Partilhar via


Referência de tipos de entidade do Microsoft Sentinel

Este documento contém dois conjuntos de informações sobre entidades e tipos de entidades no Microsoft Sentinel no portal do Azure e no Microsoft Sentinel no portal do Defender.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente.

Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel.

Tipos de entidades e identificadores

A tabela a seguir mostra os tipos de entidade que podem ser reconhecidos pelo Microsoft Sentinel e os atributos que podem ser usados como identificadores para cada tipo de entidade.

O Microsoft Sentinel reconhece entidades em alertas e incidentes criados pelo mapeamento de entidades em regras de análise. Também reconhece entidades já identificadas em alertas ingeridos de outras fontes.

Atualmente, você pode usar até três identificadores para uma determinada entidade ao criar um mapeamento de entidade no Microsoft Sentinel. Identificadores fortes por si só são suficientes para identificar exclusivamente uma entidade, enquanto identificadores fracos só podem fazê-lo em combinação com outros identificadores. Saiba mais sobre identificadores fortes e fracos. A maioria, mas não todos, os identificadores nesta tabela podem ser usados ao criar mapeamentos de entidade no Microsoft Sentinel (consulte notas de rodapé).

Tipo de entidade Identificadores Identificadores fortes Identificadores fracos
Conta Nome
Nome Completo *
NTDomain
DnsDomínio
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Nome+UPNSuffix
AADUserId
Sid **
Sid+Host**
Nome+Host+NTDomain **
Nome+NTDomain **
Nome+DnsDomain
PUID
ObjectGuid
Nome
Anfitrião DnsDomínio
NTDomain
Nome do Anfitrião
Nome Completo *
NetBiosName
AzureID
OMSAgentID
OSFamily
Versão do Sistema Operacional
IsDomainJoined
Nome do Host+NTDomain
Nome do Host+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
Nome do Anfitrião
NetBiosName
Tipo de entidade Identificadores Identificadores fortes Identificadores fracos
PI Endereço
EndereçoEscopo
Endereço global: Endereço**
Endereço privado: Endereço+EndereçoScope**

Endereço privado: Endereço**
URL Endereço URL Url (se URL absoluto)** Url (se URL relativa)**
Recurso do Azure
(AzureResource)
ResourceId ResourceId
Aplicação na nuvem
(CloudApplication)
AppId
Nome
Nome da Instância
AppId
Nome
AppId+InstanceName
Nome+Nome da Instância
Resolução DNS
(DNS)
Nome de Domínio DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
Ficheiro Diretório
Nome
Diretório+Nome
Hash do arquivo
(FileHash)
Algoritmo
Valor
Algoritmo+Valor
Malware Nome
Categoria
Nome+Categoria
Tipo de entidade Identificadores Identificadores fortes Identificadores fracos
Processo ProcessId
Linha de comando
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Anfitrião+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
    FileHash
ProcessId+CreationTimeUtc+
   CommandLine (sem host)
ProcessId+CreationTimeUtc+
    ImageFile (sem host)
Chave de registo
(RegistryKey)
Hive
Chave
Colmeia+Chave
Valor do Registro
(RegistryValue)
Nome
Valor
Tipo de Valor
Chave+Nome Nome (sem chave)
Grupo de segurança
(Grupo de Segurança)
Nome Distinto
SID
ObjectGuid
Nome Distinto
SID
ObjectGuid
Caixa de correio MailboxPrimaryAddress
Nome de Exibição
Upn
ExternalDirectoryObjectId
Nível de Risco
MailboxPrimaryAddress
Tipo de entidade Identificadores Identificadores fortes Identificadores fracos
Cluster de correio
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Ameaças
Consulta
QueryTime
MailCount
IsVolumeAnomalia
Origem
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
Grupo de Clusters *
Consulta+Origem
Mensagem de correio
(Mensagem de e-mail)
Destinatário
URLs
Ameaças
Remetente
P1Remetente *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
Data de Recebimento
IdentificadorDeMensagemDeRede
InternetMessageId (Identificador de Mensagem da Internet)
Assunto
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
EntregaLocalização
Idioma*
ThreatDetectionMethods *
NetworkMessageId+Recipient
E-mail de submissão
(Envio)
IdentificadorDeMensagemDeRede
Carimbo de Data/Hora
Destinatário
Remetente
SenderIp
Assunto
Tipo de relatório
SubmissionId
Data de Submissão
Transmitente
SubmissionId+NetworkMessageId+
   Destinatário+Transmitente
Entidades sentinela Entidades Entidades

Notas de rodapé da tabela:

  • * Esses identificadores aparecem na lista de identificadores que podem ser usados no mapeamento de entidades, mas estritamente falando eles não fazem parte do esquema de entidade.
  • ** Estes identificadores são considerados fortes apenas sob certas condições. Siga os links dos asteriscos para ver as condições que se aplicam, na listagem da entidade relevante na seção de esquemas de entidade abaixo.
  • Os nomes de identificadores em itálico (sem um asterisco) representam entidades internas, o que significa que um tipo de entidade pode ter outros tipos de entidade como atributos (consulte a seção Esquemas de entidade abaixo). Siga o link do identificador para ver o esquema da própria entidade interna.
  • Outras entidades podem estar presentes no esquema, que é um esquema geral que suporta muitas coisas além do Microsoft Sentinel. Somente as entidades disponíveis no Microsoft Sentinel estão listadas neste artigo.

Esquemas de tipo de entidade

A seção a seguir contém uma visão mais aprofundada dos esquemas completos de cada tipo de entidade. Você notará que muitos desses esquemas incluem links para outros tipos de entidade. Por exemplo, o esquema Account inclui um link para o tipo de entidade Host, uma vez que um atributo de uma conta de usuário é o host no qual ela está definida. Essas entidades como atributos são conhecidas como "entidades internas" e não podem ser usadas como identificadores para mapeamento de entidades, mas são muito úteis para fornecer uma imagem completa das entidades nas páginas de entidades e no gráfico de investigação.

Nota

Um ponto de interrogação após o valor na coluna Tipo indica que o campo é anulável.

Lista de esquemas de tipo de entidade

Conta

Nome da entidade: Conta

Campo Tipo Descrição
Tipo Cordão 'conta'
Designação Cordão O nome da conta. Este campo deve conter apenas o nome, sem qualquer domínio adicionado a ele.
Nome Completo -- Não faz parte do esquema, incluído para compatibilidade com versões anteriores da versão antiga do mapeamento de entidades.
NTDomain Cordão O nome de domínio NETBIOS tal como aparece no formato de alerta — domínio\nome de utilizador.
Exemplos: Finanças, NT AUTORIDADE
DnsDomínio Cordão O nome DNS de domínio totalmente qualificado.
Exemplos: finance.contoso.com
UPNSuffix Cordão O sufixo do nome principal do usuário para a conta. Em muitos casos, o Sufixo UPN é também o nome de domínio.
Exemplos: contoso.com
Anfitrião Entidade (Host) O host que contém a conta, se for uma conta local.
Sid Cordão O identificador de segurança da conta.
AadTenantId Guid? A ID de locatário do Microsoft Entra, se conhecida.
AadUserId Guid? A ID do objeto da conta do Microsoft Entra, se conhecida.
PUID Guid? O ID de usuário do Microsoft Entra Passport, se conhecido.
IsDomainJoined Bool? Indica se a conta é uma conta de domínio.
DisplayName -- Não faz parte do esquema, incluído para compatibilidade com versões anteriores da versão antiga do mapeamento de entidades.
ObjectGuid Guid? O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory.
CloudAppAccountId Cordão O AccountID em alertas do provedor CloudApp. Refere-se a IDs de conta em aplicativos de terceiros que não são suportados em outros produtos da Microsoft.
IsAnonymized Bool? Indica se o nome de usuário é anonimizado. Opcional. Valor predefinido: false.
Transmissão Stream A origem dos logs de descoberta relacionados à conta específica. Opcional.

Identificadores fortes de uma entidade de conta

  • Nome + UPNSuffix
  • AadUserId
  • Sid
    ** Este identificador é forte desde que a conta não seja uma das contas incorporadas listadas na Nota abaixo.
  • Sid + Anfitrião
    ** Quando a conta é uma das contas internas listadas na Nota abaixo, o componente Host é necessário para tornar esse identificador forte.
  • Nome + NTDomain
    ** Esta combinação é um identificador forte quando a conta é uma conta de domínio, uma vez que NTDomain não é um domínio/grupo de trabalho interno e é diferente do nome do host. Nesse caso, esse é um identificador forte, mesmo sem o componente Host.
  • Nome + NTDomain + Host
    ** O componente Host é necessário para criar um identificador forte quando a conta é uma conta local, o que significa que o NTDomain é um domínio/grupo de trabalho interno.
  • Nome + DnsDomain
  • PUID
  • ObjectGuid

Identificadores fracos de uma entidade de conta

  • Nome

Nota

Se a entidade Account for definida usando o identificador Name e o valor Name de uma entidade específica for um dos seguintes nomes de conta genéricos e comumente internos, essa entidade será descartada de seu alerta.

  • ADMINISTRAÇÃO
  • ADMINISTRADOR
  • SISTEMA
  • RAIZ
  • ANÔNIMO
  • UTILIZADOR AUTENTICADO
  • REDE
  • NULO
  • SISTEMA LOCAL
  • LOCALSYSTEM
  • SERVIÇO DE REDE

Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

Anfitrião

Nome da entidade: Host

Campo Tipo Descrição
Tipo Cordão 'anfitrião'
IpInterfaces Listar<entidade (Ip)> Lista de todas as interfaces IP na máquina host.
DnsDomínio Cordão O domínio DNS ao qual este host pertence. Deve conter o sufixo DNS completo para o domínio, se conhecido.
NTDomain Cordão O domínio NT ao qual esse host pertence.
Nome do host Cordão O nome do host sem o sufixo de domínio.
NetBiosName Cordão O nome do host (anterior ao Windows 2000).
IoTDevice Entidade (dispositivo IoT) A entidade Dispositivo IoT (se este host representar um Dispositivo IoT).
AzureID Cordão A ID de recurso do Azure da VM, se conhecida.
OMSAgentID Cordão O ID do agente do OMS, se o host tiver o agente do OMS instalado.
OSFamily Enum? Um dos seguintes valores:
  • Aplicações Linux
  • Mac OS
  • Android
  • IOS
  • Mac
  • OSVersion Cordão Uma representação de texto livre do sistema operacional.
    Este campo destina-se a conter versões específicas que são mais refinadas do que OSFamily, ou valores futuros não suportados pela enumeração OSFamily.
    IsDomainJoined Bool Indica se esse host pertence a um domínio.

    Identificadores fortes de uma entidade host

    • Nome do host + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Identificadores fracos de uma entidade host

    • Nome do Anfitrião
    • NetBiosName

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    IP

    Nome da entidade: IP

    Campo Tipo Descrição
    Tipo Cordão «PI»
    Endereço Cordão O endereço IP como string (em IPv4 ou IPv6).
    Exemplos:20.112.250.133, 2603:1030:b:3::152
    EndereçoEscopo Cordão Nome do host, sub-rede ou rede privada para endereços IP privados não globais. Nulo ou vazio para endereços IP globais (padrão).
    Exemplos:/27, 255.255.255.128
    Localização Geolocalização O contexto de geolocalização anexado à entidade IP.

    Para obter mais informações, consulte também Enriquecer entidades no Microsoft Sentinel com dados de geolocalização por meio da API REST (visualização pública).
    Transmissão Stream A origem dos logs de descoberta relacionados ao IP específico. Opcional.

    Identificadores fortes de uma entidade IP

    • Endereço
      Quando o endereço IP é um endereço global, o identificador de endereço por si só é um identificador único e forte.
    • Endereço + AddressScope
      Para endereços IP privados/internos não globais, o componente AddressScope é necessário para torná-lo um identificador forte.

    Identificadores fracos de uma entidade IP

    • Endereço
      O identificador de endereço por si só é um identificador fraco quando o endereço IP é um endereço IP privado/interno, não global.

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Malware (software malicioso)

    Nome da entidade: Malware

    Campo Tipo Descrição
    Tipo Cordão 'malware'
    Designação Cordão O nome do malware atribuído pelo fornecedor (deteção?), como Win32/Toga!rfn.
    Categoria Cordão A categoria de malware atribuída pelo fornecedor (deteção?), por exemplo. Cavalo de Troia.
    Ficheiros Listar<entidade (arquivo)> Lista de entidades de arquivo vinculadas nas quais o malware foi encontrado. Pode conter as entidades File embutidas ou como referência.
    Consulte a entidade File para obter mais detalhes sobre a estrutura.
    Processos Listar<entidade (processo)> Lista de entidades de processo vinculadas nas quais o malware foi encontrado. Isso geralmente seria usado quando o alerta era acionado em atividade sem arquivo.
    Consulte a entidade Processo para obter mais detalhes sobre a estrutura.

    Identificadores fortes de uma entidade de malware

    • Nome + Categoria

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Ficheiro

    Nome da entidade: Arquivo

    Campo Tipo Descrição
    Tipo Cordão 'ficheiro'
    Diretório Cordão O caminho completo para o ficheiro.
    Designação Cordão O nome do arquivo sem o caminho (alguns alertas podem não incluir caminho).
    AlternateDataStreamName Cordão O nome do fluxo de arquivos no sistema de arquivos NTFS (nulo para o fluxo principal).
    Anfitrião Entidade (Host) O host no qual o arquivo foi armazenado.
    HostUrl Entidade (URL) URL de onde o arquivo foi baixado
    (Marca da Web).
    WindowsSecurityZoneType WindowsSecurityZone Zona de Segurança do Windows à qual o URL pertence
    (Marca da Web).
    ReferrerUrl Entidade (URL) URL de referência da solicitação HTTP de download do arquivo
    (Marca da Web).
    SizeInBytes Longo? O tamanho de ficheiro em bytes.
    Hashes de arquivo Listar<entidade (FileHash)> Os hashes de ficheiro associados a este ficheiro.

    Identificadores fortes de uma entidade de arquivo

    • Nome + Diretório
    • Nome + FileHash
    • Nome + Diretório + FileHash

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Processo

    Nome da entidade: Processo

    Campo Tipo Descrição
    Tipo Cordão 'Processo'
    ProcessId Cordão O ID do processo.
    Linha de comando Cordão A linha de comando usada para criar o processo.
    ElevationToken Enum? O token de elevação associado ao processo.
    Valores possíveis:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? A hora em que o processo começou a correr.
    Arquivo de imagem Entidade (Ficheiro) Pode conter a entidade File embutida ou como referência.
    Consulte a entidade File para obter mais detalhes sobre a estrutura.
    Conta Entidade (Conta) A conta que executa os processos.
    Pode conter a entidade Conta embutida ou como referência.
    Consulte a entidade Conta para obter mais detalhes sobre a estrutura.
    ParentProcess Entidade (Processo) A entidade de processo pai.
    Pode conter dados parciais, por exemplo, apenas o PID.
    Anfitrião Entidade (Host) O host no qual o processo estava sendo executado.
    LogonSession Entidade (HostLogonSession) A sessão em que o processo estava a decorrer.

    Identificadores fortes de uma entidade de processo

    • Host + ProcessId + CreationTimeUtc
    • Anfitrião + ParentProcessId + CreationTimeUtc + Linha de Comando
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Identificadores fracos de uma entidade de processo

    • ProcessId + CreationTimeUtc + CommandLine (e sem host)
    • ProcessId + CreationTimeUtc + ImageFile (e sem host)

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Aplicação na cloud

    Nome da entidade: CloudApplication

    Campo Tipo Descrição
    Tipo Cordão 'Aplicação na nuvem'
    AppId int Preterido; use o campo SaasId em vez disso. O identificador técnico da aplicação. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos em nuvem. Valor opcional. Não deve conter InstanceId.
    SaasId int Substitui o campo AppId preterido. O identificador técnico da aplicação. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos em nuvem. Valor opcional. Não deve conter InstanceId.
    Designação Cordão O nome do aplicativo de nuvem relacionado. Valor opcional.
    Nome da instância Cordão O nome da instância definida pelo usuário do aplicativo de nuvem. É frequentemente utilizado para distinguir entre várias aplicações do mesmo tipo que um cliente.
    InstanceId int O identificador da sessão específica do aplicativo. Este é um número de execução baseado em zero. Valor opcional.
    Risco AppRisk? Permite filtrar aplicativos por pontuação de risco para que você possa se concentrar, por exemplo, em revisar apenas aplicativos de alto risco. Valores possíveis como Baixo, Médio, Alto ou Desconhecido.
    Transmissão Stream A origem dos logs de descoberta relacionados ao aplicativo de nuvem específico. Opcional.

    Identificadores fortes de uma entidade de aplicativo em nuvem

    • AppId (sem InstanceName)
    • Nome (sem InstanceName)
    • AppId + InstanceName
    • Nome + Nome da Instância

    Lista de identificadores de aplicativos na nuvem

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Resolução de DNS

    Nome da entidade: DNS

    Campo Tipo Descrição
    Tipo Cordão 'DNS'
    Nome de Domínio Cordão O nome do registro DNS associado ao alerta.
    Endereço IP Listar<entidade (IP)> Entidades correspondentes aos endereços IP resolvidos.
    DnsServerIp Entidade (PI) Uma entidade que representa o servidor DNS que está resolvendo a solicitação.
    HostIpAddress Entidade (PI) Uma entidade que representa o cliente de solicitação DNS.

    Identificadores fortes de uma entidade DNS

    • DomainName + DnsServerIp + HostIpAddress

    Identificadores fracos de uma entidade DNS

    • DomainName + HostIpAddress

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Recurso do Azure

    Nome da entidade: AzureResource

    Campo Tipo Descrição
    Tipo Cordão 'azure-resource'
    ResourceId Cordão A ID do recurso do Azure. Obrigatório.
    SubscriptionId Cordão A ID de assinatura do recurso.
    Contatos Ativos Listar<ActiveContact> Contatos ativos associados ao recurso.
    Tipo de Recurso Cordão O tipo do recurso.
    ResourceName Cordão O nome do recurso.

    Identificadores fortes de uma entidade de recurso do Azure

    • ResourceId

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Hash de ficheiro

    Nome da entidade: FileHash

    Campo Tipo Descrição
    Tipo Cordão “filehash”
    Algoritmo Enumeração O tipo de algoritmo hash. Obrigatório. Valores possíveis:
  • Desconhecido
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Valor Cordão O valor hash. Obrigatório.

    Identificadores fortes de uma entidade de hash de arquivo

    • Algoritmo + Valor

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Chave do registo

    Nome da entidade: RegistryKey

    Campo Tipo Descrição
    Tipo Cordão 'chave de registo'
    Colmeia Enum? Um dos seguintes valores:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Chave Cordão O caminho da chave do Registro.

    Identificadores fortes de uma entidade de chave do Registro

    • Colmeia + Chave

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Valor de registo

    Nome da entidade: RegistryValue

    Campo Tipo Descrição
    Tipo Cordão 'valor do registo'
    Anfitrião Entidade (Host) O host ao qual o registro pertence.
    Chave Entidade (RegistryKey) A entidade da chave do Registro.
    Designação Cordão O nome do valor do Registro.
    Valor Cordão Representação formatada em cadeia de caracteres dos dados do valor.
    ValueType Enum? Um dos seguintes valores:
  • Cordão
  • Binário
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Nenhuma
  • Desconhecido
    Os valores devem estar em conformidade com a enumeração Microsoft.Win32.RegistryValueKind.
  • Identificadores fortes de uma entidade de valor do Registro

    • Chave + Nome

    Identificadores fracos de uma entidade de valor do Registro

    • Nome (sem chave)

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Grupo de segurança

    Nome da entidade: SecurityGroup

    Campo Tipo Descrição
    Tipo Cordão 'Grupo de segurança'
    DistinguishedName Cordão O nome distinto do grupo.
    SID Cordão Um atributo de valor único que especifica o identificador de segurança (SID) do grupo.
    ObjectGuid Guid? Um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory.

    Identificadores fortes de uma entidade de grupo de segurança

    • DistinguishedName
    • SID
    • ObjectGuid

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    URL

    Nome da entidade: Url

    Campo Tipo Descrição
    Tipo Cordão 'URL'
    Endereço URL URI Um URL completo para o qual a entidade aponta. Obrigatório.

    Identificadores fortes de uma entidade URL

    • Url (** Este identificador é forte quando o URL é um URL absoluto.)

    Identificadores fracos de uma entidade URL

    • Url (** Este identificador é fraco quando o URL é um URL relativo.)

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Dispositivo IoT

    Nome da entidade: IoTDevice

    Campo Tipo Descrição
    Tipo Cordão 'iotdevice'
    IoTHub Entidade (AzureResource) A entidade AzureResource que representa o Hub IoT ao qual o dispositivo pertence.
    DeviceId Cordão A ID do dispositivo no contexto do Hub IoT. Obrigatório.
    DeviceName Cordão O nome amigável do dispositivo.
    Proprietários Cadeia de caracteres da lista<> Os proprietários do dispositivo.
    IoTSecurityAgentId Guid? A ID do agente do Defender for IoT em execução no dispositivo.
    Tipo de dispositivo Cordão O tipo de dispositivo («sensor de temperatura», «congelador», «turbina eólica», etc.).
    DeviceTypeId Cordão Um ID exclusivo para identificar cada tipo de dispositivo de acordo com o esquema de tipo de dispositivo, já que o próprio tipo de dispositivo é um nome de exibição e não é confiável em comparações.

    Valores possíveis:
    Não classificado = 0
    Diversos = 1
    Dispositivo de rede = 2
    Impressora = 3
    Áudio e Vídeo = 4
    Meios de comunicação e vigilância = 5
    Comunicação = 7
    Aparelho inteligente = 9
    Estação de trabalho = 10
    Servidor = 11
    Telemóvel = 12
    Instalação inteligente = 13
    Industrial = 14
    Equipamento Operacional = 15
    Fonte Cordão A origem (Microsoft/Vendor) da entidade do dispositivo.
    FonteRef Entidade (url) Uma referência de URL para o item de origem onde o dispositivo é gerenciado.
    Fabricante Cordão O fabricante do dispositivo.
    Modelo Cordão O modelo do dispositivo.
    Sistema Operacional Cordão O sistema operacional que o dispositivo está executando.
    Endereço IP Entidade (PI) O endereço IP atual do dispositivo.
    MacEndereço Cordão O endereço MAC do dispositivo.
    Nics Entidade (Nic) As NICs atuais no dispositivo.
    Protocolos Cadeia de caracteres da lista<> Uma lista de protocolos suportados pelo dispositivo.
    Número de série Cordão O número de série do dispositivo.
    Sítio Cordão A localização do site do dispositivo.
    Zona Cordão A localização da zona do dispositivo dentro de um site.
    Sensor Cordão O sensor de monitoramento do dispositivo.
    Importância Enum? Um dos seguintes valores:
  • Baixo
  • Normal
  • Alto
  • PurdueLayer Cordão A camada Purdue do dispositivo.
    IsProgramming Bool? Indica se o dispositivo classificado como dispositivo de programação.
    IsAuthorized Bool? Indica se o dispositivo foi classificado como dispositivo autorizado.
    IsScanner Bool? Indica se o dispositivo foi classificado como um dispositivo de scanner.
    DevicePageLink Entidade (url) Um URL para a página do dispositivo no portal do Defender for IoT.
    Subtipo de dispositivo Cordão O nome do subtipo de dispositivo.

    Identificadores fortes de uma entidade de dispositivo IoT

    • IoTHub + DeviceId

    Identificadores fracos de uma entidade de dispositivo IoT

    • DeviceId (sem IoTHub)

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Caixa de correio

    Nome da entidade: Caixa de correio

    Campo Tipo Descrição
    Tipo Cordão 'caixa de correio'
    MailboxPrimaryAddress Cordão O endereço principal da caixa de correio.
    Nome_de_Visualização Cordão O nome para exibição da caixa de correio.
    Upn Cordão UPN da caixa de correio.
    AadId Cordão O identificador do Azure AD da caixa de correio do usuário.
    Nível de Risco Nível de Risco? O nível de risco desta caixa de correio. Valores possíveis:
  • Nenhuma
  • Baixo
  • Médio
  • Alto
  • ExternalDirectoryObjectId Guid? O identificador AzureAD da caixa de correio. Semelhante a AadUserId na entidade Account, mas essa propriedade é específica para o objeto de caixa de correio no lado do Office.

    Identificadores fortes de uma entidade de caixa de correio

    • MailboxPrimaryAddress

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Cluster de correio

    Nome da entidade: MailCluster

    Campo Tipo Descrição
    Tipo Cordão 'Cluster de e-mail'
    NetworkMessageIds String IList<> As IDs de mensagem de email que fazem parte do cluster de email.
    CountByDeliveryStatus IDictionary<String,Int> Contagem de mensagens de email por representação de cadeia de caracteres DeliveryStatus.
    CountByThreatType IDictionary<String,Int> Contagem de mensagens de email por representação de cadeia de caracteres ThreatType.
    CountByProtectionStatus IDictionary<String, longa> Contagem de mensagens de email por representação de cadeia de caracteres de status de proteção.
    CountByDeliveryLocalização IDictionary<String, longa> Contagem de mensagens de email por representação de cadeia de caracteres de local de entrega.
    Ameaças String IList<> As ameaças de mensagens de email que fazem parte do cluster de email.
    Consulta Cordão A consulta que foi usada para identificar as mensagens do cluster de email.
    QueryTime DateTime? O tempo de consulta.
    MailCount Int? O número de mensagens de email que fazem parte do cluster de email.
    IsVolumeAnomalia Bool? Indica se o cluster de email é um cluster de email com anomalia de volume.
    Fonte Cordão A origem do cluster de email (o padrão é O365 ATP).

    Identificadores fortes de uma entidade de cluster de email

    • Consulta + Origem

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Mensagem de correio

    Nome da entidade: MailMessage

    Campo Tipo Descrição
    Tipo Cordão 'mensagem de e-mail'
    Ficheiros Entidade IList<(Ficheiro)> As entidades File dos anexos desta mensagem de email.
    Destinatário Cordão O destinatário desta mensagem de email. No caso de vários destinatários, a mensagem de correio é copiada e cada cópia tem um destinatário.
    URLs String IList<> Os URLs contidos nesta mensagem de email.
    Ameaças String IList<> As ameaças contidas nesta mensagem de email.
    Remetente Cordão O endereço de e-mail do remetente.
    SenderIP Cordão O endereço IP do remetente.
    Data de Recebimento Data e Hora A data de recebimento desta mensagem.
    NetworkMessageId Guid? O ID da mensagem de rede desta mensagem de email.
    InternetMessageId Cordão O ID da mensagem de Internet desta mensagem de correio.
    Assunto Cordão O assunto desta mensagem de email.
    AntispamDirection Enum? A direcionalidade desta mensagem de email. Valores possíveis:
  • Desconhecido
  • Interna
  • De Saída
  • Intraorg (interna)
  • DeliveryAction Enum? A ação de entrega desta mensagem de email. Valores possíveis:
  • Desconhecido
  • DeliveredAsSpam
  • Entregues
  • Bloqueado
  • Substituído
  • EntregaLocalização Enum? O local de entrega desta mensagem de email. Valores possíveis:
  • Desconhecido
  • Caixa de entrada
  • Pasta de lixo
  • Pasta excluída
  • Quarentena
  • Externa
  • Com falhas
  • Caiu
  • Encaminhado
  • CampaignId Cordão O identificador da campanha na qual esta mensagem de correio está presente.
    Destinatários suspeitos String IList<> A lista de destinatários que foram detetados como suspeitos.
    Destinatários Encaminhados String IList<> A lista de todos os destinatários no e-mail encaminhado.
    Tipo de encaminhamento String IList<> O tipo de encaminhamento do e-mail, como SMTP, ETR, etc.

    Identificadores fortes de uma entidade de mensagem de email

    • NetworkMessageId + Destinatário

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    E-mail de submissão

    Nome da entidade: SubmissionMail

    Campo Tipo Descrição
    Tipo Cordão 'SubmissionMail'
    SubmissionId Guid? O ID de envio.
    Data de Submissão DateTime? Data informada Hora para este envio.
    Transmitente Cordão O endereço de e-mail do transmitente.
    NetworkMessageId Guid? O ID da mensagem de rede do e-mail ao qual o envio pertence.
    Carimbo de data/hora DateTime? O carimbo de data/hora quando a mensagem é recebida (Mail).
    Destinatário Cordão O destinatário do e-mail.
    Remetente Cordão O remetente do e-mail.
    SenderIp Cordão O IP do remetente.
    Assunto Cordão O assunto do correio de submissão.
    Tipo de relatório Cordão O tipo de envio para a instância dada. Os valores possíveis são Junk, Phish, Malware ou NotJunk.

    Identificadores fortes de uma entidade SubmissionMail

    • SubmissionId, Submitter, NetworkMessageId, Destinatário

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Entidades sentinela

    Campo Tipo Descrição
    Entidades Cordão Uma lista das entidades identificadas no alerta. Esta lista é a coluna de entidades do esquema SecurityAlert (consulte a documentação).

    Voltar à lista de esquemas | de tipo de entidadeVoltar à tabela de identificadores de entidade

    Identificadores de aplicativos na nuvem

    A lista a seguir define identificadores para aplicativos de nuvem conhecidos. O valor da ID do aplicativo é usado como um identificador de entidade de aplicativo na nuvem .

    ID de Aplicação Nome
    10026 DocuSign
    10395 Anaplan
    10489 Caixa
    10549 Cisco Webex
    10618 Atlassian
    10915 Pedra angular OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Escritório 365
    11162 Microsoft OneNote Online
    11394 Serviços Online da Microsoft
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Despesas
    11770 G Suite
    12005 Fatores de Sucesso
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concordo
    14509 ServiceNow
    15570 Tabela
    15600 Microsoft OneDrive para Empresas
    15782 Citrix ShareFile
    17152 Amazônia
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender para Aplicações de Nuvem
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Ciclo de vida do Autodesk Fusion
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype para Empresas
    25988 Documentos Google
    26055 Centro de administração do Microsoft 365
    26060 Engrenagens OPSWAT
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Dinâmica da Microsoft
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace pelo Facebook
    28373 Emulador de proxy CAS
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Talentos do Microsoft Dynamics

    Próximos passos

    Neste documento, você aprendeu sobre estrutura de entidade, identificadores e esquema no Microsoft Sentinel.

    Saiba mais sobre entidades e mapeamento de entidades.