Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот документ содержит два набора сведений о сущностях и типах сущностей в Microsoft Sentinel на портале Azure и Microsoft Sentinel на портале Defender.
- В таблице " Типы сущностей и идентификаторы " показаны различные типы сущностей , которые можно определить в оповещениях и инцидентах, что позволяет отслеживать и исследовать их. В таблице также показаны различные идентификаторы для каждого типа сущности, которые можно использовать для идентификации сущности.
- В разделе "Схема сущностей " показана структура данных и схема сущностей в целом и для каждого типа сущности, в частности.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Типы сущностей и идентификаторы
В следующей таблице показаны типы сущностей , которые можно распознать Microsoft Sentinel, и атрибуты , которые можно использовать в качестве идентификаторов для каждого типа сущности .
Microsoft Sentinel распознает сущности в оповещениях и инцидентах, созданных сопоставлением сущностей в правилах аналитики. Он также распознает сущности, уже идентифицированные в оповещениях, полученных из других источников.
В настоящее время при создании сопоставления сущностей в Microsoft Sentinel можно использовать до трех идентификаторов. Надежные идентификаторы достаточно для уникальной идентификации сущности, в то время как слабые идентификаторы могут сделать это только в сочетании с другими идентификаторами. Дополнительные сведения о сильных и слабых идентификаторах. Большинство, но не все идентификаторы в этой таблице можно использовать при создании сопоставлений сущностей в Microsoft Sentinel (см. сноски).
| Тип объекта | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
|---|---|---|---|
| Счет | Имя. FullName * NTDomain DNS-домен UPNSuffix Сергей AADTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Ид безопасности ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Имя. |
| Хозяин | DNS-домен NTDomain Имя хоста FullName * NetBiosName AzureID OMSAgentID OSFamily Версия ОС IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Имя хоста NetBiosName |
| Тип сущности | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
| Протокол IP | Адрес AddressScope |
Глобальный адрес: Адрес** Частный адрес: Address+AddressScope** |
Частный адрес: Адрес** |
| URL-адрес | URL | URL-адрес (если абсолютный URL-адрес)** | URL-адрес (если относительный URL-адрес)** |
|
Ресурс Azure (AzureResource) |
ResourceId (Идентификатор ресурса) | ResourceId (Идентификатор ресурса) | |
|
Облачное приложение (CloudApplication) |
AppId Имя. ИмяЭкземпляра |
AppId Имя. AppId+InstanceName Name+InstanceName |
|
|
Разрешение DNS (DNS) |
Имя домена | DomainName+DnsServerIp+ | DomainName+HostIpAddress |
| Файл | Каталог Имя. |
Directory+Name | |
|
Хэш файлов (FileHash) |
Алгоритм Значение |
Алгоритм+значение | |
| Вредоносные программы | Имя. Категория |
Name+Category | |
| Тип сущности | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
| Процесс | ProcessId (Идентификатор процесса) Командная строка ElevationToken CreationTimeUtc |
Host+ProcessID+CreateTimeUtc Хозяин+ParentProcessId+ CreateTimeUtc+CommandLine Host+ProcessId+ CreateTimeUtc+ImageFile Host+ProcessId+ CreateTimeUtc+ImageFile+ FileHash |
ProcessId+CreateTimeUtc+ CommandLine (без узла) ProcessId+CreateTimeUtc+ ImageFile (без узла) |
|
Раздел реестра (RegistryKey) |
Куст Ключ. |
Hive+Key | |
|
Значение реестра (RegistryValue) |
Имя. Значение Тип значения |
Key+Name | Имя (без ключа) |
|
Группа безопасности (SecurityGroup) |
Различающееся имя. Ид безопасности ObjectGuid |
Различающееся имя. Ид безопасности ObjectGuid |
|
| Почтовый ящик | MailboxPrimaryAddress Отображаемое имя Upn ExternalDirectoryObjectId Уровень риска |
MailboxPrimaryAddress | |
| Тип сущности | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
|
Почтовый кластер (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Угрозы Запрос QueryTime MailCount IsVolumeAnomaly Исходный код ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Почтовое сообщение (MailMessage) |
Получатель URL-адреса Угрозы Отправитель P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId (ИД сетевого сообщения) ID сообщения в интернете Тема BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction Место доставки Язык* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Отправка почты (SubmissionMail) |
NetworkMessageId (ИД сетевого сообщения) Метка времени Получатель Отправитель Отправитель Тема Тип отчета SubmissionId ОтправкаDate Отправитель |
SubmissionId+NetworkMessageId+ Получатель и получатель |
|
| Сущности Sentinel | Сущности | Сущности |
Сноски таблицы:
- * Эти идентификаторы отображаются в списке идентификаторов, которые можно использовать в сопоставлении сущностей, но строго говоря, они не являются частью схемы сущности.
- ** Эти идентификаторы считаются строгими только в определенных условиях. Следуйте ссылкам звездочек, чтобы просмотреть условия, которые применяются, в списке соответствующих сущностей в разделе схем сущностей ниже.
- Курсивные имена идентификаторов (без звездочки) представляют внутренние сущности, что означает, что один тип сущности может иметь другие типы сущностей в качестве атрибутов (см. раздел схем сущностей ниже). Перейдите по ссылке идентификатора, чтобы просмотреть собственную схему внутренней сущности.
- Другие сущности могут присутствовать в схеме, которая является общей схемой, которая поддерживает много вещей, помимо Microsoft Sentinel. В этой статье перечислены только те сущности, которые доступны в Microsoft Sentinel.
Схемы типов сущностей
В следующем разделе содержатся более подробные сведения о полных схемах каждого типа сущности. Вы заметите, что многие из этих схем включают ссылки на другие типы сущностей. Например, схема учетной записи содержит ссылку на тип сущности узла, так как один атрибут учетной записи пользователя является узлом, на котором он определен. Эти сущности как атрибуты называются "внутренними сущностями", и их нельзя использовать в качестве идентификаторов для сопоставления сущностей, но они очень полезны при предоставлении полной картины сущностей на страницах сущностей и графе исследования.
Примечание.
Вопросительный знак, следующий за значением в столбце Type , указывает, что поле может иметь значение NULL.
Список схем типов сущностей
- Счет
- Хозяин
- Протокол IP
- Вредоносные программы
- Файл
- Процесс
- Облачное приложение
- Разрешение DNS
- Ресурс Azure
- Хэш файлов
- Раздел реестра
- Значение реестра
- Группа безопасности
- URL-адрес
- Устройство Интернета вещей
- Почтовый ящик
- Почтовый кластер
- Почтовое сообщение
- Отправка почты
- Сущности Sentinel
Учетная запись
Имя сущности: учетная запись
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "account" |
| Имя | Строка | Имя учетной записи. Это поле должно содержать только имя, без домена. |
| FullName | -- | Не является частью схемы, включенной для обратной совместимости со старой версией сопоставления сущностей. |
| NTDomain | Строка | Доменное имя NETBIOS, отображаемое в формате генерации оповещений— домен\имя пользователя. Примеры: Финансы, NT AUTHORITY |
| DnsDomain | Строка | Полное доменное DNS-имя. Примеры: finance.contoso.com |
| UPNSuffix | Строка | Суффикс имени субъекта-пользователя для учетной записи. Во многих случаях Суффикс имени участника-пользователя также является доменным именем. Примеры: contoso.com |
| Хозяин | Сущность (узел) | Узел, содержащий учетную запись, если это локальная учетная запись. |
| Ид безопасности | Строка | Идентификатор безопасности учетной записи. |
| AadTenantId | Guid? | Идентификатор клиента Microsoft Entra, если он известен. |
| AadUserId | Guid? | Идентификатор объекта учетной записи Microsoft Entra, если он известен. |
| PUID | Guid? | Идентификатор пользователя Microsoft Entra Passport, если он известен. |
| IsDomainJoined | Бул? | Указывает, является ли учетная запись учетной записью домена. |
| DisplayName | -- | Не является частью схемы, включенной для обратной совместимости со старой версией сопоставления сущностей. |
| ObjectGuid | Guid? | ObjectGUID — это атрибут с одним значением, который является уникальным идентификатором объекта, назначаемого Active Directory. |
| CloudAppAccountId | Строка | AccountID в оповещениях от поставщика CloudApp. Ссылается на идентификаторы учетных записей в сторонних приложениях, которые не поддерживаются в других продуктах Майкрософт. |
| IsAnonymized | Бул? | Указывает, является ли имя пользователя анонимным. Необязательно. Значение по умолчанию: false. |
| Поток | Поток | Источник журналов обнаружения, связанных с конкретной учетной записью. Необязательно. |
Надежные идентификаторы сущности учетной записи
- Name + UPNSuffix
- AadUserId
-
Ид безопасности
** Этот идентификатор является сильным, если учетная запись не является одной из встроенных учетных записей, перечисленных в примечание ниже. -
Sid + Host
** Если учетная запись является одной из встроенных учетных записей, перечисленных в примечании ниже, компонент узла требуется, чтобы сделать этот идентификатор сильным. -
Name + NTDomain
** Это строгое сочетание, если учетная запись является учетной записью домена, так как NTDomain не является встроенным доменом или рабочей группой и отличается от имени узла. В этом случае это надежный идентификатор даже без компонента узла. -
Name + NTDomain + Host
** Компонент узла необходим для создания строгого идентификатора, если учетная запись является локальной учетной записью, то есть NTDomain является встроенным доменом или рабочей группой. - Name + DnsDomain
- PUID
- ObjectGuid
Слабые идентификаторы сущности учетной записи
- Имя.
Примечание.
Если сущность учетной записи определена с помощью идентификатора имени , а значение имени конкретной сущности является одним из следующих универсальных, обычно встроенных имен учетных записей, то эта сущность будет удалена из предупреждения.
- АДМИНИСТРАТОР
- АДМИНИСТРАТОР
- СИСТЕМА
- КОРЕНЬ
- АНОНИМНЫЙ
- ПРОШЕДШИЙ ПРОВЕРКУ ПОДЛИННОСТИ ПОЛЬЗОВАТЕЛЬ
- Сеть
- Отсутствует
- ЛОКАЛЬНАЯ СИСТЕМА
- ЛОКАЛЬНАЯ СИСТЕМА
- СЕТЕВАЯ СЛУЖБА
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Хост
Имя сущности: узел
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "host" |
| IpInterfaces | Перечисление<сущности (IP)> | Список всех IP-интерфейсов на хост-компьютере. |
| DnsDomain | Строка | Домен DNS, к которому принадлежит этот узел. Должен содержать полный DNS-суффикс для домена, если он известен. |
| NTDomain | Строка | Домен NT, к которому принадлежит этот узел. |
| Имя узла | Строка | Имя узла без суффикса домена. |
| NetBiosName | Строка | Имя узла (до выпуска Windows 2000). |
| IoTDevice | Сущность (устройство Интернета вещей) | Сущность устройства Интернета вещей (если этот узел представляет устройство Интернета вещей). |
| AzureID | Строка | Идентификатор ресурса виртуальной машины, если он известен. |
| OMSAgentID | Строка | Идентификатор агента OMS, если на узле установлен агент OMS. |
| OSFamily | Перечисление? | Одно из следующих значений: |
| OSVersion | Строка | Описание операционной системы в виде произвольного текста. Это поле предназначено для хранения конкретных версий, которые более детализированы, чем OSFamily, или для хранения будущих значений, не поддерживаемых текущим перечислением OSFamily. |
| IsDomainJoined | Булев | Указывает, принадлежит ли этот узел домену. |
Надежные идентификаторы сущности узла
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Слабые идентификаторы сущности узла
- Имя хоста
- NetBiosName
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
IP-адрес
Имя сущности: IP-адрес
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Ip |
| Адрес | Строка | IP-адрес в виде строки (в IPv4 или IPv6). Примеры: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Строка | Имя узла, подсети или частной сети для частных, не глобальных IP-адресов. Значение NULL или пусто для глобальных IP-адресов (по умолчанию). Примеры: /27, 255.255.255.128 |
| Местоположение | Геолокация | Контекст географического расположения, связанный с сущностью IP. Дополнительные сведения см. в статье "Обогащение сущностей в Microsoft Sentinel с данными геолокации с помощью REST API (общедоступная предварительная версия)". |
| Поток | Поток | Источник журналов обнаружения, связанных с конкретным IP-адресом. Необязательно. |
Надежные идентификаторы сущности IP
-
Адрес
Если IP-адрес является глобальным, идентификатор адреса сам по себе является уникальным, строгим идентификатором. -
Address + AddressScope
Для частных или внутренних, не глобальных IP-адресов компонент AddressScope требуется, чтобы сделать этот надежный идентификатор.
Слабые идентификаторы сущности IP
-
Адрес
Идентификатор адреса сам по себе является слабым идентификатором, если IP-адрес является частным или внутренним, не глобальным IP-адресом.
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Вредоносная программа
Имя сущности: вредоносные программы
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "вредоносные программы" |
| Имя | Строка | Имя вредоносных программ, назначенное поставщиком (обнаружение?), например Win32/Toga!rfn. |
| Категория | Строка | Например, категория вредоносных программ, назначенная поставщиком (обнаружение?). Троянский. |
| Файлы | Перечисление<сущности (файл)> | Список связанных сущностей File, в которых обнаружена вредоносная программа. Может содержать встроенные сущности File или ссылки на них. Дополнительные сведения о структуре см. в сущности файла . |
| Процессов | Перечисление<сущности (процесс)> | Список связанных сущностей Process, в которых обнаружена вредоносная программа. Он часто будет использоваться при активации оповещения о бесфайловых действиях. Дополнительные сведения о структуре см. в сущности Process . |
Надежные идентификаторы сущности вредоносных программ
- Имя + категория
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Файлы
Имя сущности: файл
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "file" |
| Каталог | Строка | Полный путь к файлу. |
| Имя | Строка | Имя файла без пути (некоторые оповещения могут не содержать путь). |
| AlternateDataStreamName | Строка | Имя потока файлов в файловой системе NTFS (null для основного потока). |
| Хозяин | Сущность (узел) | Узел, на котором был сохранен файл. |
| HostUrl | Сущность (URL-адрес) | URL-адрес, из которого был скачан файл (Марк веб-сайта). |
| WindowsSecurityZoneType | WindowsSecurityZone | Безопасность Windows зона, к которой принадлежит URL-адрес (Марк веб-сайта). |
| ReferrerUrl | Сущность (URL-адрес) | URL-адрес ссылки на скачивание HTTP-запроса на скачивание файла (Марк веб-сайта). |
| SizeInBytes | Длинный? | Размер файла в байтах. |
| FileHashes | Перечисление<сущности (FileHash)> | Хэши, связанные с этим файлом. |
Надежные идентификаторы сущности файла
- Имя и каталог
- Name + FileHash
- Name + Directory + FileHash
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Процедура
Имя сущности: процесс
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "Процесс" |
| ProcessId (Идентификатор процесса) | Строка | Идентификатор процесса. |
| CommandLine | Строка | Командная строка, используемая для создания процесса. |
| ElevationToken | Перечисление? | Маркер повышения привилегий, связанный с этим процессом. Возможные значения: |
| CreationTimeUtc | DateTime? | Время запуска процесса. |
| ImageFile | Сущность (файл) | Может содержать встроенную сущность File или ссылку на нее. Дополнительные сведения о структуре см. в сущности файла . |
| Счет | Сущность (учетная запись) | Учетная запись, в которой выполняются процессы. Может содержать встроенную сущность Account или ссылку на нее. Дополнительные сведения о структуре см. в сущности учетной записи . |
| ParentProcess | Сущность (процесс) | Родительская сущность процесса. Может содержать частичные данные, например только piD. |
| Хозяин | Сущность (узел) | Узел, на котором выполнялся процесс. |
| Вход В систему | Entity (HostLogonSession) | Сеанс, в котором выполнялся процесс. |
Надежные идентификаторы сущности процесса
- Host + ProcessId + CreateTimeUtc
- Хозяин + ParentProcessId + CreateTimeUtc + CommandLine
- Host + ProcessId + CreateTimeUtc + ImageFile
- Host + ProcessId + CreateTimeUtc + ImageFile.FileHash
Слабые идентификаторы сущности процесса
- ProcessId + CreationTimeUtc + CommandLine (без Host);
- ProcessId + CreateTimeUtc + ImageFile (и нет узла)
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Облачное приложение
Имя сущности: CloudApplication
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "cloud-application" |
| AppId | int | Устаревшие; вместо этого используйте поле SaasId. Технический идентификатор приложения. Возможные значения — это значения, определенные в списке идентификаторов облачных приложений. Необязательное значение. Не должен содержать InstanceId. |
| SaasId | int | Заменяет нерекомендуемое поле AppId. Технический идентификатор приложения. Возможные значения — это значения, определенные в списке идентификаторов облачных приложений. Необязательное значение. Не должен содержать InstanceId. |
| Имя | Строка | Имя связанного облачного приложения. Необязательное значение. |
| Имя экземпляра | Строка | Определяемое пользователем имя экземпляра облачного приложения. Часто он используется для различения нескольких приложений одного типа у клиента. |
| InstanceId | int | Идентификатор конкретного сеанса приложения. Это отсчитываемый от нуля номер. Необязательное значение. |
| Риск | AppRisk? | позволяет фильтровать приложения по оценке риска, например, сосредоточиться только на самых ненадежных приложениях. Возможные значения, такие как Low, Medium, High или Unknown. |
| Поток | Поток | Источник журналов обнаружения, связанных с конкретным облачным приложением. Необязательно. |
Надежные идентификаторы сущности облачного приложения
- AppId (без имени экземпляра)
- Имя (без имени экземпляра)
- AppId + InstanceName
- Имя и имя экземпляра
Список идентификаторов облачных приложений
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Разрешение DNS
Имя сущности: DNS
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "dns" |
| Имя домена | Строка | Имя записи DNS, связанной с оповещением. |
| IP-адрес | Перечисление<сущности (IP-адрес)> | Сущности, соответствующие разрешенным IP-адресам. |
| DnsServerIp | Entity (IP) | Сущность, представляющая DNS-сервер, который разрешает запрос. |
| HostIpAddress | Entity (IP) | Сущность, представляющая клиент запроса DNS. |
Надежные идентификаторы сущности DNS
- DomainName + DnsServerIp +
Слабые идентификаторы сущности DNS
- DomainName + HostIpAddress
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Ресурс Azure
Имя сущности: AzureResource
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Ресурс Azure. |
| ResourceId (Идентификатор ресурса) | Строка | Идентификатор ресурса Azure. Обязательно. |
| SubscriptionId | Строка | Идентификатор подписки ресурса. |
| ActiveContacts | Список<ActiveContact> | Активные контакты, связанные с ресурсом. |
| ТипРесурса | Строка | Тип ресурса. |
| Имя ресурса | Строка | Имя ресурса. |
Надежные идентификаторы сущности ресурса Azure
- ResourceId (Идентификатор ресурса)
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Хэш файла
Имя сущности: FileHash
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Хэш файла. |
| Алгоритм | Перечисление | Тип алгоритма хэширования. Обязательно. Возможные значения: |
| Ценность | Строка | Хэш-значение. Обязательно. |
Надежные идентификаторы сущности хэша файлов
- Алгоритм + значение
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Раздел реестра
Имя сущности: RegistryKey
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "registry-key" |
| Улей | Перечисление? | Одно из следующих значений: |
| Ключ | Строка | Путь к разделу реестра. |
Надежные идентификаторы сущности раздела реестра
- Hive + Key
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Значение реестра
Имя сущности: RegistryValue
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "registry-value" |
| Хозяин | Сущность (узел) | Узел, к которому принадлежит реестр. |
| Ключ | Entity (RegistryKey) | Сущность раздела реестра. |
| Имя | Строка | Имя значения реестра. |
| Ценность | Строка | Представление данных значения в формате строки. |
| ValueType | Перечисление? | Одно из следующих значений: Значения должны соответствовать перечислению Microsoft.Win32.RegistryValueKind. |
Надежные идентификаторы сущности значения реестра
- Ключ + имя
Слабые идентификаторы сущности значения реестра
- Name (без Key).
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Группа безопасности
Имя сущности: SecurityGroup
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Группа безопасности. |
| Различающееся имя | Строка | Различающееся имя группы. |
| Ид безопасности | Строка | Атрибут с одним значением, указывающий идентификатор безопасности группы. |
| ObjectGuid | Guid? | Атрибут с одним значением, который является уникальным идентификатором объекта, назначенным Active Directory. |
Надежные идентификаторы сущности группы безопасности
- Различающееся имя
- Ид безопасности
- ObjectGuid
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
URL-адрес
Имя сущности: URL-адрес
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | URL-адрес. |
| URL | URI-адрес | Полный URL-адрес, на который указывает сущность. Обязательно. |
Надежные идентификаторы сущности URL-адреса
- URL-адрес (** Этот идентификатор является строгим, если URL-адрес является абсолютным URL-адресом.)
Слабые идентификаторы сущности URL-адреса
- URL-адрес (** Этот идентификатор слаб, если URL-адрес является относительным URL-адресом.)
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Устройство Интернета вещей
Имя сущности: IoTDevice
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Устройство Интернета вещей. |
| IoTHub | Entity (AzureResource) | Сущность AzureResource, представляющая Центр Интернета вещей, к которому принадлежит устройство. |
| DeviceId | Строка | Идентификатор устройства в контексте Центра Интернета вещей. Обязательно. |
| Имя устройства | Строка | Понятное имя устройства. |
| Владельцы | Строка списка<> | Владельцы устройства. |
| IoTSecurityAgentId | Guid? | Идентификатор агента Defender для Интернета вещей , запущенного на устройстве. |
| DeviceType | Строка | Тип устройства ( "temperature sensor", "freezer", "wind turbine" и т. д.). |
| DeviceTypeId | Строка | Уникальный идентификатор для идентификации каждого типа устройства в соответствии со схемой типа устройства, так как сам тип устройства является отображаемым именем и не является надежным в сравнениях. Возможные значения: Неклассифицировано = 0 Прочие значения = 1 Сетевое устройство = 2 Принтер = 3 Аудио и видео = 4 Медиа и наблюдение = 5 Связь = 7 Smart Appliance = 9 Рабочая станция = 10 Сервер = 11 Mobile = 12 Smart Facility = 13 Industrial = 14 Операционное оборудование = 15 |
| Источник | Строка | Источник сущности устройства (корпорация Майкрософт или другой поставщик). |
| SourceRef | Сущность (URL-адрес) | Ссылка (URL-адрес) на исходный элемент, используемый для управления устройством. |
| Изготовитель | Строка | Производитель устройства. |
| Модель | Строка | Модель устройства. |
| Операционная система | Строка | Операционная система, выполняемая на устройстве. |
| IP-адрес | Entity (IP) | Текущий IP-адрес устройства. |
| MacAddress | Строка | MAC-адрес устройства. |
| Сетевые карты | Entity (Nic) | Текущие сетевые адаптеры на устройстве. |
| Протоколы | Строка списка<> | Список протоколов, поддерживаемых устройством. |
| SerialNumber | Строка | Серийный номер устройства. |
| Место | Строка | Расположение сайта устройства. |
| Зона | Строка | Расположение зоны устройства на сайте. |
| Датчик | Строка | Датчик отслеживает устройство. |
| Важность | Перечисление? | Одно из следующих значений: |
| PurdueLayer | Строка | Слой Purdue устройства. |
| IsProgramming | Бул? | Указывает, классифицируется ли устройство как программирование. |
| IsAuthorized | Бул? | Указывает, классифицируется ли устройство как авторизованное устройство. |
| IsScanner | Бул? | Указывает, классифицируется ли устройство сканера. |
| DevicePageLink | Сущность (URL-адрес) | URL-адрес страницы устройства на портале Defender для Интернета вещей. |
| DeviceSubType | Строка | Имя подтипа устройства. |
Надежные идентификаторы сущности устройства Интернета вещей
- IoTHub + DeviceId
Слабые идентификаторы сущности устройства Интернета вещей
- DeviceId (без IoTHub);
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Почтовый ящик
Имя сущности: почтовый ящик
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Почтовый ящик. |
| MailboxPrimaryAddress | Строка | Основной адрес почтового ящика. |
| ИмяДисплея | Строка | Отображаемое имя почтового ящика. |
| Upn | Строка | Имя участника-пользователя почтового ящика. |
| AadId | Строка | Идентификатор azure AD почтового ящика пользователя. |
| RiskLevel | RiskLevel? | Уровень риска этого почтового ящика. Возможные значения: |
| ExternalDirectoryObjectId | Guid? | Идентификатор AzureAD почтового ящика. Аналогичен AadUserId в сущности Account, но это свойство относится к объекту Mailbox на стороне Office. |
Надежные идентификаторы сущности почтового ящика
- MailboxPrimaryAddress
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Почтовый кластер
Имя сущности: MailCluster
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Почтовый кластер. |
| NetworkMessageIds | Строка IList<> | Идентификаторы почтовых сообщений, которые являются частью почтового кластера. |
| CountByDeliveryStatus | IDictionary<String, Int> | Число почтовых сообщений по строковому представлению DeliveryStatus. |
| CountByThreatType | IDictionary<String, Int> | Число почтовых сообщений по строковому представлению ThreatType. |
| CountByProtectionStatus | IDictionary<String, long> | Количество сообщений почты по строке состояния защиты. |
| CountByDeliveryLocation | IDictionary<String, long> | Количество сообщений почты по строке расположения доставки. |
| Угроз | Строка IList<> | Угрозы для почтовых сообщений, которые являются частью почтового кластера. |
| Запрос | Строка | Запрос, который использовался для определения сообщений почтового кластера. |
| QueryTime | DateTime? | Время запроса. |
| MailCount | Int? | Число почтовых сообщений, которые являются частью почтового кластера. |
| IsVolumeAnomaly | Бул? | Указывает, является ли почтовый кластер кластером аномалий тома. |
| Источник | Строка | Источник почтового кластера (по умолчанию O365 ATP— ). |
Надежные идентификаторы сущности почтового кластера
- Запрос и источник
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Почтовое сообщение
Имя сущности: MailMessage
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Почтовое сообщение. |
| Файлы | Сущность IList<(файл)> | Сущности File вложений этого почтового сообщения. |
| Получатель | Строка | Получатель этого почтового сообщения. В случае нескольких получателей почтовое сообщение копируется, и для каждой копии задается один получатель. |
| URL-адреса | Строка IList<> | URL-адреса, содержащиеся в этом почтовом сообщении. |
| Угроз | Строка IList<> | Угрозы, содержащиеся в этом почтовом сообщении. |
| Отправитель | Строка | Электронный адрес отправителя. |
| SenderIP | Строка | IP-адрес отправителя. |
| ReceivedDate | Дата/время | Дата получения этого сообщения. |
| NetworkMessageId | Guid? | Идентификатор сообщения сети для этого почтового сообщения. |
| InternetMessageId | Строка | Идентификатор сообщения Интернета для этого почтового сообщения. |
| Тема | Строка | Тема этого почтового сообщения. |
| AntispamDirection | Перечисление? | Направление этого почтового сообщения. Возможные значения: |
| DeliveryAction | Перечисление? | Действие доставки этого почтового сообщения. Возможные значения: |
| DeliveryLocation | Перечисление? | Расположение доставки этого почтового сообщения. Возможные значения: |
| CampaignId (Идентификатор кампании) | Строка | Идентификатор кампании, в которой присутствует это почтовое сообщение. |
| ПодозрительныеRecipients | Строка IList<> | Список получателей, которые были обнаружены как подозрительные. |
| ForwardedRecipients | Строка IList<> | Список всех получателей на пересылаемой почте. |
| ПереадресацияType | Строка IList<> | Тип пересылки почты, например SMTP, ETR и т. д. |
Надежные идентификаторы сущности сообщения электронной почты
- NetworkMessageId + Recipient
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Отправка почты
Имя сущности: SubmissionMail
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Отправка почты. |
| SubmissionId | Guid? | Идентификатор отправки. |
| ОтправкаDate | DateTime? | Указанные дата и время этой отправки. |
| Оператор | Строка | Адрес электронной почты отправителя. |
| NetworkMessageId | Guid? | Идентификатор сообщения сети для сообщения электронной почты, к которому относится отправка. |
| Метка времени | DateTime? | Метка времени получения почтового сообщения. |
| Получатель | Строка | Получатель сообщения. |
| Отправитель | Строка | Отправитель сообщения. |
| Отправитель | Строка | IP-адрес отправителя. |
| Тема | Строка | Тема отправки сообщения. |
| ReportType | Строка | Тип отправки для заданного экземпляра. Возможные значения: "Нежелательная почта", "Фишинг", "Вредоносные программы" или "NotJunk". |
Надежные идентификаторы сущности SubmissionMail
- SubmissionId, Submissioner, NetworkMessageId, Recipient
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Сущности Sentinel
| Поле | Тип | Описание |
|---|---|---|
| Объекты | Строка | Список сущностей, определенных в оповещении. Этот список является столбцом сущностей из схемы SecurityAlert (см. документацию). |
Вернитесь к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Идентификаторы облачных приложений
В следующем списке определены идентификаторы для известных облачных приложений. Значение идентификатора приложения используется в качестве идентификатора сущности облачного приложения .
| ИД приложения | Имя. |
|---|---|
| 10026 | DocuSign |
| 10 395 | Анаплан |
| 10489 | коробка |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Зендеск |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Ныть |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Рабочий день |
| 13843 | LivePerson |
| 13979 | Согласиться |
| 14509 | ServiceNow |
| 15570 | Живописная картина |
| 15600 | Microsoft OneDrive для бизнеса |
| 15782 | Citrix ShareFile |
| 17152 | Амазонка |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender для облачных приложений |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Адаллом CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Жизненный цикл Autodesk Fusion |
| 23043 | Вялый |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype для бизнеса |
| 25988 | Документация Google |
| 26055 | Центр администрирования Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace от Facebook |
| 28373 | Эмулятор прокси-сервера CAS |
| 28375 | Microsoft Teams |
| 32780 | Майкрософт Dynamics 365 |
| 33626 | Гугл |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Следующие шаги
Из этого документа вы узнали о структуре сущностей, идентификаторах и схеме в Microsoft Sentinel.
Дополнительные сведения о сущностях и сопоставлении сущностей.