Dokumentacja typów jednostek usługi Microsoft Sentinel
Ten dokument zawiera dwa zestawy informacji dotyczących jednostek i typów jednostek w usłudze Microsoft Sentinel.
- Tabela Typy jednostek i identyfikatory przedstawia różne typy jednostek, które mogą być używane w mapowaniu jednostek zarówno w regułach analizy, jak i wyszukiwaniu zagrożeń. W tabeli przedstawiono również dla każdego typu jednostki różne identyfikatory, których można użyć do identyfikowania jednostki.
- Sekcja Schemat jednostki zawiera ogólną strukturę danych i schemat jednostek oraz dla każdego typu jednostki, w tym niektóre typy, które nie są reprezentowane w funkcji mapowania jednostek.
Typy jednostek i identyfikatory
W poniższej tabeli przedstawiono typy jednostek, które są obecnie dostępne do mapowania w usłudze Microsoft Sentinel, oraz atrybuty dostępne jako identyfikatory dla każdego typu jednostki. Prawie wszystkie te atrybuty są wyświetlane na liście rozwijanej Identyfikatory w sekcji mapowania jednostek kreatora reguły analizy (zobacz przypisy dolne dla wyjątków).
Do mapowania pojedynczej jednostki można użyć maksymalnie trzech identyfikatorów. Tylko silne identyfikatory są wystarczające do unikatowego identyfikowania jednostki, natomiast słabe identyfikatory mogą to zrobić tylko w połączeniu z innymi identyfikatorami.
Dowiedz się więcej o silnych i słabych identyfikatorach.
Typ encji | Identifiers | Silne identyfikatory | Słabe identyfikatory |
---|---|---|---|
Klient | Nazwisko Fullname* NTDomain Domena dns UPNSuffix Sid Identyfikator AadTenantId AadUserId PUID IsDomainJoinEd Displayname* Objectguid |
Name+UPNSuffix AADUserId Sid ** Sid+host** Nazwa+host+NTDomain ** Nazwa+NTDomain ** Name+DnsDomain PUID Objectguid |
Nazwisko |
Host | Domena dns NTDomain HostName Fullname* NetBiosName Identyfikator platformy Azure Identyfikator OMSAgentID OSFamily OSVersion IsDomainJoinEd |
Nazwa hosta+NTDomain Nazwa hosta i domena DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain Identyfikator platformy Azure Identyfikator OMSAgentID |
HostName NetBiosName |
Adres IP | Adres Adreszakres |
Adres ** Address+AddressScope ** |
|
Adres URL | Url | Adres URL (jeśli bezwzględny adres URL )** | Adres URL (jeśli względny adres URL )** |
Zasób platformy Azure (AzureResource) |
ResourceId | ResourceId | |
Aplikacja w chmurze (CloudApplication) |
AppId Nazwisko InstanceName |
AppId Nazwisko AppId+InstanceName Nazwa i nazwa wystąpienia |
|
Rozpoznawanie nazw DNS (DNS) |
DomainName | DomainName+DnsServerIp HostIpAddress+ | DomainName+HostIpAddress |
Plik | Katalog Nazwisko |
Katalog+nazwa | |
Skrót pliku (FileHash) |
Algorytm Wartość |
Algorytm i wartość | |
Złośliwe oprogramowanie | Nazwisko Kategoria |
Nazwa i kategoria | |
Proces | ProcessId CommandLine Podniesienie uprawnień CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Identyfikator ParentProcessId hosta++ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (bez hosta) ProcessId+CreationTimeUtc+ ImageFile (bez hosta) |
Klucz rejestru (RegistryKey) |
Hive Key |
Hive+Key | |
Wartość rejestru (RegistryValue) |
Nazwa/nazwisko Wartość ValueType |
Klucz+nazwa | Nazwa (bez klucza) |
Grupa zabezpieczeń (SecurityGroup) |
Distinguishedname SID Objectguid |
Distinguishedname SID Objectguid |
|
Skrzynka pocztowa | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
Klaster poczty (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Zagrożenia Query Czas kwerendy MailCount IsVolumeAnomaly Źródło ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Zapytanie i źródło | |
Wiadomość e-mail (MailMessage) |
Adresat Adresy url Zagrożenia Nadawca P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * Odebranodanie NetworkMessageId InternetMessageId Temat BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Język* ThreatDetectionMethods * |
NetworkMessageId+Odbiorca | |
Wyślij wiadomość e-mail (SubmissionMail) |
NetworkMessageId Sygnatura czasowa Adresat Nadawca SenderIp Temat Typ raportu Identyfikator przesyłania Data przesłania Nadesłał |
SubmissionId+NetworkMessageId+ Odbiorca i osoba przesyłająca |
|
Jednostki usługi Sentinel | Jednostki | Encje |
Przypisy dolne tabeli:
- * Te identyfikatory są wyświetlane na liście identyfikatorów, które mogą być używane w mapowaniu jednostek, ale ściśle mówiąc, nie są częścią schematu jednostki.
- ** Te identyfikatory są uznawane za silne tylko w określonych warunkach. Postępuj zgodnie z linkami gwiazdki, aby wyświetlić warunki, które mają zastosowanie, w obszarze listy odpowiedniej jednostki w poniższej sekcji schematów jednostek.
- Nazwy identyfikatorów kursywy (bez gwiazdki) reprezentują jednostki wewnętrzne, co oznacza, że jeden typ jednostki może mieć inne typy jednostek jako atrybuty (zobacz sekcję schematów jednostek poniżej). Postępuj zgodnie z linkiem identyfikatora, aby wyświetlić własny schemat jednostki wewnętrznej.
Schematy typu jednostki
Poniższa sekcja zawiera bardziej szczegółowe omówienie pełnych schematów każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek. Na przykład schemat Konto zawiera link do typu jednostki Host, ponieważ jednym z atrybutów konta użytkownika jest host, na którego jest zdefiniowany. Te atrybuty jako jednostki są nazywane "jednostkami wewnętrznymi" i nie można ich używać jako identyfikatorów do mapowania jednostek, ale są one bardzo przydatne w zapewnianiu pełnego obrazu jednostek na stronach jednostek i wykresie badania.
Uwaga
Znak zapytania po wartości w kolumnie Typ wskazuje, że pole jest dopuszczane do wartości null.
Lista schematów typu jednostki
- Klient
- Host
- Adres IP
- Złośliwe oprogramowanie
- Plik
- Proces
- Aplikacja w chmurze
- Rozpoznawanie nazw DNS
- Zasób platformy Azure
- Skrót pliku
- Klucz rejestru
- Wartość rejestru
- Grupa zabezpieczeń
- Adres URL
- Urządzenie IoT
- Skrzynka pocztowa
- Klaster poczty
- Wiadomość e-mail
- Wyślij wiadomość e-mail
- Jednostki usługi Sentinel
Klient
Nazwa jednostki: Konto
Pole | Typ | Opis |
---|---|---|
Type | String | "konto" |
Nazwa/nazwisko | String | Nazwa konta. To pole powinno zawierać tylko nazwę bez dodania do niej żadnej domeny. |
FullName | -- | Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
NTDomain | String | Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, NT AUTHORITY |
Domena dns | String | W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com |
UPNSuffix | String | Sufiks głównej nazwy użytkownika dla konta. W wielu przypadkach sufiks nazwy UPN jest również nazwą domeny. Przykłady: contoso.com |
Host | Jednostka (host) | Host zawierający konto, jeśli jest kontem lokalnym. |
Sid | String | Identyfikator zabezpieczeń konta. |
Identyfikator AadTenantId | Identyfikator guid? | Identyfikator dzierżawy entra firmy Microsoft, jeśli jest znany. |
AadUserId | Identyfikator guid? | Identyfikator obiektu konta Entra firmy Microsoft, jeśli jest znany. |
IDENTYFIKATOR PUID | Identyfikator guid? | Identyfikator użytkownika usługi Microsoft Entra Passport, jeśli jest znany. |
IsDomainJoinEd | Bool? | Wskazuje, czy konto jest kontem domeny. |
Nazwa wyświetlana | -- | Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
Objectguid | Identyfikator guid? | Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory. |
CloudAppAccountId | String | Identyfikator accountID w alertach od dostawcy usługi CloudApp. Odwołuje się do identyfikatorów kont w aplikacjach innych firm, które nie są obsługiwane w innych produktach firmy Microsoft. |
IsAnonymized | Bool? | Wskazuje, czy nazwa użytkownika jest anonimowa. Opcjonalny. Wartość domyślna: false . |
Strumień | Stream | Źródło dzienników odnajdywania powiązanych z określonym kontem. Opcjonalny. |
Silne identyfikatory jednostki konta
- Nazwa + UPNSuffix
- AadUserId
- Sid
** Ten identyfikator jest silny, o ile konto nie jest jednym z wbudowanych kont wymienionych w notatce poniżej. - Sid i host
** Jeśli konto jest jednym z wbudowanych kont wymienionych w notatce poniżej, składnik hosta jest wymagany, aby ten identyfikator był silny. - Nazwa + NTDomain
** Ta kombinacja jest silnym identyfikatorem, gdy konto jest kontem domeny, ponieważ NTDomain nie jest wbudowaną domeną/grupą roboczą i różni się od nazwy hosta. W takim przypadku jest to silny identyfikator, nawet bez składnika Host. - Nazwa + NTDomain + host
** Składnik hosta jest niezbędny do utworzenia silnego identyfikatora, gdy konto jest kontem lokalnym, co oznacza, że NTDomain jest wbudowaną domeną/grupą roboczą. - Nazwa i domena DnsDomain
- IDENTYFIKATOR PUID
- Objectguid
Słabe identyfikatory jednostki konta
- Nazwisko
Uwaga
Jeśli jednostka Account jest zdefiniowana przy użyciu identyfikatora Name, a wartość Nazwa określonej jednostki jest jedną z następujących ogólnych, często wbudowanych nazw kont, ta jednostka zostanie porzucona z alertu.
- ADMINISTRATOR
- ADMINISTRATOR
- SYSTEM
- GŁÓWNEGO
- ANONIMOWY
- UWIERZYTELNIONY UŻYTKOWNIK
- SIECI
- NULL
- SYSTEM LOKALNY
- LOCALSYSTEM
- USŁUGA SIECIOWA
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Gospodarz
Nazwa jednostki: Host
Pole | Typ | Opis |
---|---|---|
Type | String | "host" |
IpInterfaces | Jednostka listy<(Ip)> | Lista wszystkich interfejsów IP na maszynie hosta. |
Domena dns | String | Domena DNS, do którego należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany. |
NTDomain | String | Domena NT, do którego należy ten host. |
Nazwa hosta | String | Nazwa hosta bez sufiksu domeny. |
NetBiosName | String | Nazwa hosta (przed systemem Windows 2000). |
IoTDevice | Jednostka (urządzenie IoT) | Jednostka Urządzenie IoT (jeśli ten host reprezentuje urządzenie IoT). |
Identyfikator platformy Azure | String | Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany. |
Identyfikator OMSAgentID | String | Identyfikator agenta pakietu OMS, jeśli host ma zainstalowanego agenta pakietu OMS. |
OSFamily | Enum? | Jedna z następujących wartości: |
Osversion | String | Wolna reprezentacja systemu operacyjnego. To pole jest przeznaczone do przechowywania określonych wersji, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily. |
IsDomainJoinEd | Bool | Wskazuje, czy ten host należy do domeny. |
Silne identyfikatory jednostki hosta
- Nazwa hosta + NTDomain
- Nazwa hosta i domena DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- Identyfikator platformy Azure
- Identyfikator OMSAgentID
- IoTDevice
Słabe identyfikatory jednostki hosta
- HostName
- NetBiosName
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Adres IP
Nazwa jednostki: ADRES IP
Pole | Typ | Opis |
---|---|---|
Type | String | "ip" |
Address | String | Na przykład adres IP jako ciąg. 127.0.0.1 (w IPv4 lub IPv6). |
Adreszakres | String | Nazwa hosta, podsieci lub sieci prywatnej dla prywatnych, nieglobalnych adresów IP. Wartości null lub puste dla globalnych adresów IP (ustawienie domyślne). |
Lokalizacja | GeoLocation | Kontekst lokalizacji geograficznej dołączony do jednostki IP. Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza). |
Strumień | Stream | Źródło dzienników odnajdywania powiązanych z określonym adresem IP. Opcjonalny. |
Silne identyfikatory jednostki IP
- Address
** Sam adres jest unikatowym, silnym identyfikatorem, gdy adres IP jest adresem globalnym. - Adres i adreszakres
** W przypadku prywatnych/wewnętrznych, nieglobalnych adresów IP składnik AddressScope jest wymagany do utworzenia silnego identyfikatora.
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Złośliwe oprogramowanie
Nazwa jednostki: Złośliwe oprogramowanie
Pole | Typ | Opis |
---|---|---|
Type | String | "malware" |
Nazwa/nazwisko | String | Nazwa złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?), na przykład Win32/Toga!rfn . |
Kategoria | String | Na przykład kategoria złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?). Trojan. |
Pliki | Jednostka listy<(plik)> | Lista połączonych jednostek plików, na których znaleziono złośliwe oprogramowanie. Może zawierać jednostki File w tekście lub jako odwołanie. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Plik. |
Procesy | Jednostka listy<(proces)> | Lista połączonych jednostek procesów, na których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert został wyzwolony w przypadku działania bez plików. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Process. |
Silne identyfikatory jednostki złośliwego oprogramowania
- Nazwa i kategoria
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Plik
Nazwa jednostki: Plik
Pole | Typ | Opis |
---|---|---|
Type | String | "plik" |
Katalogu | String | Pełna ścieżka, w której ma być wyszukiwany plik. |
Nazwa/nazwisko | String | Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki). |
AlternateDataStreamName | String | Nazwa strumienia plików w systemie plików NTFS (wartość null dla głównego strumienia). |
Host | Jednostka (host) | Host, na którym był przechowywany plik. |
HostUrl | Jednostka (adres URL) | Adres URL, z którego pobrano plik (Znacznik sieci Web). |
WindowsSecurityZoneType | WindowsSecurityZone | Zabezpieczenia Windows strefy, do której należy adres URL (Znacznik sieci Web). |
RefererUrl | Jednostka (adres URL) | Adres URL odwołania żądania HTTP pobierania pliku (Znacznik sieci Web). |
SizeInBytes | Długi? | Rozmiar pliku w bajtach. |
Skróty plików | Jednostka listy<(FileHash)> | Skróty plików skojarzone z tym plikiem. |
Silne identyfikatory jednostki pliku
- Nazwa i katalog
- Nazwa i plikHash
- Nazwa + katalog + plikHash
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Przetwarzaj
Nazwa jednostki: Proces
Pole | Typ | Opis |
---|---|---|
Type | String | "proces" |
Processid | String | Identyfikator procesu. |
Commandline | String | Wiersz polecenia użyty do utworzenia procesu. |
Podniesienie uprawnień | Enum? | Token podniesienia uprawnień skojarzony z procesem. Możliwe wartości: |
CreationTimeUtc | Datetime? | Czas rozpoczęcia procesu. |
ImageFile | Jednostka (plik) | Może zawierać jednostkę File w tekście lub jako odwołanie. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Plik. |
Klient | Jednostka (konto) | Konto, na którym są uruchomione procesy. Może zawierać jednostkę Account w tekście lub jako odwołanie. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Account (Konto). |
ParentProcess | Jednostka (proces) | Jednostka procesu nadrzędnego. Może zawierać dane częściowe, na przykład tylko piD. |
Host | Jednostka (host) | Host, na którym był uruchomiony proces. |
Logowanie | Jednostka (HostLogonSession) | Sesja, w której był uruchomiony proces. |
Silne identyfikatory jednostki procesu
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Słabe identyfikatory jednostki procesu
- ProcessId + CreationTimeUtc + CommandLine (i bez hosta)
- ProcessId + CreationTimeUtc + ImageFile (i bez hosta)
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Aplikacja w chmurze
Nazwa jednostki: CloudApplication
Silne identyfikatory jednostki aplikacji w chmurze
- AppId (bez wystąpieniaName)
- Nazwa (bez wystąpieniaName)
- Identyfikator aplikacji i nazwa wystąpienia
- Nazwa i nazwa wystąpienia
Lista identyfikatorów aplikacji w chmurze
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Rozpoznawanie nazw DNS
Nazwa jednostki: DNS
Pole | Typ | Opis |
---|---|---|
Type | String | "dns" |
Nazwa_domeny | String | Nazwa rekordu DNS skojarzonego z alertem. |
Ipaddress | Jednostka listy<(IP)> | Jednostki odpowiadające rozpoznanych adresom IP. |
DnsServerIp | Jednostka (IP) | Jednostka reprezentująca serwer DNS rozpoznający żądanie. |
HostIpAddress | Jednostka (IP) | Jednostka reprezentująca klienta żądania DNS. |
Silne identyfikatory jednostki DNS
- DomainName + DnsServerIp HostIpAddress +
Słabe identyfikatory jednostki DNS
- DomainName + HostIpAddress
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Zasób platformy Azure
Nazwa jednostki: AzureResource
Pole | Typ | Opis |
---|---|---|
Type | String | "azure-resource" |
ResourceId | String | Identyfikator zasobu platformy Azure. Obowiązkowy. |
Subscriptionid | String | Identyfikator subskrypcji zasobu. |
Aktywnekontakty | Wyświetlanie listy<aktywnychkontaktów> | Aktywne kontakty skojarzone z zasobem. |
ResourceType | String | Typ zasobu. |
Resourcename | String | Nazwa zasobu. |
Silne identyfikatory jednostki zasobów platformy Azure
- ResourceId
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Wartość skrótu pliku
Nazwa jednostki: FileHash
Pole | Typ | Opis |
---|---|---|
Type | String | "filehash" |
Algorytm | Wyliczenie | Typ algorytmu skrótu. Obowiązkowy. Możliwe wartości: |
Wartość | String | Wartość skrótu. Obowiązkowy. |
Silne identyfikatory jednostki skrótu pliku
- Algorytm i wartość
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Klucz rejestru
Nazwa jednostki: RegistryKey
Pole | Typ | Opis |
---|---|---|
Type | String | "registry-key" |
Hive | Enum? | Jedna z następujących wartości: |
Klawisz | String | Ścieżka klucza rejestru. |
Silne identyfikatory jednostki klucza rejestru
- Hive + klucz
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Wartość rejestru
Nazwa jednostki: RegistryValue
Pole | Typ | Opis |
---|---|---|
Type | String | "registry-value" |
Host | Jednostka (host) | Host, do którego należy rejestr. |
Klawisz | Jednostka (RegistryKey) | Jednostka klucza rejestru. |
Nazwa/nazwisko | String | Nazwa wartości rejestru. |
Wartość | String | Ciąg sformatowany reprezentacja danych wartości. |
Valuetype | Enum? | Jedna z następujących wartości: Wartości powinny być zgodne z wyliczeniem Microsoft.Win32.RegistryValueKind. |
Silne identyfikatory jednostki wartości rejestru
- Klucz i nazwa
Słabe identyfikatory jednostki wartości rejestru
- Nazwa (bez klucza)
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Grupa zabezpieczeń
Nazwa jednostki: SecurityGroup
Pole | Typ | Opis |
---|---|---|
Type | String | "Grupa zabezpieczeń" |
Distinguishedname | String | Nazwa wyróżniająca grupy. |
SID | String | Atrybut z jedną wartością, który określa identyfikator zabezpieczeń (SID) grupy. |
Objectguid | Identyfikator guid? | Atrybut z jedną wartością, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory. |
Silne identyfikatory jednostki grupy zabezpieczeń
- Distinguishedname
- SID
- Objectguid
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
URL
Nazwa jednostki: adres URL
Pole | Typ | Opis |
---|---|---|
Type | String | "url" |
Url | Identyfikator URI | Pełny adres URL wskazujący jednostkę. Obowiązkowy. |
Silne identyfikatory jednostki adresu URL
- Adres URL (** Ten identyfikator jest silny, gdy adres URL jest bezwzględnym adresem URL).
Słabe identyfikatory jednostki adresu URL
- Adres URL (** Ten identyfikator jest słaby, gdy adres URL jest względnym adresem URL).
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Urządzenie IoT
Nazwa jednostki: IoTDevice
Pole | Typ | Opis |
---|---|---|
Type | String | "iotdevice" |
IoTHub | Jednostka (AzureResource) | Jednostka AzureResource reprezentująca centrum IoT Hub, do którego należy urządzenie. |
Deviceid | String | Identyfikator urządzenia w kontekście usługi IoT Hub. Obowiązkowy. |
Nazwa urządzenia | String | Przyjazna nazwa urządzenia. |
Właścicieli | Ciąg listy<> | Właściciele urządzenia. |
IoTSecurityAgentId | Identyfikator guid? | Identyfikator agenta usługi Defender for IoT uruchomionego na urządzeniu. |
Devicetype | String | Typ urządzenia ("czujnik temperatury", "zamrażarka", "turbina wiatrowa" itp.). |
DeviceTypeId | String | Unikatowy identyfikator identyfikujący każdy typ urządzenia zgodnie ze schematem typu urządzenia, ponieważ sam typ urządzenia jest nazwą wyświetlaną i nie jest niezawodny w porównaniach. Możliwe wartości: Niesklasyfikowane = 0 Różne = 1 Urządzenie sieciowe = 2 Drukarka = 3 Dźwięk i wideo = 4 Media i nadzór = 5 Komunikacja = 7 Urządzenie inteligentne = 9 Stacja robocza = 10 Serwer = 11 Telefon komórkowy = 12 Inteligentny obiekt = 13 Przemysłowy = 14 Sprzęt operacyjny = 15 |
Source | String | Źródło (Microsoft/Vendor) jednostki urządzenia. |
SourceRef | Jednostka (adres URL) | Odwołanie do adresu URL elementu źródłowego, w którym jest zarządzane urządzenie. |
Producent | String | Producent urządzenia. |
Model | String | Model urządzenia. |
Operatingsystem | String | System operacyjny, na którym działa urządzenie. |
Ipaddress | Jednostka (IP) | Bieżący adres IP urządzenia. |
MacAddress | String | Adres MAC urządzenia. |
Karty sieciowe | Jednostka (nic) | Bieżące karty sieciowe na urządzeniu. |
Protokoły | Ciąg listy<> | Lista protokołów, które obsługuje urządzenie. |
Numer seryjny | String | Numer seryjny urządzenia. |
Oddział | String | Lokalizacja lokacji urządzenia. |
Strefa | String | Lokalizacja strefy urządzenia w lokacji. |
Czujnik | String | Czujnik monitorujący urządzenie. |
Znaczenie | Enum? | Jedna z następujących wartości: |
PurdueLayer | String | Warstwa purdue urządzenia. |
IsProgramming | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie programistyczne. |
Isauthorized | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako autoryzowane urządzenie. |
IsScanner | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie skanera. |
DevicePageLink | Jednostka (adres URL) | Adres URL strony urządzenia w portalu usługi Defender for IoT. |
DeviceSubType | String | Nazwa podtypu urządzenia. |
Silne identyfikatory jednostki urządzenia IoT
- IoTHub + DeviceId
Słabe identyfikatory jednostki urządzenia IoT
- DeviceId (bez usługi IoTHub)
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Mailbox
Nazwa jednostki: Skrzynka pocztowa
Pole | Typ | Opis |
---|---|---|
Type | String | "skrzynka pocztowa" |
MailboxPrimaryAddress | String | Podstawowy adres skrzynki pocztowej. |
Nazwa wyświetlana | String | Nazwa wyświetlana skrzynki pocztowej. |
Upn | String | Nazwa UPN skrzynki pocztowej. |
AadId | String | Identyfikator usługi Azure AD skrzynki pocztowej użytkownika. |
Poziom ryzyka | RiskLevel? | Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości: |
ExternalDirectoryObjectId | Identyfikator guid? | Identyfikator skrzynki pocztowej usługi AzureAD. Podobnie jak AadUserId w jednostce Account, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office. |
Silne identyfikatory jednostki skrzynki pocztowej
- MailboxPrimaryAddress
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Klaster poczty
Nazwa jednostki: MailCluster
Pole | Typ | Opis |
---|---|---|
Type | String | "mail-cluster" |
NetworkMessageIds | Ciąg IList<> | Identyfikatory wiadomości e-mail, które są częścią klastra poczty. |
CountByDeliveryStatus | Ciąg IDictionary<, Int> | Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus. |
CountByThreatType | Ciąg IDictionary<, Int> | Liczba wiadomości e-mail według reprezentacji ciągu ThreatType. |
CountByProtectionStatus | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu stanu ochrony. |
CountByDeliveryLocation | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu lokalizacji dostarczania. |
Zagrożenia | Ciąg IList<> | Zagrożenia dotyczące wiadomości e-mail, które są częścią klastra poczty. |
Zapytanie | String | Zapytanie, które zostało użyte do zidentyfikowania wiadomości klastra poczty. |
Czas kwerendy | Datetime? | Czas zapytania. |
MailCount | Int? | Liczba wiadomości e-mail, które są częścią klastra poczty. |
IsVolumeAnomaly | Bool? | Wskazuje, czy klaster poczty jest klastrem poczty anomalii woluminu. |
Source | String | Źródło klastra poczty (wartość domyślna to O365 ATP ). |
Silne identyfikatory jednostki klastra poczty
- Zapytanie i źródło
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Mail message
Nazwa jednostki: MailMessage
Pole | Typ | Opis |
---|---|---|
Type | String | "wiadomość e-mail" |
Pliki | Jednostka IList<(plik)> | Jednostki Plik załączników tej wiadomości e-mail. |
Odbiorcy | String | Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata. |
Adresy url | Ciąg IList<> | Adresy URL zawarte w tej wiadomości e-mail. |
Zagrożenia | Ciąg IList<> | Zagrożenia zawarte w tej wiadomości e-mail. |
Nadawcy | String | Adres e-mail nadawcy. |
SenderIP | String | Adres IP nadawcy. |
Odebranodanie | DateTime | Odebrana data tej wiadomości. |
NetworkMessageId | Identyfikator guid? | Identyfikator wiadomości sieciowej tej wiadomości e-mail. |
InternetMessageId | String | Identyfikator wiadomości internetowej tej wiadomości e-mail. |
Temat | String | Temat tej wiadomości e-mail. |
AntispamDirection | Enum? | Kierunek tej wiadomości e-mail. Możliwe wartości: |
DeliveryAction | Enum? | Akcja dostarczania tej wiadomości e-mail. Możliwe wartości: |
DeliveryLocation | Enum? | Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości: |
Identyfikator kampanii | String | Identyfikator kampanii, w której znajduje się ta wiadomość e-mail. |
SuspiciousRecipients | Ciąg IList<> | Lista adresatów, którzy zostali wykryci jako podejrzani. |
Elementy przesyłania dalej | Ciąg IList<> | Lista wszystkich adresatów przesłanej dalej poczty. |
Typ przekazywania | Ciąg IList<> | Typ przekazywania poczty, taki jak SMTP, ETR itp. |
Silne identyfikatory jednostki wiadomości e-mail
- NetworkMessageId + Odbiorca
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Wyślij wiadomość e-mail
Nazwa jednostki: SubmissionMail
Pole | Typ | Opis |
---|---|---|
Type | String | "SubmissionMail" |
Identyfikator przesyłania | Identyfikator guid? | Identyfikator przesyłania. |
Data przesłania | Datetime? | Zgłoszona data przesłania. |
Nadesłał | String | Adres e-mail przesyłającej. |
NetworkMessageId | Identyfikator guid? | Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie. |
Sygnatura czasowa | Datetime? | Sygnatura czasowa odebrania wiadomości (Poczta). |
Odbiorcy | String | Adresat wiadomości e-mail. |
Nadawcy | String | Nadawca wiadomości e-mail. |
SenderIp | String | Adres IP nadawcy. |
Temat | String | Temat przesłania wiadomości e-mail. |
Typ raportu | String | Typ przesyłania dla danego wystąpienia. Możliwe wartości to Junk, Phish, Malware lub NotJunk. |
Silne identyfikatory jednostki SubmissionMail
- SubmitId, Submitter, NetworkMessageId, Odbiorca
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Jednostki usługi Sentinel
Pole | Typ | Opis |
---|---|---|
Encje | String | Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna jednostek ze schematu SecurityAlert (zobacz dokumentację). |
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Identyfikatory aplikacji w chmurze
Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość Identyfikator aplikacji jest używana jako identyfikator jednostki aplikacji w chmurze.
Identyfikator aplikacji | Nazwisko |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | Box |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | Cornerstone OnDemand |
10921 | Zendesk |
10980 | Okta |
11042 | Oprogramowanie Jive |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft Online Services |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Dzień roboczy |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive dla biznesu |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud Apps |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Cykl życia programu Autodesk Fusion |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype dla firm |
25988 | Google Docs |
26055 | Centrum administracyjne platformy Microsoft 365 |
26060 | OPSWAT Gears |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google Drive |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Workplace by Facebook |
28373 | CAS Proxy Emulator |
28375 | Microsoft Teams |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
Następne kroki
W tym dokumencie przedstawiono strukturę jednostek, identyfikatory i schemat w usłudze Microsoft Sentinel.
Dowiedz się więcej o jednostkach i mapowaniu jednostek.