Dokumentacja typów jednostek usługi Microsoft Sentinel

  • Artykuł

Ten dokument zawiera dwa zestawy informacji dotyczących jednostek i typów jednostek w usłudze Microsoft Sentinel.

  • Tabela Typy jednostek i identyfikatory przedstawia różne typy jednostek, które mogą być używane w mapowaniu jednostek zarówno w regułach analizy, jak i wyszukiwaniu zagrożeń. W tabeli przedstawiono również dla każdego typu jednostki różne identyfikatory, których można użyć do identyfikowania jednostki.
  • Sekcja Schemat jednostki zawiera ogólną strukturę danych i schemat jednostek oraz dla każdego typu jednostki, w tym niektóre typy, które nie są reprezentowane w funkcji mapowania jednostek.

Typy jednostek i identyfikatory

W poniższej tabeli przedstawiono typy jednostek, które są obecnie dostępne do mapowania w usłudze Microsoft Sentinel, oraz atrybuty dostępne jako identyfikatory dla każdego typu jednostki. Prawie wszystkie te atrybuty są wyświetlane na liście rozwijanej Identyfikatory w sekcji mapowania jednostek kreatora reguły analizy (zobacz przypisy dolne dla wyjątków).

Do mapowania pojedynczej jednostki można użyć maksymalnie trzech identyfikatorów. Tylko silne identyfikatory są wystarczające do unikatowego identyfikowania jednostki, natomiast słabe identyfikatory mogą to zrobić tylko w połączeniu z innymi identyfikatorami.

Dowiedz się więcej o silnych i słabych identyfikatorach.

Typ encji Identifiers Silne identyfikatory Słabe identyfikatory
Klient Nazwisko
Fullname*
NTDomain
Domena dns
UPNSuffix
Sid
Identyfikator AadTenantId
AadUserId
PUID
IsDomainJoinEd
Displayname*
Objectguid		 Name+UPNSuffix
AADUserId
Sid **
Sid+host**
Nazwa+host+NTDomain **
Nazwa+NTDomain **
Name+DnsDomain
PUID
Objectguid		 Nazwisko
Host Domena dns
NTDomain
HostName
Fullname*
NetBiosName
Identyfikator platformy Azure
Identyfikator OMSAgentID
OSFamily
OSVersion
IsDomainJoinEd		 Nazwa hosta+NTDomain
Nazwa hosta i domena DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
Identyfikator platformy Azure
Identyfikator OMSAgentID		 HostName
NetBiosName
Adres IP Adres
Adreszakres		 Adres **
Address+AddressScope **
Adres URL Url Adres URL (jeśli bezwzględny adres URL )** Adres URL (jeśli względny adres URL )**
Zasób platformy Azure
(AzureResource)		 ResourceId ResourceId
Aplikacja w chmurze
(CloudApplication)		 AppId
Nazwisko
InstanceName		 AppId
Nazwisko
AppId+InstanceName
Nazwa i nazwa wystąpienia
Rozpoznawanie nazw DNS
(DNS)		 DomainName DomainName+DnsServerIp HostIpAddress+ DomainName+HostIpAddress
Plik Katalog
Nazwisko		 Katalog+nazwa
Skrót pliku
(FileHash)		 Algorytm
Wartość		 Algorytm i wartość
Złośliwe oprogramowanie Nazwisko
Kategoria		 Nazwa i kategoria
Proces ProcessId
CommandLine
Podniesienie uprawnień
CreationTimeUtc		 Host+ProcessID+CreationTimeUtc
Identyfikator ParentProcessId hosta++
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash		 ProcessId+CreationTimeUtc+
   CommandLine (bez hosta)
ProcessId+CreationTimeUtc+
   ImageFile (bez hosta)
Klucz rejestru
(RegistryKey)		 Hive
Key		 Hive+Key
Wartość rejestru
(RegistryValue)		 Nazwa/nazwisko
Wartość
ValueType
 Klucz+nazwa Nazwa (bez klucza)
Grupa zabezpieczeń
(SecurityGroup)		 Distinguishedname
SID
Objectguid		 Distinguishedname
SID
Objectguid
Skrzynka pocztowa MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
Klaster poczty
(MailCluster)		 NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Zagrożenia
Query
Czas kwerendy
MailCount
IsVolumeAnomaly
Źródło
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *		 Zapytanie i źródło
Wiadomość e-mail
(MailMessage)		 Adresat
Adresy url
Zagrożenia
Nadawca
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
Odebranodanie
NetworkMessageId
InternetMessageId
Temat
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Język*
ThreatDetectionMethods *		 NetworkMessageId+Odbiorca
Wyślij wiadomość e-mail
(SubmissionMail)		 NetworkMessageId
Sygnatura czasowa
Adresat
Nadawca
SenderIp
Temat
Typ raportu
Identyfikator przesyłania
Data przesłania
Nadesłał		 SubmissionId+NetworkMessageId+
   Odbiorca i osoba przesyłająca
Jednostki usługi Sentinel Jednostki Encje

Przypisy dolne tabeli:

  • * Te identyfikatory są wyświetlane na liście identyfikatorów, które mogą być używane w mapowaniu jednostek, ale ściśle mówiąc, nie są częścią schematu jednostki.
  • ** Te identyfikatory są uznawane za silne tylko w określonych warunkach. Postępuj zgodnie z linkami gwiazdki, aby wyświetlić warunki, które mają zastosowanie, w obszarze listy odpowiedniej jednostki w poniższej sekcji schematów jednostek.
  • Nazwy identyfikatorów kursywy (bez gwiazdki) reprezentują jednostki wewnętrzne, co oznacza, że jeden typ jednostki może mieć inne typy jednostek jako atrybuty (zobacz sekcję schematów jednostek poniżej). Postępuj zgodnie z linkiem identyfikatora, aby wyświetlić własny schemat jednostki wewnętrznej.

Schematy typu jednostki

Poniższa sekcja zawiera bardziej szczegółowe omówienie pełnych schematów każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek. Na przykład schemat Konto zawiera link do typu jednostki Host, ponieważ jednym z atrybutów konta użytkownika jest host, na którego jest zdefiniowany. Te atrybuty jako jednostki są nazywane "jednostkami wewnętrznymi" i nie można ich używać jako identyfikatorów do mapowania jednostek, ale są one bardzo przydatne w zapewnianiu pełnego obrazu jednostek na stronach jednostek i wykresie badania.

Uwaga

Znak zapytania po wartości w kolumnie Typ wskazuje, że pole jest dopuszczane do wartości null.

Lista schematów typu jednostki

Klient

Nazwa jednostki: Konto

Pole Typ Opis
Type String "konto"
Nazwa/nazwisko String Nazwa konta. To pole powinno zawierać tylko nazwę bez dodania do niej żadnej domeny.
FullName -- Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek.
NTDomain String Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, NT AUTHORITY
Domena dns String W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com
UPNSuffix String Sufiks głównej nazwy użytkownika dla konta. W wielu przypadkach sufiks nazwy UPN jest również nazwą domeny. Przykłady: contoso.com
Host Jednostka (host) Host zawierający konto, jeśli jest kontem lokalnym.
Sid String Identyfikator zabezpieczeń konta.
Identyfikator AadTenantId Identyfikator guid? Identyfikator dzierżawy entra firmy Microsoft, jeśli jest znany.
AadUserId Identyfikator guid? Identyfikator obiektu konta Entra firmy Microsoft, jeśli jest znany.
IDENTYFIKATOR PUID Identyfikator guid? Identyfikator użytkownika usługi Microsoft Entra Passport, jeśli jest znany.
IsDomainJoinEd Bool? Wskazuje, czy konto jest kontem domeny.
Nazwa wyświetlana -- Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek.
Objectguid Identyfikator guid? Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory.
CloudAppAccountId String Identyfikator accountID w alertach od dostawcy usługi CloudApp. Odwołuje się do identyfikatorów kont w aplikacjach innych firm, które nie są obsługiwane w innych produktach firmy Microsoft.
IsAnonymized Bool? Wskazuje, czy nazwa użytkownika jest anonimowa. Opcjonalny. Wartość domyślna: false.
Strumień Stream Źródło dzienników odnajdywania powiązanych z określonym kontem. Opcjonalny.

Silne identyfikatory jednostki konta

  • Nazwa + UPNSuffix
  • AadUserId
  • Sid
    ** Ten identyfikator jest silny, o ile konto nie jest jednym z wbudowanych kont wymienionych w notatce poniżej.
  • Sid i host
    ** Jeśli konto jest jednym z wbudowanych kont wymienionych w notatce poniżej, składnik hosta jest wymagany, aby ten identyfikator był silny.
  • Nazwa + NTDomain
    ** Ta kombinacja jest silnym identyfikatorem, gdy konto jest kontem domeny, ponieważ NTDomain nie jest wbudowaną domeną/grupą roboczą i różni się od nazwy hosta. W takim przypadku jest to silny identyfikator, nawet bez składnika Host.
  • Nazwa + NTDomain + host
    ** Składnik hosta jest niezbędny do utworzenia silnego identyfikatora, gdy konto jest kontem lokalnym, co oznacza, że NTDomain jest wbudowaną domeną/grupą roboczą.
  • Nazwa i domena DnsDomain
  • IDENTYFIKATOR PUID
  • Objectguid

Słabe identyfikatory jednostki konta

  • Nazwisko

Uwaga

Jeśli jednostka Account jest zdefiniowana przy użyciu identyfikatora Name, a wartość Nazwa określonej jednostki jest jedną z następujących ogólnych, często wbudowanych nazw kont, ta jednostka zostanie porzucona z alertu.

  • ADMINISTRATOR
  • ADMINISTRATOR
  • SYSTEM
  • GŁÓWNEGO
  • ANONIMOWY
  • UWIERZYTELNIONY UŻYTKOWNIK
  • SIECI
  • NULL
  • SYSTEM LOKALNY
  • LOCALSYSTEM
  • USŁUGA SIECIOWA

Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

Gospodarz

Nazwa jednostki: Host

Pole Typ Opis
Type String "host"
IpInterfaces Jednostka listy<(Ip)> Lista wszystkich interfejsów IP na maszynie hosta.
Domena dns String Domena DNS, do którego należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany.
NTDomain String Domena NT, do którego należy ten host.
Nazwa hosta String Nazwa hosta bez sufiksu domeny.
NetBiosName String Nazwa hosta (przed systemem Windows 2000).
IoTDevice Jednostka (urządzenie IoT) Jednostka Urządzenie IoT (jeśli ten host reprezentuje urządzenie IoT).
Identyfikator platformy Azure String Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany.
Identyfikator OMSAgentID String Identyfikator agenta pakietu OMS, jeśli host ma zainstalowanego agenta pakietu OMS.
OSFamily Enum? Jedna z następujących wartości:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
    		•
    Osversion String Wolna reprezentacja systemu operacyjnego.
    To pole jest przeznaczone do przechowywania określonych wersji, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily.
    IsDomainJoinEd Bool Wskazuje, czy ten host należy do domeny.

    Silne identyfikatory jednostki hosta

    • Nazwa hosta + NTDomain
    • Nazwa hosta i domena DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • Identyfikator platformy Azure
    • Identyfikator OMSAgentID
    • IoTDevice

    Słabe identyfikatory jednostki hosta

    • HostName
    • NetBiosName

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Adres IP

    Nazwa jednostki: ADRES IP

    Pole Typ Opis
    Type String "ip"
    Address String Na przykład adres IP jako ciąg. 127.0.0.1 (w IPv4 lub IPv6).
    Adreszakres String Nazwa hosta, podsieci lub sieci prywatnej dla prywatnych, nieglobalnych adresów IP. Wartości null lub puste dla globalnych adresów IP (ustawienie domyślne).
    Lokalizacja GeoLocation Kontekst lokalizacji geograficznej dołączony do jednostki IP.

    Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza).
    Strumień Stream Źródło dzienników odnajdywania powiązanych z określonym adresem IP. Opcjonalny.

    Silne identyfikatory jednostki IP

    • Address
      ** Sam adres jest unikatowym, silnym identyfikatorem, gdy adres IP jest adresem globalnym.
    • Adres i adreszakres
      ** W przypadku prywatnych/wewnętrznych, nieglobalnych adresów IP składnik AddressScope jest wymagany do utworzenia silnego identyfikatora.

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Złośliwe oprogramowanie

    Nazwa jednostki: Złośliwe oprogramowanie

    Pole Typ Opis
    Type String "malware"
    Nazwa/nazwisko String Nazwa złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?), na przykład Win32/Toga!rfn.
    Kategoria String Na przykład kategoria złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?). Trojan.
    Pliki Jednostka listy<(plik)> Lista połączonych jednostek plików, na których znaleziono złośliwe oprogramowanie. Może zawierać jednostki File w tekście lub jako odwołanie.
    Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Plik.
    Procesy Jednostka listy<(proces)> Lista połączonych jednostek procesów, na których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert został wyzwolony w przypadku działania bez plików.
    Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Process.

    Silne identyfikatory jednostki złośliwego oprogramowania

    • Nazwa i kategoria

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Plik

    Nazwa jednostki: Plik

    Pole Typ Opis
    Type String "plik"
    Katalogu String Pełna ścieżka, w której ma być wyszukiwany plik.
    Nazwa/nazwisko String Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki).
    AlternateDataStreamName String Nazwa strumienia plików w systemie plików NTFS (wartość null dla głównego strumienia).
    Host Jednostka (host) Host, na którym był przechowywany plik.
    HostUrl Jednostka (adres URL) Adres URL, z którego pobrano plik
    (Znacznik sieci Web).
    WindowsSecurityZoneType WindowsSecurityZone Zabezpieczenia Windows strefy, do której należy adres URL
    (Znacznik sieci Web).
    RefererUrl Jednostka (adres URL) Adres URL odwołania żądania HTTP pobierania pliku
    (Znacznik sieci Web).
    SizeInBytes Długi? Rozmiar pliku w bajtach.
    Skróty plików Jednostka listy<(FileHash)> Skróty plików skojarzone z tym plikiem.

    Silne identyfikatory jednostki pliku

    • Nazwa i katalog
    • Nazwa i plikHash
    • Nazwa + katalog + plikHash

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Przetwarzaj

    Nazwa jednostki: Proces

    Pole Typ Opis
    Type String "proces"
    Processid String Identyfikator procesu.
    Commandline String Wiersz polecenia użyty do utworzenia procesu.
    Podniesienie uprawnień Enum? Token podniesienia uprawnień skojarzony z procesem.
    Możliwe wartości:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc Datetime? Czas rozpoczęcia procesu.
    ImageFile Jednostka (plik) Może zawierać jednostkę File w tekście lub jako odwołanie.
    Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Plik.
    Klient Jednostka (konto) Konto, na którym są uruchomione procesy.
    Może zawierać jednostkę Account w tekście lub jako odwołanie.
    Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Account (Konto).
    ParentProcess Jednostka (proces) Jednostka procesu nadrzędnego.
    Może zawierać dane częściowe, na przykład tylko piD.
    Host Jednostka (host) Host, na którym był uruchomiony proces.
    Logowanie Jednostka (HostLogonSession) Sesja, w której był uruchomiony proces.

    Silne identyfikatory jednostki procesu

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Słabe identyfikatory jednostki procesu

    • ProcessId + CreationTimeUtc + CommandLine (i bez hosta)
    • ProcessId + CreationTimeUtc + ImageFile (i bez hosta)

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Aplikacja w chmurze

    Nazwa jednostki: CloudApplication

    Pole Typ Opis
    Type String "aplikacja w chmurze"
    Appid Int Przestarzałe; Zamiast tego użyj pola SaasId. Identyfikator techniczny aplikacji. Możliwe wartości są zdefiniowane na liście identyfikatorów aplikacji w chmurze. Wartość opcjonalna. Nie powinien zawierać identyfikatora InstanceId.
    Identyfikator SaasId Int Zastępuje przestarzałe pole AppId. Identyfikator techniczny aplikacji. Możliwe wartości są zdefiniowane na liście identyfikatorów aplikacji w chmurze. Wartość opcjonalna. Nie powinien zawierać identyfikatora InstanceId.
    Nazwa/nazwisko String Nazwa powiązanej aplikacji w chmurze. Wartość opcjonalna.
    Instancename String Nazwa wystąpienia zdefiniowanego przez użytkownika aplikacji w chmurze. Jest on często używany do rozróżnienia między kilkoma aplikacjami tego samego typu, które ma klient.
    Instanceid Int Identyfikator określonej sesji aplikacji. Jest to liczba uruchomiona na podstawie zera. Wartość opcjonalna.
    Ryzyko AppRisk? Umożliwia filtrowanie aplikacji według oceny ryzyka, dzięki czemu można skupić się na przykład przeglądając tylko wysoce ryzykowne aplikacje. Możliwe wartości, takie jak Niski, Średni, Wysoki lub Nieznany.
    Strumień Stream Źródło dzienników odnajdywania powiązanych z określoną aplikacją w chmurze. Opcjonalny.

    Silne identyfikatory jednostki aplikacji w chmurze

    • AppId (bez wystąpieniaName)
    • Nazwa (bez wystąpieniaName)
    • Identyfikator aplikacji i nazwa wystąpienia
    • Nazwa i nazwa wystąpienia

    Lista identyfikatorów aplikacji w chmurze

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Rozpoznawanie nazw DNS

    Nazwa jednostki: DNS

    Pole Typ Opis
    Type String "dns"
    Nazwa_domeny String Nazwa rekordu DNS skojarzonego z alertem.
    Ipaddress Jednostka listy<(IP)> Jednostki odpowiadające rozpoznanych adresom IP.
    DnsServerIp Jednostka (IP) Jednostka reprezentująca serwer DNS rozpoznający żądanie.
    HostIpAddress Jednostka (IP) Jednostka reprezentująca klienta żądania DNS.

    Silne identyfikatory jednostki DNS

    • DomainName + DnsServerIp HostIpAddress +

    Słabe identyfikatory jednostki DNS

    • DomainName + HostIpAddress

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Zasób platformy Azure

    Nazwa jednostki: AzureResource

    Pole Typ Opis
    Type String "azure-resource"
    ResourceId String Identyfikator zasobu platformy Azure. Obowiązkowy.
    Subscriptionid String Identyfikator subskrypcji zasobu.
    Aktywnekontakty Wyświetlanie listy<aktywnychkontaktów> Aktywne kontakty skojarzone z zasobem.
    ResourceType String Typ zasobu.
    Resourcename String Nazwa zasobu.

    Silne identyfikatory jednostki zasobów platformy Azure

    • ResourceId

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Wartość skrótu pliku

    Nazwa jednostki: FileHash

    Pole Typ Opis
    Type String "filehash"
    Algorytm Wyliczenie Typ algorytmu skrótu. Obowiązkowy. Możliwe wartości:
  • Nieznane
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Wartość String Wartość skrótu. Obowiązkowy.

    Silne identyfikatory jednostki skrótu pliku

    • Algorytm i wartość

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Klucz rejestru

    Nazwa jednostki: RegistryKey

    Pole Typ Opis
    Type String "registry-key"
    Hive Enum? Jedna z następujących wartości:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Klawisz String Ścieżka klucza rejestru.

    Silne identyfikatory jednostki klucza rejestru

    • Hive + klucz

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Wartość rejestru

    Nazwa jednostki: RegistryValue

    Pole Typ Opis
    Type String "registry-value"
    Host Jednostka (host) Host, do którego należy rejestr.
    Klawisz Jednostka (RegistryKey) Jednostka klucza rejestru.
    Nazwa/nazwisko String Nazwa wartości rejestru.
    Wartość String Ciąg sformatowany reprezentacja danych wartości.
    Valuetype Enum? Jedna z następujących wartości:
  • String
  • Plik binarny
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Brak
  • Nieznane
    Wartości powinny być zgodne z wyliczeniem Microsoft.Win32.RegistryValueKind.
    		•

    Silne identyfikatory jednostki wartości rejestru

    • Klucz i nazwa

    Słabe identyfikatory jednostki wartości rejestru

    • Nazwa (bez klucza)

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Grupa zabezpieczeń

    Nazwa jednostki: SecurityGroup

    Pole Typ Opis
    Type String "Grupa zabezpieczeń"
    Distinguishedname String Nazwa wyróżniająca grupy.
    SID String Atrybut z jedną wartością, który określa identyfikator zabezpieczeń (SID) grupy.
    Objectguid Identyfikator guid? Atrybut z jedną wartością, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory.

    Silne identyfikatory jednostki grupy zabezpieczeń

    • Distinguishedname
    • SID
    • Objectguid

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    URL

    Nazwa jednostki: adres URL

    Pole Typ Opis
    Type String "url"
    Url Identyfikator URI Pełny adres URL wskazujący jednostkę. Obowiązkowy.

    Silne identyfikatory jednostki adresu URL

    • Adres URL (** Ten identyfikator jest silny, gdy adres URL jest bezwzględnym adresem URL).

    Słabe identyfikatory jednostki adresu URL

    • Adres URL (** Ten identyfikator jest słaby, gdy adres URL jest względnym adresem URL).

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Urządzenie IoT

    Nazwa jednostki: IoTDevice

    Pole Typ Opis
    Type String "iotdevice"
    IoTHub Jednostka (AzureResource) Jednostka AzureResource reprezentująca centrum IoT Hub, do którego należy urządzenie.
    Deviceid String Identyfikator urządzenia w kontekście usługi IoT Hub. Obowiązkowy.
    Nazwa urządzenia String Przyjazna nazwa urządzenia.
    Właścicieli Ciąg listy<> Właściciele urządzenia.
    IoTSecurityAgentId Identyfikator guid? Identyfikator agenta usługi Defender for IoT uruchomionego na urządzeniu.
    Devicetype String Typ urządzenia ("czujnik temperatury", "zamrażarka", "turbina wiatrowa" itp.).
    DeviceTypeId String Unikatowy identyfikator identyfikujący każdy typ urządzenia zgodnie ze schematem typu urządzenia, ponieważ sam typ urządzenia jest nazwą wyświetlaną i nie jest niezawodny w porównaniach.

    Możliwe wartości:
    Niesklasyfikowane = 0
    Różne = 1
    Urządzenie sieciowe = 2
    Drukarka = 3
    Dźwięk i wideo = 4
    Media i nadzór = 5
    Komunikacja = 7
    Urządzenie inteligentne = 9
    Stacja robocza = 10
    Serwer = 11
    Telefon komórkowy = 12
    Inteligentny obiekt = 13
    Przemysłowy = 14
    Sprzęt operacyjny = 15
    Source String Źródło (Microsoft/Vendor) jednostki urządzenia.
    SourceRef Jednostka (adres URL) Odwołanie do adresu URL elementu źródłowego, w którym jest zarządzane urządzenie.
    Producent String Producent urządzenia.
    Model String Model urządzenia.
    Operatingsystem String System operacyjny, na którym działa urządzenie.
    Ipaddress Jednostka (IP) Bieżący adres IP urządzenia.
    MacAddress String Adres MAC urządzenia.
    Karty sieciowe Jednostka (nic) Bieżące karty sieciowe na urządzeniu.
    Protokoły Ciąg listy<> Lista protokołów, które obsługuje urządzenie.
    Numer seryjny String Numer seryjny urządzenia.
    Oddział String Lokalizacja lokacji urządzenia.
    Strefa String Lokalizacja strefy urządzenia w lokacji.
    Czujnik String Czujnik monitorujący urządzenie.
    Znaczenie Enum? Jedna z następujących wartości:
  • Niski
  • Normalna
  • Wys.
    		•
    PurdueLayer String Warstwa purdue urządzenia.
    IsProgramming Bool? Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie programistyczne.
    Isauthorized Bool? Wskazuje, czy urządzenie zostało sklasyfikowane jako autoryzowane urządzenie.
    IsScanner Bool? Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie skanera.
    DevicePageLink Jednostka (adres URL) Adres URL strony urządzenia w portalu usługi Defender for IoT.
    DeviceSubType String Nazwa podtypu urządzenia.

    Silne identyfikatory jednostki urządzenia IoT

    • IoTHub + DeviceId

    Słabe identyfikatory jednostki urządzenia IoT

    • DeviceId (bez usługi IoTHub)

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Mailbox

    Nazwa jednostki: Skrzynka pocztowa

    Pole Typ Opis
    Type String "skrzynka pocztowa"
    MailboxPrimaryAddress String Podstawowy adres skrzynki pocztowej.
    Nazwa wyświetlana String Nazwa wyświetlana skrzynki pocztowej.
    Upn String Nazwa UPN skrzynki pocztowej.
    AadId String Identyfikator usługi Azure AD skrzynki pocztowej użytkownika.
    Poziom ryzyka RiskLevel? Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości:
  • Brak
  • Niski
  • Śred.
  • Wys.
    		•
    ExternalDirectoryObjectId Identyfikator guid? Identyfikator skrzynki pocztowej usługi AzureAD. Podobnie jak AadUserId w jednostce Account, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office.

    Silne identyfikatory jednostki skrzynki pocztowej

    • MailboxPrimaryAddress

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Klaster poczty

    Nazwa jednostki: MailCluster

    Pole Typ Opis
    Type String "mail-cluster"
    NetworkMessageIds Ciąg IList<> Identyfikatory wiadomości e-mail, które są częścią klastra poczty.
    CountByDeliveryStatus Ciąg IDictionary<, Int> Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus.
    CountByThreatType Ciąg IDictionary<, Int> Liczba wiadomości e-mail według reprezentacji ciągu ThreatType.
    CountByProtectionStatus Ciąg IDictionary<, długi> Liczba wiadomości e-mail według reprezentacji ciągu stanu ochrony.
    CountByDeliveryLocation Ciąg IDictionary<, długi> Liczba wiadomości e-mail według reprezentacji ciągu lokalizacji dostarczania.
    Zagrożenia Ciąg IList<> Zagrożenia dotyczące wiadomości e-mail, które są częścią klastra poczty.
    Zapytanie String Zapytanie, które zostało użyte do zidentyfikowania wiadomości klastra poczty.
    Czas kwerendy Datetime? Czas zapytania.
    MailCount Int? Liczba wiadomości e-mail, które są częścią klastra poczty.
    IsVolumeAnomaly Bool? Wskazuje, czy klaster poczty jest klastrem poczty anomalii woluminu.
    Source String Źródło klastra poczty (wartość domyślna to O365 ATP).

    Silne identyfikatory jednostki klastra poczty

    • Zapytanie i źródło

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Mail message

    Nazwa jednostki: MailMessage

    Pole Typ Opis
    Type String "wiadomość e-mail"
    Pliki Jednostka IList<(plik)> Jednostki Plik załączników tej wiadomości e-mail.
    Odbiorcy String Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata.
    Adresy url Ciąg IList<> Adresy URL zawarte w tej wiadomości e-mail.
    Zagrożenia Ciąg IList<> Zagrożenia zawarte w tej wiadomości e-mail.
    Nadawcy String Adres e-mail nadawcy.
    SenderIP String Adres IP nadawcy.
    Odebranodanie DateTime Odebrana data tej wiadomości.
    NetworkMessageId Identyfikator guid? Identyfikator wiadomości sieciowej tej wiadomości e-mail.
    InternetMessageId String Identyfikator wiadomości internetowej tej wiadomości e-mail.
    Temat String Temat tej wiadomości e-mail.
    AntispamDirection Enum? Kierunek tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • Przychodzący
  • Wychodzący
  • Intraorg (wewnętrzny)
    		•
    DeliveryAction Enum? Akcja dostarczania tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • DeliveredAsSpam
  • Dostarczenia
  • Zablokowano
  • Replaced
    		•
    DeliveryLocation Enum? Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • Skrzynka odbiorcza
  • Folder śmieci
  • Usuniętofolder
  • Kwarantanna
  • Zewnętrzne
  • Niepowodzenie
  • Spadła
  • Przekazywane
    		•
    Identyfikator kampanii String Identyfikator kampanii, w której znajduje się ta wiadomość e-mail.
    SuspiciousRecipients Ciąg IList<> Lista adresatów, którzy zostali wykryci jako podejrzani.
    Elementy przesyłania dalej Ciąg IList<> Lista wszystkich adresatów przesłanej dalej poczty.
    Typ przekazywania Ciąg IList<> Typ przekazywania poczty, taki jak SMTP, ETR itp.

    Silne identyfikatory jednostki wiadomości e-mail

    • NetworkMessageId + Odbiorca

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Wyślij wiadomość e-mail

    Nazwa jednostki: SubmissionMail

    Pole Typ Opis
    Type String "SubmissionMail"
    Identyfikator przesyłania Identyfikator guid? Identyfikator przesyłania.
    Data przesłania Datetime? Zgłoszona data przesłania.
    Nadesłał String Adres e-mail przesyłającej.
    NetworkMessageId Identyfikator guid? Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie.
    Sygnatura czasowa Datetime? Sygnatura czasowa odebrania wiadomości (Poczta).
    Odbiorcy String Adresat wiadomości e-mail.
    Nadawcy String Nadawca wiadomości e-mail.
    SenderIp String Adres IP nadawcy.
    Temat String Temat przesłania wiadomości e-mail.
    Typ raportu String Typ przesyłania dla danego wystąpienia. Możliwe wartości to Junk, Phish, Malware lub NotJunk.

    Silne identyfikatory jednostki SubmissionMail

    • SubmitId, Submitter, NetworkMessageId, Odbiorca

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Jednostki usługi Sentinel

    Pole Typ Opis
    Encje String Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna jednostek ze schematu SecurityAlert (zobacz dokumentację).

    Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek

    Identyfikatory aplikacji w chmurze

    Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość Identyfikator aplikacji jest używana jako identyfikator jednostki aplikacji w chmurze.

    Identyfikator aplikacji Nazwisko
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Oprogramowanie Jive
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Dzień roboczy
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive dla biznesu
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Cykl życia programu Autodesk Fusion
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype dla firm
    25988 Google Docs
    26055 Centrum administracyjne platformy Microsoft 365
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Następne kroki

    W tym dokumencie przedstawiono strukturę jednostek, identyfikatory i schemat w usłudze Microsoft Sentinel.

    Dowiedz się więcej o jednostkach i mapowaniu jednostek.