Dokumentacja typów jednostek usługi Microsoft Sentinel

  • Artykuł
  • Czas czytania: 14 min

Typy jednostek i identyfikatory

W poniższej tabeli przedstawiono typy jednostek , które są obecnie dostępne do mapowania w usłudze Microsoft Sentinel, oraz atrybuty dostępne jako identyfikatory dla każdego typu jednostki — które są wyświetlane na liście rozwijanej Identyfikatory w sekcji mapowania jednostek kreatora reguł analizy.

Każdy z identyfikatorów w wymaganej kolumnie identyfikatorów jest minimalnie niezbędny do zidentyfikowania jej jednostki. Jednak wymagany identyfikator może nie wystarczyć do zapewnienia unikatowej identyfikacji. Im więcej używanych identyfikatorów, tym większe prawdopodobieństwo unikatowej identyfikacji. Do mapowania pojedynczej jednostki można użyć maksymalnie trzech identyfikatorów.

Aby uzyskać najlepsze wyniki — w celu uzyskania gwarantowanej unikatowej identyfikacji — zawsze, gdy jest to możliwe, należy użyć identyfikatorów z kolumny najsilniejszych identyfikatorów . Użycie wielu silnych identyfikatorów umożliwia korelację między silnymi identyfikatorami z różnych źródeł danych i schematów. To z kolei umożliwia usłudze Microsoft Sentinel uzyskanie bardziej szczegółowych informacji dla danej jednostki.

Typ jednostki Identyfikatory Wymagane identyfikatory Najsilniejsze identyfikatory
Konto użytkownika
(Konto)		 Nazwa
Pełna nazwa
NTDomain
Domena DNS
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
Nazwa wyświetlana
Objectguid		 Pełna nazwa
Sid
Nazwa
AadUserId
PUID
Objectguid		 Nazwa + NTDomain
Nazwa + UPNSuffix
Identyfikator użytkownika usługi AAD
Sid
Hosta Domena DNS
NTDomain
HostName
Pełna nazwa
NetBiosName
AzureID
Identyfikator OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 Pełna nazwa
HostName
NetBiosName
AzureID
Identyfikator OMSAgentID		 Nazwa hosta + NTDomain
Nazwa hosta i domena DnsDomain
NetBiosName + NTDomain
NetBiosName + DnsDomain
AzureID
Identyfikator OMSAgentID
Adres IP
(IP)		 Adres Adres
Złośliwe oprogramowanie Nazwa
Kategoria		 Nazwa
Plik Katalog
Nazwa		 Nazwa
Proces Identyfikator procesu
CommandLine
Podniesienie uprawnień
CreationTimeUtc		 CommandLine
Identyfikator procesu
Aplikacja w chmurze
(CloudApplication)		 AppId
Nazwa
InstanceName		 AppId
Nazwa
Nazwa domeny
(DNS)		 DomainName DomainName
Zasób platformy Azure ResourceId ResourceId
Wartość skrótu pliku
(FileHash)		 Algorytm
Wartość		 Algorytm i wartość
Klucz rejestru Hive
Klucz		 Hive
Klucz		 Hive + klucz
Wartość rejestru Nazwa
Wartość
ValueType		 Nazwa
Grupa zabezpieczeń Distinguishedname
Identyfikator SID
Objectguid		 Distinguishedname
Identyfikator SID
Objectguid
Adres URL Url Url
Urządzenie IoT IoTHub
DeviceId
DeviceName
IoTSecurityAgentId
DeviceType
Element źródłowy
ŹródłoOdzysłów
Producent
Model
OperatingSystem
Ipaddress
MacAddress
Protokoły
SerialNumber		 IoTHub
DeviceId		 IoTHub + DeviceId
Mailbox MailboxPrimaryAddress
Nazwa wyświetlana
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
Klaster poczty NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Zagrożenia
Zapytanie
Czas kwerendy
MailCount
IsVolumeAnomaly
Element źródłowy
ClusterSourceIdentifier
Typ źródła klastra
ClusterQueryStartTime
ClusterQueryEndTime
Grupa klastrów		 Zapytanie
Element źródłowy		 Zapytanie i źródło
Wiadomość e-mail Adresat
Adresy url
Zagrożenia
Nadawca
P1Sender
P1SenderDisplayName
P1SenderDomain
SenderIP
P2Sender
P2SenderDisplayName
P2SenderDomain
OdebranoDate
NetworkMessageId
InternetMessageId
Temat
BodyFingerprintBin1
BodyFingerprintBin2
BodyFingerprintBin3
BodyFingerprintBin4
BodyFingerprintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Język
ThreatDetectionMethods		 NetworkMessageId
Adresat		 NetworkMessageId + Odbiorca
Wiadomość e-mail dotycząca przesyłania Identyfikator przesyłania
Data przesłania
Nadesłał
NetworkMessageId
Znacznik czasu
Adresat
Nadawca
SenderIp
Temat
Typ raportu		 Identyfikator przesyłania
NetworkMessageId
Adresat
Nadesłał
Jednostki usługi Sentinel Jednostki Jednostki

Schematy typu jednostki

Poniżej przedstawiono bardziej szczegółowe omówienie pełnych schematów każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek — na przykład schemat konta użytkownika zawiera link do typu jednostki Host, ponieważ jednym z atrybutów konta użytkownika jest host, na którym jest zdefiniowany. Tych połączonych zewnętrznie jednostek nie można używać jako identyfikatorów do mapowania jednostek, ale są one bardzo przydatne w zapewnianiu pełnego obrazu jednostek na stronach jednostek i wykresie badania.

Uwaga

Znak zapytania po wartości w kolumnie Typ wskazuje, że pole jest dopuszczane do wartości null.

Konto użytkownika

Nazwa jednostki: Konto

Pole Typ Opis
Typ Ciąg "konto"
Nazwa Ciąg Nazwa konta. To pole powinno zawierać tylko nazwę bez żadnej domeny dodanej do niej.
Pełna nazwa Nie dotyczy Nie jest częścią schematu, uwzględnioną w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek.
NTDomain Ciąg Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, NT AUTHORITY
Domena DNS Ciąg W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com
UPNSuffix Ciąg Sufiks głównej nazwy użytkownika dla konta. W niektórych przypadkach jest to również nazwa domeny. Przykłady: contoso.com
Host Jednostka Host, który zawiera konto, jeśli jest kontem lokalnym.
Sid Ciąg Identyfikator zabezpieczeń konta, taki jak S-1-5-18.
AadTenantId Identyfikator guid? Identyfikator dzierżawy Azure AD, jeśli jest znany.
AadUserId Identyfikator guid? Identyfikator obiektu konta Azure AD, jeśli jest znany.
PUID Identyfikator guid? Identyfikator użytkownika usługi Azure AD Passport, jeśli jest znany.
IsDomainJoined Bool? Określa, czy jest to konto domeny.
Nazwa wyświetlana Ciąg Nazwa wyświetlana konta.
Objectguid Identyfikator guid? Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu, przypisanym przez usługę Active Directory.

Silne identyfikatory jednostki konta:

  • Nazwa + UPNSuffix
  • AadUserId
  • Sid + host (wymagany dla identyfikatorów SID kont wbudowanych)
  • Sid (z wyjątkiem identyfikatorów SID kont wbudowanych)
  • Name + NTDomain (chyba że NTDomain jest domeną wbudowaną, na przykład "Grupa robocza")
  • Name + Host (jeśli NTDomain jest domeną wbudowaną, na przykład "Grupa robocza")
  • Nazwa i domena dns
  • PUID
  • Objectguid

Słabe identyfikatory jednostki konta:

  • Nazwa

Host

Pole Typ Opis
Typ Ciąg "host"
Domena DNS Ciąg Domena DNS, do którego należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany.
NTDomain Ciąg Domena NT, do którego należy ten host.
HostName Ciąg Nazwa hosta bez sufiksu domeny.
Pełna nazwa Nie dotyczy Nie jest częścią schematu, dołączonego do zgodności z poprzednimi wersjami mapowania jednostek.
NetBiosName Ciąg Nazwa hosta (pre-Windows 2000).
IoTDevice Jednostka Jednostka Urządzenia IoT (jeśli ten host reprezentuje urządzenie IoT).
AzureID Ciąg Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany.
OMSAgentID Ciąg Identyfikator agenta pakietu OMS, jeśli host ma zainstalowany agent pakietu OMS.
OSFamily Enum? Jedna z następujących wartości:
  • Linux
  • Windows
  • Android
  • System iOS
    		•
    OSVersion Ciąg Bezpłatna reprezentacja systemu operacyjnego.
    To pole ma zawierać określone wersje, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily.
    IsDomainJoined Wartość logiczna Określa, czy ten host należy do domeny.

    Silne identyfikatory jednostki hosta:

    • Nazwa hosta i domena NTDomain
    • Nazwa hosta i domena DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice (nieobsługiwane w przypadku mapowania jednostek)

    Słabe identyfikatory jednostki hosta:

    • HostName
    • NetBiosName

    Adres IP

    Nazwa jednostki: ADRES IP

    Pole Typ Opis
    Typ Ciąg "ip"
    Adres Ciąg Adres IP jako ciąg, np. 127.0.0.1 (w protokole IPv4 lub IPv6).
    Lokalizacja Geolokalizacja Kontekst lokalizacji geograficznej dołączony do jednostki IP.

    Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza).

    Silne identyfikatory jednostki IP:

    • Adres

    Złośliwe oprogramowanie

    Pole Typ Opis
    Typ Ciąg "złośliwe oprogramowanie"
    Nazwa Ciąg Nazwa złośliwego oprogramowania przez dostawcę, na przykład Win32/Toga!rfn.
    Kategoria Ciąg Kategoria złośliwego oprogramowania przez dostawcę, np. trojan.
    Pliki Lista<jednostek> Lista połączonych jednostek plików, na których znaleziono złośliwe oprogramowanie. Może zawierać jednostki File w tekście lub jako odwołanie.
    Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Plik.
    Procesy Lista<jednostek> Lista połączonych jednostek procesów, w których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert został wyzwolony na działanie bez plików.
    Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Process .

    Silne identyfikatory jednostki złośliwego oprogramowania:

    • Nazwa i kategoria

    Plik

    Pole Typ Opis
    Typ Ciąg "plik"
    Katalog Ciąg Pełna ścieżka do pliku.
    Nazwa Ciąg Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki).
    Host Jednostka Host, na którym był przechowywany plik.
    Skróty plików Lista<jednostek> Skróty plików skojarzone z tym plikiem.

    Silne identyfikatory jednostki pliku:

    • Nazwa i katalog
    • Nazwa i plikHash
    • Nazwa + katalog + plikHash

    Proces

    Pole Typ Opis
    Typ Ciąg "proces"
    Identyfikator procesu Ciąg Identyfikator procesu.
    CommandLine Ciąg Wiersz polecenia używany do utworzenia procesu.
    Podniesienie uprawnień Enum? Token podniesienia uprawnień skojarzony z procesem.
    Możliwe wartości:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc Datetime? Czas rozpoczęcia procesu.
    ImageFile Jednostka (plik) Może zawierać jednostkę File w tekście lub jako odwołanie.
    Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Plik.
    Konto Jednostka Konto, na którym są uruchomione procesy.
    Może zawierać jednostkę Account w tekście lub jako odwołanie.
    Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Konto .
    ParentProcess Jednostka (proces) Jednostka procesu nadrzędnego.
    Może zawierać dane częściowe, tj. tylko dane PID.
    Host Jednostka Host, na którym był uruchomiony proces.
    Logowanie Jednostka (HostLogonSession) Sesja, w której był uruchomiony proces.

    Silne identyfikatory jednostki procesu:

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Słabe identyfikatory jednostki procesu:

    • ProcessId + CreationTimeUtc + CommandLine (i bez hosta)
    • ProcessId + CreationTimeUtc + ImageFile (i bez hosta)

    Aplikacja w chmurze

    Nazwa jednostki: CloudApplication

    Pole Typ Opis
    Typ Ciąg "aplikacja w chmurze"
    AppId int Identyfikator techniczny aplikacji. Powinna to być jedna z wartości zdefiniowanych na liście identyfikatorów aplikacji w chmurze. Wartość pola AppId jest opcjonalna.
    Nazwa Ciąg Nazwa powiązanej aplikacji w chmurze. Wartość nazwy aplikacji jest opcjonalna.
    InstanceName Ciąg Nazwa wystąpienia zdefiniowanego przez użytkownika aplikacji w chmurze. Jest on często używany do rozróżniania kilku aplikacji tego samego typu, które ma klient.

    Silne identyfikatory jednostki aplikacji w chmurze:

    • AppId (bez wystąpieniaName)
    • Nazwa (bez nazwy wystąpienia)
    • AppId + InstanceName
    • Nazwa i nazwa wystąpienia

    Nazwa domeny

    Nazwa jednostki: DNS

    Pole Typ Opis
    Typ Ciąg "dns"
    DomainName Ciąg Nazwa rekordu DNS skojarzonego z alertem.
    Ipaddress Jednostka listy<(IP)> Jednostki odpowiadające rozpoznanych adresom IP.
    DnsServerIp Jednostka (IP) Jednostka reprezentująca serwer DNS rozpoznający żądanie.
    HostIpAddress Jednostka (IP) Jednostka reprezentująca klienta żądania DNS.

    Silne identyfikatory jednostki DNS:

    • DomainName + DnsServerIp + HostIpAddress

    Słabe identyfikatory jednostki DNS:

    • DomainName + HostIpAddress

    Zasób platformy Azure

    Pole Typ Opis
    Typ Ciąg "azure-resource"
    ResourceId Ciąg Identyfikator zasobu platformy Azure.
    SubscriptionId Ciąg Identyfikator subskrypcji zasobu.
    TryGetResourceGroup Wartość logiczna Wartość grupy zasobów, jeśli istnieje.
    TryGetProvider Wartość logiczna Wartość dostawcy, jeśli istnieje.
    TryGetName Wartość logiczna Wartość nazwy, jeśli istnieje.

    Silne identyfikatory jednostki zasobu platformy Azure:

    • ResourceId

    Wartość skrótu pliku

    Nazwa jednostki: FileHash

    Pole Typ Opis
    Typ Ciąg "filehash"
    Algorytm Wyliczenie Typ algorytmu skrótu. Możliwe wartości:
  • Nieznane
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Wartość Ciąg Wartość skrótu.

    Silne identyfikatory jednostki skrótu pliku:

    • Algorytm i wartość

    Klucz rejestru

    Nazwa jednostki: RegistryKey

    Pole Typ Opis
    Typ Ciąg "registry-key"
    Hive Enum? Jedna z następujących wartości:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Klucz Ciąg Ścieżka klucza rejestru.

    Silne identyfikatory jednostki klucza rejestru:

    • Hive + Klucz

    Wartość rejestru

    Nazwa jednostki: RegistryValue

    Pole Typ Opis
    Typ Ciąg "registry-value"
    Klucz Jednostka (RegistryKey) Jednostka klucza rejestru.
    Nazwa Ciąg Nazwa wartości rejestru.
    Wartość Ciąg Reprezentacja danych wartości w formacie ciągu.
    ValueType Enum? Jedna z następujących wartości:
  • Ciąg
  • Binarne
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Brak
  • Nieznane
    Wartości powinny być zgodne z wyliczeniem Microsoft.Win32.RegistryValueKind.
    		•

    Silne identyfikatory jednostki wartości rejestru:

    • Klucz i nazwa

    Słabe identyfikatory jednostki wartości rejestru:

    • Nazwa (bez klucza)

    Grupa zabezpieczeń

    Nazwa jednostki: SecurityGroup

    Pole Typ Opis
    Typ Ciąg "Grupa zabezpieczeń"
    Distinguishedname Ciąg Nazwa wyróżniająca grupy.
    Identyfikator SID Ciąg Atrybut SID jest atrybutem o pojedynczej wartości, który określa identyfikator zabezpieczeń (SID) grupy.
    Objectguid Identyfikator guid? Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory.

    Silne identyfikatory jednostki grupy zabezpieczeń:

    • Distinguishedname
    • Identyfikator SID
    • Objectguid

    Adres URL

    Pole Typ Opis
    Typ Ciąg "url"
    Url Identyfikator uri Pełny adres URL jednostki wskazuje.

    Silne identyfikatory jednostki adresu URL:

    • Adres URL (jeśli bezwzględny adres URL)

    Słabe identyfikatory jednostki adresu URL:

    • Adres URL (gdy względny adres URL)

    Urządzenie IoT

    Nazwa jednostki: IoTDevice

    Pole Typ Opis
    Typ Ciąg "iotdevice"
    IoTHub Jednostka (AzureResource) Jednostka AzureResource reprezentująca IoT Hub, do którego należy urządzenie.
    DeviceId Ciąg Identyfikator urządzenia w kontekście IoT Hub.
    DeviceName Ciąg Przyjazna nazwa urządzenia.
    IoTSecurityAgentId Identyfikator guid? Identyfikator agenta usługi Defender for IoT uruchomionego na urządzeniu.
    DeviceType Ciąg Typ urządzenia (czujnik temperatury", "zamrażarka", "turbina wiatrowa" itp.).
    Element źródłowy Ciąg Źródło (Microsoft/Vendor) jednostki urządzenia.
    SourceRef Jednostka (adres URL) Odwołanie do adresu URL elementu źródłowego, w którym urządzenie jest zarządzane.
    Producent Ciąg Producent urządzenia.
    Model Ciąg Model urządzenia.
    OperatingSystem Ciąg System operacyjny, na którym jest uruchomione urządzenie.
    Ipaddress Jednostka (IP) Bieżący adres IP urządzenia.
    MacAddress Ciąg Adres MAC urządzenia.
    Protokoły Ciąg listy<> Lista protokołów, które obsługuje urządzenie.
    SerialNumber Ciąg Numer seryjny urządzenia.

    Silne identyfikatory jednostki urządzenia IoT:

    • IoTHub + DeviceId

    Słabe identyfikatory jednostki urządzenia IoT:

    • DeviceId (bez usługi IoTHub)

    Mailbox

    Pole Typ Opis
    Typ Ciąg "skrzynka pocztowa"
    MailboxPrimaryAddress Ciąg Podstawowy adres skrzynki pocztowej.
    Nazwa wyświetlana Ciąg Nazwa wyświetlana skrzynki pocztowej.
    Upn Ciąg Nazwa UPN skrzynki pocztowej.
    RiskLevel Enum? Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości:
  • Brak
  • Niski
  • Śred.
  • Wys.
    		•
    ExternalDirectoryObjectId Identyfikator guid? Identyfikator skrzynki pocztowej usługi AzureAD. Podobnie jak AadUserId w jednostce Konto, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office.

    Silne identyfikatory jednostki skrzynki pocztowej:

    • MailboxPrimaryAddress

    Klaster poczty

    Nazwa jednostki: MailCluster

    Uwaga

    Ochrona usługi Office 365 w usłudze Microsoft Defender był wcześniej znany jako Office 365 Advanced Threat Protection (O365 ATP).

    Pole Typ Opis
    Typ Ciąg "mail-cluster"
    NetworkMessageIds Ciąg IList<> Identyfikatory wiadomości e-mail, które są częścią klastra poczty.
    CountByDeliveryStatus Ciąg IDictionary,Int<> Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus.
    CountByThreatType Ciąg IDictionary,Int<> Liczba wiadomości e-mail według reprezentacji ciągu ThreatType.
    CountByProtectionStatus Ciąg IDictionary<, długi> Liczba wiadomości e-mail według stanu ochrony przed zagrożeniami.
    Zagrożenia Ciąg IList<> Zagrożenia wiadomości e-mail, które są częścią klastra poczty.
    Zapytanie Ciąg Zapytanie, które zostało użyte do zidentyfikowania wiadomości klastra poczty.
    QueryTime Datetime? Czas zapytania.
    MailCount Int? Liczba wiadomości e-mail, które są częścią klastra poczty.
    IsVolumeAnomaly Bool? Określa, czy jest to klaster poczty anomalii woluminu.
    Element źródłowy Ciąg Źródło klastra poczty (wartość domyślna to "O365 ATP").
    ClusterSourceIdentifier Ciąg Identyfikator wiadomości sieciowej poczty będącej źródłem tego klastra poczty.
    ClusterSourceType Ciąg Typ źródłowy klastra poczty. Spowoduje to mapowanie ustawienia MailClusterSourceType z Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej).
    ClusterQueryStartTime Datetime? Godzina rozpoczęcia klastra — używana jako godzina rozpoczęcia zapytania liczby klastrów. Zazwyczaj daty do ustawienia Godzina zakończenia minus DaysToLookBack z Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej).
    ClusterQueryEndTime Datetime? Godzina zakończenia klastra — używana jako godzina zakończenia zapytania liczby klastrów. Zwykle odebrano dane poczty.
    Grupa klastrów Ciąg Odpowiada kluczowi zapytania Kusto używanemu w Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej).

    Silne identyfikatory jednostki klastra poczty:

    • Zapytanie i źródło

    Wiadomość e-mail

    Nazwa jednostki: MailMessage

    Pole Typ Opis
    Typ Ciąg "wiadomość-wiadomość"
    Pliki Plik IList<> Jednostki Plik załączników tej wiadomości e-mail.
    Adresat Ciąg Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata.
    Adresy url Ciąg IList<> Adresy URL zawarte w tej wiadomości e-mail.
    Zagrożenia Ciąg IList<> Zagrożenia zawarte w tej wiadomości e-mail.
    Nadawca Ciąg Adres e-mail nadawcy.
    P1Sender Ciąg Email identyfikator użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, ta wartość jest równa P2Sender.
    P1SenderDisplayName Ciąg Nazwa wyświetlana użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Reprezentowane w nagłówku wiadomości e-mail przez właściwość "OnbehalfofSenderDisplayName".
    P1SenderDomain Ciąg Email domenę użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Jeśli wiadomość e-mail nie jest wysyłana przez pełnomocnika, ta wartość jest równa P2SenderDomain.
    P2Sender Ciąg Email użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail.
    P2SenderDisplayName Ciąg Nazwa wyświetlana użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail. Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, reprezentuje nazwę wyświetlaną nadawcy.
    P2SenderDomain Ciąg Email domenę użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail. Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, reprezentuje domenę nadawcy.
    AdresIP nadawcy Ciąg Adres IP nadawcy.
    Data odebrania DateTime Data odebrania tej wiadomości.
    NetworkMessageId Identyfikator guid? Identyfikator wiadomości sieciowej tej wiadomości e-mail.
    InternetMessageId Ciąg Identyfikator wiadomości internetowej tej wiadomości e-mail.
    Temat Ciąg Temat tej wiadomości e-mail.
    BodyFingerprintBin1
    BodyFingerprintBin2
    BodyFingerprintBin3
    BodyFingerprintBin4
    BodyFingerprintBin5    		 Uint? Używany przez Ochrona usługi Office 365 w usłudze Microsoft Defender do znajdowania pasujących lub podobnych wiadomości e-mail.
    AntispamDirection Enum? Kierunek tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • Przychodzący
  • Wychodzący
  • Intraorg (wewnętrzny)
    		•
    DeliveryAction Enum? Akcja dostarczania tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • DeliveredAsSpam
  • Dostarczono
  • Zablokowane
  • Zastąpione
    		•
    DeliveryLocation Enum? Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości:
  • Nieznane
  • Skrzynka odbiorcza
  • Folder śmieci
  • Usuniętyfolder
  • Kwarantanna
  • Zewnętrzna
  • Niepowodzenie
  • Spadła
  • Przekazywane
    		•
    Język Ciąg Język, w którym jest zapisywana zawartość wiadomości e-mail.
    ThreatDetectionMethods Ciąg IList<> Lista metod wykrywania zagrożeń zastosowanych w tej wiadomości e-mail.

    Silne identyfikatory jednostki wiadomości e-mail:

    • NetworkMessageId + Odbiorca

    Wiadomość e-mail z przesłaniem

    Nazwa jednostki: SubmissionMail

    Pole Typ Opis
    Typ Ciąg "SubmissionMail"
    Identyfikator przesyłania Identyfikator guid? Identyfikator przesyłania.
    Data przesłania Datetime? Zgłoszona data przesłania.
    Nadesłał Ciąg Adres e-mail przesyłającej.
    NetworkMessageId Identyfikator guid? Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie.
    Znacznik czasu Datetime? Sygnatura czasowa odebrania wiadomości (Poczta).
    Adresat Ciąg Adresat wiadomości e-mail.
    Nadawca Ciąg Nadawca poczty.
    SenderIp Ciąg Adres IP nadawcy.
    Temat Ciąg Temat przesłanej wiadomości e-mail.
    Typ raportu Ciąg Typ przesyłania dla danego wystąpienia. Jest to mapowanie na śmieci, phish, malware lub NotJunk.

    Silne identyfikatory jednostki SubmissionMail:

    • SubmitId, Submitter, NetworkMessageId, Recipient

    Jednostki usługi Sentinel

    Pole Typ Opis
    Jednostki Ciąg Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna jednostek ze schematu SecurityAlert (zobacz dokumentację).

    Identyfikatory aplikacji w chmurze

    Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość identyfikatora aplikacji jest używana jako identyfikator jednostki aplikacji w chmurze .

    Identyfikator aplikacji Nazwa
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Oprogramowanie Jive
    11114 SalesForce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive dla Firm
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Cykl życia programu Autodesk Fusion
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype dla firm
    25988 Google Docs
    26055 Centrum administracyjne platformy Microsoft 365
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Dysk Google
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Azure AD
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Następne kroki

    W tym dokumencie przedstawiono strukturę jednostek, identyfikatory i schemat w usłudze Microsoft Sentinel.

    Dowiedz się więcej o jednostkach i mapowaniu jednostek.