Bookmark - Expand
Expandir um marcador
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/bookmarks/{bookmarkId}/expand?api-version=2025-04-01-previewParâmetros do URI
| Name | Em | Necessário | Tipo | Description |
|---|---|---|---|---|
|
bookmark
|
path | True |
string |
ID do marcador |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
O nome do grupo de recursos. O nome não diferencia maiúsculas de minúsculas. |
|
subscription
|
path | True |
string (uuid) |
A ID da assinatura de destino. O valor deve ser um UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
O nome do espaço de trabalho. |
|
api-version
|
query | True |
string minLength: 1 |
A versão da API a utilizar para esta operação. |
Corpo do Pedido
| Name | Tipo | Description |
|---|---|---|
| endTime |
string (date-time) |
O filtro de data final, portanto, os únicos resultados de expansão retornados são anteriores a essa data. |
| expansionId |
string (uuid) |
O Id da expansão a ser executada. |
| startTime |
string (date-time) |
O filtro de data de início, portanto, os únicos resultados de expansão retornados são após essa data. |
Respostas
| Name | Tipo | Description |
|---|---|---|
| 200 OK |
OK |
|
| Other Status Codes |
Resposta de erro descrevendo por que a operação falhou. |
Segurança
azure_auth
Azure Ative Directory OAuth2 Flow
Tipo:
oauth2
Fluxo:
implicit
URL de Autorização:
https://login.microsoftonline.com/common/oauth2/authorize
Âmbitos
| Name | Description |
|---|---|
| user_impersonation | personificar a sua conta de utilizador |
Exemplos
Expand an bookmark
Pedido de amostra
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/73e01a99-5cd7-4139-a149-9f2736ff2ab5/expand?api-version=2025-04-01-preview
{
"expansionId": "27f76e63-c41b-480f-bb18-12ad2e011d49",
"startTime": "2019-12-25T17:21:00.000Z",
"endTime": "2020-01-24T17:21:00.000Z"
}
Resposta da amostra
{
"value": {
"entities": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/fe4ddab5-8cea-eca3-c8b8-9e92e830a387",
"name": "fe4ddab5-8cea-eca3-c8b8-9e92e830a387",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain"
}
}
]
},
"metaData": {
"aggregations": [
{
"entityKind": "Account",
"count": 1
}
]
}
}Definições
| Name | Description |
|---|---|
|
Account |
Representa uma entidade de conta. |
|
Alert |
A gravidade do alerta |
|
Alert |
O status do ciclo de vida do alerta. |
|
Antispam |
A direcionalidade desta mensagem de correio |
|
Attack |
A gravidade dos alertas criados por esta regra de alerta. |
|
Azure |
Representa uma entidade de recurso azure. |
|
Bookmark |
Os parâmetros necessários para executar uma operação de expansão no marcador fornecido. |
|
Bookmark |
A resposta da operação de resultado de expansão da entidade. |
|
Cloud |
Representa uma entidade de aplicativo na nuvem. |
|
Cloud |
Estrutura de resposta a erros. |
|
Cloud |
Detalhes do erro. |
|
Confidence |
O nível de confiança deste alerta. |
|
Confidence |
As razões da confiança |
|
Confidence |
O status do cálculo da pontuação de confiança, ou seja, indicando se o cálculo da pontuação está pendente para este alerta, não aplicável ou final. |
|
Connected |
Resultado da expansão entidades conectadas |
|
created |
O tipo de identidade que criou o recurso. |
|
Delivery |
A ação de entrega desta mensagem de e-mail como Entregue, Bloqueado, Substituído etc |
|
Delivery |
O local de entrega desta mensagem de e-mail como Caixa de Entrada, JunkFolder etc |
|
Device |
Importância do dispositivo, determina se o dispositivo classificado como "joia da coroa" |
|
Dns |
Representa uma entidade dns. |
|
Elevation |
O token de elevação associado ao processo. |
|
Entity |
O tipo de entidade agregada. |
|
Expansion |
Informação de uma agregação específica no resultado da expansão. |
|
Expansion |
Metadados de resultados de expansão. |
|
File |
Representa uma entidade de arquivo. |
|
File |
O tipo de algoritmo de hash. |
|
File |
Representa uma entidade hash de arquivo. |
|
Geo |
O contexto de geolocalização anexado à entidade ip |
|
Host |
Representa uma entidade de host. |
|
Hunting |
Representa uma entidade de marcador de Hunting. |
|
Incident |
Descreve informações de incidentes relacionadas para o marcador |
|
Incident |
A gravidade do incidente |
|
Io |
Representa uma entidade de dispositivo IoT. |
|
Ip |
Representa uma entidade ip. |
|
Kill |
Mantém o(s) estágio(s) de intenção do(s) alerta(s) mapeando(m) esse alerta. |
|
Mailbox |
Representa uma entidade de caixa de correio. |
|
Mail |
Representa uma entidade de cluster de email. |
|
Mail |
Representa uma entidade de mensagem de email. |
|
Malware |
Representa uma entidade de malware. |
|
Nic |
Representa uma entidade de interface de rede. |
| OSFamily |
O tipo de sistema operacional. |
|
Process |
Representa uma entidade de processo. |
|
Registry |
O hive que contém a chave do Registro. |
|
Registry |
Representa uma entidade de chave do Registro. |
|
Registry |
Representa uma entidade de valor do Registro. |
|
Registry |
Especifica os tipos de dados a serem usados ao armazenar valores no Registro ou identifica o tipo de dados de um valor no Registro. |
|
Security |
Representa uma entidade de alerta de segurança. |
|
Security |
Representa uma entidade de grupo de segurança. |
|
Submission |
Representa uma entidade de email de envio. |
|
system |
Metadados referentes à criação e última modificação do recurso. |
|
Threat |
Bolsa de propriedade ThreatIntelligence. |
|
Url |
Representa uma entidade url. |
|
User |
Informações do usuário que fizeram alguma ação |
| Value |
Os valores do resultado da expansão. |
AccountEntity
Representa uma entidade de conta.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Account |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.aadTenantId |
string |
A ID de locatário do Azure Ative Directory. |
| properties.aadUserId |
string |
A ID de usuário do Azure Ative Directory. |
| properties.accountName |
string |
O nome da conta. Este campo deve conter apenas o nome sem qualquer domínio adicionado a ele, ou seja, administrador. |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.displayName |
string |
O nome para exibição da conta. |
| properties.dnsDomain |
string |
O nome DNS de domínio totalmente qualificado. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hostEntityId |
string |
O ID da entidade Host que contém a conta, caso seja uma conta local (não ingressada no domínio) |
| properties.isDomainJoined |
boolean |
Determina se esta é uma conta de domínio. |
| properties.ntDomain |
string |
O nome de domínio NetBIOS tal como aparece no formato de alerta domínio/nome de utilizador. Exemplos: NT AUTHORITY. |
| properties.objectGuid |
string (uuid) |
O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory. |
| properties.puid |
string |
A ID de Usuário do Azure Ative Directory Passport. |
| properties.sid |
string |
O identificador de segurança da conta, por exemplo, S-1-5-18. |
| properties.upnSuffix |
string |
O sufixo do nome principal do usuário para a conta, em alguns casos também é o nome de domínio. Exemplos: contoso.com. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
AlertSeverity
A gravidade do alerta
| Valor | Description |
|---|---|
| High |
Alta severidade |
| Medium |
Gravidade média |
| Low |
Baixa severidade |
| Informational |
Severidade informacional |
AlertStatus
O status do ciclo de vida do alerta.
| Valor | Description |
|---|---|
| Unknown |
Valor desconhecido |
| New |
Novo alerta |
| Resolved |
Alerta fechado após o manuseamento |
| Dismissed |
Alerta descartado como falso positivo |
| InProgress |
O alerta está a ser tratado |
AntispamMailDirection
A direcionalidade desta mensagem de correio
| Valor | Description |
|---|---|
| Unknown |
Desconhecido |
| Inbound |
Entrante |
| Outbound |
Direção exterior |
| Intraorg |
Intraorg |
AttackTactic
A gravidade dos alertas criados por esta regra de alerta.
| Valor | Description |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
AzureResourceEntity
Representa uma entidade de recurso azure.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Azure |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.resourceId |
string |
A id do recurso azure do recurso |
| properties.subscriptionId |
string |
A ID de assinatura do recurso |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
BookmarkExpandParameters
Os parâmetros necessários para executar uma operação de expansão no marcador fornecido.
| Name | Tipo | Description |
|---|---|---|
| endTime |
string (date-time) |
O filtro de data final, portanto, os únicos resultados de expansão retornados são anteriores a essa data. |
| expansionId |
string (uuid) |
O Id da expansão a ser executada. |
| startTime |
string (date-time) |
O filtro de data de início, portanto, os únicos resultados de expansão retornados são após essa data. |
BookmarkExpandResponse
A resposta da operação de resultado de expansão da entidade.
| Name | Tipo | Description |
|---|---|---|
| metaData |
Os metadados da operação de expansão resultam. |
|
| value |
Os valores do resultado da expansão. |
CloudApplicationEntity
Representa uma entidade de aplicativo na nuvem.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Cloud |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.appId |
integer (int32) |
O identificador técnico da aplicação. |
| properties.appName |
string |
O nome do aplicativo de nuvem relacionado. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.instanceName |
string |
O nome da instância definida pelo usuário do aplicativo em nuvem. É frequentemente utilizado para distinguir entre várias aplicações do mesmo tipo que um cliente. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
CloudError
Estrutura de resposta a erros.
| Name | Tipo | Description |
|---|---|---|
| error |
Dados de erro |
CloudErrorBody
Detalhes do erro.
| Name | Tipo | Description |
|---|---|---|
| code |
string |
Um identificador para o erro. Os códigos são invariantes e destinam-se a ser consumidos programaticamente. |
| message |
string |
Uma mensagem descrevendo o erro, destinada a ser adequada para exibição em uma interface do usuário. |
ConfidenceLevel
O nível de confiança deste alerta.
| Valor | Description |
|---|---|
| Unknown |
Confiança desconhecida, o é o valor padrão |
| Low |
Baixa confiança, o que significa que temos algumas dúvidas de que isso seja realmente malicioso ou parte de um ataque |
| High |
Alta confiança de que o alerta é verdadeiro, positivo, malicioso |
ConfidenceReasons
As razões da confiança
| Name | Tipo | Description |
|---|---|---|
| reason |
string |
A descrição do motivo |
| reasonType |
string |
O tipo (categoria) do motivo |
ConfidenceScoreStatus
O status do cálculo da pontuação de confiança, ou seja, indicando se o cálculo da pontuação está pendente para este alerta, não aplicável ou final.
| Valor | Description |
|---|---|
| NotApplicable |
A pontuação não será calculada para este alerta, pois não é suportada pelo analista virtual |
| InProcess |
Ainda não foi definida qualquer pontuação e o cálculo está em curso |
| NotFinal |
A pontuação é calculada e mostrada como parte do alerta, mas pode ser atualizada novamente posteriormente após o processamento de dados adicionais |
| Final |
A pontuação final foi calculada e disponibilizada |
ConnectedEntity
Resultado da expansão entidades conectadas
| Name | Tipo | Description |
|---|---|---|
| additionalData |
object |
Pares chave-valor para um mapeamento de entidade conectado |
| targetEntityId |
string |
ID da entidade conectada |
createdByType
O tipo de identidade que criou o recurso.
| Valor | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
DeliveryAction
A ação de entrega desta mensagem de e-mail como Entregue, Bloqueado, Substituído etc
| Valor | Description |
|---|---|
| Unknown |
Desconhecido |
| DeliveredAsSpam |
DeliveredAsSpam |
| Delivered |
Entregues |
| Blocked |
Bloqueado |
| Replaced |
Substituído |
DeliveryLocation
O local de entrega desta mensagem de e-mail como Caixa de Entrada, JunkFolder etc
| Valor | Description |
|---|---|
| Unknown |
Desconhecido |
| Inbox |
Caixa de entrada |
| JunkFolder |
Pasta de lixo |
| DeletedFolder |
Pasta excluída |
| Quarantine |
Quarentena |
| External |
Externa |
| Failed |
Falha |
| Dropped |
Caiu |
| Forwarded |
Encaminhado |
DeviceImportance
Importância do dispositivo, determina se o dispositivo classificado como "joia da coroa"
| Valor | Description |
|---|---|
| Unknown |
Desconhecido - Valor padrão |
| Low |
Baixo |
| Normal |
Normal |
| High |
Alto |
DnsEntity
Representa uma entidade dns.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Dns |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.dnsServerIpEntityId |
string |
Um id de entidade ip para o servidor dns resolvendo a solicitação |
| properties.domainName |
string |
O nome do registro dns associado ao alerta |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hostIpAddressEntityId |
string |
Um id de entidade ip para o cliente de solicitação dns |
| properties.ipAddressEntityIds |
string[] |
Identificadores de entidade IP para o endereço ip resolvido. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
ElevationToken
O token de elevação associado ao processo.
| Valor | Description |
|---|---|
| Default |
Token de elevação padrão |
| Full |
Token de elevação total |
| Limited |
Token de elevação limitada |
EntityKindEnum
O tipo de entidade agregada.
| Valor | Description |
|---|---|
| Account |
Entidade representa conta no sistema. |
| Host |
A entidade representa o host no sistema. |
| File |
Entidade representa arquivo no sistema. |
| AzureResource |
Entity representa o recurso azure no sistema. |
| CloudApplication |
Entidade representa aplicação em nuvem no sistema. |
| DnsResolution |
Entidade representa a resolução dns no sistema. |
| FileHash |
Entity representa o hash do arquivo no sistema. |
| Ip |
Entidade representa ip no sistema. |
| Malware |
Entidade representa malware no sistema. |
| Process |
Entidade representa processo no sistema. |
| RegistryKey |
A entidade representa a chave do Registro no sistema. |
| RegistryValue |
Entity representa o valor do Registro no sistema. |
| SecurityGroup |
Entidade representa grupo de segurança no sistema. |
| Url |
Entity representa url no sistema. |
| IoTDevice |
Entity representa o dispositivo IoT no sistema. |
| SecurityAlert |
Entidade representa alerta de segurança no sistema. |
| Bookmark |
Entidade representa marcador no sistema. |
| Mailbox |
Entidade representa a caixa de correio no sistema. |
| MailCluster |
Entity representa o cluster de email no sistema. |
| MailMessage |
Entidade representa mensagem de email no sistema. |
| SubmissionMail |
Entidade representa o e-mail de envio no sistema. |
| Nic |
Entity representa a interface de rede no sistema. |
ExpansionResultAggregation
Informação de uma agregação específica no resultado da expansão.
| Name | Tipo | Description |
|---|---|---|
| aggregationType |
string |
O tipo comum da agregação. (por exemplo, nome do campo da entidade) |
| count |
integer (int32) |
Número total de agregações do tipo dado (e agregaçãoTipo, se dado) no resultado da expansão. |
| displayName |
string |
O nome para exibição da agregação por tipo. |
| entityKind |
O tipo de entidade agregada. |
ExpansionResultsMetadata
Metadados de resultados de expansão.
| Name | Tipo | Description |
|---|---|---|
| aggregations |
Informações dos nós agregados no resultado da expansão. |
FileEntity
Representa uma entidade de arquivo.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
File |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.directory |
string |
O caminho completo para o arquivo. |
| properties.fileHashEntityIds |
string[] |
Os identificadores de entidade hash de arquivo associados a este arquivo |
| properties.fileName |
string |
O nome do arquivo sem caminho (alguns alertas podem não incluir caminho). |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hostEntityId |
string |
A ID da entidade Host à qual o arquivo pertence |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
FileHashAlgorithm
O tipo de algoritmo de hash.
| Valor | Description |
|---|---|
| Unknown |
Algoritmo de hash desconhecido |
| MD5 |
Tipo de hash MD5 |
| SHA1 |
Tipo de hash SHA1 |
| SHA256 |
Tipo de hash SHA256 |
| SHA256AC |
Tipo de hash SHA256 Authenticode |
FileHashEntity
Representa uma entidade hash de arquivo.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
File |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.algorithm |
O tipo de algoritmo de hash. |
|
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hashValue |
string |
O valor de hash do arquivo. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
GeoLocation
O contexto de geolocalização anexado à entidade ip
| Name | Tipo | Description |
|---|---|---|
| asn |
integer (int32) |
Número do Sistema Autónomo |
| city |
string |
Nome da cidade |
| countryCode |
string |
O código do país de acordo com o formato ISO 3166 |
| countryName |
string |
Nome do país de acordo com a norma ISO 3166 Alpha 2: a letra minúscula do nome abreviado em inglês |
| latitude |
number (double) |
A latitude do local identificado, expressa como um número de ponto flutuante com intervalo de - 90 a 90. Latitude e longitude são derivadas da cidade ou código postal. |
| longitude |
number (double) |
A longitude do local identificado, expressa como um número de ponto flutuante com intervalo de -180 a 180. Latitude e longitude são derivadas da cidade ou código postal. |
| state |
string |
Nome do estado |
HostEntity
Representa uma entidade de host.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Host |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.azureID |
string |
A id do recurso azure da VM. |
| properties.dnsDomain |
string |
O domínio DNS ao qual este host pertence. Deve conter o sufixo DNS concorrente para o domínio |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hostName |
string |
O nome do host sem o sufixo de domínio. |
| properties.isDomainJoined |
boolean |
Determina se esse host pertence a um domínio. |
| properties.netBiosName |
string |
O nome do host (pré-windows2000). |
| properties.ntDomain |
string |
O domínio NT ao qual esse host pertence. |
| properties.omsAgentID |
string |
A ID do agente do OMS, se o host tiver o agente do OMS instalado. |
| properties.osFamily |
O tipo de sistema operacional. |
|
| properties.osVersion |
string |
Uma representação em texto livre do sistema operacional. Este campo destina-se a conter versões específicas que são mais refinadas do que OSFamily ou valores futuros não suportados pela enumeração OSFamily |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
HuntingBookmark
Representa uma entidade de marcador de Hunting.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Bookmark |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.created |
string (date-time) |
A hora em que o marcador foi criado |
| properties.createdBy |
Descreve um usuário que criou o marcador |
|
| properties.displayName |
string |
O nome para exibição do marcador |
| properties.eventTime |
string (date-time) |
A hora do evento |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.incidentInfo |
Descreve um incidente relacionado ao marcador |
|
| properties.labels |
string[] |
Lista de rótulos relevantes para este marcador |
| properties.notes |
string |
As notas do marcador |
| properties.query |
string |
A consulta do marcador. |
| properties.queryResult |
string |
O resultado da consulta do marcador. |
| properties.updated |
string (date-time) |
A última vez que o marcador foi atualizado |
| properties.updatedBy |
Descreve um usuário que atualizou o marcador |
|
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
IncidentInfo
Descreve informações de incidentes relacionadas para o marcador
| Name | Tipo | Description |
|---|---|---|
| incidentId |
string |
ID do incidente |
| relationName |
string |
Nome da relação |
| severity |
A gravidade do incidente |
|
| title |
string |
O título do incidente |
IncidentSeverity
A gravidade do incidente
| Valor | Description |
|---|---|
| High |
Alta severidade |
| Medium |
Gravidade média |
| Low |
Baixa severidade |
| Informational |
Severidade informacional |
IoTDeviceEntity
Representa uma entidade de dispositivo IoT.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Io |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.deviceId |
string |
A ID do dispositivo IoT no Hub IoT |
| properties.deviceName |
string |
O nome amigável do dispositivo |
| properties.deviceSubType |
string |
O subtipo do dispositivo ('PLC', 'HMI', 'EWS', etc.) |
| properties.deviceType |
string |
O tipo do dispositivo |
| properties.edgeId |
string |
A ID do dispositivo de borda |
| properties.firmwareVersion |
string |
A versão de firmware do dispositivo |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hostEntityId |
string |
O ID da entidade Host deste dispositivo |
| properties.importance |
Importância do dispositivo, determina se o dispositivo classificado como "joia da coroa" |
|
| properties.iotHubEntityId |
string |
A ID da entidade AzureResource do Hub IoT |
| properties.iotSecurityAgentId |
string (uuid) |
A ID do agente de segurança em execução no dispositivo |
| properties.ipAddressEntityId |
string |
A entidade IP se deste dispositivo |
| properties.isAuthorized |
boolean |
Determina se o dispositivo classificado como dispositivo autorizado |
| properties.isProgramming |
boolean |
Determina se o dispositivo classificado como dispositivo de programação |
| properties.isScanner |
boolean |
O dispositivo é classificado como um dispositivo de scanner |
| properties.macAddress |
string |
O endereço MAC do dispositivo |
| properties.model |
string |
O modelo do dispositivo |
| properties.nicEntityIds |
string[] |
Uma lista de ids de entidade Nic da entidade IoTDevice. |
| properties.operatingSystem |
string |
O sistema operacional do dispositivo |
| properties.owners |
string[] |
Uma lista de proprietários da entidade IoTDevice. |
| properties.protocols |
string[] |
Uma lista de protocolos da entidade IoTDevice. |
| properties.purdueLayer |
string |
A camada Purdue do dispositivo |
| properties.sensor |
string |
O sensor pelo qual o dispositivo é monitorado |
| properties.serialNumber |
string |
O número de série do dispositivo |
| properties.site |
string |
O site do dispositivo |
| properties.source |
string |
A fonte do dispositivo |
| properties.threatIntelligence |
Uma lista de contextos de TI anexados à entidade IoTDevice. |
|
| properties.vendor |
string |
O fornecedor do dispositivo |
| properties.zone |
string |
A localização da zona do dispositivo dentro de um site |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
IpEntity
Representa uma entidade ip.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Ip |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.address |
string |
O endereço IP como string, por exemplo, 127.0.0.1 (em Ipv4 ou Ipv6) |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.location |
O contexto de geolocalização anexado à entidade ip |
|
| properties.threatIntelligence |
Uma lista de contextos de TI anexados à entidade ip. |
|
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
KillChainIntent
Mantém o(s) estágio(s) de intenção do(s) alerta(s) mapeando(m) esse alerta.
| Valor | Description |
|---|---|
| Unknown |
O valor padrão. |
| Probing |
A sondagem pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Esta etapa geralmente é detetada como uma tentativa originada de fora da rede na tentativa de verificar o sistema de destino e encontrar uma maneira de entrar. |
| Exploitation |
A exploração é o estágio em que um invasor consegue se firmar no recurso atacado. Esta etapa é aplicável não apenas para hosts de computação, mas também para recursos como contas de usuário, certificados, etc. Os adversários muitas vezes serão capazes de controlar o recurso após esta etapa. |
| Persistence |
Persistência é qualquer acesso, ação ou alteração de configuração em um sistema que dá a um adversário uma presença persistente nesse sistema. Os adversários geralmente precisam manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou alternar backdoor para que eles recuperem o acesso. |
| PrivilegeEscalation |
O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. Certas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos ao longo de uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem seu objetivo também podem ser consideradas uma escalada de privilégios. |
| DefenseEvasion |
A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da deteção ou evitar outras defesas. Às vezes, essas ações são iguais ou variações de técnicas em outras categorias que têm o benefício adicional de subverter uma determinada defesa ou mitigação. |
| CredentialAccess |
O acesso a credenciais representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente corporativo. Os adversários provavelmente tentarão obter credenciais legítimas de usuários ou contas de administrador (administrador do sistema local ou usuários do domínio com acesso de administrador) para usar na rede. Com acesso suficiente dentro de uma rede, um adversário pode criar contas para uso posterior dentro do ambiente. |
| Discovery |
A descoberta consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, eles devem navegar sozinhos para o que eles agora têm controle e quais benefícios operacionais desse sistema dão ao seu objetivo atual ou metas gerais durante a intrusão. O sistema operacional fornece muitas ferramentas nativas que ajudam nessa fase de coleta de informações pós-comprometimento. |
| LateralMovement |
O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e poderia, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário reúna informações de um sistema sem precisar de ferramentas adicionais, como uma ferramenta de acesso remoto. Um adversário pode usar o movimento lateral para muitos fins, incluindo a execução remota de ferramentas, pivotagem para sistemas adicionais, acesso a informações ou arquivos específicos, acesso a credenciais adicionais ou para causar um efeito. |
| Execution |
A tática de execução representa técnicas que resultam na execução de código controlado por adversários em um sistema local ou remoto. Esta tática é frequentemente usada em conjunto com o movimento lateral para expandir o acesso a sistemas remotos em uma rede. |
| Collection |
A coleta consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
| Exfiltration |
Exfiltração refere-se a técnicas e atributos que resultam ou ajudam o adversário a remover arquivos e informações de uma rede alvo. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
| CommandAndControl |
A tática de comando e controle representa como os adversários se comunicam com os sistemas sob seu controle dentro de uma rede alvo. |
| Impact |
O objetivo principal da intenção de impacto é reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo comercial ou operacional. Isto muitas vezes se refere a técnicas como resgate-ware, defacement, manipulação de dados e outros. |
MailboxEntity
Representa uma entidade de caixa de correio.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Mailbox |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.displayName |
string |
O nome para exibição da caixa de correio |
| properties.externalDirectoryObjectId |
string (uuid) |
O identificador AzureAD da caixa de correio. Semelhante a AadUserId na entidade da conta, mas esta propriedade é específica para o objeto de caixa de correio no lado do escritório |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.mailboxPrimaryAddress |
string |
O endereço principal da caixa de correio |
| properties.upn |
string |
UPN da caixa de correio |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
MailClusterEntity
Representa uma entidade de cluster de email.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Mail |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.clusterGroup |
string |
O grupo de clusters |
| properties.clusterQueryEndTime |
string (date-time) |
A hora de término da consulta de cluster |
| properties.clusterQueryStartTime |
string (date-time) |
A hora de início da consulta de cluster |
| properties.clusterSourceIdentifier |
string |
A id da origem do cluster |
| properties.clusterSourceType |
string |
O tipo de origem do cluster |
| properties.countByDeliveryStatus |
object |
Contagem de mensagens de email por representação de cadeia de caracteres DeliveryStatus |
| properties.countByProtectionStatus |
object |
Contagem de mensagens de email por representação de cadeia de caracteres ProtectionStatus |
| properties.countByThreatType |
object |
Contagem de mensagens de email por representação de cadeia de caracteres ThreatType |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.isVolumeAnomaly |
boolean |
Trata-se de um cluster de correio com anomalia de volume? |
| properties.mailCount |
integer (int32) |
O número de mensagens de email que fazem parte do cluster de email |
| properties.networkMessageIds |
string[] |
As IDs de mensagem de email que fazem parte do cluster de email |
| properties.query |
string |
A consulta que foi usada para identificar as mensagens do cluster de email |
| properties.queryTime |
string (date-time) |
O tempo de consulta |
| properties.source |
string |
A origem do cluster de correio (o padrão é 'O365 ATP') |
| properties.threats |
string[] |
As ameaças de mensagens de email que fazem parte do cluster de email |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
MailMessageEntity
Representa uma entidade de mensagem de email.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Mail |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.antispamDirection |
A direcionalidade desta mensagem de correio |
|
| properties.bodyFingerprintBin1 |
integer (int32) |
O corpoFingerprintBin1 |
| properties.bodyFingerprintBin2 |
integer (int32) |
O corpoFingerprintBin2 |
| properties.bodyFingerprintBin3 |
integer (int32) |
O corpoFingerprintBin3 |
| properties.bodyFingerprintBin4 |
integer (int32) |
O corpoFingerprintBin4 |
| properties.bodyFingerprintBin5 |
integer (int32) |
O corpoFingerprintBin5 |
| properties.deliveryAction |
A ação de entrega desta mensagem de e-mail como Entregue, Bloqueado, Substituído etc |
|
| properties.deliveryLocation |
O local de entrega desta mensagem de e-mail como Caixa de Entrada, JunkFolder etc |
|
| properties.fileEntityIds |
string[] |
As IDs de entidade de arquivo dos anexos desta mensagem de email |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.internetMessageId |
string |
O ID da mensagem de Internet desta mensagem de correio |
| properties.language |
string |
O idioma desta mensagem de correio |
| properties.networkMessageId |
string (uuid) |
O ID da mensagem de rede desta mensagem de correio |
| properties.p1Sender |
string |
O endereço de e-mail do remetente p1 |
| properties.p1SenderDisplayName |
string |
O nome de exibição do remetente p1 |
| properties.p1SenderDomain |
string |
O domínio do remetente p1 |
| properties.p2Sender |
string |
O endereço de e-mail do remetente p2 |
| properties.p2SenderDisplayName |
string |
O nome de exibição do remetente p2 |
| properties.p2SenderDomain |
string |
O domínio do remetente p2 |
| properties.receiveDate |
string (date-time) |
A data de receção desta mensagem |
| properties.recipient |
string |
O destinatário desta mensagem de email. Observe que, no caso de vários destinatários, a mensagem de email é bifurcada e cada cópia tem um destinatário |
| properties.senderIP |
string |
O endereço IP do remetente |
| properties.subject |
string |
O assunto desta mensagem de correio |
| properties.threatDetectionMethods |
string[] |
Os métodos de deteção de ameaças |
| properties.threats |
string[] |
As ameaças desta mensagem de correio |
| properties.urls |
string[] |
Os Urls contidos nesta mensagem de correio |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
MalwareEntity
Representa uma entidade de malware.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Malware |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.category |
string |
A categoria de malware pelo fornecedor, por exemplo, Trojan |
| properties.fileEntityIds |
string[] |
Lista de identificadores de entidade de arquivo vinculados nos quais o malware foi encontrado |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.malwareName |
string |
O nome do malware pelo fornecedor, por exemplo, Win32/Toga!rfn |
| properties.processEntityIds |
string[] |
Lista de identificadores de entidade de processo vinculados nos quais o malware foi encontrado. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
NicEntity
Representa uma entidade de interface de rede.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Nic |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.ipAddressEntityId |
string |
O ID da entidade IP desta interface de rede |
| properties.macAddress |
string |
O endereço MAC desta interface de rede |
| properties.vlans |
string[] |
Uma lista de VLANs da entidade de interface de rede. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
OSFamily
O tipo de sistema operacional.
| Valor | Description |
|---|---|
| Linux |
Host com sistema operacional Linux. |
| Windows |
Host com sistema operacional Windows. |
| Android |
Host com sistema operacional Android. |
| IOS |
Host com sistema operacional IOS. |
| Unknown |
Host com sistema operacional desconhecido. |
ProcessEntity
Representa uma entidade de processo.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Process |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.accountEntityId |
string |
O ID da entidade da conta que executa os processos. |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.commandLine |
string |
A linha de comando usada para criar o processo |
| properties.creationTimeUtc |
string (date-time) |
A hora em que o processo começou a ser executado |
| properties.elevationToken |
O token de elevação associado ao processo. |
|
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hostEntityId |
string |
O ID da entidade host na qual o processo estava sendo executado |
| properties.hostLogonSessionEntityId |
string |
O ID da entidade de sessão na qual o processo estava sendo executado |
| properties.imageFileEntityId |
string |
ID da entidade do arquivo de imagem |
| properties.parentProcessEntityId |
string |
A ID da entidade do processo pai. |
| properties.processId |
string |
O ID do processo |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
RegistryHive
O hive que contém a chave do Registro.
| Valor | Description |
|---|---|
| HKEY_LOCAL_MACHINE |
HKEY_LOCAL_MACHINE |
| HKEY_CLASSES_ROOT |
HKEY_CLASSES_ROOT |
| HKEY_CURRENT_CONFIG |
HKEY_CURRENT_CONFIG |
| HKEY_USERS |
HKEY_USERS |
| HKEY_CURRENT_USER_LOCAL_SETTINGS |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
| HKEY_PERFORMANCE_DATA |
HKEY_PERFORMANCE_DATA |
| HKEY_PERFORMANCE_NLSTEXT |
HKEY_PERFORMANCE_NLSTEXT |
| HKEY_PERFORMANCE_TEXT |
HKEY_PERFORMANCE_TEXT |
| HKEY_A |
HKEY_A |
| HKEY_CURRENT_USER |
HKEY_CURRENT_USER |
RegistryKeyEntity
Representa uma entidade de chave do Registro.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Registry |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.hive |
O hive que contém a chave do Registro. |
|
| properties.key |
string |
O caminho da chave do Registro. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
RegistryValueEntity
Representa uma entidade de valor do Registro.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Registry |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.keyEntityId |
string |
A ID da entidade da chave do Registro. |
| properties.valueData |
string |
Representação formatada em cadeia de caracteres dos dados do valor. |
| properties.valueName |
string |
O nome do valor do Registro. |
| properties.valueType |
Especifica os tipos de dados a serem usados ao armazenar valores no Registro ou identifica o tipo de dados de um valor no Registro. |
|
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
RegistryValueKind
Especifica os tipos de dados a serem usados ao armazenar valores no Registro ou identifica o tipo de dados de um valor no Registro.
| Valor | Description |
|---|---|
| None |
Nenhum |
| Unknown |
Tipo de valor desconhecido |
| String |
Tipo de valor de cadeia de caracteres |
| ExpandString |
Tipo de valor ExpandString |
| Binary |
Tipo de valor binário |
| DWord |
Tipo de valor DWord |
| MultiString |
Tipo de valor MultiString |
| QWord |
Tipo de valor QWord |
SecurityAlert
Representa uma entidade de alerta de segurança.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind | string: |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.alertDisplayName |
string |
O nome para exibição do alerta. |
| properties.alertLink |
string |
O link uri do alerta. |
| properties.alertType |
string |
O nome do tipo de alerta. |
| properties.compromisedEntity |
string |
Nome de apresentação da entidade principal reportada. |
| properties.confidenceLevel |
O nível de confiança deste alerta. |
|
| properties.confidenceReasons |
As razões da confiança |
|
| properties.confidenceScore |
number (double) |
O índice de confiança do alerta. |
| properties.confidenceScoreStatus |
O status do cálculo da pontuação de confiança, ou seja, indicando se o cálculo da pontuação está pendente para este alerta, não aplicável ou final. |
|
| properties.description |
string |
Descrição do alerta. |
| properties.endTimeUtc |
string (date-time) |
A hora de fim do impacto do alerta (a hora do último evento que contribui para o alerta). |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.intent |
Mantém o(s) estágio(s) de intenção do(s) alerta(s) mapeando(m) esse alerta. |
|
| properties.processingEndTime |
string (date-time) |
A hora em que o alerta foi disponibilizado para consumo. |
| properties.productComponentName |
string |
O nome de um componente dentro do produto que gerou o alerta. |
| properties.productName |
string |
O nome do produto que publicou este alerta. |
| properties.productVersion |
string |
A versão do produto que gera o alerta. |
| properties.providerAlertId |
string |
O identificador do alerta dentro do produto que gerou o alerta. |
| properties.remediationSteps |
string[] |
Itens de ação manual a serem tomados para corrigir o alerta. |
| properties.resourceIdentifiers |
object[] |
A lista de identificadores de recursos do alerta. |
| properties.severity |
A gravidade do alerta |
|
| properties.startTimeUtc |
string (date-time) |
A hora de início do impacto do alerta (a hora do primeiro evento que contribui para o alerta). |
| properties.status |
O status do ciclo de vida do alerta. |
|
| properties.systemAlertId |
string |
Contém o identificador de produto do alerta para o produto. |
| properties.tactics |
As táticas do alerta |
|
| properties.timeGenerated |
string (date-time) |
A hora em que o alerta foi gerado. |
| properties.vendorName |
string |
O nome do fornecedor que gera o alerta. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
SecurityGroupEntity
Representa uma entidade de grupo de segurança.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Security |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.distinguishedName |
string |
O nome distinto do grupo |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.objectGuid |
string (uuid) |
Um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory. |
| properties.sid |
string |
O atributo SID é um atributo de valor único que especifica o identificador de segurança (SID) do grupo |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
SubmissionMailEntity
Representa uma entidade de email de envio.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Submission |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.networkMessageId |
string (uuid) |
O ID da mensagem de rede do e-mail ao qual o envio pertence |
| properties.recipient |
string |
O destinatário do e-mail |
| properties.reportType |
string |
O tipo de envio para a instância dada. Isso mapeia para Junk, Phish, Malware ou NotJunk. |
| properties.sender |
string |
O remetente do e-mail |
| properties.senderIp |
string |
O IP do remetente |
| properties.subject |
string |
O assunto do e-mail de submissão |
| properties.submissionDate |
string (date-time) |
A data de apresentação |
| properties.submissionId |
string (uuid) |
O ID de submissão |
| properties.submitter |
string |
O transmitente |
| properties.timestamp |
string (date-time) |
O carimbo de data/hora quando a mensagem é recebida (Mail) |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
systemData
Metadados referentes à criação e última modificação do recurso.
| Name | Tipo | Description |
|---|---|---|
| createdAt |
string (date-time) |
O carimbo de data/hora da criação de recursos (UTC). |
| createdBy |
string |
A identidade que criou o recurso. |
| createdByType |
O tipo de identidade que criou o recurso. |
|
| lastModifiedAt |
string (date-time) |
O carimbo de data/hora da última modificação do recurso (UTC) |
| lastModifiedBy |
string |
A identidade que modificou o recurso pela última vez. |
| lastModifiedByType |
O tipo de identidade que modificou o recurso pela última vez. |
ThreatIntelligence
Bolsa de propriedade ThreatIntelligence.
| Name | Tipo | Description |
|---|---|---|
| confidence |
number (double) |
Confiança (deve estar entre 0 e 1) |
| providerName |
string |
Nome do provedor de quem essas informações de Threat Intelligence foram recebidas |
| reportLink |
string |
Link do relatório |
| threatDescription |
string |
Descrição da ameaça (texto livre) |
| threatName |
string |
Nome da ameaça (por exemplo, "malware Jedobot") |
| threatType |
string |
Tipo de ameaça (por exemplo, "Botnet") |
UrlEntity
Representa uma entidade url.
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| kind |
string:
Url |
O tipo de entidade. |
| name |
string |
O nome do recurso |
| properties.additionalData |
object |
Um saco de campos personalizados que deve fazer parte da entidade e será apresentado ao utilizador. |
| properties.friendlyName |
string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
| properties.url |
string |
Um URL completo para o qual a entidade aponta |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
UserInfo
Informações do usuário que fizeram alguma ação
| Name | Tipo | Description |
|---|---|---|
|
string |
O e-mail do usuário. |
|
| name |
string |
O nome do usuário. |
| objectId |
string (uuid) |
O id do objeto do usuário. |
Value
Os valores do resultado da expansão.
| Name | Tipo | Description |
|---|---|---|
| edges |
Matriz de entidades conectadas ao resultado da expansão |
|
| entities |
Entity[]:
|
Matriz das entidades de resultado da expansão. |