Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот документ содержит два набора сведений о сущностях и типах сущностей в Microsoft Sentinel на портале Azure и Microsoft Sentinel на портале Defender.
- В таблице " Типы сущностей и идентификаторы " показаны различные типы сущностей , которые можно определить в оповещениях и инцидентах, что позволяет отслеживать и исследовать их. В таблице также показаны различные идентификаторы для каждого типа сущности, которые можно использовать для идентификации сущности.
- Раздел «Схема сущности » показывает структуру данных и схему для сущностей в целом и для каждого типа сущностей в частности.
Important
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Типы сущностей и идентификаторы
В следующей таблице показаны типы сущностей , которые Microsoft Sentinel может распознать, а также атрибуты , которые могут использоваться в качестве идентификаторов для каждого типа сущности.
Microsoft Sentinel распознаёт сущности в оповещениях и инцидентах, возникающих в результате отображения сущностей в аналитических правилах. Он также распознает сущности, уже идентифицированные в оповещениях, полученных из других источников.
В настоящее время при создании сопоставления сущностей в Microsoft Sentinel можно использовать до трех идентификаторов. Только сильные идентификаторы достаточно для уникальной идентификации сущности, тогда как слабые могут делать это только в сочетании с другими идентификаторами. Дополнительные сведения о сильных и слабых идентификаторах. Большинство, но не все идентификаторы в этой таблице можно использовать при создании сопоставлений сущностей в Microsoft Sentinel (см. сноски).
| Тип объекта | Identifiers | Сильные идентификаторы | Слабые идентификаторы |
|---|---|---|---|
| Account | Name Полное имя * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Name+UPNSuffix AADUserId Ид безопасности ** Сид+Хост** Имя+Хост+NTDomain ** Имя+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName Полное имя * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Тип сущности | Identifiers | Сильные идентификаторы | Слабые идентификаторы |
| IP | Address AddressScope |
Глобальный адрес: Адрес** Личный адрес: Адрес + Адресная область** |
Личный адрес: Адрес** |
| URL | Url | URL-адрес (если абсолютный URL-адрес)** | URL-адрес (если относительный URL-адрес)** |
|
Ресурс Azure (AzureResource) |
ResourceId | ResourceId | |
|
Облачное приложение (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
Разрешение DNS (DNS) |
DomainName | DomainName+DnsServerIp+ | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
Хэш файла (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| Тип сущности | Identifiers | Сильные идентификаторы | Слабые идентификаторы |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Ведущий+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreateTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (без узла) ProcessId+CreationTimeUtc+ ImageFile (без хоста) |
|
Ключ реестра (RegistryKey) |
Hive Key |
Hive+Key | |
|
Значение реестра (RegistryValue) |
Name Value ValueType |
Key+Name | Имя (без ключа) |
|
Группа безопасности (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Тип сущности | Identifiers | Сильные идентификаторы | Слабые идентификаторы |
|
Почтовый кластер (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Почтовое сообщение (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Язык* Методы обнаружения угрозы * |
NetworkMessageId+Recipient | |
|
Письмо для подачи (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Сущности стражей | Entities | Entities |
Примечания к таблице:
- * Эти идентификаторы отображаются в списке идентификаторов, которые можно использовать в сопоставлении сущностей, но строго говоря, они не являются частью схемы сущности.
- ** Эти идентификаторы считаются строгими только в определенных условиях. Следуйте ссылкам звездочек, чтобы просмотреть условия, которые применяются, в списке соответствующих сущностей в разделе схем сущностей ниже.
- Курсивные имена идентификаторов (без звездочки) представляют внутренние сущности, что означает, что один тип сущности может иметь другие типы сущностей в качестве атрибутов (см. раздел схем сущностей ниже). Перейдите по ссылке идентификатора, чтобы просмотреть собственную схему внутренней сущности.
- Другие сущности могут присутствовать в схеме, которая является общей схемой, которая поддерживает много вещей, помимо Microsoft Sentinel. В этой статье перечислены только те сущности, которые доступны в Microsoft Sentinel.
Схемы типов сущностей
В следующем разделе содержатся более подробные сведения о полных схемах каждого типа сущности. Вы заметите, что многие из этих схем включают ссылки на другие типы сущностей. Например, схема учетной записи содержит ссылку на тип сущности узла, так как один атрибут учетной записи пользователя является узлом, на котором он определен. Эти сущности как атрибуты называются "внутренними сущностями", и их нельзя использовать в качестве идентификаторов для сопоставления сущностей, но они очень полезны при предоставлении полной картины сущностей на страницах сущностей и графе исследования.
Note
Вопросительный знак после значения в столбце Тип указывает на то, что поле обнулено.
Список схем типов сущностей
- Account
- Host
- IP
- Malware
- File
- Process
- Облачное приложение
- Разрешение DNS
- Ресурс Azure
- Хэш файла
- Раздел реестра
- Значение реестра
- Группа безопасности
- URL
- Устройство IoT
- Mailbox
- Почтовый кластер
- Почтовое сообщение
- Письмо для подачи
- Сущности стражей
Account
Имя сущности: учетная запись
| Field | Type | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | Имя учетной записи. Это поле должно содержать только имя, без домена. |
| FullName | -- | Не является частью схемы, включенной для обратной совместимости со старой версией сопоставления сущностей. |
| NTDomain | String | Доменное имя NETBIOS, отображаемое в формате генерации оповещений— домен\имя пользователя. Примеры: Финансы, СЕВЕРНАЯ ТЕРРИТОРИЯ ВЛАСТИ |
| DnsDomain | String | Полное доменное DNS-имя. Примеры: finance.contoso.com |
| UPNSuffix | String | Суффикс имени субъекта-пользователя для учетной записи. Во многих случаях Суффикс имени участника-пользователя также является доменным именем. Примеры: contoso.com |
| Host | Сущность (Хост) | Узел, содержащий учетную запись, если это локальная учетная запись. |
| Sid | String | Идентификатор безопасности учетной записи. |
| AadTenantId | Guid? | Идентификатор клиента Microsoft Entra, если он известен. |
| AadUserId | Guid? | Идентификатор объекта учетной записи Microsoft Entra, если он известен. |
| PUID | Guid? | Идентификатор пользователя Microsoft Entra Passport, если он известен. |
| IsDomainJoined | Bool? | Указывает, является ли учетная запись учетной записью домена. |
| DisplayName | -- | Не является частью схемы, включенной для обратной совместимости со старой версией сопоставления сущностей. |
| ObjectGuid | Guid? | ObjectGUID — это атрибут с одним значением, который является уникальным идентификатором объекта, назначаемого Active Directory. |
| CloudAppAccountId | String | AccountID в оповещениях от поставщика CloudApp. Ссылается на идентификаторы учетных записей в сторонних приложениях, которые не поддерживаются в других продуктах Майкрософт. |
| IsAnonymized | Bool? | Указывает, является ли имя пользователя анонимным. Optional. Значение по умолчанию: false. |
| Stream | Stream | Источник журналов обнаружения, связанных с конкретной учетной записью. Optional. |
Надежные идентификаторы сущности учетной записи
- Имя + суффикс UPNSuffix
- AadUserId
-
Sid
** Этот идентификатор силён, если счет не является одним из встроенных счетов, указанных в примечании ниже. -
Сид + Хозяин
** Если аккаунт является одним из встроенных аккаунтов, указанных в примечании ниже, компонент хоста обязан сделать этот идентификатор сильным. -
Имя + NTDomain
** Это строгое сочетание, если учетная запись является учетной записью домена, так как NTDomain не является встроенным доменом или рабочей группой и отличается от имени узла. В этом случае это надежный идентификатор даже без компонента узла. -
Имя + NTDomain + Хозяин
** Компонент узла необходим для создания строгого идентификатора, если учетная запись является локальной учетной записью, то есть NTDomain является встроенным доменом или рабочей группой. - Имя + DnsDomain
- PUID
- ObjectGuid
Слабые идентификаторы сущности учетной записи
- Name
Note
Если сущность аккаунта определена с помощью идентификатора имени , и значение имени конкретной сущности является одним из следующих общих, часто встроенных имён аккаунтов, то эта сущность будет удалена из своего оповещения.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- АУТЕНТИФИЦИРОВАННЫЙ ПОЛЬЗОВАТЕЛЬ
- NETWORK
- NULL
- ЛОКАЛЬНАЯ СИСТЕМА
- LOCALSYSTEM
- СЕТЕВАЯ СЛУЖБА
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Host
Имя сущности: узел
| Field | Type | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | Сущность списка<(IP)> | Список всех IP-интерфейсов на хост-компьютере. |
| DnsDomain | String | Домен DNS, к которому принадлежит этот узел. Должен содержать полный DNS-суффикс для домена, если он известен. |
| NTDomain | String | Домен NT, к которому принадлежит этот узел. |
| HostName | String | Имя узла без суффикса домена. |
| NetBiosName | String | Имя узла (до выпуска Windows 2000). |
| IoTDevice | Сущность (IoT-устройство) | Сущность устройства Интернета вещей (если этот узел представляет устройство Интернета вещей). |
| AzureID | String | Идентификатор ресурса виртуальной машины, если он известен. |
| OMSAgentID | String | Идентификатор агента OMS, если на узле установлен агент OMS. |
| OSFamily | Enum? | Одно из следующих значений: |
| OSVersion | String | Описание операционной системы в виде произвольного текста. Это поле предназначено для хранения конкретных версий, которые более детализированы, чем OSFamily, или для хранения будущих значений, не поддерживаемых текущим перечислением OSFamily. |
| IsDomainJoined | Bool | Указывает, принадлежит ли этот узел домену. |
Надежные идентификаторы сущности узла
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Слабые идентификаторы сущности узла
- HostName
- NetBiosName
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
IP
Имя сущности: IP-адрес
| Field | Type | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | IP-адрес в виде строки (в IPv4 или IPv6). Примеры: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | String | Имя узла, подсети или частной сети для частных, не глобальных IP-адресов. Значение NULL или пусто для глобальных IP-адресов (по умолчанию). Примеры: /27, 255.255.255.128 |
| Location | GeoLocation | Контекст географического расположения, связанный с сущностью IP. Дополнительные сведения см. в статье "Обогащение сущностей в Microsoft Sentinel с данными геолокации с помощью REST API (общедоступная предварительная версия)". |
| Stream | Stream | Источник журналов обнаружения, связанных с конкретным IP-адресом. Optional. |
Надежные идентификаторы сущности IP
-
Address
Если IP-адрес является глобальным, идентификатор адреса сам по себе является уникальным, строгим идентификатором. -
Address + AddressScope
Для частных или внутренних, не глобальных IP-адресов компонент AddressScope требуется, чтобы сделать этот надежный идентификатор.
Слабые идентификаторы сущности IP
-
Address
Идентификатор адреса сам по себе является слабым идентификатором, если IP-адрес является частным или внутренним, не глобальным IP-адресом.
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Malware
Имя сущности: вредоносные программы
| Field | Type | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | Имя вредоносных программ, назначенное поставщиком (обнаружение?), например Win32/Toga!rfn. |
| Category | String | Например, категория вредоносных программ, назначенная поставщиком (обнаружение?). Trojan. |
| Files | Сущность списка<(файл)> | Список связанных сущностей File, в которых обнаружена вредоносная программа. Может содержать встроенные сущности File или ссылки на них. См. сущность Файла для получения дополнительной информации о структуре. |
| Processes | Список<сущности (процесс)> | Список связанных сущностей Process, в которых обнаружена вредоносная программа. Он часто будет использоваться при активации оповещения о бесфайловых действиях. См. сущность процесса для получения дополнительной информации о структуре. |
Надежные идентификаторы сущности вредоносных программ
- Имя + категория
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
File
Имя сущности: файл
| Field | Type | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | Полный путь к файлу. |
| Name | String | Имя файла без пути (некоторые оповещения могут не содержать путь). |
| AlternateDataStreamName | String | Имя потока файлов в файловой системе NTFS (null для основного потока). |
| Host | Сущность (Хост) | Узел, на котором был сохранен файл. |
| HostUrl | Сущность (URL) | URL-адрес, из которого был скачан файл (Марк веб-сайта). |
| WindowsSecurityZoneType | WindowsSecurityZone | Безопасность Windows зона, к которой принадлежит URL-адрес (Марк веб-сайта). |
| ReferrerUrl | Сущность (URL) | URL-адрес ссылки на скачивание HTTP-запроса на скачивание файла (Марк веб-сайта). |
| SizeInBytes | Long? | Размер файла в байтах. |
| FileHashes | Сущность списка<(FileHash)> | Хэши, связанные с этим файлом. |
Надежные идентификаторы сущности файла
- Имя и каталог
- Имя + FileHash
- Имя + Каталог + FileHash
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Process
Имя сущности: процесс
| Field | Type | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | Идентификатор процесса. |
| CommandLine | String | Командная строка, используемая для создания процесса. |
| ElevationToken | Enum? | Маркер повышения привилегий, связанный с этим процессом. Возможные значения: |
| CreationTimeUtc | DateTime? | Время запуска процесса. |
| ImageFile | Сущность (файл) | Может содержать встроенную сущность File или ссылку на нее. См. сущность Файла для получения дополнительной информации о структуре. |
| Account | Субъект (счет) | Учетная запись, в которой выполняются процессы. Может содержать встроенную сущность Account или ссылку на нее. Подробнее о структуре см. раздел «Счётная организация». |
| ParentProcess | Сущность (процесс) | Родительская сущность процесса. Может содержать частичные данные, например только piD. |
| Host | Сущность (Хост) | Узел, на котором выполнялся процесс. |
| LogonSession | Сущность (HostLogonSession) | Сеанс, в котором выполнялся процесс. |
Надежные идентификаторы сущности процесса
- Host + ProcessId + CreateTimeUtc
- Хозяин + ParentProcessId + CreateTimeUtc + CommandLine
- Host + ProcessId + CreateTimeUtc + ImageFile
- Host + ProcessId + CreateTimeUtc + ImageFile.FileHash
Слабые идентификаторы сущности процесса
- ProcessId + CreationTimeUtc + CommandLine (без Host);
- ProcessId + CreationTimeUtc + ImageFile (без хоста)
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Облачное приложение
Имя сущности: CloudApplication
| Field | Type | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | Устаревшие; вместо этого используйте поле SaasId. Технический идентификатор приложения. Возможные значения — это значения, определенные в списке идентификаторов облачных приложений. Ценность — опционально. Не должен содержать InstanceId. |
| SaasId | Int | Заменяет нерекомендуемое поле AppId. Технический идентификатор приложения. Возможные значения — это значения, определенные в списке идентификаторов облачных приложений. Ценность — опционально. Не должен содержать InstanceId. |
| Name | String | Имя связанного облачного приложения. Ценность — опционально. |
| InstanceName | String | Определяемое пользователем имя экземпляра облачного приложения. Часто он используется для различения нескольких приложений одного типа у клиента. |
| InstanceId | Int | Идентификатор конкретного сеанса приложения. Это отсчитываемый от нуля номер. Ценность — опционально. |
| Risk | AppRisk? | позволяет фильтровать приложения по оценке риска, например, сосредоточиться только на самых ненадежных приложениях. Возможные значения, такие как Low, Medium, High или Unknown. |
| Stream | Stream | Источник журналов обнаружения, связанных с конкретным облачным приложением. Optional. |
Надежные идентификаторы сущности облачного приложения
- AppId (без имени экземпляра)
- Имя (без имени экземпляра)
- AppId + InstanceName
- Имя и имя экземпляра
Список идентификаторов облачных приложений
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Разрешение DNS
Имя сущности: DNS
| Field | Type | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | Имя записи DNS, связанной с оповещением. |
| IpAddress | Список<сущностей (IP)> | Сущности, соответствующие разрешенным IP-адресам. |
| DnsServerIp | Сущность (IP) | Сущность, представляющая DNS-сервер, который разрешает запрос. |
| HostIpAddress | Сущность (IP) | Сущность, представляющая клиент запроса DNS. |
Надежные идентификаторы сущности DNS
- DomainName + DnsServerIp +
Слабые идентификаторы сущности DNS
- Доменное имя + HostIpAddress
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Ресурс Azure
Имя сущности: AzureResource
| Field | Type | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | Идентификатор ресурса Azure. Mandatory. |
| SubscriptionId | String | Идентификатор подписки ресурса. |
| ActiveContacts | Список<ActiveContact> | Активные контакты, связанные с ресурсом. |
| ResourceType | String | Тип ресурса. |
| ResourceName | String | Имя ресурса. |
Надежные идентификаторы сущности ресурса Azure
- ResourceId
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Хэш файла
Имя сущности: FileHash
| Field | Type | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | Тип алгоритма хэширования. Mandatory. Возможные значения: |
| Value | String | Хэш-значение. Mandatory. |
Надежные идентификаторы сущности хэша файлов
- Алгоритм + значение
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Ключ реестра
Имя сущности: RegistryKey
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | Одно из следующих значений: |
| Key | String | Путь к разделу реестра. |
Надежные идентификаторы сущности раздела реестра
- Улей + Ключ
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Значение реестра
Имя сущности: RegistryValue
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Сущность (Хост) | Узел, к которому принадлежит реестр. |
| Key | Сущность (RegistryKey) | Сущность раздела реестра. |
| Name | String | Имя значения реестра. |
| Value | String | Представление данных значения в формате строки. |
| ValueType | Enum? | Одно из следующих значений: Значения должны соответствовать перечислению Microsoft.Win32.RegistryValueKind. |
Надежные идентификаторы сущности значения реестра
- Ключ + имя
Слабые идентификаторы сущности значения реестра
- Name (без Key).
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Группа безопасности
Имя сущности: SecurityGroup
| Field | Type | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | Различающееся имя группы. |
| SID | String | Атрибут с одним значением, указывающий идентификатор безопасности группы. |
| ObjectGuid | Guid? | Атрибут с одним значением, который является уникальным идентификатором объекта, назначенным Active Directory. |
Надежные идентификаторы сущности группы безопасности
- DistinguishedName
- SID
- ObjectGuid
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
URL
Имя сущности: URL-адрес
| Field | Type | Description |
|---|---|---|
| Type | String | 'url' |
| Url | Uri | Полный URL-адрес, на который указывает сущность. Mandatory. |
Надежные идентификаторы сущности URL-адреса
- URL (** Этот идентификатор силён, когда URL является абсолютным URL.)
Слабые идентификаторы сущности URL-адреса
- URL-адрес (** Этот идентификатор слаб, если URL-адрес является относительным URL-адресом.)
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Устройство Интернета вещей
Имя сущности: IoTDevice
| Field | Type | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | Сущность AzureResource, представляющая Центр Интернета вещей, к которому принадлежит устройство. |
| DeviceId | String | Идентификатор устройства в контексте Центра Интернета вещей. Mandatory. |
| DeviceName | String | Понятное имя устройства. |
| Owners | Строка списка<> | Владельцы устройства. |
| IoTSecurityAgentId | Guid? | Идентификатор агента Defender для Интернета вещей , запущенного на устройстве. |
| DeviceType | String | Тип устройства ( "temperature sensor", "freezer", "wind turbine" и т. д.). |
| DeviceTypeId | String | Уникальный идентификатор для идентификации каждого типа устройства в соответствии со схемой типа устройства, так как сам тип устройства является отображаемым именем и не является надежным в сравнениях. Возможные значения: Неклассифицировано = 0 Прочие значения = 1 Сетевое устройство = 2 Принтер = 3 Аудио и видео = 4 Медиа и наблюдение = 5 Связь = 7 Умное устройство = 9 Рабочая станция = 10 Сервер = 11 Мобильный = 12 Умный объект = 13 Промышленность = 14 Операционное оборудование = 15 |
| Source | String | Источник сущности устройства (корпорация Майкрософт или другой поставщик). |
| SourceRef | Сущность (URL) | Ссылка (URL-адрес) на исходный элемент, используемый для управления устройством. |
| Manufacturer | String | Производитель устройства. |
| Model | String | Модель устройства. |
| OperatingSystem | String | Операционная система, выполняемая на устройстве. |
| IpAddress | Сущность (IP) | Текущий IP-адрес устройства. |
| MacAddress | String | MAC-адрес устройства. |
| Nics | Сущность (Ник) | Текущие сетевые адаптеры на устройстве. |
| Protocols | Строка списка<> | Список протоколов, поддерживаемых устройством. |
| SerialNumber | String | Серийный номер устройства. |
| Site | String | Расположение сайта устройства. |
| Zone | String | Расположение зоны устройства на сайте. |
| Sensor | String | Датчик отслеживает устройство. |
| Importance | Enum? | Одно из следующих значений: |
| PurdueLayer | String | Слой Purdue устройства. |
| IsProgramming | Bool? | Указывает, классифицируется ли устройство как программирование. |
| IsAuthorized | Bool? | Указывает, классифицируется ли устройство как авторизованное устройство. |
| IsScanner | Bool? | Указывает, классифицируется ли устройство сканера. |
| DevicePageLink | Сущность (URL) | URL-адрес страницы устройства на портале Defender для Интернета вещей. |
| DeviceSubType | String | Имя подтипа устройства. |
Надежные идентификаторы сущности устройства Интернета вещей
- IoTHub + DeviceId
Слабые идентификаторы сущности устройства Интернета вещей
- DeviceId (без IoTHub);
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Mailbox
Имя сущности: почтовый ящик
| Field | Type | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | Основной адрес почтового ящика. |
| DisplayName | String | Отображаемое имя почтового ящика. |
| Upn | String | Имя участника-пользователя почтового ящика. |
| AadId | String | Идентификатор azure AD почтового ящика пользователя. |
| RiskLevel | RiskLevel (целое число) | Уровень риска этого почтового ящика. Возможные значения: |
| ExternalDirectoryObjectId | Guid? | Идентификатор AzureAD почтового ящика. Аналогичен AadUserId в сущности Account, но это свойство относится к объекту Mailbox на стороне Office. |
Надежные идентификаторы сущности почтового ящика
- MailboxPrimaryAddress
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Почтовый кластер
Имя сущности: MailCluster
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | Строка IList<> | Идентификаторы почтовых сообщений, которые являются частью почтового кластера. |
| CountByDeliveryStatus | IDictionary<String, Int> | Число почтовых сообщений по строковому представлению DeliveryStatus. |
| CountByThreatType | IDictionary<String, Int> | Число почтовых сообщений по строковому представлению ThreatType. |
| CountByProtectionStatus | IDictionary<String, long> | Количество сообщений почты по строке состояния защиты. |
| CountByDeliveryLocation | IDictionary<String, long> | Количество сообщений почты по строке расположения доставки. |
| Threats | Строка IList<> | Угрозы для почтовых сообщений, которые являются частью почтового кластера. |
| Query | String | Запрос, который использовался для определения сообщений почтового кластера. |
| QueryTime | DateTime? | Время запроса. |
| MailCount | Int? | Число почтовых сообщений, которые являются частью почтового кластера. |
| IsVolumeAnomaly | Bool? | Указывает, является ли почтовый кластер кластером аномалий тома. |
| Source | String | Источник почтового кластера (по умолчанию O365 ATP— ). |
Надежные идентификаторы сущности почтового кластера
- Запрос и источник
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Почтовое сообщение
Имя сущности: MailMessage
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | IList<Entity (файл)> | Сущности File вложений этого почтового сообщения. |
| Recipient | String | Получатель этого почтового сообщения. В случае нескольких получателей почтовое сообщение копируется, и для каждой копии задается один получатель. |
| Urls | Строка IList<> | URL-адреса, содержащиеся в этом почтовом сообщении. |
| Threats | Строка IList<> | Угрозы, содержащиеся в этом почтовом сообщении. |
| Sender | String | Электронный адрес отправителя. |
| SenderIP | String | IP-адрес отправителя. |
| ReceivedDate | DateTime | Дата получения этого сообщения. |
| NetworkMessageId | Guid? | Идентификатор сообщения сети для этого почтового сообщения. |
| InternetMessageId | String | Идентификатор сообщения Интернета для этого почтового сообщения. |
| Subject | String | Тема этого почтового сообщения. |
| AntispamDirection | Enum? | Направление этого почтового сообщения. Возможные значения: |
| DeliveryAction | Enum? | Действие доставки этого почтового сообщения. Возможные значения: |
| DeliveryLocation | Enum? | Расположение доставки этого почтового сообщения. Возможные значения: |
| CampaignId | String | Идентификатор кампании, в которой присутствует это почтовое сообщение. |
| SuspiciousRecipients | Строка IList<> | Список получателей, которые были обнаружены как подозрительные. |
| ForwardedRecipients | Строка IList<> | Список всех получателей на пересылаемой почте. |
| ForwardingType | Строка IList<> | Тип пересылки почты, например SMTP, ETR и т. д. |
Надежные идентификаторы сущности сообщения электронной почты
- NetworkMessageId + Получатель
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Отправка почты
Имя сущности: SubmissionMail
| Field | Type | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | Идентификатор отправки. |
| SubmissionDate | DateTime? | Указанные дата и время этой отправки. |
| Submitter | String | Адрес электронной почты отправителя. |
| NetworkMessageId | Guid? | Идентификатор сообщения сети для сообщения электронной почты, к которому относится отправка. |
| Timestamp | DateTime? | Метка времени получения почтового сообщения. |
| Recipient | String | Получатель сообщения. |
| Sender | String | Отправитель сообщения. |
| SenderIp | String | IP-адрес отправителя. |
| Subject | String | Тема отправки сообщения. |
| ReportType | String | Тип отправки для заданного экземпляра. Возможные значения: "Нежелательная почта", "Фишинг", "Вредоносные программы" или "NotJunk". |
Надежные идентификаторы сущности SubmissionMail
- SubmissionId, Submissioner, NetworkMessageId, Recipient
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Сущности стражей
| Field | Type | Description |
|---|---|---|
| Entities | String | Список сущностей, определенных в оповещении. Этот список — столбец сущностей из схемы SecurityAlert (см. документацию). |
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Идентификаторы облачных приложений
В следующем списке определены идентификаторы для известных облачных приложений. Значение App ID используется как идентификатор сущности облачного приложения .
| App ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive для бизнеса |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender для облачных приложений |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Адаллом CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Жизненный цикл Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype для бизнеса |
| 25988 | Документация Google |
| 26055 | Центр администрирования Microsoft 365 |
| 26060 | Шестерни OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Диск |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace от Facebook |
| 28373 | Эмулятор прокси-сервера CAS |
| 28375 | Microsoft Teams |
| 32780 | Майкрософт Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Дальнейшие шаги
Из этого документа вы узнали о структуре сущностей, идентификаторах и схеме в Microsoft Sentinel.
Узнайте больше о сущностях и их отображении.