Bool? | Wskazuje, czy klaster poczty jest klastrem poczty zbiorczej anomalii. |
| Źródło | Ciąg | Źródło klastra poczty (wartość domyślna to O365 ATP). |
Silne identyfikatory jednostki klastra poczty
- Zapytanie i źródło
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Wiadomość e-mail
Nazwa jednostki: MailMessage
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "mail-message" |
| Files | IList<Entity (plik)> | Jednostki Plik załączników tej wiadomości e-mail. |
| Odbiorcy | Ciąg | Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata. |
| Adresy url | Ciąg listy IList<> | Adresy URL zawarte w tej wiadomości e-mail. |
| Zagrożeń | Ciąg listy IList<> | Zagrożenia zawarte w tej wiadomości e-mail. |
| Nadawcy | Ciąg | Adres e-mail nadawcy. |
| SenderIP | Ciąg | Adres IP nadawcy. |
| ReceivedDate | Datetime | Data odebrania tej wiadomości. |
| NetworkMessageId | Identyfikator guid? | Identyfikator wiadomości sieciowej tej wiadomości e-mail. |
| InternetMessageId | Ciąg | Identyfikator wiadomości internetowej tej wiadomości e-mail. |
| Temat | Ciąg | Temat tej wiadomości e-mail. |
| AntispamDirection | Enum? | Kierunkowość tej wiadomości e-mail. Możliwe wartości: |
| DeliveryAction | Enum? | Akcja dostarczania tej wiadomości e-mail. Możliwe wartości: |
| DeliveryLocation | Enum? | Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości: |
| Identyfikator kampanii | Ciąg | Identyfikator kampanii, w której jest obecna ta wiadomość e-mail. |
| SuspiciousRecipients | Ciąg listy IList<> | Lista adresatów, którzy zostali wykryci jako podejrzani. |
| ForwardedRecipients | Ciąg listy IList<> | Lista wszystkich adresatów wiadomości przesłanej dalej. |
| Typ przekazywania | Ciąg listy IList<> | Typ przekazywania wiadomości e-mail, taki jak SMTP, ETR itp. |
Silne identyfikatory jednostki wiadomości e-mail
- NetworkMessageId + Adresat
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Przesyłanie wiadomości e-mail
Nazwa jednostki: SubmissionMail
| Pole | Wpisać | Opis |
|---|---|---|
| Type | Ciąg | "SubmissionMail" |
| Identyfikator przesyłania | Identyfikator guid? | Identyfikator przesłania. |
| SubmissionDate | Datetime? | Zgłoszono datę przesłania. |
| Nadesłał | Ciąg | Adres e-mail przesyłacza. |
| NetworkMessageId | Identyfikator guid? | Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie. |
| Znacznik czasu | Datetime? | Sygnatura czasowa odebrania wiadomości (Poczta). |
| Odbiorcy | Ciąg | Adresat wiadomości e-mail. |
| Nadawcy | Ciąg | Nadawca wiadomości e-mail. |
| SenderIp | Ciąg | Adres IP nadawcy. |
| Temat | Ciąg | Temat przesłania wiadomości e-mail. |
| Typ raportu | Ciąg | Typ przesyłania dla danego wystąpienia. Możliwe wartości to Junk, Phish, Malware lub NotJunk. |
Silne identyfikatory jednostki SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Odbiorca
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
jednostki Sentinel
| Pole | Wpisać | Opis |
|---|---|---|
| Podmioty | Ciąg | Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna jednostek ze schematu SecurityAlert (zobacz dokumentację). |
Powrót do listy schematów typu jednostki | Powrót do tabeli identyfikatorów jednostek
Identyfikatory aplikacji w chmurze
Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość Identyfikator aplikacji jest używana jako identyfikator jednostki aplikacji w chmurze .
| Identyfikator aplikacji | Name (Nazwa) |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Pole |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Kamień węgielny OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Usługa Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | Successfactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive dla Firm |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Cykl życia autodesk fusion |
| 23043 | Luzu |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype dla firm |
| 25988 | Google Docs |
| 26055 | Centrum administracyjne platformy Microsoft 365 |
| 26060 | Koła zębate OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Dysk Google |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS Proxy Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Następne kroki
W tym dokumencie przedstawiono strukturę jednostki, identyfikatory i schemat w Microsoft Sentinel.
Dowiedz się więcej o mapowaniu jednostek i jednostek.