Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu belge, Defender portalındaki Azure portal ve Microsoft Sentinel Microsoft Sentinel varlıklar ve varlık türleriyle ilgili iki bilgi kümesi içerir.
- Varlık türleri ve tanımlayıcılar tablosu, uyarılarda ve olaylarda tanımlanabilen farklı varlık türlerini gösterir ve bunları izlemenize ve araştırmanıza olanak sağlar. Tabloda, her varlık türü için bir varlığı tanımlamak için kullanılabilecek farklı tanımlayıcılar da gösterilir.
- Varlık şeması bölümü, genel olarak varlıklar ve özellikle her varlık türü için veri yapısını ve şemasını gösterir.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Varlık türleri ve tanımlayıcıları
Aşağıdaki tabloda, Microsoft Sentinel tarafından tanınabilecek varlık türleri ve her varlık türü için tanımlayıcı olarak kullanılabilecek öznitelikler gösterilmektedir.
Microsoft Sentinel, analiz kurallarındavarlık eşlemesi tarafından oluşturulan uyarılardaki ve olaylardaki varlıkları tanır. Ayrıca, diğer kaynaklardan alınan uyarılarda önceden tanımlanmış varlıkları da tanır.
Şu anda Microsoft Sentinel'de varlık eşlemesi oluştururken belirli bir varlık için en fazla üç tanımlayıcı kullanabilirsiniz. Güçlü tanımlayıcılar tek başına bir varlığı benzersiz olarak tanımlamak için yeterliyken, zayıf tanımlayıcılar bunu yalnızca diğer tanımlayıcılarla birlikte yapabilir. Güçlü ve zayıf tanımlayıcılar hakkında daha fazla bilgi edinin. Microsoft Sentinel varlık eşlemeleri oluşturulurken bu tablodaki tanımlayıcıların çoğu kullanılamaz (dipnotlara bakın).
| Varlık türü | Tanımlayıcı | Güçlü tanımlayıcılar | Zayıf tanımlayıcılar |
|---|---|---|---|
| Hesabı | Name FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoinEd Displayname* Objectguıd |
Name+UPNSuffix AADUserId Sid ** Sid+Konak** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID Objectguıd |
Name |
| Ana Bilgisayar | DnsDomain NTDomain Hostname FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoinEd |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Hostname NetBiosName |
| Varlık türü | Tanımlayıcı | Güçlü tanımlayıcılar | Zayıf tanımlayıcılar |
| IP | Adres AddressScope |
Genel adres: Adres** Özel adres: Address+AddressScope** |
Özel adres: Adres** |
| URL | Url | Url (mutlak URL ise)** | Url (göreli URL ise)** |
|
Azure kaynağı (AzureResource) |
Resourceıd | Resourceıd | |
|
Bulut uygulaması (CloudApplication) |
Appıd Name Örnekadı |
Appıd Name AppId+InstanceName Name+InstanceName |
|
|
DNS çözümlemesi (DNS) |
Etkialanıadı | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Dosya | Dizin Name |
Dizin+Ad | |
|
Dosya karması (FileHash) |
Algoritması Değer |
Algoritma+Değer | |
| Malware | Name Kategori |
Name+Category | |
| Varlık türü | Tanımlayıcı | Güçlü tanımlayıcılar | Zayıf tanımlayıcılar |
| Işlem | Processıd Commandline ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Ana bilgisayar+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (Ana Bilgisayar yok) ProcessId+CreationTimeUtc+ ImageFile (Ana Bilgisayar yok) |
|
Kayıt defteri anahtarı (RegistryKey) |
Kovan Tuş |
Hive+Key | |
|
Kayıt defteri değeri (RegistryValue) |
Name Değer Valuetype |
Key+Name | Ad (Anahtar yok) |
|
Güvenlik grubu (SecurityGroup) |
DistinguishedName SİD Objectguıd |
DistinguishedName SİD Objectguıd |
|
| Posta kutusu | MailboxPrimaryAddress Displayname Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Varlık türü | Tanımlayıcı | Güçlü tanımlayıcılar | Zayıf tanımlayıcılar |
|
Posta kümesi (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Tehdit Sorgu QueryTime MailCount IsVolumeAnomaly Kaynak ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Posta iletisi (MailMessage) |
Alıcı Url 'leri Tehdit Gönderen P1Sender * P1SenderDisplayName * P1SenderDomain * GönderenIP P2Sender * P2SenderDisplayName * P2SenderDomain * AlındıTarihi NetworkMessageId InternetMessageId Konu BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Dil* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Posta gönderme (SubmissionMail) |
NetworkMessageId Zaman damgası Alıcı Gönderen SenderIp Konu Reporttype SubmissionId GönderimTarihi Submitter |
SubmissionId+NetworkMessageId+ Alıcı+Gönderici |
|
| varlıkları Sentinel | Varlık | Varlık |
Tablo dipnotları:
- * Bu tanımlayıcılar varlık eşlemesinde kullanılabilecek tanımlayıcılar listesinde görünür, ancak açıkça belirtmek gerekirse varlık şemasının bir parçası değildirler.
- ** Bu tanımlayıcılar yalnızca belirli koşullar altında güçlü olarak kabul edilir. Aşağıdaki varlık şemaları bölümündeki ilgili varlığın listesi altında, geçerli koşulları görmek için yıldız işaretlerinin bağlantılarını izleyin.
- Italik tanımlayıcı adları (yıldız işareti olmadan) iç varlıkları temsil eder; başka bir deyişle, bir varlık türünün öznitelik olarak diğer varlık türleri olabilir ( aşağıdaki varlık şemaları bölümüne bakın). İç varlığın kendi şemasını görmek için tanımlayıcının bağlantısını izleyin.
- Microsoft Sentinel dışında birçok şeyi destekleyen genel bir şema olan şemada başka varlıklar da bulunabilir. Bu makalede yalnızca Microsoft Sentinel kullanılabilir varlıklar listelenir.
Varlık türü şemaları
Aşağıdaki bölüm, her varlık türünün tam şemalarına daha ayrıntılı bir bakış içerir. Bu şemaların çoğunun diğer varlık türlerine bağlantılar içerdiğini fark edeceksiniz. Örneğin, bir kullanıcı hesabının özniteliklerinden biri tanımlandığı konak olduğundan, Hesap şeması Konak varlık türüne bir bağlantı içerir. Öznitelik olarak bu varlıklar "iç varlıklar" olarak bilinir ve varlık eşlemesi için tanımlayıcı olarak kullanılamaz, ancak varlık sayfalarında ve araştırma grafiğinde varlıkların tam bir resmini verme konusunda çok kullanışlıdır.
Not
Tür sütunundaki değeri izleyen soru işareti alanın null atanabilir olduğunu gösterir.
Varlık türü şemalarının listesi
- Hesabı
- Ana Bilgisayar
- IP
- Malware
- Dosya
- Işlem
- Bulut uygulaması
- DNS çözümlemesi
- Azure kaynağı
- Dosya karması
- Kayıt defteri anahtarı
- Kayıt defteri değeri
- Güvenlik grubu
- URL
- IoT cihazı
- Posta kutusu
- Posta kümesi
- Posta iletisi
- Posta gönderme
- varlıkları Sentinel
Hesabı
Varlık adı: Hesap
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'account' |
| Ad | Dize | Hesabın adı. Bu alan, etki alanı eklenmeden yalnızca Kullanıcı Asıl Adı (UPN) ön ekini tutmalıdır. Örnek: UPN user@contoso.comiçin, bu alan yalnızca usertutar. |
| FullName | -- | Varlık eşlemesinin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın bir parçası değildir. |
| NTDomain | Dize | Uyarı biçiminde görünen NETBIOS etki alanı adı:etkialanı\kullanıcıadı. Örnekler: Finans, NT AUTHORITY |
| DnsDomain | Dize | Tam etki alanı DNS adı. Örnek: finance.contoso.com |
| UPNSuffix | Dize | Hesabın kullanıcı asıl adı soneki. Çoğu durumda UPN Soneki de etki alanı adıdır. Örnek: contoso.com |
| Ana Bilgisayar | Varlık (Konak) | Hesabı içeren ana bilgisayar (yerel bir hesapsa). |
| Sid | Dize | Hesabın güvenlik tanımlayıcısı. |
| AadTenantId | Guıd? | Biliniyorsa Microsoft Entra kiracı kimliği. |
| AadUserId | Guıd? | Biliniyorsa Microsoft Entra hesabı nesne kimliği. |
| PUID | Guıd? | Microsoft Entra Passport Kullanıcı Kimliği (biliniyorsa). |
| IsDomainJoinEd | Bool? | Hesabın bir etki alanı hesabı olup olmadığını gösterir. |
| Displayname | -- | Varlık eşlemesinin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın bir parçası değildir. |
| Objectguıd | Guıd? | objectGUID özniteliği, Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir. |
| CloudAppAccountId | Dize | CloudApp sağlayıcısından gelen uyarılarda AccountID. Diğer Microsoft ürünlerinde desteklenmeyen üçüncü taraf uygulamalarındaki hesap kimliklerini ifade eder. |
| IsAnonymized | Bool? | Kullanıcı adının anonim olup olmadığını gösterir. Isteğe bağlı. Varsayılan değer: false. |
| Stream | Stream | Belirli hesapla ilgili bulma günlüklerinin kaynağı. Isteğe bağlı. |
Önemli
1 Temmuz 2026'dan itibaren Ad alanı tüm hesaplar için yalnızca UPN ön ekini tutarlı bir şekilde tutar. Daha önce, bazen tam UPN'yi tutabilirdi. Otomasyon kurallarınız, playbook'larınız veya Ad ile tam UPN değerini (gibiuser@contoso.com) karşılaştıran sorgularınız varsa, adUPNSuffix'ten + (veya ilgili etki alanı alanından) tam değeri yeniden oluşturacak şekilde güncelleştirin veya bunun yerine diğer kullanılabilir verileri kullanın.
Bir hesap varlığının tanımlayıcıları
- Ad + UPNSuffix
- AadUserId
-
Sid
** Hesap aşağıdaki Notta listelenen yerleşik hesaplardan biri olmadığı sürece bu tanımlayıcı güçlüdür. -
Sid + Konak
** Hesap aşağıdaki Not'ta listelenen yerleşik hesaplardan biri olduğunda, bu tanımlayıcıyı güçlü hale getirmek için Konak bileşeni gereklidir. -
Ad + NTDomain
** NtDomain yerleşik bir etki alanı/çalışma grubu olmadığından ve konak adından farklı olduğundan, bu birleşim hesap bir etki alanı hesabı olduğunda güçlü bir tanımlayıcıdır. Bu durumda bu, Konak bileşeni olmadan bile güçlü bir tanımlayıcıdır. -
Name + NTDomain + Host
** Konak bileşeni, hesap yerel bir hesap olduğunda güçlü bir tanımlayıcı oluşturmak için gereklidir; bu da NTDomain'in yerleşik bir etki alanı/çalışma grubu olduğu anlamına gelir. - Name + DnsDomain
- PUID
- Objectguıd
Bir hesap varlığının zayıf tanımlayıcıları
- Name
Not
Hesap varlığı Ad tanımlayıcısı kullanılarak tanımlanırsa ve belirli bir varlığın Ad değeri aşağıdaki genel, yaygın olarak yerleşik hesap adlarından biriyse, bu varlık uyarısından bırakılır.
- YÖNETİCİ
- YÖNETİCİ
- SİSTEM
- KÖK
- ANONİM
- KİMLİĞİ DOĞRULANMIŞ KULLANICI
- AĞ
- NULL
- YEREL SİSTEM
- LOCALSYSTEM
- AĞ HİZMETİ
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Ana Bilgisayar
Varlık adı: Konak
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'host' |
| IpInterfaces | Liste<Varlığı (Ip)> | Konak makinedeki tüm IP arabirimlerinin listesi. |
| DnsDomain | Dize | Bu konağın ait olduğu DNS etki alanı. Biliniyorsa etki alanının tam DNS sonekini içermelidir. |
| NTDomain | Dize | Bu konağın ait olduğu NT etki alanı. |
| Hostname | Dize | Etki alanı soneki olmayan konak adı. |
| NetBiosName | Dize | Ana bilgisayar adı (Windows 2000 öncesi). |
| IoTDevice | Varlık (IoT Cihazı) | IoT Cihazı varlığı (bu konak bir IoT Cihazını temsil ediyorsa). |
| AzureID | Dize | Biliniyorsa VM'nin Azure kaynak kimliği. |
| OMSAgentID | Dize | Konakta OMS aracısı yüklüyse, OMS aracı kimliği. |
| OSFamily | Enum? | Aşağıdaki değerlerden biri: |
| OSVersion | Dize | İşletim sisteminin serbest metin gösterimi. Bu alan, OSFamily'den daha ayrıntılı olan belirli sürümleri veya OSFamily numaralandırması tarafından desteklenmeyen gelecekteki değerleri tutmak için kullanılır. |
| IsDomainJoinEd | Bool | Bu konağın bir etki alanına ait olup olmadığını gösterir. |
Bir konak varlığının güçlü tanımlayıcıları
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Konak varlığının zayıf tanımlayıcıları
- Hostname
- NetBiosName
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
IP
Varlık adı: IP
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'ip' |
| Adres | Dize | Ip adresi dize olarak (IPv4 veya IPv6'da). Örnekler: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Dize | Özel, genel olmayan IP adresleri için konağın, alt ağın veya özel ağın adı. Genel IP adresleri için null veya boş (varsayılan). Örnekler: /27, 255.255.255.128 |
| Konum | Geolocation | IP varlığına bağlı coğrafi konum bağlamı. Daha fazla bilgi için bkz. REST API aracılığıyla coğrafi konum verileriyle Microsoft Sentinel varlıklarını zenginleştirme (Genel önizleme). |
| Stream | Stream | Belirli IP ile ilgili bulma günlüklerinin kaynağı. Isteğe bağlı. |
BIR IP varlığının tanımlayıcıları
-
Adres
IP adresi genel bir adres olduğunda, Adres tanımlayıcısı tek başına benzersiz, güçlü bir tanımlayıcıdır. -
Adres + AddressScope
Özel/iç, genel olmayan IP adresleri için, bunu güçlü bir tanımlayıcı yapmak için AddressScope bileşeni gereklidir.
IP varlığının zayıf tanımlayıcıları
-
Adres
IP adresi özel/iç, genel olmayan bir IP adresi olduğunda Adres tanımlayıcısı tek başına zayıf bir tanımlayıcıdır.
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Malware
Varlık adı: Kötü amaçlı yazılım
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'kötü amaçlı yazılım' |
| Ad | Dize | (algılama?) satıcısı tarafından atanan kötü amaçlı yazılım adı, örneğin Win32/Toga!rfn. |
| Kategori | Dize | Örneğin , (algılama?) satıcısı tarafından atanan kötü amaçlı yazılım kategorisi. Trojan. |
| Dosyalar | Liste<Varlığı (Dosya)> | Kötü amaçlı yazılımın bulunduğu bağlantılı dosya varlıklarının listesi. Dosya varlıklarını satır içinde veya başvuru olarak içerebilir. Yapı hakkında daha fazla ayrıntı için Dosya varlığına bakın. |
| Süreç | Liste<Varlığı (İşlem)> | Kötü amaçlı yazılımın bulunduğu bağlı işlem varlıklarının listesi. Bu genellikle uyarı dosyasız etkinlikte tetiklendiğinde kullanılır. Yapı hakkında daha fazla ayrıntı için bkz. İşlem varlığı. |
Kötü amaçlı yazılım varlığının güçlü tanımlayıcıları
- Ad + Kategori
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Dosya
Varlık adı: Dosya
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'file' |
| Dizin | Dize | Dosyanın tam yolu. |
| Ad | Dize | Yolu olmayan dosya adı (bazı uyarılar yol içermeyebilir). |
| AlternateDataStreamName | Dize | NTFS dosya sistemindeki dosya akışı adı (ana akış için null). |
| Ana Bilgisayar | Varlık (Konak) | Dosyanın depolandığı ana bilgisayar. |
| HostUrl | Varlık (URL) | Dosyanın indirildiği URL (Web işareti). |
| WindowsSecurityZoneType | WindowsSecurityZone | URL'nin ait olduğu Windows Güvenliği Bölgesi (Web işareti). |
| ReferrerUrl | Varlık (URL) | Dosya indirme HTTP isteğinin başvuran URL'si (Web işareti). |
| SizeInBytes | Uzun? | Dosyanın bayt cinsinden boyutu. |
| FileHashes | Liste<Varlığı (FileHash)> | Bu dosyayla ilişkili dosya karmaları. |
Bir dosya varlığının tanımlayıcıları
- Ad + Dizin
- Name + FileHash
- Ad + Dizin + DosyaHash
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Işlem
Varlık adı: İşlem
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'process' |
| Processıd | Dize | İşlem kimliği. |
| Commandline | Dize | İşlemi oluşturmak için kullanılan komut satırı. |
| ElevationToken | Enum? | İşlemle ilişkili yükseltme belirteci. Olası değerler: |
| CreationTimeUtc | Datetime? | İşlemin çalışmaya başladığı zaman. |
| ImageFile | Varlık (Dosya) | Dosya varlığını satır içinde veya başvuru olarak içerebilir. Yapı hakkında daha fazla ayrıntı için Dosya varlığına bakın. |
| Hesabı | Varlık (Hesap) | İşlemleri çalıştıran hesap. Hesap varlığını satır içinde veya başvuru olarak içerebilir. Yapı hakkında daha fazla ayrıntı için Bkz. Hesap varlığı. |
| ParentProcess | Varlık (İşlem) | Üst işlem varlığı. Kısmi veriler içerebilir; örneğin, yalnızca PID. |
| Ana Bilgisayar | Varlık (Konak) | İşlemin üzerinde çalıştığı konak. |
| Oturum Açma | Varlık (HostLogonSession) | İşlemin çalıştığı oturum. |
İşlem varlığının tanımlayıcıları
- Host + ProcessId + CreationTimeUtc
- Ana bilgisayar + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
İşlem varlığının zayıf tanımlayıcıları
- ProcessId + CreationTimeUtc + CommandLine (ve Ana Bilgisayar yok)
- ProcessId + CreationTimeUtc + ImageFile (konak yok)
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Bulut uygulaması
Varlık adı: CloudApplication
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'cloud-application' |
| Appıd | Int | Kaldırıl -mış; yerine SaasId alanını kullanın. Uygulamanın teknik tanımlayıcısı. Olası değerler , bulut uygulaması tanımlayıcıları listesinde tanımlanan değerlerdir. İsteğe bağlı değer. InstanceId içermemelidir. |
| SaasId | Int | Kullanım dışı appid alanının yerini alır. Uygulamanın teknik tanımlayıcısı. Olası değerler , bulut uygulaması tanımlayıcıları listesinde tanımlanan değerlerdir. İsteğe bağlı değer. InstanceId içermemelidir. |
| Ad | Dize | İlgili bulut uygulamasının adı. İsteğe bağlı değer. |
| Örnekadı | Dize | Bulut uygulamasının kullanıcı tanımlı örnek adı. Genellikle müşterinin sahip olduğu aynı türde birkaç uygulamayı ayırt etmek için kullanılır. |
| Instanceıd | Int | Uygulamanın belirli oturumunun tanımlayıcısı. Bu, sıfır tabanlı çalışan bir sayıdır. İsteğe bağlı değer. |
| Risk | AppRisk mi? | Uygulamaları risk puanına göre filtrelemenize olanak tanır, böylece yalnızca yüksek riskli uygulamaları gözden geçirme gibi bir duruma odaklanabilirsiniz. Düşük, Orta, Yüksek veya Bilinmiyor gibi olası değerler. |
| Stream | Stream | Belirli bir bulut uygulamasıyla ilgili bulma günlüklerinin kaynağı. Isteğe bağlı. |
Bulut uygulaması varlığının güçlü tanımlayıcıları
- AppId (InstanceName olmadan)
- Ad (InstanceName olmadan)
- AppId + InstanceName
- Name + InstanceName
Bulut uygulaması tanımlayıcılarının listesi
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
DNS çözümlemesi
Varlık adı: DNS
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'dns' |
| Etkialanıadı | Dize | Uyarıyla ilişkilendirilmiş DNS kaydının adı. |
| Ipaddress | Liste<Varlığı (IP)> | Çözümlenen IP adreslerine karşılık gelen varlıklar. |
| DnsServerIp | Varlık (IP) | İsteği çözümleyerek DNS sunucusunu temsil eden bir varlık. |
| HostIpAddress | Varlık (IP) | DNS isteği istemcisini temsil eden bir varlık. |
DNS varlığının tanımlayıcıları
- DomainName + DnsServerIp + HostIpAddress
DNS varlığının zayıf tanımlayıcıları
- DomainName + HostIpAddress
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Azure kaynağı
Varlık adı: AzureResource
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'azure-resource' |
| Resourceıd | Dize | Kaynağın Azure kaynak kimliği. Zorunlu. |
| SubscriptionId | Dize | Kaynağın abonelik kimliği. |
| ActiveContacts | ActiveContact Listesini Oluşturma<> | Kaynakla ilişkilendirilmiş etkin kişiler. |
| Resourcetype | Dize | Kaynağın türü. |
| Resourcename | Dize | Kaynağın adı. |
Azure kaynak varlığının tanımlayıcıları
- Resourceıd
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Dosya karması
Varlık adı: FileHash
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'filehash' |
| Algoritması | Enum | Karma algoritma türü. Zorunlu. Olası değerler: |
| Değer | Dize | Karma değeri. Zorunlu. |
Dosya karması varlığının güçlü tanımlayıcıları
- Algoritma + Değer
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Kayıt defteri anahtarı
Varlık adı: RegistryKey
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'registry-key' |
| Kovan | Enum? | Aşağıdaki değerlerden biri: |
| Anahtar | Dize | Kayıt defteri anahtarı yolu. |
Kayıt defteri anahtarı varlığının tanımlayıcıları
- Hive + Anahtar
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Kayıt defteri değeri
Varlık adı: RegistryValue
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'registry-value' |
| Ana Bilgisayar | Varlık (Konak) | Kayıt defterinin ait olduğu konak. |
| Anahtar | Entity (RegistryKey) | Kayıt defteri anahtarı varlığı. |
| Ad | Dize | Kayıt defteri değer adı. |
| Değer | Dize | Değer verilerinin dize biçimli gösterimi. |
| Valuetype | Enum? | Aşağıdaki değerlerden biri: Değerler Microsoft.Win32.RegistryValueKind sabit listesiyle uyumlu olmalıdır. |
Kayıt defteri değer varlığının tanımlayıcıları
- Tuş + Ad
Kayıt defteri değer varlığının zayıf tanımlayıcıları
- Ad (Anahtar olmadan)
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Güvenlik grubu
Varlık adı: SecurityGroup
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'security-group' |
| DistinguishedName | Dize | Grup ayırt edici adı. |
| SİD | Dize | Grubun güvenlik tanımlayıcısını (SID) belirten tek değerli bir öznitelik. |
| Objectguıd | Guıd? | Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir öznitelik. |
Güvenlik grubu varlığının tanımlayıcıları
- DistinguishedName
- SİD
- Objectguıd
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
URL
Varlık adı: Url
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'url' |
| Url | Urı | Varlığın işaret olduğu tam URL. Zorunlu. |
URL varlığının tanımlayıcıları
- URL (** URL mutlak bir URL olduğunda bu tanımlayıcı güçlüdür.)
URL varlığının zayıf tanımlayıcıları
- URL (** URL göreli bir URL olduğunda bu tanımlayıcı zayıftır.)
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
IoT cihazı
Varlık adı: IoTDevice
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'iotdevice' |
| IoTHub | Varlık (AzureResource) | Cihazın ait olduğu IoT Hub temsil eden AzureResource varlığı. |
| Deviceıd | Dize | IoT Hub bağlamında cihazın kimliği. Zorunlu. |
| DeviceName | Dize | Cihazın kolay adı. |
| Sahipler | Liste<Dizesi> | Cihazın sahipleri. |
| IoTSecurityAgentId | Guıd? | Cihazda çalışan IoT için Defender aracısının kimliği. |
| Devicetype | Dize | Cihazın türü ('sıcaklık sensörü', 'dondurucu', 'rüzgar türbini' vb.). |
| DeviceTypeId | Dize | Cihaz türünün kendisi bir görünen ad olduğundan ve karşılaştırmalarda güvenilir olmadığından her cihaz türünü cihaz türü şemasına göre tanımlamak için benzersiz bir kimlik. Olası değerler: Sınıflandırılmamış = 0 Çeşitli = 1 Ağ Cihazı = 2 Yazıcı = 3 Ses ve Video = 4 Medya ve Gözetim = 5 İletişim = 7 Smart Appliance = 9 İş istasyonu = 10 Sunucu = 11 Mobil = 12 Akıllı Tesis = 13 Endüstriyel = 14 İşletim Donanımı = 15 |
| Kaynak | Dize | Cihaz varlığının kaynağı (Microsoft/Satıcı). |
| SourceRef | Varlık (Url) | Cihazın yönetildiği kaynak öğeye url başvurusu. |
| Üretici | Dize | Cihazın üreticisi. |
| Modeli | Dize | Cihazın modeli. |
| Operatingsystem | Dize | Cihazın çalıştırılan işletim sistemi. |
| Ipaddress | Varlık (IP) | Cihazın geçerli IP adresi. |
| MacAddress | Dize | Cihazın MAC adresi. |
| Nıc | Varlık (Nic) | Cihazdaki geçerli NIC'ler. |
| Protokol | Liste<Dizesi> | Cihazın desteklediği protokollerin listesi. |
| Serialnumber | Dize | Cihazın seri numarası. |
| Site | Dize | Cihazın site konumu. |
| Bölge | Dize | Cihazın site içindeki bölge konumu. |
| Sensör | Dize | Cihazı izleyen algılayıcı. |
| Önemi | Enum? | Aşağıdaki değerlerden biri: |
| PurdueLayer | Dize | Cihazın Purdue Katmanı. |
| IsProgramming | Bool? | Cihazın programlama cihazı olarak sınıflandırılıp sınıflandırılmadığını gösterir. |
| Isauthorized | Bool? | Cihazın yetkili cihaz olarak sınıflandırılıp sınıflandırılmadığını gösterir. |
| IsScanner | Bool? | Cihazın tarayıcı cihazı olarak sınıflandırılıp sınıflandırılmadığını gösterir. |
| DevicePageLink | Varlık (Url) | IoT için Defender portalında cihaz sayfasının URL'si. |
| DeviceSubType | Dize | Cihaz alt türünün adı. |
IoT cihaz varlığının güçlü tanımlayıcıları
- IoTHub + DeviceId
IoT cihaz varlığının zayıf tanımlayıcıları
- DeviceId (IoTHub olmadan)
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Posta kutusu
Varlık adı: Posta Kutusu
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'posta kutusu' |
| MailboxPrimaryAddress | Dize | Posta kutusunun birincil adresi. |
| Displayname | Dize | Posta kutusunun görünen adı. |
| Upn | Dize | Posta kutusunun UPN'i. |
| AadId | Dize | Posta kutusunun kullanıcının Azure AD tanımlayıcısı. |
| RiskLevel | RiskLevel (Tamsayı) | Bu posta kutusunun risk düzeyi. Olası değerler: |
| ExternalDirectoryObjectId | Guıd? | Posta kutusunun AzureAD tanımlayıcısı. Account varlığındaki AadUserId değerine benzer, ancak bu özellik Office tarafındaki posta kutusu nesnesine özgüdür. |
Posta kutusu varlığının tanımlayıcıları
- MailboxPrimaryAddress
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Posta kümesi
Varlık adı: MailCluster
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'mail-cluster' |
| NetworkMessageIds | IList<Dizesi> | Posta kümesinin parçası olan posta iletisi kimlikleri. |
| CountByDeliveryStatus | Sözlük<Dizesi,Int> | DeliveryStatus dize gösterimine göre posta iletilerinin sayısı. |
| CountByThreatType | Sözlük<Dizesi,Int> | ThreatType dize gösterimine göre posta iletilerinin sayısı. |
| CountByProtectionStatus | Sözlük<Dizesi,uzun> | Koruma durum dizesi gösterimine göre posta iletilerinin sayısı. |
| CountByDeliveryLocation | Sözlük<Dizesi,uzun> | Teslim konumu dizesi gösterimine göre posta iletilerinin sayısı. |
| Tehdit | IList<Dizesi> | Posta kümesinin parçası olan posta iletilerinin tehditleri. |
| Sorgu | Dize | Posta kümesinin iletilerini tanımlamak için kullanılan sorgu. |
| QueryTime | Datetime? | Sorgu zamanı. |
| MailCount | Int? | Posta kümesinin parçası olan posta iletilerinin sayısı. |
| IsVolumeAnomaly | Bool? | Posta kümesinin birim anomalisi posta kümesi olup olmadığını gösterir. |
| Kaynak | Dize | Posta kümesinin kaynağı (varsayılan değerdir O365 ATP). |
Posta kümesi varlığının tanımlayıcıları
- Sorgu + Kaynak
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Posta iletisi
Varlık adı: MailMessage
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'mail-message' |
| Dosyalar | IList<Varlığı (Dosya)> | Bu posta iletisinin eklerinin Dosya varlıkları. |
| Alıcı | Dize | Bu posta iletisinin alıcısı. Birden çok alıcı söz konusu olduğunda, posta iletisi kopyalanır ve her kopyanın bir alıcısı vardır. |
| Url 'leri | IList<Dizesi> | Bu posta iletisinde yer alan URL'ler. |
| Tehdit | IList<Dizesi> | Bu posta iletisinde yer alan tehditler. |
| Gönderen | Dize | Gönderenin e-posta adresi. |
| GönderenIP | Dize | Gönderenin IP adresi. |
| AlındıTarihi | Datetime | Bu iletinin alınma tarihi. |
| NetworkMessageId | Guıd? | Bu posta iletisinin ağ iletisi kimliği. |
| InternetMessageId | Dize | Bu posta iletisinin internet ileti kimliği. |
| Konu | Dize | Bu posta iletisinin konusu. |
| AntispamDirection | Enum? | Bu posta iletisinin yönü. Olası değerler: |
| DeliveryAction | Enum? | Bu posta iletisinin teslim eylemi. Olası değerler: |
| DeliveryLocation | Enum? | Bu posta iletisinin teslim konumu. Olası değerler: |
| CampaignId | Dize | Bu posta iletisinin bulunduğu kampanyanın tanımlayıcısı. |
| SuspiciousRecipients | IList<Dizesi> | Şüpheli olarak algılanan alıcıların listesi. |
| ForwardedRecipients | IList<Dizesi> | İletilen postadaki tüm alıcıların listesi. |
| forwardingType | IList<Dizesi> | Postanın SMTP, ETR gibi iletme türü. |
Posta iletisi varlığının tanımlayıcıları
- NetworkMessageId + Alıcı
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Posta gönderme
Varlık adı: SubmissionMail
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | Dize | 'SubmissionMail' |
| SubmissionId | Guıd? | Gönderim Kimliği. |
| GönderimTarihi | Datetime? | Bu gönderim için Bildirilen Tarih saati. |
| Submitter | Dize | Gönderen e-posta adresi. |
| NetworkMessageId | Guıd? | Gönderimin ait olduğu e-postanın ağ iletisi kimliği. |
| Zaman damgası | Datetime? | İleti alındığında zaman damgası (Posta). |
| Alıcı | Dize | Postanın alıcısı. |
| Gönderen | Dize | Postayı gönderen. |
| SenderIp | Dize | Gönderenin IP'sini seçin. |
| Konu | Dize | Posta gönderme konusu. |
| Reporttype | Dize | Verilen örneğin gönderim türü. Olası değerler Gereksiz, Kimlik Avı, Kötü Amaçlı Yazılım veya NotJunk'tır. |
Bir SubmissionMail varlığının güçlü tanımlayıcıları
- SubmissionId, Submitter, NetworkMessageId, Recipient
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
varlıkları Sentinel
| Alan | Tür | Açıklama |
|---|---|---|
| Varlık | Dize | Uyarıda tanımlanan varlıkların listesi. Bu liste, SecurityAlert şemasındaki varlıklar sütunudur (belgelere bakın). |
Varlık türü şemaları | listesine geri dönVarlık tanımlayıcıları tablosuna geri dön
Bulut uygulaması tanımlayıcıları
Aşağıdaki liste, bilinen bulut uygulamaları için tanımlayıcıları tanımlar. Uygulama Kimliği değeri, bulut uygulaması varlık tanımlayıcısı olarak kullanılır.
| Uygulama Kimliği | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Kutusu |
| 10549 | Cisco Webex |
| 10618 | Atlassian dili |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Yazılımı |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Işgünü |
| 13843 | LivePerson |
| 13979 | Hemfikir |
| 14509 | ServiceNow |
| 15570 | Tablo |
| 15600 | Microsoft OneDrive İş |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Kaktüs |
| 20595 | Bulut Uygulamaları için Microsoft Defender |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Yaşam Döngüsü |
| 23043 | Bol -luk |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Kurumsal |
| 25988 | Google Docs |
| 26055 | Microsoft 365 yönetici merkezi |
| 26060 | OPSWAT Dişlileri |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Facebook göre çalışma alanı |
| 28373 | CAS Proxy Öykünücüsü |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Sonraki adımlar
Bu belgede, Microsoft Sentinel'da varlık yapısı, tanımlayıcılar ve şema hakkında bilgi edindiyseniz.
Varlıklar ve varlık eşlemesi hakkında daha fazla bilgi edinin.