Dokumentacja typów jednostek usługi Microsoft Sentinel
Typy jednostek i identyfikatory
W poniższej tabeli przedstawiono typy jednostek , które są obecnie dostępne do mapowania w usłudze Microsoft Sentinel, oraz atrybuty dostępne jako identyfikatory dla każdego typu jednostki — które są wyświetlane na liście rozwijanej Identyfikatory w sekcji mapowania jednostek kreatora reguł analizy.
Każdy z identyfikatorów w wymaganej kolumnie identyfikatorów jest minimalnie niezbędny do zidentyfikowania jej jednostki. Jednak wymagany identyfikator może nie wystarczyć do zapewnienia unikatowej identyfikacji. Im więcej używanych identyfikatorów, tym większe prawdopodobieństwo unikatowej identyfikacji. Do mapowania pojedynczej jednostki można użyć maksymalnie trzech identyfikatorów.
Aby uzyskać najlepsze wyniki — w celu uzyskania gwarantowanej unikatowej identyfikacji — zawsze, gdy jest to możliwe, należy użyć identyfikatorów z kolumny najsilniejszych identyfikatorów . Użycie wielu silnych identyfikatorów umożliwia korelację między silnymi identyfikatorami z różnych źródeł danych i schematów. To z kolei umożliwia usłudze Microsoft Sentinel uzyskanie bardziej szczegółowych informacji dla danej jednostki.
Typ jednostki | Identyfikatory | Wymagane identyfikatory | Najsilniejsze identyfikatory |
---|---|---|---|
Konto użytkownika (Konto) |
Nazwa Pełna nazwa NTDomain Domena DNS UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Nazwa wyświetlana Objectguid |
Pełna nazwa Sid Nazwa AadUserId PUID Objectguid |
Nazwa + NTDomain Nazwa + UPNSuffix Identyfikator użytkownika usługi AAD Sid |
Hosta | Domena DNS NTDomain HostName Pełna nazwa NetBiosName AzureID Identyfikator OMSAgentID OSFamily OSVersion IsDomainJoined |
Pełna nazwa HostName NetBiosName AzureID Identyfikator OMSAgentID |
Nazwa hosta + NTDomain Nazwa hosta i domena DnsDomain NetBiosName + NTDomain NetBiosName + DnsDomain AzureID Identyfikator OMSAgentID |
Adres IP (IP) |
Adres | Adres | |
Złośliwe oprogramowanie | Nazwa Kategoria |
Nazwa | |
Plik | Katalog Nazwa |
Nazwa | |
Proces | Identyfikator procesu CommandLine Podniesienie uprawnień CreationTimeUtc |
CommandLine Identyfikator procesu |
|
Aplikacja w chmurze (CloudApplication) |
AppId Nazwa InstanceName |
AppId Nazwa |
|
Nazwa domeny (DNS) |
DomainName | DomainName | |
Zasób platformy Azure | ResourceId | ResourceId | |
Wartość skrótu pliku (FileHash) |
Algorytm Wartość |
Algorytm i wartość | |
Klucz rejestru | Hive Klucz |
Hive Klucz |
Hive + klucz |
Wartość rejestru | Nazwa Wartość ValueType |
Nazwa | |
Grupa zabezpieczeń | Distinguishedname Identyfikator SID Objectguid |
Distinguishedname Identyfikator SID Objectguid |
|
Adres URL | Url | Url | |
Urządzenie IoT | IoTHub DeviceId DeviceName IoTSecurityAgentId DeviceType Element źródłowy ŹródłoOdzysłów Producent Model OperatingSystem Ipaddress MacAddress Protokoły SerialNumber |
IoTHub DeviceId |
IoTHub + DeviceId |
Mailbox | MailboxPrimaryAddress Nazwa wyświetlana Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
Klaster poczty | NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Zagrożenia Zapytanie Czas kwerendy MailCount IsVolumeAnomaly Element źródłowy ClusterSourceIdentifier Typ źródła klastra ClusterQueryStartTime ClusterQueryEndTime Grupa klastrów |
Zapytanie Element źródłowy |
Zapytanie i źródło |
Wiadomość e-mail | Adresat Adresy url Zagrożenia Nadawca P1Sender P1SenderDisplayName P1SenderDomain SenderIP P2Sender P2SenderDisplayName P2SenderDomain OdebranoDate NetworkMessageId InternetMessageId Temat BodyFingerprintBin1 BodyFingerprintBin2 BodyFingerprintBin3 BodyFingerprintBin4 BodyFingerprintBin5 AntispamDirection DeliveryAction DeliveryLocation Język ThreatDetectionMethods |
NetworkMessageId Adresat |
NetworkMessageId + Odbiorca |
Wiadomość e-mail dotycząca przesyłania | Identyfikator przesyłania Data przesłania Nadesłał NetworkMessageId Znacznik czasu Adresat Nadawca SenderIp Temat Typ raportu |
Identyfikator przesyłania NetworkMessageId Adresat Nadesłał |
|
Jednostki usługi Sentinel | Jednostki | Jednostki |
Schematy typu jednostki
Poniżej przedstawiono bardziej szczegółowe omówienie pełnych schematów każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek — na przykład schemat konta użytkownika zawiera link do typu jednostki Host, ponieważ jednym z atrybutów konta użytkownika jest host, na którym jest zdefiniowany. Tych połączonych zewnętrznie jednostek nie można używać jako identyfikatorów do mapowania jednostek, ale są one bardzo przydatne w zapewnianiu pełnego obrazu jednostek na stronach jednostek i wykresie badania.
Uwaga
Znak zapytania po wartości w kolumnie Typ wskazuje, że pole jest dopuszczane do wartości null.
Konto użytkownika
Nazwa jednostki: Konto
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "konto" |
Nazwa | Ciąg | Nazwa konta. To pole powinno zawierać tylko nazwę bez żadnej domeny dodanej do niej. |
Pełna nazwa | Nie dotyczy | Nie jest częścią schematu, uwzględnioną w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
NTDomain | Ciąg | Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, NT AUTHORITY |
Domena DNS | Ciąg | W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com |
UPNSuffix | Ciąg | Sufiks głównej nazwy użytkownika dla konta. W niektórych przypadkach jest to również nazwa domeny. Przykłady: contoso.com |
Host | Jednostka | Host, który zawiera konto, jeśli jest kontem lokalnym. |
Sid | Ciąg | Identyfikator zabezpieczeń konta, taki jak S-1-5-18. |
AadTenantId | Identyfikator guid? | Identyfikator dzierżawy Azure AD, jeśli jest znany. |
AadUserId | Identyfikator guid? | Identyfikator obiektu konta Azure AD, jeśli jest znany. |
PUID | Identyfikator guid? | Identyfikator użytkownika usługi Azure AD Passport, jeśli jest znany. |
IsDomainJoined | Bool? | Określa, czy jest to konto domeny. |
Nazwa wyświetlana | Ciąg | Nazwa wyświetlana konta. |
Objectguid | Identyfikator guid? | Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu, przypisanym przez usługę Active Directory. |
Silne identyfikatory jednostki konta:
- Nazwa + UPNSuffix
- AadUserId
- Sid + host (wymagany dla identyfikatorów SID kont wbudowanych)
- Sid (z wyjątkiem identyfikatorów SID kont wbudowanych)
- Name + NTDomain (chyba że NTDomain jest domeną wbudowaną, na przykład "Grupa robocza")
- Name + Host (jeśli NTDomain jest domeną wbudowaną, na przykład "Grupa robocza")
- Nazwa i domena dns
- PUID
- Objectguid
Słabe identyfikatory jednostki konta:
- Nazwa
Host
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "host" |
Domena DNS | Ciąg | Domena DNS, do którego należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany. |
NTDomain | Ciąg | Domena NT, do którego należy ten host. |
HostName | Ciąg | Nazwa hosta bez sufiksu domeny. |
Pełna nazwa | Nie dotyczy | Nie jest częścią schematu, dołączonego do zgodności z poprzednimi wersjami mapowania jednostek. |
NetBiosName | Ciąg | Nazwa hosta (pre-Windows 2000). |
IoTDevice | Jednostka | Jednostka Urządzenia IoT (jeśli ten host reprezentuje urządzenie IoT). |
AzureID | Ciąg | Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany. |
OMSAgentID | Ciąg | Identyfikator agenta pakietu OMS, jeśli host ma zainstalowany agent pakietu OMS. |
OSFamily | Enum? | Jedna z następujących wartości: |
OSVersion | Ciąg | Bezpłatna reprezentacja systemu operacyjnego. To pole ma zawierać określone wersje, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily. |
IsDomainJoined | Wartość logiczna | Określa, czy ten host należy do domeny. |
Silne identyfikatory jednostki hosta:
- Nazwa hosta i domena NTDomain
- Nazwa hosta i domena DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice (nieobsługiwane w przypadku mapowania jednostek)
Słabe identyfikatory jednostki hosta:
- HostName
- NetBiosName
Adres IP
Nazwa jednostki: ADRES IP
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "ip" |
Adres | Ciąg | Adres IP jako ciąg, np. 127.0.0.1 (w protokole IPv4 lub IPv6). |
Lokalizacja | Geolokalizacja | Kontekst lokalizacji geograficznej dołączony do jednostki IP. Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza). |
Silne identyfikatory jednostki IP:
- Adres
Złośliwe oprogramowanie
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "złośliwe oprogramowanie" |
Nazwa | Ciąg | Nazwa złośliwego oprogramowania przez dostawcę, na przykład Win32/Toga!rfn . |
Kategoria | Ciąg | Kategoria złośliwego oprogramowania przez dostawcę, np. trojan. |
Pliki | Lista<jednostek> | Lista połączonych jednostek plików, na których znaleziono złośliwe oprogramowanie. Może zawierać jednostki File w tekście lub jako odwołanie. Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Plik. |
Procesy | Lista<jednostek> | Lista połączonych jednostek procesów, w których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert został wyzwolony na działanie bez plików. Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Process . |
Silne identyfikatory jednostki złośliwego oprogramowania:
- Nazwa i kategoria
Plik
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "plik" |
Katalog | Ciąg | Pełna ścieżka do pliku. |
Nazwa | Ciąg | Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki). |
Host | Jednostka | Host, na którym był przechowywany plik. |
Skróty plików | Lista<jednostek> | Skróty plików skojarzone z tym plikiem. |
Silne identyfikatory jednostki pliku:
- Nazwa i katalog
- Nazwa i plikHash
- Nazwa + katalog + plikHash
Proces
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "proces" |
Identyfikator procesu | Ciąg | Identyfikator procesu. |
CommandLine | Ciąg | Wiersz polecenia używany do utworzenia procesu. |
Podniesienie uprawnień | Enum? | Token podniesienia uprawnień skojarzony z procesem. Możliwe wartości: |
CreationTimeUtc | Datetime? | Czas rozpoczęcia procesu. |
ImageFile | Jednostka (plik) | Może zawierać jednostkę File w tekście lub jako odwołanie. Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Plik. |
Konto | Jednostka | Konto, na którym są uruchomione procesy. Może zawierać jednostkę Account w tekście lub jako odwołanie. Aby uzyskać dodatkowe informacje na temat struktury, zobacz jednostkę Konto . |
ParentProcess | Jednostka (proces) | Jednostka procesu nadrzędnego. Może zawierać dane częściowe, tj. tylko dane PID. |
Host | Jednostka | Host, na którym był uruchomiony proces. |
Logowanie | Jednostka (HostLogonSession) | Sesja, w której był uruchomiony proces. |
Silne identyfikatory jednostki procesu:
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Słabe identyfikatory jednostki procesu:
- ProcessId + CreationTimeUtc + CommandLine (i bez hosta)
- ProcessId + CreationTimeUtc + ImageFile (i bez hosta)
Aplikacja w chmurze
Nazwa jednostki: CloudApplication
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "aplikacja w chmurze" |
AppId | int | Identyfikator techniczny aplikacji. Powinna to być jedna z wartości zdefiniowanych na liście identyfikatorów aplikacji w chmurze. Wartość pola AppId jest opcjonalna. |
Nazwa | Ciąg | Nazwa powiązanej aplikacji w chmurze. Wartość nazwy aplikacji jest opcjonalna. |
InstanceName | Ciąg | Nazwa wystąpienia zdefiniowanego przez użytkownika aplikacji w chmurze. Jest on często używany do rozróżniania kilku aplikacji tego samego typu, które ma klient. |
Silne identyfikatory jednostki aplikacji w chmurze:
- AppId (bez wystąpieniaName)
- Nazwa (bez nazwy wystąpienia)
- AppId + InstanceName
- Nazwa i nazwa wystąpienia
Nazwa domeny
Nazwa jednostki: DNS
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "dns" |
DomainName | Ciąg | Nazwa rekordu DNS skojarzonego z alertem. |
Ipaddress | Jednostka listy<(IP)> | Jednostki odpowiadające rozpoznanych adresom IP. |
DnsServerIp | Jednostka (IP) | Jednostka reprezentująca serwer DNS rozpoznający żądanie. |
HostIpAddress | Jednostka (IP) | Jednostka reprezentująca klienta żądania DNS. |
Silne identyfikatory jednostki DNS:
- DomainName + DnsServerIp + HostIpAddress
Słabe identyfikatory jednostki DNS:
- DomainName + HostIpAddress
Zasób platformy Azure
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "azure-resource" |
ResourceId | Ciąg | Identyfikator zasobu platformy Azure. |
SubscriptionId | Ciąg | Identyfikator subskrypcji zasobu. |
TryGetResourceGroup | Wartość logiczna | Wartość grupy zasobów, jeśli istnieje. |
TryGetProvider | Wartość logiczna | Wartość dostawcy, jeśli istnieje. |
TryGetName | Wartość logiczna | Wartość nazwy, jeśli istnieje. |
Silne identyfikatory jednostki zasobu platformy Azure:
- ResourceId
Wartość skrótu pliku
Nazwa jednostki: FileHash
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "filehash" |
Algorytm | Wyliczenie | Typ algorytmu skrótu. Możliwe wartości: |
Wartość | Ciąg | Wartość skrótu. |
Silne identyfikatory jednostki skrótu pliku:
- Algorytm i wartość
Klucz rejestru
Nazwa jednostki: RegistryKey
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "registry-key" |
Hive | Enum? | Jedna z następujących wartości: |
Klucz | Ciąg | Ścieżka klucza rejestru. |
Silne identyfikatory jednostki klucza rejestru:
- Hive + Klucz
Wartość rejestru
Nazwa jednostki: RegistryValue
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "registry-value" |
Klucz | Jednostka (RegistryKey) | Jednostka klucza rejestru. |
Nazwa | Ciąg | Nazwa wartości rejestru. |
Wartość | Ciąg | Reprezentacja danych wartości w formacie ciągu. |
ValueType | Enum? | Jedna z następujących wartości: Wartości powinny być zgodne z wyliczeniem Microsoft.Win32.RegistryValueKind. |
Silne identyfikatory jednostki wartości rejestru:
- Klucz i nazwa
Słabe identyfikatory jednostki wartości rejestru:
- Nazwa (bez klucza)
Grupa zabezpieczeń
Nazwa jednostki: SecurityGroup
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "Grupa zabezpieczeń" |
Distinguishedname | Ciąg | Nazwa wyróżniająca grupy. |
Identyfikator SID | Ciąg | Atrybut SID jest atrybutem o pojedynczej wartości, który określa identyfikator zabezpieczeń (SID) grupy. |
Objectguid | Identyfikator guid? | Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory. |
Silne identyfikatory jednostki grupy zabezpieczeń:
- Distinguishedname
- Identyfikator SID
- Objectguid
Adres URL
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "url" |
Url | Identyfikator uri | Pełny adres URL jednostki wskazuje. |
Silne identyfikatory jednostki adresu URL:
- Adres URL (jeśli bezwzględny adres URL)
Słabe identyfikatory jednostki adresu URL:
- Adres URL (gdy względny adres URL)
Urządzenie IoT
Nazwa jednostki: IoTDevice
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "iotdevice" |
IoTHub | Jednostka (AzureResource) | Jednostka AzureResource reprezentująca IoT Hub, do którego należy urządzenie. |
DeviceId | Ciąg | Identyfikator urządzenia w kontekście IoT Hub. |
DeviceName | Ciąg | Przyjazna nazwa urządzenia. |
IoTSecurityAgentId | Identyfikator guid? | Identyfikator agenta usługi Defender for IoT uruchomionego na urządzeniu. |
DeviceType | Ciąg | Typ urządzenia (czujnik temperatury", "zamrażarka", "turbina wiatrowa" itp.). |
Element źródłowy | Ciąg | Źródło (Microsoft/Vendor) jednostki urządzenia. |
SourceRef | Jednostka (adres URL) | Odwołanie do adresu URL elementu źródłowego, w którym urządzenie jest zarządzane. |
Producent | Ciąg | Producent urządzenia. |
Model | Ciąg | Model urządzenia. |
OperatingSystem | Ciąg | System operacyjny, na którym jest uruchomione urządzenie. |
Ipaddress | Jednostka (IP) | Bieżący adres IP urządzenia. |
MacAddress | Ciąg | Adres MAC urządzenia. |
Protokoły | Ciąg listy<> | Lista protokołów, które obsługuje urządzenie. |
SerialNumber | Ciąg | Numer seryjny urządzenia. |
Silne identyfikatory jednostki urządzenia IoT:
- IoTHub + DeviceId
Słabe identyfikatory jednostki urządzenia IoT:
- DeviceId (bez usługi IoTHub)
Mailbox
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "skrzynka pocztowa" |
MailboxPrimaryAddress | Ciąg | Podstawowy adres skrzynki pocztowej. |
Nazwa wyświetlana | Ciąg | Nazwa wyświetlana skrzynki pocztowej. |
Upn | Ciąg | Nazwa UPN skrzynki pocztowej. |
RiskLevel | Enum? | Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości: |
ExternalDirectoryObjectId | Identyfikator guid? | Identyfikator skrzynki pocztowej usługi AzureAD. Podobnie jak AadUserId w jednostce Konto, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office. |
Silne identyfikatory jednostki skrzynki pocztowej:
- MailboxPrimaryAddress
Klaster poczty
Nazwa jednostki: MailCluster
Uwaga
Ochrona usługi Office 365 w usłudze Microsoft Defender był wcześniej znany jako Office 365 Advanced Threat Protection (O365 ATP).
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "mail-cluster" |
NetworkMessageIds | Ciąg IList<> | Identyfikatory wiadomości e-mail, które są częścią klastra poczty. |
CountByDeliveryStatus | Ciąg IDictionary,Int<> | Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus. |
CountByThreatType | Ciąg IDictionary,Int<> | Liczba wiadomości e-mail według reprezentacji ciągu ThreatType. |
CountByProtectionStatus | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według stanu ochrony przed zagrożeniami. |
Zagrożenia | Ciąg IList<> | Zagrożenia wiadomości e-mail, które są częścią klastra poczty. |
Zapytanie | Ciąg | Zapytanie, które zostało użyte do zidentyfikowania wiadomości klastra poczty. |
QueryTime | Datetime? | Czas zapytania. |
MailCount | Int? | Liczba wiadomości e-mail, które są częścią klastra poczty. |
IsVolumeAnomaly | Bool? | Określa, czy jest to klaster poczty anomalii woluminu. |
Element źródłowy | Ciąg | Źródło klastra poczty (wartość domyślna to "O365 ATP"). |
ClusterSourceIdentifier | Ciąg | Identyfikator wiadomości sieciowej poczty będącej źródłem tego klastra poczty. |
ClusterSourceType | Ciąg | Typ źródłowy klastra poczty. Spowoduje to mapowanie ustawienia MailClusterSourceType z Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej). |
ClusterQueryStartTime | Datetime? | Godzina rozpoczęcia klastra — używana jako godzina rozpoczęcia zapytania liczby klastrów. Zazwyczaj daty do ustawienia Godzina zakończenia minus DaysToLookBack z Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej). |
ClusterQueryEndTime | Datetime? | Godzina zakończenia klastra — używana jako godzina zakończenia zapytania liczby klastrów. Zwykle odebrano dane poczty. |
Grupa klastrów | Ciąg | Odpowiada kluczowi zapytania Kusto używanemu w Ochrona usługi Office 365 w usłudze Microsoft Defender (patrz uwaga powyżej). |
Silne identyfikatory jednostki klastra poczty:
- Zapytanie i źródło
Wiadomość e-mail
Nazwa jednostki: MailMessage
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "wiadomość-wiadomość" |
Pliki | Plik IList<> | Jednostki Plik załączników tej wiadomości e-mail. |
Adresat | Ciąg | Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata. |
Adresy url | Ciąg IList<> | Adresy URL zawarte w tej wiadomości e-mail. |
Zagrożenia | Ciąg IList<> | Zagrożenia zawarte w tej wiadomości e-mail. |
Nadawca | Ciąg | Adres e-mail nadawcy. |
P1Sender | Ciąg | Email identyfikator użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, ta wartość jest równa P2Sender. |
P1SenderDisplayName | Ciąg | Nazwa wyświetlana użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Reprezentowane w nagłówku wiadomości e-mail przez właściwość "OnbehalfofSenderDisplayName". |
P1SenderDomain | Ciąg | Email domenę użytkownika (delegowanego), który wysłał tę wiadomość e-mail "w imieniu użytkownika podstawowego P2". Jeśli wiadomość e-mail nie jest wysyłana przez pełnomocnika, ta wartość jest równa P2SenderDomain. |
P2Sender | Ciąg | Email użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail. |
P2SenderDisplayName | Ciąg | Nazwa wyświetlana użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail. Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, reprezentuje nazwę wyświetlaną nadawcy. |
P2SenderDomain | Ciąg | Email domenę użytkownika (podstawowego) w imieniu którego wysłano tę wiadomość e-mail. Jeśli wiadomość e-mail nie została wysłana przez pełnomocnika, reprezentuje domenę nadawcy. |
AdresIP nadawcy | Ciąg | Adres IP nadawcy. |
Data odebrania | DateTime | Data odebrania tej wiadomości. |
NetworkMessageId | Identyfikator guid? | Identyfikator wiadomości sieciowej tej wiadomości e-mail. |
InternetMessageId | Ciąg | Identyfikator wiadomości internetowej tej wiadomości e-mail. |
Temat | Ciąg | Temat tej wiadomości e-mail. |
BodyFingerprintBin1 BodyFingerprintBin2 BodyFingerprintBin3 BodyFingerprintBin4 BodyFingerprintBin5 |
Uint? | Używany przez Ochrona usługi Office 365 w usłudze Microsoft Defender do znajdowania pasujących lub podobnych wiadomości e-mail. |
AntispamDirection | Enum? | Kierunek tej wiadomości e-mail. Możliwe wartości: |
DeliveryAction | Enum? | Akcja dostarczania tej wiadomości e-mail. Możliwe wartości: |
DeliveryLocation | Enum? | Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości: |
Język | Ciąg | Język, w którym jest zapisywana zawartość wiadomości e-mail. |
ThreatDetectionMethods | Ciąg IList<> | Lista metod wykrywania zagrożeń zastosowanych w tej wiadomości e-mail. |
Silne identyfikatory jednostki wiadomości e-mail:
- NetworkMessageId + Odbiorca
Wiadomość e-mail z przesłaniem
Nazwa jednostki: SubmissionMail
Pole | Typ | Opis |
---|---|---|
Typ | Ciąg | "SubmissionMail" |
Identyfikator przesyłania | Identyfikator guid? | Identyfikator przesyłania. |
Data przesłania | Datetime? | Zgłoszona data przesłania. |
Nadesłał | Ciąg | Adres e-mail przesyłającej. |
NetworkMessageId | Identyfikator guid? | Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie. |
Znacznik czasu | Datetime? | Sygnatura czasowa odebrania wiadomości (Poczta). |
Adresat | Ciąg | Adresat wiadomości e-mail. |
Nadawca | Ciąg | Nadawca poczty. |
SenderIp | Ciąg | Adres IP nadawcy. |
Temat | Ciąg | Temat przesłanej wiadomości e-mail. |
Typ raportu | Ciąg | Typ przesyłania dla danego wystąpienia. Jest to mapowanie na śmieci, phish, malware lub NotJunk. |
Silne identyfikatory jednostki SubmissionMail:
- SubmitId, Submitter, NetworkMessageId, Recipient
Jednostki usługi Sentinel
Pole | Typ | Opis |
---|---|---|
Jednostki | Ciąg | Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna jednostek ze schematu SecurityAlert (zobacz dokumentację). |
Identyfikatory aplikacji w chmurze
Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość identyfikatora aplikacji jest używana jako identyfikator jednostki aplikacji w chmurze .
Identyfikator aplikacji | Nazwa |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | Box |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | Cornerstone OnDemand |
10921 | Zendesk |
10980 | Okta |
11042 | Oprogramowanie Jive |
11114 | SalesForce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft Online Services |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive dla Firm |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud Apps |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Cykl życia programu Autodesk Fusion |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype dla firm |
25988 | Google Docs |
26055 | Centrum administracyjne platformy Microsoft 365 |
26060 | OPSWAT Gears |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Dysk Google |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Azure AD |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Workplace by Facebook |
28373 | CAS Proxy Emulator |
28375 | Microsoft Teams |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
Następne kroki
W tym dokumencie przedstawiono strukturę jednostek, identyfikatory i schemat w usłudze Microsoft Sentinel.
Dowiedz się więcej o jednostkach i mapowaniu jednostek.