Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este documento contém dois conjuntos de informações sobre entidades e tipos de entidade no Microsoft Sentinel no portal do Azure e no Microsoft Sentinel no portal do Defender.
- A tabela de identificadores e tipos de entidade mostra os diferentes tipos de entidades que podem ser identificadas em alertas e incidentes, permitindo que você os rastreie e investigue. A tabela também mostra, para cada tipo de entidade, os diferentes identificadores que podem ser usados para identificar uma entidade.
- A seção Esquema de entidade mostra a estrutura de dados e o esquema para entidades em geral e para cada tipo de entidade em particular.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usam o portal do Azure serão redirecionados automaticamente.
Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejamento da sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel.
Tipos de entidade e identificadores
A tabela a seguir mostra os tipos de entidade que podem ser reconhecidos pelo Microsoft Sentinel e os atributos que podem ser usados como identificadores para cada tipo de entidade.
O Microsoft Sentinel reconhece entidades em alertas e incidentes criados pelo mapeamento de entidade em regras de análise. Ele também reconhece entidades já identificadas em alertas ingeridos de outras fontes.
Atualmente, você pode usar até três identificadores para uma determinada entidade ao criar um mapeamento de entidade no Microsoft Sentinel. Identificadores fortes sozinhos são suficientes para identificar exclusivamente uma entidade, enquanto identificadores fracos podem fazê-lo apenas em combinação com outros identificadores. Saiba mais sobre identificadores fortes e fracos. A maioria, mas não todos os identificadores nesta tabela, podem ser usados ao criar mapeamentos de entidade no Microsoft Sentinel (consulte as notas de rodapé).
Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
---|---|---|---|
Conta | Nome FullName * NTDomain Domínio DNS UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Nome |
Anfitrião | Domínio DNS NTDomain nome do host FullName * NetBiosName AzureID OMSAgentID OSFamily Versão do Sistema Operacional IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
nome do host NetBiosName |
Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
IP | Endereço AddressScope |
Endereço global: Endereço** Endereço privado: Address+AddressScope** |
Endereço privado: Endereço** |
URL | URL | URL (se URL absoluta)** | URL (se URL relativa)** |
Recurso do Azure (AzureResource) |
ResourceId | ResourceId | |
Aplicativo de nuvem (CloudApplication) |
AppId Nome InstânciaNome |
AppId Nome AppId+InstanceName Name+InstanceName |
|
Resolução DNS (DNS) |
Nome de Domínio | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
Arquivo | Diretório Nome |
Diretório+Nome | |
Hash de arquivo (FileHash) |
Algoritmo Valor |
Algoritmo+Valor | |
Malware | Nome Categoria |
Nome+Categoria | |
Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
Processo | Identificação do processo Linha de comando ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Anfitrião+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (sem Host) ProcessId+CreationTimeUtc+ ImageFile (sem Host) |
Chave do Registro (RegistryKey) |
Hive Chave |
Hive+Chave | |
Valor do Registro (RegistryValue) |
Nome Valor Tipo de valor |
Chave+Nome | Name (sem Key) |
Grupo de segurança (SecurityGroup) |
Nome Distinto SID ObjectGuid |
Nome Distinto SID ObjectGuid |
|
Caixa de correio | MailboxPrimaryAddress Nome Visível Upn ExternalDirectoryObjectId Nível de Risco |
MailboxPrimaryAddress | |
Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
Cluster de email (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Ameaças Consulta Querytime MailCount IsVolumeAnomaly Origem ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Consulta+Origem | |
Mensagem de email (MailMessage) |
Destinatário URLs Ameaças Remetente P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIp P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId IdentificadorDeMensagemNaInternet Assunto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction Local de Entrega Idioma* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
Email de envio (SubmissionMail) |
NetworkMessageId Timestamp Destinatário Remetente SenderIp Assunto ReportType SubmissionId SubmissionDate Emissor |
SubmissionId+NetworkMessageId+ Destinatário+Enviador |
|
Entidades sentinelas | Entidades | Entidades |
Notas de rodapé da tabela:
- * Esses identificadores são exibidos na lista de identificadores que podem ser usados no mapeamento de entidade, mas, estritamente falando, não fazem parte do esquema de entidade.
- ** Esses identificadores só são considerados fortes sob determinadas condições. Siga os links dos asteriscos para ver as condições que se aplicam, na listagem da entidade relevante na seção de esquemas de entidade abaixo.
- Nomes de identificador itálico (sem um asterisco) representam entidades internas, o que significa que um tipo de entidade pode ter outros tipos de entidade como atributos (consulte a seção de esquemas de entidade abaixo). Siga o link do identificador para ver o esquema da entidade interna.
- Outras entidades podem estar presentes no esquema, que é um esquema geral que dá suporte a muitas coisas além do Microsoft Sentinel. Somente as entidades disponíveis no Microsoft Sentinel estão listadas neste artigo.
Esquemas de tipo de entidade
A seção a seguir contém uma análise mais detalhada dos esquemas completos de cada tipo de entidade. Você notará que muitos desses esquemas incluem links para outros tipos de entidade. Por exemplo, o esquema de conta de usuário inclui um link para o tipo de entidade Host, já que um atributo de uma conta de usuário é o host no qual está definido. Essas entidades como atributos são conhecidas como "entidades internas" e não podem ser usadas como identificadores no mapeamento de entidade, mas são muito úteis para fornecer um retrato completo das entidades em páginas de entidade e o grafo de investigação.
Observação
Um ponto de interrogação seguindo o valor na coluna Tipo indica que o campo é anulável.
Lista de esquemas de tipo de entidade
- Conta
- Host de
- IP
- Malware
- Arquivo
- Processo
- Aplicativo de nuvem
- Resolução DNS
- Recurso do Azure
- Hash de arquivo
- Chave do Registro
- Valor do Registro
- Grupo de segurança
- URL
- Dispositivo IoT
- Caixa de correio
- Cluster de email
- Mensagem de email
- Email de envio
- Entidades sentinelas
Conta
Nome da entidade: Conta
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'account' |
Nome | fio | O nome da conta. Esse campo deve conter apenas o nome, sem nenhum domínio adicionado. |
FullName | -- | Não faz parte do esquema, incluído para compatibilidade com versões anteriores do mapeamento de entidade. |
NTDomain | fio | O nome de domínio NETBIOS como ele aparece no formato de alerta — domínio\nome de usuário. Exemplos: Finanças, NT AUTHORITY |
DnsDomain | fio | O nome DNS do domínio totalmente qualificado. Exemplos: finance.contoso.com |
UPNSuffix | fio | O sufixo do nome UPN para a conta. Em muitos casos, o sufixo UPN também é o nome de domínio. Exemplos: contoso.com |
Host de | Entidade (Host) | O host que contém a conta, caso seja uma conta local. |
Sid | fio | O identificador de segurança da conta. |
AadTenantId | Guid? | A ID do locatário do Microsoft Entra, se conhecida. |
AadUserId | Guid? | A ID do objeto da conta do Microsoft Entra, se conhecida. |
PUID | Guid? | A ID do usuário do Microsoft Entra Passport, se conhecida. |
IsDomainJoined | Bool? | Indica se a conta é uma conta de domínio. |
DisplayName | -- | Não faz parte do esquema, incluído para compatibilidade com versões anteriores do mapeamento de entidade. |
ObjectGuid | Guid? | O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Active Directory Domain Services. |
CloudAppAccountId | fio | A AccountID em alertas do provedor CloudApp. Refere-se a IDs de conta em aplicativos de terceiros que não têm suporte em outros produtos da Microsoft. |
IsAnonymized | Bool? | Indica se o nome de usuário é anônimo. Opcional. Valor padrão: false . |
Riacho | Stream | A origem dos logs de descoberta relacionados à conta específica. Opcional. |
Identificadores fortes de uma entidade de conta
- Nome + UPNSuffix
- AadUserId
-
Sid
** Esse identificador é forte desde que a conta não seja uma das contas internas listadas na Observação abaixo. -
Sid + Host
** Quando a conta é uma das contas internas listadas na Observação abaixo, o componente Host é necessário para tornar esse identificador forte. -
Nome + NTDomain
** Essa combinação se torna um identificador forte quando a conta é uma conta de domínio, já que NTDomain não é um domínio/grupo de trabalho interno e é diferente do nome do host. Nesse caso, esse é um identificador forte mesmo sem o componente Host. -
Nome + NTDomain + Host
** É preciso do componente Host para criar um identificador forte quando a conta é uma conta local, o que significa que o NTDomain é um grupo de trabalho/domínio interno. - Nome + DnsDomain
- PUID
- ObjectGuid
Identificadores fracos de uma entidade de conta
- Nome
Observação
Se a entidade Conta for definida usando o identificador de nome e o valor nome de uma entidade específica for um dos seguintes nomes de conta genéricos, geralmente internos, essa entidade será removida de seu alerta.
- ADMIN
- ADMINISTRADOR
- SISTEMA
- RAIZ
- ANÔNIMO
- USUÁRIO AUTENTICADO
- REDE
- NULO
- SISTEMA LOCAL
- SISTEMA LOCAL
- SERVIÇO DE REDE
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Anfitrião
Nome da entidade: Host
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'Anfitrião' |
IpInterfaces | Entidade de lista<(Ip)> | Lista de todas as interfaces IP no computador host. |
DnsDomain | fio | O domínio DNS ao qual este host pertence. Deve conter o sufixo DNS completo para o domínio, se conhecido. |
NTDomain | fio | O domínio NT ao qual este host pertence. |
HostName | fio | O nome do host sem o sufixo de domínio. |
NetBiosName | fio | O nome do host (anterior ao Windows 2000). |
IoTDevice | Entidade (dispositivo IoT) | A entidade do dispositivo IoT (se este host representar um dispositivo IoT). |
AzureID | fio | A ID do recurso da VM do Azure, se conhecida. |
OMSAgentID | fio | A ID do agente do OMS, se o host tiver o agente do OMS instalado. |
OSFamily | Enumeração? | Um dos seguintes valores: |
OSVersion | fio | Uma representação de texto livre do sistema operacional. Esse campo destina-se a manter versões específicas, que são mais refinadas do que o OSFamily ou valores futuros não suportados pela enumeração OSFamily. |
IsDomainJoined | Bool | Indica se este host pertence a um domínio. |
Identificadores fortes de uma entidade de host
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificadores fracos de uma entidade de host
- nome do host
- NetBiosName
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
IP
Nome da entidade: IP
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'IP' |
Endereço | fio | O endereço IP como cadeia de caracteres (em IPv4 ou IPv6). Exemplos: 20.112.250.133 , 2603:1030:b:3::152 |
AddressScope | fio | Nome do host, da sub-rede ou da rede privada para endereços IP privados e não globais. Nulo ou vazio para endereços IP globais (padrão). Exemplos: /27 , 255.255.255.128 |
Localização | Localização Geográfica | O contexto de localização geográfica anexado à entidade IP. Para obter mais informações, consulte também Enriquecer entidades no Microsoft Sentinel com dados de localização geográfica por meio da API REST (versão prévia pública). |
Riacho | Stream | A origem dos logs de descoberta relacionados ao IP específico. Opcional. |
Identificadores fortes de uma entidade IP
-
Endereço
Quando o endereço IP é um endereço global, o identificador de endereço por si só é um identificador único e forte. -
Address + AddressScope
Para endereços IP privados/internos e não globais, o componente AddressScope é necessário para tornar esse um identificador forte.
Identificadores fracos de uma entidade IP
-
Endereço
O identificador de endereço por si só é um identificador fraco quando o endereço IP é um endereço IP privado/interno não global.
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Software malicioso
Nome da entidade: Malware
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'malware' |
Nome | fio | O nome do malware atribuído pelo fornecedor (detecção?), como Win32/Toga!rfn . |
Categoria | fio | A categoria de malware atribuída pelo fornecedor (detecção?), por exemplo. Troiano. |
Limas | Entidade de lista<(arquivo)> | Lista de entidades de arquivo vinculadas nas quais o malware foi encontrado. Pode conter as entidades de arquivo embutidas ou como referência. Consulte a entidade Arquivo para obter mais detalhes sobre a estrutura. |
Processos | Entidade de lista<(processo)> | Lista de entidades de processo vinculadas nas quais o malware foi encontrado. Isso geralmente seria usado quando o alerta fosse disparado na atividade sem arquivos. Consulte a entidade Process para obter mais detalhes sobre a estrutura. |
Identificadores fortes de uma entidade de malware
- Nome + Categoria
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Arquivo
Nome da entidade: Arquivo
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'arquivo' |
Diretório | fio | O caminho completo para o arquivo. |
Nome | fio | O nome do arquivo sem o caminho (alguns alertas podem não incluir o caminho). |
AlternateDataStreamName | fio | O nome do fluxo de arquivos no sistema de arquivos NTFS (nulo para o fluxo principal). |
Host de | Entidade (Host) | O host no qual o arquivo foi armazenado. |
HostUrl | Entidade (URL) | URL da qual o arquivo foi baixado (Marca da Web). |
WindowsSecurityZoneType | WindowsSecurityZone | Zona de Segurança do Windows à qual a URL pertence (Marca da Web). |
ReferrerUrl | Entidade (URL) | URL do referenciador da solicitação HTTP de download do arquivo (Marca da Web). |
SizeInBytes | Longas? | O tamanho do arquivo em bytes. |
FileHashes | Entidade de lista<(FileHash)> | Os hashes de arquivo associados a este arquivo. |
Identificadores fortes de uma entidade de arquivo
- Nome + Diretório
- Nome + FileHash
- Nome + Diretório + FileHash
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Processo
Nome da entidade: Processo
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'process' |
Identificação do processo | fio | A ID do processo. |
CommandLine | fio | A linha de comando usada para criar o processo. |
ElevationToken | Enumeração? | O token de elevação associado ao processo. Valores possíveis: |
CreationTimeUtc | DateTime? | A hora em que o processo começou a ser executado. |
ImageFile | Entidade (Arquivo) | Pode conter as entidades de arquivo embutidas ou como referência. Consulte a entidade Arquivo para obter mais detalhes sobre a estrutura. |
Conta | Entidade (Conta) | A conta que executa os processos. Pode conter a entidade Conta embutida ou como referência. Consulte a entidade Conta para obter mais detalhes sobre a estrutura. |
ParentProcess | Entidade (Processo) | A entidade de processo pai. Pode conter dados parciais; por exemplo, apenas o PID. |
Host de | Entidade (Host) | O host no qual o processo estava em execução. |
LogonSession | Entidade (HostLogonSession) | A sessão na qual o processo estava em execução. |
Identificadores fortes de uma entidade de processo
- Host + ProcessId + CreationTimeUtc
- Anfitrião + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificadores fracos de uma entidade de processo
- ProcessId + CreationTimeUtc + CommandLine (e nenhum host)
- ProcessId + CreationTimeUtc + ImageFile (e nenhum Host)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Aplicativo de nuvem
Nome da entidade: CloudApplication
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'cloud-application' |
AppId | Int | Preterido; em vez disso, use o campo SaasId. O identificador técnico do aplicativo. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos na nuvem. Valor opcional. Não deve conter InstanceId. |
SaasId | Int | Substitui o campo AppId preterido. O identificador técnico do aplicativo. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos na nuvem. Valor opcional. Não deve conter InstanceId. |
Nome | fio | O nome do aplicativo em nuvem relacionado. Valor opcional. |
InstanceName | fio | O nome da instância definida pelo usuário do aplicativo de nuvem. Geralmente, ele é usado para diferenciar os vários aplicativos do mesmo tipo que um cliente possui. |
InstanceId | Int | O identificador da sessão específica do aplicativo. Esse é um número de execução baseado em zero. Valor opcional. |
Risco | AppRisk? | Permite a filtragem de aplicativos pela pontuação de risco, de modo que você possa se concentrar, por exemplo, somente na análise dos aplicativos de alto risco. Valores possíveis, como Baixo, Médio, Alto ou Desconhecido. |
Riacho | Stream | A origem dos logs de descoberta relacionados ao aplicativo de nuvem específico. Opcional. |
Identificadores fortes de uma entidade de aplicativo de nuvem
- AppId (sem InstanceName)
- Nome (sem InstanceName)
- AppId + InstanceName
- Nome + InstanceName
Lista de identificadores de aplicativos na nuvem
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Resolução DNS
Nome da entidade: DNS
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'dns' |
DomainName | fio | O nome do registro do DNS associado ao alerta. |
ipAddress | Entidade de lista<(IP)> | Entidades correspondentes aos endereços IP resolvidos. |
DnsServerIp | Entidade (IP) | Uma entidade que representa o servidor DNS resolvendo a solicitação. |
HostIpAddress | Entidade (IP) | Uma entidade que representa o cliente da solicitação de DNS. |
Identificadores fortes de uma entidade DNS
- DomainName + DnsServerIp + HostIpAddress
Identificadores fracos de uma entidade DNS
- DomainName + HostIpAddress
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Recursos do Azure
Nome da entidade: AzureResource
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'recurso-azure' |
ResourceId | fio | A ID do recurso do Azure. Obrigatório. |
SubscriptionId | fio | A ID da assinatura do recurso. |
ActiveContacts | Listar<ActiveContact> | Contatos ativos associados ao recurso. |
ResourceType | fio | O tipo do recurso. |
ResourceName | fio | O nome do recurso. |
Identificadores fortes de uma entidade de recursos do Azure
- ResourceId
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Hash do arquivo
Nome da entidade: FileHash
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'filehash' |
Algoritmo | Enumeração | O tipo do algoritmo de hash. Obrigatório. Valores possíveis: |
Valor | fio | O valor de hash. Obrigatório. |
Identificadores fortes de uma entidade hash de arquivo
- Algoritmo + Valor
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Chave do Registro
Nome da entidade: RegistryKey
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'Registry-key' |
Colmeia | Enumeração? | Um dos seguintes valores: |
Chave | fio | Caminho da chave do registro. |
Identificadores fortes de uma entidade de chave do registro
- Hive + Chave
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Valor do Registro
Nome da entidade: RegistryValue
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'registry-value' |
Host de | Entidade (Host) | O host ao qual o registro pertence. |
Chave | Entidade (RegistryKey) | Caminho da chave do registro. |
Nome | fio | O nome do valor de registro. |
Valor | fio | Representação formatada da cadeia de caracteres dos dados do valor. |
ValueType | Enumeração? | Um dos seguintes valores: Os valores devem estar em conformidade com a enumeração do Microsoft.Win32.RegistryValueKind. |
Identificadores fortes de uma entidade de valor de registro
- Chave + Nome
Identificadores fracos de uma entidade de valor de registro
- Nome (sem chave)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Grupo de segurança
Nome da entidade: SecurityGroup
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'grupo-segurança' |
DistinguishedName | fio | O nome diferenciado do grupo. |
SID | fio | Um atributo de valor único que especifica o SID (identificador de segurança) do grupo. |
ObjectGuid | Guid? | Um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Active Directory Domain Services. |
Identificadores fortes de uma entidade de grupo de segurança
- DistinguishedName
- SID
- ObjectGuid
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
URL
Nome da entidade: URL
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'url' |
URL | URI | O URL completo ao qual a entidade aponta. Obrigatório. |
Identificadores fortes de uma entidade URL
- URL (** Esse identificador é forte quando a URL é uma URL absoluta.)
Identificadores fracos de uma entidade URL
- Url (** Esse identificador é fraco quando a URL é uma URL relativa.)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Dispositivo IoT
Nome da entidade: IoTDevice
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'iotdevice' |
IoTHub | Entidade (AzureResource) | A entidade AzureResource que representa o Hub IoT ao qual o dispositivo pertence. |
DeviceId | fio | A ID do dispositivo no contexto do Hub IoT. Obrigatório. |
DeviceName | fio | O nome amigável do dispositivo. |
Proprietários | Lista<Cadeia de caracteres> | Os proprietários do dispositivo. |
IoTSecurityAgentId | Guid? | A ID do agente do Defender para IoT em execução no dispositivo. |
DeviceType | fio | O tipo do dispositivo ('sensor de temperatura', 'freezer', 'turbinas de vento' etc.). |
DeviceTypeId | fio | Uma ID exclusiva para identificar cada tipo de dispositivo de acordo com o esquema de tipo de dispositivo, pois o tipo de dispositivo em si é um nome de exibição e não confiável em comparações. Valores possíveis: Não classificado = 0 Diversos = 1 Dispositivo de Rede = 2 Impressora = 3 Áudio e Vídeo = 4 Mídia e vigilância = 5 Comunicação = 7 Dispositivo Inteligente = 9 Estação de trabalho = 10 Servidor = 11 Mobile = 12 Smart Facility = 13 Industrial = 14 Equipamento operacional = 15 |
Fonte | fio | A origem (Microsoft/fornecedor) da entidade do dispositivo. |
SourceRef | Entidade (URL) | Uma referência de URL para o item de origem no qual o dispositivo é gerenciado. |
Fabricante | fio | O fabricante do dispositivo. |
Modelo | fio | O modelo do dispositivo. |
OperatingSystem | fio | O sistema operacional que o dispositivo está executando. |
ipAddress | Entidade (IP) | O endereço IP atual do dispositivo. |
MacAddress | fio | O endereço MAC do dispositivo. |
Nics | Entidade (Nic) | As NICs atuais no dispositivo. |
Protocolos | Lista<Cadeia de caracteres> | Uma lista de protocolos compatíveis com o dispositivo. |
SerialNumber | fio | O número de série do dispositivo. |
Local | fio | O local do site do dispositivo. |
Zona | fio | O local da zona do dispositivo dentro de um site. |
Sensor | fio | O sensor que monitora o dispositivo. |
Importância | Enumeração? | Um dos seguintes valores: |
PurdueLayer | fio | A camada Purdue do dispositivo. |
IsProgramming | Bool? | Indica se o dispositivo foi classificado como dispositivo de programação. |
IsAuthorized | Bool? | Indica se o dispositivo foi classificado como um dispositivo autorizado. |
IsScanner | Bool? | Indica se o dispositivo foi classificado como um dispositivo de scanner. |
DevicePageLink | Entidade (URL) | Uma URL para a página do dispositivo no portal do Defender para IoT. |
SubtipoDispositivo | fio | O nome do subtipo do dispositivo. |
Identificadores fortes de uma entidade de dispositivo IoT
- IoTHub + DeviceId
Identificadores fracos de uma entidade de dispositivo IoT
- DeviceID (sem IoTHub)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Caixa de correio
Nome da entidade: Caixa de correio
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'caixa de correio' |
MailboxPrimaryAddress | fio | O endereço principal da caixa de correio. |
NomeExibicao | fio | O nome de exibição da caixa de correio. |
UPN | fio | O UPN da caixa de correio. |
AadId | fio | O identificador do Azure AD da caixa de correio do usuário. |
RiskLevel | RiskLevel? | O nível de risco da caixa de correio. Valores possíveis: |
ExternalDirectoryObjectId | Guid? | O identificador AzureAD da caixa de correio. Semelhante ao AadUserId da entidade Conta, mas esta propriedade é específica para o objeto mailbox no Office. |
Identificadores fortes de uma entidade de caixa de correio
- MailboxPrimaryAddress
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Cluster de e-mail
Nome da entidade: MailCluster
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'cluster-email' |
NetworkMessageIds | lLista<Cadeia de caracteres> | As IDs de mensagens de email que fazem parte do cluster de email. |
CountByDeliveryStatus | Cadeia de caracteres IDictionary<, Int> | Contagem de mensagens de email por representação de cadeia de caracteres do DeliveryStatus. |
CountByThreatType | Cadeia de caracteres IDictionary<, Int> | Contagem de mensagens de email por representação de cadeia de caracteres do Threattype. |
CountByProtectionStatus | Cadeia de caracteres IDictionary<, long> | Contagem de mensagens de email por representação de cadeia de caracteres do status Proteção. |
CountByDeliveryLocation | Cadeia de caracteres IDictionary<, long> | Contagem de mensagens de email por representação de cadeia de caracteres do Local de entrega. |
Ameaças | lLista<Cadeia de caracteres> | As ameaças de mensagens de email que fazem parte do cluster de email. |
Consulta | fio | A consulta que foi usada para identificar as mensagens do cluster de email. |
QueryTime | DateTime? | Tempo de consulta. |
MailCount | Int? | O número de mensagens de email que fazem parte do cluster de email. |
IsVolumeAnomaly | Bool? | Indica se o cluster de email é um cluster de email de anomalias de volume. |
Fonte | fio | A origem do cluster de emails (o padrão é O365 ATP ). |
Identificadores fortes de uma entidade de cluster de email
- Consulta + Origem
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Mensagem de e-mail
Nome da entidade: MailMessage
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'mensagem-email' |
Limas | Entidade IList<(Arquivo)> | As entidades de arquivo dos anexos desta mensagem de email. |
Destinatário | fio | O destinatário desta mensagem de email. No caso de vários destinatários, a mensagem de email é copiada e cada cópia tem um destinatário. |
URLs | lLista<Cadeia de caracteres> | Os URLs contidos nesta mensagem de email. |
Ameaças | lLista<Cadeia de caracteres> | As ameaças contidas nesta mensagem de email. |
Remetente | fio | O endereço de email do remetente. |
SenderIP | fio | O endereço IP do remetente. |
ReceivedDate | Datetime | A data de recebimento desta mensagem. |
NetworkMessageId | Guid? | A ID da mensagem de rede deste email. |
InternetMessageId | fio | A ID da mensagem da internet deste email. |
Assunto | fio | O assunto da mensagem deste email. |
AntispamDirection | Enumeração? | A direção desta mensagem de email. Valores possíveis: |
DeliveryAction | Enumeração? | A ação de entrega desta mensagem de email. Valores possíveis: |
DeliveryLocation | Enumeração? | O local de entrega desta mensagem de email. Valores possíveis: |
ID da campanha | fio | O identificador da campanha na qual essa mensagem de email está presente. |
SuspiciousRecipients | lLista<Cadeia de caracteres> | A lista de destinatários que foram detectados como suspeitos. |
ForwardedRecipients | lLista<Cadeia de caracteres> | A lista de todos os destinatários no email encaminhado. |
ForwardingType | lLista<Cadeia de caracteres> | O tipo de encaminhamento do email, como SMTP, ETR etc. |
Identificadores fortes de uma entidade de mensagem de email
- NetworkMessageId + Recipient
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
E-mail de envio
Nome da entidade: SubmissionMail
Campo | Tipo | Descrição |
---|---|---|
Tipo | fio | 'Envio de Correio' |
SubmissionId | Guid? | A ID de envio. |
SubmissionDate | DateTime? | Data e hora relatadas para este envio. |
Emissor | fio | O endereço de email de quem enviou. |
NetworkMessageId | Guid? | A ID da mensagem de rede do email ao qual o envio pertence. |
Timestamp | DateTime? | O carimbo de data/hora quando a mensagem é recebida (email). |
Destinatário | fio | O destinatário do email. |
Remetente | fio | O remetente do email. |
SenderIp | fio | O IP do remetente. |
Assunto | fio | O assunto do email de envio. |
ReportType | fio | O tipo de envio para a instância especificada. Os valores possíveis são Junk, Phish, Malware ou NotJunk. |
Identificadores fortes de uma entidade SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Recipient
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Entidades do Sentinel
Campo | Tipo | Descrição |
---|---|---|
Entidades | fio | Uma lista das entidades identificadas no alerta. Essa lista é a coluna entidades do esquema SecurityAlert (consulte a documentação). |
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade
Identificadores de aplicativo de nuvem
A lista a seguir define identificadores para aplicativos de nuvem conhecidos. O valor da ID do aplicativo é usado como um identificador de entidade de aplicativo de nuvem .
ID do Aplicativo | Nome |
---|---|
10026 | DocuSign |
10395 | Anaplano |
10489 | Caixa |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | Cornerstone OnDemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Serviços Online da Microsoft |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concordar |
14509 | ServiceNow |
15570 | Quadro |
15600 | Microsoft OneDrive for Business |
15782 | Citrix ShareFile |
17152 | Amazona |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender para Aplicativos de Nuvem |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Ciclo de vida do Autodesk Fusion |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype para Empresas |
25988 | Google Docs |
26055 | Centro de administração do Microsoft 365 |
26060 | Engrenagens de OPSWAT |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google Drive |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Local de trabalho pelo Facebook |
28373 | Emulador de proxy CAS |
28375 | Equipes da Microsoft |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
Próximas etapas
Neste documento, você aprendeu sobre a estrutura, os identificadores e o esquema de entidades no Microsoft Sentinel.
Saiba mais sobre entidades e mapeamento de entidade.