Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este documento contém dois conjuntos de informações sobre entidades e tipos de entidades no Microsoft Sentinel no portal do Azure e Microsoft Sentinel no portal do Defender.
- A tabela Tipos de entidades e identificadores mostra os diferentes tipos de entidades que podem ser identificados em alertas e incidentes, permitindo-lhe controlá-las e investigá-las. A tabela também mostra, para cada tipo de entidade, os diferentes identificadores que podem ser utilizados para identificar uma entidade.
- A secção Esquema de entidade mostra a estrutura de dados e o esquema para entidades em geral e para cada tipo de entidade em particular.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Tipos e identificadores de entidades
A tabela seguinte mostra os tipos de entidade que podem ser reconhecidos por Microsoft Sentinel e os atributos que podem ser utilizados como identificadores para cada tipo de entidade.
Microsoft Sentinel reconhece entidades em alertas e incidentes criados pelo mapeamento de entidades em regras de análise. Também reconhece entidades já identificadas em alertas ingeridos de outras origens.
Atualmente, pode utilizar até três identificadores para uma determinada entidade ao criar um mapeamento de entidades no Microsoft Sentinel. Só os identificadores fortes são suficientes para identificar exclusivamente uma entidade, enquanto os identificadores fracos só podem fazê-lo em combinação com outros identificadores. Saiba mais sobre identificadores fortes e fracos. A maioria, mas nem todos os identificadores nesta tabela, podem ser utilizados ao criar mapeamentos de entidades no Microsoft Sentinel (ver notas de rodapé).
| Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
|---|---|---|---|
| Conta | Nome FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Anfitrião** Name+Host+NTDomain ** Nome+NTDomain ** Nome+DnsDomain PUID ObjectGuid |
Nome |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
| IP | Endereço AddressScope |
Endereço global: Endereço** Endereço privado: Endereço+AddressScope** |
Endereço privado: Endereço** |
| URL | Url | URL (se o URL absoluto)** | URL (se url relativo)** |
|
Recurso do Azure (AzureResource) |
ResourceId | ResourceId | |
|
Aplicação na cloud (CloudApplication) |
AppId Nome InstanceName |
AppId Nome AppId+InstanceName Name+InstanceName |
|
|
Resolução de DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Arquivo | Diretório Nome |
Diretório+Nome | |
|
Hash de ficheiro (FileHash) |
Algoritmo Valor |
Algoritmo+Valor | |
| Malware | Nome Categoria |
Nome+Categoria | |
| Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
| Processo | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Anfitrião+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Linha de Comandos (sem Anfitrião) ProcessId+CreationTimeUtc+ ImageFile (sem Anfitrião) |
|
Chave do Registro (RegistryKey) |
Hive Chave |
Hive+Tecla | |
|
Valor do Registro (RegistryValue) |
Nome Valor ValueType |
Tecla+Nome | Nome (sem Chave) |
|
Grupo de segurança (Grupo de Segurança) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Caixa de correio | MailboxPrimaryAddress DisplayName UPN ExternalDirectoryObjectId Nível de Risco |
MailboxPrimaryAddress | |
| Tipo de entidade | Identificadores | Identificadores fortes | Identificadores fracos |
|
Cluster de correio (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Ameaças Consultar QueryTime MailCount IsVolumeAnomaly Origem ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Consulta+Origem | |
|
Mensagem de correio (MailMessage) |
Destinatário URLs Ameaças Remetente P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIp P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Assunto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Idioma * ThreatDetectionMethods * |
NetworkMessageId+Destinatário | |
|
Correio de submissão (SubmissionMail) |
NetworkMessageId Carimbo de data/hora Destinatário Remetente SenderIp Assunto ReportType SubmissionId SubmissãoDate Submetidor |
SubmissionId+NetworkMessageId+ Destinatário+Submetidor |
|
| Sentinel entidades | Entidades | Entidades |
Notas de rodapé de tabela:
- * Estes identificadores aparecem na lista de identificadores que podem ser utilizados no mapeamento de entidades, mas que falam estritamente que não fazem parte do esquema da entidade.
- ** Estes identificadores são considerados fortes apenas em determinadas condições. Siga as ligações dos asteriscos para ver as condições que se aplicam, na listagem da entidade relevante na secção de esquemas de entidade abaixo.
- Os nomes de identificadores itálicos (sem um asterisco) representam entidades internas, o que significa que um tipo de entidade pode ter outros tipos de entidade como atributos (veja a secção esquemas de entidade abaixo). Siga a ligação do identificador para ver o próprio esquema da entidade interna.
- Outras entidades podem estar presentes no esquema, que é um esquema geral que suporta muitas coisas além de Microsoft Sentinel. Apenas as entidades disponíveis no Microsoft Sentinel estão listadas neste artigo.
Esquemas de tipo de entidade
A secção seguinte contém uma análise mais aprofundada dos esquemas completos de cada tipo de entidade. Irá reparar que muitos destes esquemas incluem ligações para outros tipos de entidade. Por exemplo, o Esquema de conta inclui uma ligação para o tipo de entidade Anfitrião, uma vez que um atributo de uma conta de utilizador é o anfitrião no qual está definido. Estas entidades como atributos são conhecidas como "entidades internas" e não podem ser utilizadas como identificadores para o mapeamento de entidades, mas são muito úteis para dar uma imagem completa das entidades nas páginas de entidades e no gráfico de investigação.
Observação
Um ponto de interrogação a seguir ao valor na coluna Tipo indica que o campo é nulo.
Lista de esquemas de tipo de entidade
- Account
- Host
- IP
- Malware
- Arquivo
- Processo
- Aplicação na cloud
- Resolução de DNS
- Recurso do Azure
- Hash de ficheiro
- Chave do Registro
- Valor do Registro
- Grupo de segurança
- URL
- Dispositivo IoT
- Caixa de Correio
- Cluster de correio
- Mensagem de correio
- Correio de submissão
- Sentinel entidades
Conta
Nome da entidade: Conta
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "conta" |
| Nome | Cadeia de caracteres | O nome da conta. Este campo deve conter apenas o nome sem qualquer domínio adicionado ao mesmo. |
| FullName | -- | Não faz parte do esquema, incluído para retrocompatibilidade com a versão antiga do mapeamento de entidades. |
| NTDomain | Cadeia de caracteres | O nome de domínio NETBIOS tal como aparece no formato de alerta : domínio\nome de utilizador. Exemplos: Finanças, NT AUTHORITY |
| DnsDomain | Cadeia de caracteres | O nome DNS de domínio completamente qualificado. Exemplos: finance.contoso.com |
| UPNSuffix | Cadeia de caracteres | O sufixo do nome principal de utilizador da conta. Em muitos casos, o Sufixo UPN também é o nome de domínio. Exemplos: contoso.com |
| Host | Entidade (Anfitrião) | O anfitrião que contém a conta, se for uma conta local. |
| Sid | Cadeia de caracteres | O identificador de segurança da conta. |
| AadTenantId | Guid? | O Microsoft Entra ID do inquilino, se conhecido. |
| AadUserId | Guid? | O Microsoft Entra ID do objeto da conta, se conhecido. |
| PUID | Guid? | O Microsoft Entra ID de Utilizador do Passport, se conhecido. |
| IsDomainJoined | Bool? | Indica se a conta é uma conta de domínio. |
| DisplayName | -- | Não faz parte do esquema, incluído para retrocompatibilidade com a versão antiga do mapeamento de entidades. |
| ObjectGuid | Guid? | O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Active Directory. |
| CloudAppAccountId | Cadeia de caracteres | O AccountID em alertas do fornecedor do CloudApp. Refere-se a IDs de conta em aplicações de terceiros que não são suportadas noutros produtos Microsoft. |
| IsAnonymized | Bool? | Indica se o nome de utilizador é anónimo. Opcional. Valor padrão: false. |
| Stream | Stream | A origem dos registos de deteção relacionados com a conta específica. Opcional. |
Identificadores fortes de uma entidade de conta
- Nome + UPNSuffix
- AadUserId
-
Sid
** Este identificador é forte desde que a conta não seja uma das contas incorporadas listadas na Nota abaixo. -
Sid + Anfitrião
** Quando a conta é uma das contas incorporadas listadas na Nota abaixo, o componente Anfitrião é necessário para tornar este identificador forte. -
Nome + NTDomain
** Esta combinação é um identificador forte quando a conta é uma conta de domínio, uma vez que o NTDomain não é um domínio/grupo de trabalho incorporado e é diferente do nome do anfitrião. Neste caso, este é um identificador forte mesmo sem o componente Anfitrião. -
Nome + NTDomain + Anfitrião
** O componente Anfitrião é necessário para criar um identificador forte quando a conta é uma conta local, o que significa que o NTDomain é um domínio/grupo de trabalho incorporado. - Nome + DnsDomain
- PUID
- ObjectGuid
Identificadores fracos de uma entidade de conta
- Nome
Observação
Se a entidade Conta for definida com o identificador Nome e o valor Nome de uma determinada entidade for um dos seguintes nomes de conta genéricos, normalmente incorporados, essa entidade será removida do respetivo alerta.
- ADMINISTRADOR
- ADMINISTRADOR
- SYSTEM
- RAIZ
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Host
Nome da entidade: Anfitrião
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | 'anfitrião' |
| IpInterfaces | Entidade de Lista<(IP)> | Lista de todas as interfaces IP no computador anfitrião. |
| DnsDomain | Cadeia de caracteres | O domínio DNS ao qual este anfitrião pertence. Deve conter o sufixo DNS completo para o domínio, se conhecido. |
| NTDomain | Cadeia de caracteres | O domínio NT ao qual este anfitrião pertence. |
| HostName | Cadeia de caracteres | O nome do anfitrião sem o sufixo de domínio. |
| NetBiosName | Cadeia de caracteres | O nome do anfitrião (anterior ao Windows 2000). |
| IoTDevice | Entidade (Dispositivo IoT) | A entidade Dispositivo IoT (se este anfitrião representar um Dispositivo IoT). |
| AzureID | Cadeia de caracteres | O Azure ID de recurso da VM, se conhecido. |
| OMSAgentID | Cadeia de caracteres | O ID do agente do OMS, se o anfitrião tiver o agente OMS instalado. |
| OSFamily | Enumeração? | Um dos seguintes valores: |
| OSVersion | Cadeia de caracteres | Uma representação de texto livre do sistema operativo. Este campo destina-se a conter versões específicas que são mais detalhadas do que OSFamily ou valores futuros não suportados pela enumeração OSFamily. |
| IsDomainJoined | Bool | Indica se este anfitrião pertence a um domínio. |
Identificadores fortes de uma entidade de anfitrião
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificadores fracos de uma entidade anfitriã
- HostName
- NetBiosName
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
IP
Nome da entidade: IP
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | 'ip' |
| Endereço | Cadeia de caracteres | O endereço IP como cadeia (em IPv4 ou IPv6). Exemplos: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Cadeia de caracteres | Nome do anfitrião, sub-rede ou rede privada para endereços IP privados e não globais. Nulo ou vazio para endereços IP globais (predefinição). Exemplos: /27, 255.255.255.128 |
| Location | GeoLocation | O contexto de localização geográfica anexado à entidade IP. Para obter mais informações, veja Também Melhorar entidades no Microsoft Sentinel com dados de geolocalização através da API REST (Pré-visualização pública). |
| Stream | Stream | A origem dos registos de deteção relacionados com o IP específico. Opcional. |
Identificadores fortes de uma entidade IP
-
Endereço
Quando o endereço IP é um endereço global, o identificador de Endereço é, por si só, um identificador exclusivo e forte. -
Endereço + AddressScope
Para endereços IP privados/internos e não globais, o componente AddressScope é necessário para tornar este identificador forte.
Identificadores fracos de uma entidade IP
-
Endereço
O identificador de Endereço por si só é um identificador fraco quando o endereço IP é um endereço IP privado/interno e não global.
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Malware
Nome da entidade: Software Maligno
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "software maligno" |
| Nome | Cadeia de caracteres | O nome de software maligno atribuído pelo fornecedor (deteção?), como Win32/Toga!rfn. |
| Categoria | Cadeia de caracteres | A categoria de software maligno atribuída pelo fornecedor (deteção?), por exemplo. Trojan. |
| Files | Entidade de Lista<(Ficheiro)> | Lista de entidades de ficheiros ligados nas quais o software maligno foi encontrado. Pode conter as entidades Ficheiro inline ou como referência. Veja a entidade Ficheiro para obter mais detalhes sobre a estrutura. |
| Processos | Entidade de Lista<(Processo)> | Lista de entidades de processos ligados nas quais o software maligno foi encontrado. Isto seria frequentemente utilizado quando o alerta era acionado numa atividade sem ficheiros. Veja a entidade Processo para obter mais detalhes sobre a estrutura. |
Identificadores fortes de uma entidade de software maligno
- Nome + Categoria
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Arquivo
Nome da entidade: Ficheiro
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "ficheiro" |
| Directory | Cadeia de caracteres | O caminho completo para o ficheiro. |
| Nome | Cadeia de caracteres | O nome do ficheiro sem o caminho (alguns alertas podem não incluir o caminho). |
| AlternateDataStreamName | Cadeia de caracteres | O nome do fluxo de ficheiros no sistema de ficheiros NTFS (nulo para o fluxo principal). |
| Host | Entidade (Anfitrião) | O anfitrião no qual o ficheiro foi armazenado. |
| HostUrl | Entidade (URL) | URL a partir do qual o ficheiro foi transferido (Marca da Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Segurança do Windows Zona à qual o URL pertence (Marca da Web). |
| ReferrerUrl | Entidade (URL) | URL do referenciador do pedido HTTP de transferência de ficheiros (Marca da Web). |
| Sizeinbytes | Longo? | O tamanho do ficheiro em bytes. |
| FileHashes | Entidade de Lista<(FileHash)> | Os hashes de ficheiro associados a este ficheiro. |
Identificadores fortes de uma entidade de ficheiro
- Nome + Diretório
- Nome + FicheiroHash
- Nome + Diretório + FicheiroHash
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Processo
Nome da entidade: Processo
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "processo" |
| ProcessId | Cadeia de caracteres | O ID do processo. |
| CommandLine | Cadeia de caracteres | A linha de comandos utilizada para criar o processo. |
| ElevationToken | Enumeração? | O token de elevação associado ao processo. Valores possíveis: |
| CreationTimeUtc | DateTime? | A hora em que o processo começou a ser executado. |
| ImageFile | Entidade (Ficheiro) | Pode conter a entidade Ficheiro inline ou como referência. Veja a entidade Ficheiro para obter mais detalhes sobre a estrutura. |
| Account | Entidade (Conta) | A conta que executa os processos. Pode conter a entidade Conta inline ou como referência. Veja a entidade Conta para obter mais detalhes sobre a estrutura. |
| ParentProcess | Entidade (Processo) | A entidade do processo principal. Pode conter dados parciais, por exemplo, apenas o PID. |
| Host | Entidade (Anfitrião) | O anfitrião no qual o processo estava em execução. |
| Início de SessãoSession | Entidade (HostLogonSession) | A sessão em que o processo estava em execução. |
Identificadores fortes de uma entidade de processo
- Anfitrião + ProcessId + CreationTimeUtc
- Anfitrião + ParentProcessId + CreationTimeUtc + CommandLine
- Anfitrião + ProcessId + CreationTimeUtc + ImageFile
- Anfitrião + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificadores fracos de uma entidade de processo
- ProcessId + CreationTimeUtc + CommandLine (e sem Anfitrião)
- ProcessId + CreationTimeUtc + ImageFile (e sem Anfitrião)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Aplicação na cloud
Nome da entidade: CloudApplication
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "cloud-application" |
| AppId | Int | Preterido; em vez disso, utilize o campo SaasId. O identificador técnico da aplicação. Os valores possíveis são os definidos na lista de identificadores de aplicações na cloud. Valor opcional. Não deve conter InstanceId. |
| SaasId | Int | Substitui o campo AppId preterido. O identificador técnico da aplicação. Os valores possíveis são os definidos na lista de identificadores de aplicações na cloud. Valor opcional. Não deve conter InstanceId. |
| Nome | Cadeia de caracteres | O nome da aplicação na cloud relacionada. Valor opcional. |
| InstanceName | Cadeia de caracteres | O nome da instância definida pelo utilizador da aplicação na cloud. É frequentemente utilizado para distinguir várias aplicações do mesmo tipo que um cliente. |
| InstanceId | Int | O identificador da sessão específica da aplicação. Este é um número de execução baseado em zero. Valor opcional. |
| Risco | AppRisk? | Permite-lhe filtrar aplicações por classificação de risco para que possa concentrar-se, por exemplo, em rever apenas aplicações altamente arriscadas. Valores possíveis, como Baixo, Médio, Alto ou Desconhecido. |
| Stream | Stream | A origem dos registos de deteção relacionados com a aplicação na cloud específica. Opcional. |
Identificadores fortes de uma entidade de aplicação na cloud
- AppId (sem InstanceName)
- Nome (sem InstanceName)
- AppId + InstanceName
- Nome + InstanceName
Lista de identificadores de aplicações na cloud
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Resolução de DNS
Nome da entidade: DNS
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | 'dns' |
| DomainName | Cadeia de caracteres | O nome do registo DNS associado ao alerta. |
| Endereço Ip | Entidade de Lista<(IP)> | Entidades correspondentes aos endereços IP resolvidos. |
| DnsServerIp | Entidade (IP) | Uma entidade que representa o servidor DNS que resolve o pedido. |
| HostIpAddress | Entidade (IP) | Uma entidade que representa o cliente de pedido DNS. |
Identificadores fortes de uma entidade DNS
- DomainName + DnsServerIp + HostIpAddress
Identificadores fracos de uma entidade DNS
- DomainName + HostIpAddress
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Recurso do Azure
Nome da entidade: AzureResource
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "azure-resource" |
| ResourceId | Cadeia de caracteres | O Azure ID de recurso do recurso. Obrigatório. |
| SubscriptionId | Cadeia de caracteres | O ID de subscrição do recurso. |
| ActiveContacts | Listar<ActiveContact> | Contactos ativos associados ao recurso. |
| ResourceType | Cadeia de caracteres | O tipo do recurso. |
| ResourceName | Cadeia de caracteres | O nome do recurso. |
Identificadores fortes de uma entidade de recursos Azure
- ResourceId
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Hash de ficheiro
Nome da entidade: FileHash
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "filehash" |
| Algoritmo | Enum | O tipo de algoritmo hash. Obrigatório. Valores possíveis: |
| Valor | Cadeia de caracteres | O valor hash. Obrigatório. |
Identificadores fortes de uma entidade hash de ficheiro
- Algoritmo + Valor
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Chave do Registro
Nome da entidade: RegistryKey
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "chave de registo" |
| Hive | Enumeração? | Um dos seguintes valores: |
| Chave | Cadeia de caracteres | O caminho da chave do registo. |
Identificadores fortes de uma entidade de chave de registo
- Hive + Tecla
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Valor do Registro
Nome da entidade: RegistryValue
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "registry-value" |
| Host | Entidade (Anfitrião) | O anfitrião ao qual o registo pertence. |
| Chave | Entidade (RegistryKey) | A entidade da chave de registo. |
| Nome | Cadeia de caracteres | O nome do valor do registo. |
| Valor | Cadeia de caracteres | Representação formatada em cadeia dos dados de valor. |
| ValueType | Enumeração? | Um dos seguintes valores: Os valores devem estar em conformidade com a enumeração Microsoft.Win32.RegistryValueKind. |
Identificadores fortes de uma entidade de valor de registo
- Tecla + Nome
Identificadores fracos de uma entidade de valor de registo
- Nome (sem Chave)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Grupo de segurança
Nome da entidade: SecurityGroup
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "grupo de segurança" |
| DistinguishedName | Cadeia de caracteres | O nome único do grupo. |
| SID | Cadeia de caracteres | Um atributo de valor único que especifica o identificador de segurança (SID) do grupo. |
| ObjectGuid | Guid? | Um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Active Directory. |
Identificadores fortes de uma entidade de grupo de segurança
- DistinguishedName
- SID
- ObjectGuid
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
URL
Nome da entidade: URL
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | String | "URL" |
| Url | Uri | Um URL completo para o que a entidade aponta. Obrigatório. |
Identificadores fortes de uma entidade de URL
- URL (** Este identificador é forte quando o URL é um URL absoluto.)
Identificadores fracos de uma entidade de URL
- URL (** Este identificador é fraco quando o URL é um URL relativo.)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Dispositivo IoT
Nome da entidade: IoTDevice
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "iotdevice" |
| IoTHub | Entidade (AzureResource) | A entidade AzureResource que representa o Hub IoT a que pertence o dispositivo. |
| DeviceId | Cadeia de caracteres | O ID do dispositivo no contexto da Hub IoT. Obrigatório. |
| DeviceName | Cadeia de caracteres | O nome amigável do dispositivo. |
| Owners | Cadeia de Lista<> | Os proprietários do dispositivo. |
| IoTSecurityAgentId | Guid? | O ID do agente do Defender para IoT em execução no dispositivo. |
| DeviceType | Cadeia de caracteres | O tipo de dispositivo ("sensor de temperatura", "congelador", "turbina eólica", etc.). |
| DeviceTypeId | Cadeia de caracteres | Um ID exclusivo para identificar cada tipo de dispositivo de acordo com o esquema do tipo de dispositivo, uma vez que o próprio tipo de dispositivo é um nome a apresentar e não é fiável em comparações. Valores possíveis: Não classificado = 0 Diversos = 1 Dispositivo de Rede = 2 Impressora = 3 Áudio e Vídeo = 4 Multimédia e Vigilância = 5 Comunicação = 7 Smart Appliance = 9 Estação de trabalho = 10 Servidor = 11 Móvel = 12 Instalação Inteligente = 13 Industrial = 14 Equipamento Operacional = 15 |
| Fonte | Cadeia de caracteres | A origem (Microsoft/Fornecedor) da entidade do dispositivo. |
| SourceRef | Entidade (URL) | Uma referência de URL para o item de origem onde o dispositivo é gerido. |
| Fabricante | Cadeia de caracteres | O fabricante do dispositivo. |
| Model | Cadeia de caracteres | O modelo do dispositivo. |
| OperatingSystem | Cadeia de caracteres | O sistema operativo que o dispositivo está a executar. |
| Endereço Ip | Entidade (IP) | O endereço IP atual do dispositivo. |
| MacAddress | Cadeia de caracteres | O endereço MAC do dispositivo. |
| Nics | Entidade (Nic) | As NICs atuais no dispositivo. |
| Protocolos | Cadeia de Lista<> | Uma lista de protocolos suportados pelo dispositivo. |
| SerialNumber | Cadeia de caracteres | O número de série do dispositivo. |
| Site | Cadeia de caracteres | A localização do site do dispositivo. |
| Zona | Cadeia de caracteres | A localização da zona do dispositivo num site. |
| Sensor | Cadeia de caracteres | O sensor está a monitorizar o dispositivo. |
| Importance | Enumeração? | Um dos seguintes valores: |
| PurdueLayer | Cadeia de caracteres | A Camada Purdue do dispositivo. |
| IsProgramming | Bool? | Indica se o dispositivo foi classificado como dispositivo de programação. |
| IsAuthorized | Bool? | Indica se o dispositivo foi classificado como dispositivo autorizado. |
| IsScanner | Bool? | Indica se o dispositivo foi classificado como um dispositivo de scanner. |
| DevicePageLink | Entidade (URL) | Um URL para a página do dispositivo no portal do Defender para IoT. |
| DeviceSubType | Cadeia de caracteres | O nome do subtipo do dispositivo. |
Identificadores fortes de uma entidade de dispositivo IoT
- IoTHub + DeviceId
Identificadores fracos de uma entidade de dispositivo IoT
- DeviceId (sem ioTHub)
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Mailbox
Nome da entidade: Caixa de Correio
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | 'caixa de correio' |
| MailboxPrimaryAddress | Cadeia de caracteres | O endereço principal da caixa de correio. |
| DisplayName | Cadeia de caracteres | O nome a apresentar da caixa de correio. |
| UPN | Cadeia de caracteres | O UPN da caixa de correio. |
| AadId | Cadeia de caracteres | O identificador Azure AD da caixa de correio do utilizador. |
| Nível de Risco | RiskLevel (Número Inteiro) | O nível de risco desta caixa de correio. Valores possíveis: |
| ExternalDirectoryObjectId | Guid? | O identificador do AzureAD da caixa de correio. Semelhante a AadUserId na entidade Conta, mas esta propriedade é específica do objeto de caixa de correio do lado do Office. |
Identificadores fortes de uma entidade de caixa de correio
- MailboxPrimaryAddress
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Cluster de correio
Nome da entidade: MailCluster
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "mail-cluster" |
| NetworkMessageIds | Cadeia de IList<> | Os IDs das mensagens de correio que fazem parte do cluster de correio. |
| CountByDeliveryStatus | Cadeia IDictionary<, Int> | Contagem de mensagens de correio por representação da cadeia DeliveryStatus. |
| CountByThreatType | Cadeia IDictionary<, Int> | Contagem de mensagens de correio por representação da cadeia ThreatType. |
| CountByProtectionStatus | Cadeia IDictionary,long<> | Contagem de mensagens de correio por Proteção status representação de cadeia. |
| CountByDeliveryLocation | Cadeia IDictionary,long<> | Contagem de mensagens de correio por representação da cadeia de localização de entrega. |
| Ameaças | Cadeia de IList<> | As ameaças de mensagens de email que fazem parte do cluster de emails. |
| Query | Cadeia de caracteres | A consulta que foi utilizada para identificar as mensagens do cluster de correio. |
| QueryTime | DateTime? | O tempo de consulta. |
| MailCount | Int? | O número de mensagens de correio que fazem parte do cluster de correio. |
| IsVolumeAnomaly | Bool? | Indica se o cluster de correio é um cluster de correio de anomalias de volume. |
| Fonte | Cadeia de caracteres | A origem do cluster de correio (a predefinição é O365 ATP). |
Identificadores fortes de uma entidade de cluster de correio
- Consulta + Origem
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Mensagem de correio
Nome da entidade: MailMessage
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | "mensagem de correio" |
| Files | Entidade IList<(Ficheiro)> | As entidades Ficheiro dos anexos desta mensagem de correio. |
| Recipiente | Cadeia de caracteres | O destinatário desta mensagem de correio. No caso de vários destinatários, a mensagem de correio é copiada e cada cópia tem um destinatário. |
| URLs | Cadeia de IList<> | Os URLs contidos nesta mensagem de correio. |
| Ameaças | Cadeia de IList<> | As ameaças contidas nesta mensagem de correio. |
| Sender | Cadeia de caracteres | O endereço de e-mail do remetente. |
| SenderIp | Cadeia de caracteres | O endereço IP do remetente. |
| ReceivedDate | DateTime | A data de receção desta mensagem. |
| NetworkMessageId | Guid? | O ID da mensagem de rede desta mensagem de correio. |
| InternetMessageId | Cadeia de caracteres | O ID da mensagem da Internet desta mensagem de correio. |
| Assunto | Cadeia de caracteres | O assunto desta mensagem de correio. |
| AntispamDirection | Enumeração? | A direcionalidade desta mensagem de correio. Valores possíveis: |
| DeliveryAction | Enumeração? | A ação de entrega desta mensagem de correio. Valores possíveis: |
| DeliveryLocation | Enumeração? | A localização de entrega desta mensagem de correio. Valores possíveis: |
| CampaignId | Cadeia de caracteres | O identificador da campanha na qual esta mensagem de correio está presente. |
| SuspeitosRecipientes | Cadeia de IList<> | A lista de destinatários que foram detetados como suspeitos. |
| ReencaminhadosRecipientes | Cadeia de IList<> | A lista de todos os destinatários no e-mail reencaminhado. |
| ForwardingType | Cadeia de IList<> | O tipo de reencaminhamento do correio, como SMTP, ETR, etc. |
Identificadores fortes de uma entidade de mensagem de correio
- NetworkMessageId + Destinatário
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Correio de submissão
Nome da entidade: SubmissionMail
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Cadeia de caracteres | 'SubmissionMail' |
| SubmissionId | Guid? | O ID de Submissão. |
| SubmissãoDate | DateTime? | Data e hora comunicadas para esta submissão. |
| Submetidor | Cadeia de caracteres | O endereço de e-mail do submetidor. |
| NetworkMessageId | Guid? | O ID da mensagem de rede do e-mail ao qual a submissão pertence. |
| Carimbo de data/hora | DateTime? | O Carimbo de data/hora quando a mensagem é recebida (Correio). |
| Recipiente | Cadeia de caracteres | O destinatário do e-mail. |
| Sender | Cadeia de caracteres | O remetente do correio. |
| SenderIp | Cadeia de caracteres | O IP do remetente. |
| Assunto | Cadeia de caracteres | O assunto do correio de submissão. |
| ReportType | Cadeia de caracteres | O tipo de submissão para a instância especificada. Os valores possíveis são Lixo, Phish, Malware ou NotJunk. |
Identificadores fortes de uma entidade SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Destinatário
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Sentinel entidades
| Campo | Tipo | Descrição |
|---|---|---|
| Entities | Cadeia de caracteres | Uma lista das entidades identificadas no alerta. Esta lista é a coluna de entidades do esquema SecurityAlert (veja a documentação). |
Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidades
Identificadores de aplicações na cloud
A lista seguinte define identificadores para aplicações na cloud conhecidas. O valor do ID da Aplicação é utilizado como um identificador de entidade de aplicação na cloud .
| ID do aplicativo | Nome |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplano |
| 10489 | Caixa |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensificar |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Simultânea |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Plataforma Google Cloud |
| 22930 | Gmail |
| 23004 | Ciclo de Vida de Fusão de Autodesk |
| 23043 | Margem de atraso |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Documentos do Google |
| 26055 | Centro de administração do Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Área de trabalho por Facebook |
| 28373 | Emulador de Proxy CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Próximas etapas
Neste documento, ficou a conhecer a estrutura de entidades, os identificadores e o esquema no Microsoft Sentinel.
Saiba mais sobre as entidades e o mapeamento de entidades.