Aracılığıyla paylaş


Microsoft Sentinel varlık türleri başvurusu

Bu belge, Microsoft Sentinel ve Microsoft birleşik güvenlik operasyonları platformundaki varlıklar ve varlık türleriyle ilgili iki bilgi kümesi içerir.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Varlık türleri ve tanımlayıcıları

Aşağıdaki tabloda, Microsoft Sentinel tarafından tanınabilen varlık türleri ve her varlık türü için tanımlayıcı olarak kullanılabilecek öznitelikler gösterilmektedir.

Microsoft Sentinel, analiz kurallarında varlık eşlemesi tarafından oluşturulan uyarılardaki ve olaylardaki varlıkları tanır. Ayrıca, diğer kaynaklardan alınan uyarılarda zaten tanımlanmış varlıkları tanır.

Şu anda Microsoft Sentinel'de varlık eşlemesi oluştururken belirli bir varlık için en fazla üç tanımlayıcı kullanabilirsiniz. Yalnızca güçlü tanımlayıcılar bir varlığı benzersiz olarak tanımlamak için yeterlidir, ancak zayıf tanımlayıcılar bunu yalnızca diğer tanımlayıcılarla birlikte yapabilir. Güçlü ve zayıf tanımlayıcılar hakkında daha fazla bilgi edinin. Microsoft Sentinel'de varlık eşlemeleri oluşturulurken bu tablodaki tanımlayıcıların çoğu kullanılamaz (dipnotlara bakın).

Varlık türü Identifiers Güçlü tanımlayıcılar Zayıf tanımlayıcılar
Firma Veri Akışı Adı
FullName *
NTDomain
DnsDomain
UPNSuffix
Sıd
AadTenantId
AadUserId
PUID
IsDomainJoinEd
DisplayName *
ObjectGuid
Name+UPNSuffix
AADUserId
Sıd **
Sid+Konak **
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid
Veri Akışı Adı
ANABİLGİSAYAR DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoinEd
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP Adres
AddressScope
Adres **
Address+AddressScope **
URL Url Url (mutlak URL ise) ** Url (göreli URL ise) **
Azure kaynağı
(AzureResource)
ResourceId ResourceId
Bulut uygulaması
(CloudApplication)
AppId
Veri Akışı Adı
InstanceName
AppId
Veri Akışı Adı
AppId+InstanceName
Name+InstanceName
DNS çözümlemesi
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
Dosya Dizin
Veri Akışı Adı
Dizin+Ad
Dosya karması
(FileHash)
Algoritma
Değer
Algoritma+Değer
Kötü amaçlı yazılım Veri Akışı Adı
Kategori
Ad+Kategori
İşlem ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Ana Bilgisayar+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   DosyaHash
ProcessId+CreationTimeUtc+
   CommandLine (Konak yok)
ProcessId+CreationTimeUtc+
   ImageFile (Konak yok)
Kayıt defteri anahtarı
(RegistryKey)
Hive
Tuş
Hive+Key
Kayıt defteri değeri
(RegistryValue)
Veri Akışı Adı
Değer
ValueType
Key+Name Ad (Anahtar yok)
Güvenlik grubu
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Posta Kutusu MailboxPrimaryAddress
DisplayName
Yukarı
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
Posta kümesi
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Tehditler
Sorgu
QueryTime
MailCount
IsVolumeAnomaly
Kaynak
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Source
Posta iletisi
(MailMessage)
Alıcı
Url'ler
Tehditler
Gönderen
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
AlındıTarihi
NetworkMessageId
InternetMessageId
Konu
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Dil*
ThreatDetectionMethods *
NetworkMessageId+Recipient
Gönderim e-postası
(Gönderim Postası)
NetworkMessageId
Zaman damgası
Alıcı
Gönderen
SenderIp
Konu
ReportType
SubmissionId
GönderimTarihi
Submitter
SubmissionId+NetworkMessageId+
   Alıcı+Gönderici
Sentinel varlıkları Varlıklar Varlıklar

Tablo dipnotları:

  • * Bu tanımlayıcılar varlık eşlemesinde kullanılabilecek tanımlayıcılar listesinde görünür, ancak kesin olarak ifade etmek gerekirse varlık şemasının bir parçası değildir.
  • ** Bu tanımlayıcılar yalnızca belirli koşullar altında güçlü kabul edilir. Aşağıdaki varlık şemaları bölümünde ilgili varlığın listesi altında, uygulanan koşulları görmek için yıldız işaretlerinin bağlantılarını izleyin.
  • Italikleştirilmiş tanımlayıcı adları (yıldız işareti olmadan) iç varlıkları temsil eder; bu da bir varlık türünün öznitelik olarak diğer varlık türlerine sahip olabileceği anlamına gelir (aşağıdaki varlık şemaları bölümüne bakın). İç varlığın kendi şemasını görmek için tanımlayıcının bağlantısını izleyin.

Varlık türü şemaları

Aşağıdaki bölüm, her varlık türünün tam şemalarına daha ayrıntılı bir bakış içerir. Bu şemaların çoğunun diğer varlık türlerine bağlantılar içerdiğini fark edeceksiniz. Örneğin, bir kullanıcı hesabının özniteliklerinden biri tanımlandığı konak olduğundan, Hesap şeması Konak varlık türüne bir bağlantı içerir. Bu öznitelik olarak varlıklar "iç varlıklar" olarak bilinir ve varlık eşlemesi için tanımlayıcı olarak kullanılamazlar, ancak varlık sayfalarında ve araştırma grafiğinde varlıkların tam bir resmini vermede çok yararlıdırlar.

Not

Tür sütunundaki değeri izleyen soru işareti, alanın null atanabilir olduğunu gösterir.

Varlık türü şemalarının listesi

Firma

Varlık adı: Hesap

Alan Tür Açıklama
Tür String 'account'
Ad String Hesabın adı. Bu alan, etki alanı eklenmeden yalnızca adı tutmalıdır.
FullName -- Varlık eşlemesinin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın parçası değildir.
NTDomain String Uyarı biçiminde görünen NETBIOS etki alanı adı: etki alanı\kullanıcıadı. Örnekler: Finans, NT AUTHORITY
DnsDomain String Tam etki alanı DNS adı. Örnekler: finance.contoso.com
UPNSuffix String Hesabın kullanıcı asıl adı soneki. Çoğu durumda UPN Soneki aynı zamanda etki alanı adıdır. Örnekler: contoso.com
ANABİLGİSAYAR Varlık (Konak) Hesabı içeren ana bilgisayar (yerel bir hesapsa).
Sıd String Hesabın güvenlik tanımlayıcısı.
AadTenantId Guıd? Biliniyorsa Microsoft Entra kiracı kimliği.
AadUserId Guıd? Biliniyorsa, Microsoft Entra hesabı nesne kimliği.
PUID Guıd? Biliniyorsa Microsoft Entra Passport Kullanıcı Kimliği.
IsDomainJoinEd Bool? Hesabın bir etki alanı hesabı olup olmadığını gösterir.
DisplayName -- Varlık eşlemesinin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın parçası değildir.
ObjectGuid Guıd? objectGUID özniteliği, Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir.
CloudAppAccountId String CloudApp sağlayıcısından gelen uyarılardaki AccountID. Diğer Microsoft ürünlerinde desteklenmeyen üçüncü taraf uygulamalarındaki hesap kimliklerini ifade eder.
IsAnonymized Bool? Kullanıcı adının anonimleştirilmiş olup olmadığını gösterir. isteğe bağlı. Varsayılan değer: false.
Akış Akış Belirli hesapla ilgili bulma günlüklerinin kaynağı. isteğe bağlı.

Bir hesap varlığının tanımlayıcıları

  • Name + UPNSuffix
  • AadUserId
  • Sıd
    ** Hesap aşağıdaki Notta listelenen yerleşik hesaplardan biri olmadığı sürece bu tanımlayıcı güçlüdür.
  • Sid + Konak
    ** Hesap aşağıdaki Not'ta listelenen yerleşik hesaplardan biri olduğunda, bu tanımlayıcıyı güçlü bir tanımlayıcı yapmak için Konak bileşeni gereklidir.
  • Ad + NTDomain
    ** NtDomain yerleşik bir etki alanı/çalışma grubu olmadığından ve konak adından farklı olduğundan, hesap bir etki alanı hesabı olduğunda bu birleşim güçlü bir tanımlayıcıdır. Bu durumda bu, Konak bileşeni olmadan bile güçlü bir tanımlayıcıdır.
  • Ad + NTDomain + Ana Bilgisayar
    ** Hesap yerel bir hesap olduğunda güçlü bir tanımlayıcı oluşturmak için Konak bileşeni gereklidir; bu da NTDomain'in yerleşik bir etki alanı/çalışma grubu olduğu anlamına gelir.
  • Ad + DnsDomain
  • PUID
  • ObjectGuid

Hesap varlığının zayıf tanımlayıcıları

  • Veri Akışı Adı

Not

Hesap varlığı Ad tanımlayıcısı kullanılarak tanımlanırsa ve belirli bir varlığın Ad değeri aşağıdaki genel, yaygın olarak yerleşik hesap adlarından biriyse, bu varlık uyarısından bırakılır.

  • YÖNETİCİ
  • YÖNETİCİ
  • SİSTEM
  • KÖK
  • ANONİM
  • KİMLİĞİ DOĞRULANMIŞ KULLANICI
  • NULL
  • YEREL SİSTEM
  • YEREL SİSTEM
  • AĞ HİZMETİ

Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

Ana Bilgisayar

Varlık adı: Konak

Alan Tür Açıklama
Tür String 'host'
IpInterfaces Liste<Varlığı (Ip)> Konak makinedeki tüm IP arabirimlerinin listesi.
DnsDomain String Bu konağın ait olduğu DNS etki alanı. Biliniyorsa, etki alanının tam DNS sonekini içermelidir.
NTDomain String Bu konağın ait olduğu NT etki alanı.
Ana Bilgisayar Adı String Etki alanı soneki olmayan konak adı.
NetBiosName String Ana bilgisayar adı (Windows 2000 öncesi).
IoTDevice Varlık (IoT Cihazı) IoT Cihazı varlığı (bu konak bir IoT Cihazını temsil ediyorsa).
AzureID String Biliniyorsa VM'nin Azure kaynak kimliği.
OMSAgentID String Konakta OMS aracısı yüklüyse OMS aracı kimliği.
OSFamily Sabit listesi mi? Aşağıdaki değerlerden biri:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String İşletim sisteminin serbest metin gösterimi.
    Bu alan, OSFamily'den daha ayrıntılı olan belirli sürümleri veya OSFamily numaralandırması tarafından desteklenmeyen gelecekteki değerleri tutmak için kullanılır.
    IsDomainJoinEd Boole Bu konağın bir etki alanına ait olup olmadığını gösterir.

    Konak varlığının tanımlayıcıları

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Konak varlığının zayıf tanımlayıcıları

    • HostName
    • NetBiosName

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    IP

    Varlık adı: IP

    Alan Tür Açıklama
    Tür String 'ip'
    Adres String Dize olarak IP adresi, örneğin. 127.0.0.1 (IPv4 veya IPv6'da).
    AddressScope String Özel, genel olmayan IP adresleri için ana bilgisayar, alt ağ veya özel ağın adı. Genel IP adresleri için null veya boş (varsayılan).
    Konum GeoLocation IP varlığına bağlı coğrafi konum bağlamı.

    Daha fazla bilgi için bkz . Microsoft Sentinel'deki varlıkları REST API aracılığıyla coğrafi konum verileriyle zenginleştirme (Genel önizleme).
    Akış Akış Belirli IP ile ilgili bulma günlüklerinin kaynağı. isteğe bağlı.

    BIR IP varlığının güçlü tanımlayıcıları

    • Adres
      ** IP adresi genel bir adres olduğunda tek başına adres benzersiz, güçlü bir tanımlayıcıdır.
    • Adres + AddressScope
      ** Özel/iç, genel olmayan IP adresleri için, addressScope bileşeni bunu güçlü bir identifer yapmak için gereklidir.

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Kötü amaçlı yazılım

    Varlık adı: Kötü amaçlı yazılım

    Alan Tür Açıklama
    Tür String 'kötü amaçlı yazılım'
    Ad String (algılama?) satıcısı tarafından atanan kötü amaçlı yazılım adı, örneğin Win32/Toga!rfn.
    Kategori String Örneğin, (algılama?) satıcısı tarafından atanan kötü amaçlı yazılım kategorisi. Trojan.
    Dosyalar Liste<Varlığı (Dosya)> Kötü amaçlı yazılımın bulunduğu bağlı dosya varlıklarının listesi. Dosya varlıklarını satır içinde veya başvuru olarak içerebilir.
    Yapı hakkında daha fazla bilgi için Dosya varlığına bakın.
    İşlemler Liste<Varlığı (İşlem)> Kötü amaçlı yazılımın bulunduğu bağlantılı işlem varlıklarının listesi. Bu genellikle uyarı dosyasız etkinlikte tetiklendiğinde kullanılır.
    Yapı hakkında daha fazla bilgi için bkz. İşlem varlığı.

    Kötü amaçlı yazılım varlığının güçlü tanımlayıcıları

    • Ad + Kategori

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Dosya

    Varlık adı: Dosya

    Alan Tür Açıklama
    Tür String 'file'
    Dizin String Dosyanın bulunduğu tam yol.
    Ad String Yolu olmayan dosya adı (bazı uyarılar yol içermeyebilir).
    AlternateDataStreamName String NTFS dosya sistemindeki dosya akışı adı (ana akış için null).
    ANABİLGİSAYAR Varlık (Konak) Dosyanın depolandığı konak.
    HostUrl Varlık (URL) Dosyanın indirildiği URL
    (Web İşareti).
    WindowsSecurityZoneType WindowsSecurityZone URL'nin ait olduğu Windows Güvenliği Bölgesi
    (Web İşareti).
    ReferrerUrl Varlık (URL) Dosya indirme HTTP isteğinin başvuran URL'si
    (Web İşareti).
    SizeInBytes Uzun? Dosyanın bayt cinsinden boyutu.
    FileHashes Liste<Varlığı (FileHash)> Bu dosyayla ilişkili dosya karmaları.

    Bir dosya varlığının tanımlayıcıları

    • Ad + Dizin
    • Ad + DosyaHash
    • Ad + Dizin + DosyaHash

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    İşlem

    Varlık adı: İşlem

    Alan Tür Açıklama
    Tür String 'process'
    ProcessId String İşlem kimliği.
    Komut Satırı String İşlemi oluşturmak için kullanılan komut satırı.
    ElevationToken Sabit listesi mi? İşlemle ilişkili yükseltme belirteci.
    Olası değerler:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime mı? İşlemin çalışmaya başladığı zaman.
    ImageFile Varlık (Dosya) Dosya varlığını satır içi veya başvuru olarak içerebilir.
    Yapı hakkında daha fazla bilgi için Dosya varlığına bakın.
    Firma Varlık (Hesap) İşlemleri çalıştıran hesap.
    Hesap varlığını satır içinde veya başvuru olarak içerebilir.
    Yapı hakkında daha fazla bilgi için Bkz. Hesap varlığı.
    ParentProcess Varlık (İşlem) Üst işlem varlığı.
    Yalnızca PID gibi kısmi veriler içerebilir.
    ANABİLGİSAYAR Varlık (Konak) İşlemin üzerinde çalıştığı konak.
    LogonSession Varlık (HostLogonSession) İşlemin çalıştığı oturum.

    İşlem varlığının tanımlayıcıları

    • Host + ProcessId + CreationTimeUtc
    • Ana Bilgisayar + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    İşlem varlığının zayıf tanımlayıcıları

    • ProcessId + CreationTimeUtc + CommandLine (konak yok)
    • ProcessId + CreationTimeUtc + ImageFile (konak yok)

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Bulut uygulaması

    Varlık adı: CloudApplication

    Alan Tür Açıklama
    Tür String 'cloud-application'
    AppId Int Kaldırıl -mış; yerine SaasId alanını kullanın. Uygulamanın teknik tanımlayıcısı. Olası değerler, bulut uygulaması tanımlayıcıları listesinde tanımlanan değerlerdir. İsteğe bağlı değer. InstanceId içermemelidir.
    SaasId Int Kullanım dışı bırakılan AppId alanının yerini alır. Uygulamanın teknik tanımlayıcısı. Olası değerler, bulut uygulaması tanımlayıcıları listesinde tanımlanan değerlerdir. İsteğe bağlı değer. InstanceId içermemelidir.
    Ad String İlgili bulut uygulamasının adı. İsteğe bağlı değer.
    InstanceName String Bulut uygulamasının kullanıcı tanımlı örnek adı. Genellikle bir müşterinin sahip olduğu aynı türdeki çeşitli uygulamaları ayırt etmek için kullanılır.
    InstanceId Int Uygulamanın belirli oturumunun tanımlayıcısı. Bu, sıfır tabanlı çalışan bir sayıdır. İsteğe bağlı değer.
    Risk AppRisk mi? Uygulamaları risk puanına göre filtrelemenize olanak tanır, böylece yalnızca yüksek riskli uygulamaları gözden geçirme gibi ayrıntılara odaklanabilirsiniz. Düşük, Orta, Yüksek veya Bilinmiyor gibi olası değerler.
    Akış Akış Belirli bir bulut uygulamasıyla ilgili bulma günlüklerinin kaynağı. isteğe bağlı.

    Bulut uygulaması varlığının güçlü tanımlayıcıları

    • AppId (InstanceName olmadan)
    • Ad (InstanceName olmadan)
    • AppId + InstanceName
    • Ad + InstanceName

    Bulut uygulaması tanımlayıcılarının listesi

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    DNS çözümleme

    Varlık adı: DNS

    Alan Tür Açıklama
    Tür String 'dns'
    DomainName String Uyarıyla ilişkili DNS kaydının adı.
    IpAddress Liste<Varlığı (IP)> Çözümlenen IP adreslerine karşılık gelen varlıklar.
    DnsServerIp Varlık (IP) İsteği çözümleyerek DNS sunucusunu temsil eden bir varlık.
    HostIpAddress Varlık (IP) DNS isteği istemcisini temsil eden varlık.

    DNS varlığının güçlü tanımlayıcıları

    • DomainName + DnsServerIp HostIpAddress +

    DNS varlığının zayıf tanımlayıcıları

    • DomainName + HostIpAddress

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Azure kaynağı

    Varlık adı: AzureResource

    Alan Tür Açıklama
    Tür String 'azure-resource'
    ResourceId String Kaynağın Azure kaynak kimliği. Zorunlu.
    SubscriptionId String Kaynağın abonelik kimliği.
    ActiveContacts ActiveContact Listele<> Kaynakla ilişkilendirilmiş etkin kişiler.
    ResourceType String Kaynağın türü.
    ResourceName String Kaynağın adı.

    Azure kaynak varlığının güçlü tanımlayıcıları

    • ResourceId

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Dosya karması

    Varlık adı: FileHash

    Alan Tür Açıklama
    Tür String 'filehash'
    Algoritma Sabit listesi Karma algoritma türü. Zorunlu. Olası değerler:
  • Bilinmiyor
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Value String Karma değeri. Zorunlu.

    Dosya karması varlığının güçlü tanımlayıcıları

    • Algoritma + Değer

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Kayıt defteri anahtarı

    Varlık adı: RegistryKey

    Alan Tür Açıklama
    Tür String 'registry-key'
    Hive Sabit listesi mi? Aşağıdaki değerlerden biri:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Anahtar String Kayıt defteri anahtarı yolu.

    Kayıt defteri anahtarı varlığının tanımlayıcıları

    • Hive + Anahtar

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Kayıt defteri değeri

    Varlık adı: RegistryValue

    Alan Tür Açıklama
    Tür String 'registry-value'
    ANABİLGİSAYAR Varlık (Konak) Kayıt defterinin ait olduğu konak.
    Anahtar Entity (RegistryKey) Kayıt defteri anahtarı varlığı.
    Ad String Kayıt defteri değer adı.
    Value String Değer verilerinin dize biçimli gösterimi.
    ValueType Sabit listesi mi? Aşağıdaki değerlerden biri:
  • String
  • İkilik
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Hiçbiri
  • Bilinmiyor
    Değerler Microsoft.Win32.RegistryValueKind sabit listesiyle uyumlu olmalıdır.
  • Kayıt defteri değer varlığının güçlü tanımlayıcıları

    • Tuş + Ad

    Kayıt defteri değer varlığının zayıf tanımlayıcıları

    • Ad (Anahtar olmadan)

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Güvenlik grubu

    Varlık adı: SecurityGroup

    Alan Tür Açıklama
    Tür String 'security-group'
    DistinguishedName String Grup ayırt edici adı.
    SID String Grubun güvenlik tanımlayıcısını (SID) belirten tek değerli bir öznitelik.
    ObjectGuid Guıd? Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir öznitelik.

    Güvenlik grubu varlığının güçlü tanımlayıcıları

    • DistinguishedName
    • SID
    • ObjectGuid

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    URL

    Varlık adı: Url

    Alan Tür Açıklama
    Tür String 'url'
    Url Uri Varlığın işaret olduğu tam URL. Zorunlu.

    URL varlığının güçlü tanımlayıcıları

    • Url (** URL mutlak bir URL olduğunda bu tanımlayıcı güçlüdür.)

    URL varlığının zayıf tanımlayıcıları

    • Url (** URL göreli bir URL olduğunda bu tanımlayıcı zayıftır.)

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    IoT cihazı

    Varlık adı: IoTDevice

    Alan Tür Açıklama
    Tür String 'iotdevice'
    IoTHub Varlık (AzureResource) Cihazın ait olduğu IoT Hub'ını temsil eden AzureResource varlığı.
    DeviceId String IoT Hub bağlamında cihazın kimliği. Zorunlu.
    DeviceName String Cihazın kolay adı.
    Sahipleri Liste<Dizesi> Cihazın sahipleri.
    IoTSecurityAgentId Guıd? Cihazda çalışan IoT için Defender aracısının kimliği.
    DeviceType String Cihazın türü ('sıcaklık sensörü', 'dondurucu', 'rüzgar türbini' vb.).
    DeviceTypeId String Cihaz türünün kendisi bir görünen ad olduğundan ve karşılaştırmalarda güvenilir olmadığından her cihaz türünü cihaz türü şemasına göre tanımlamak için benzersiz bir kimlik.

    Olası değerler:
    Sınıflandırılmamış = 0
    Çeşitli = 1
    Ağ Cihazı = 2
    Yazıcı = 3
    Ses ve Video = 4
    Medya ve Gözetim = 5
    İletişim = 7
    Akıllı Alet = 9
    İş istasyonu = 10
    Sunucu = 11
    Mobil = 12
    Akıllı Tesis = 13
    Endüstriyel = 14
    operasyonel ekipman = 15
    Kaynak String Cihaz varlığının kaynağı (Microsoft/Vendor).
    SourceRef Varlık (Url) Cihazın yönetildiği kaynak öğeye url başvurusu.
    Üretici String Cihazın üreticisi.
    Model String Cihazın modeli.
    OperatingSystem String Cihazın çalıştırılan işletim sistemi.
    IpAddress Varlık (IP) Cihazın geçerli IP adresi.
    MacAddress String Cihazın MAC adresi.
    Nics Varlık (Nic) Cihazdaki geçerli NIC'ler.
    Protokoller Liste<Dizesi> Cihazın desteklediği protokollerin listesi.
    SerialNumber String Cihazın seri numarası.
    Tesis String Cihazın site konumu.
    Bölge String Bir site içindeki cihazın bölge konumu.
    Sensör String Cihazı izleyen algılayıcı.
    Önem Sabit listesi mi? Aşağıdaki değerlerden biri:
  • Düşük
  • Normal
  • Yüksek
  • PurdueLayer String Cihazın Purdue Katmanı.
    IsProgramming Bool? Cihazın programlama cihazı olarak sınıflandırılıp sınıflandırılmadığını gösterir.
    IsAuthorized Bool? Cihazın yetkili cihaz olarak sınıflandırılıp sınıflandırılmadığını gösterir.
    IsScanner Bool? Cihazın tarayıcı cihazı olarak sınıflandırılıp sınıflandırılmadığını gösterir.
    DevicePageLink Varlık (Url) IoT için Defender portalında cihaz sayfasının URL'si.
    DeviceSubType String Cihaz alt türünün adı.

    IoT cihaz varlığının güçlü tanımlayıcıları

    • IoTHub + DeviceId

    IoT cihaz varlığının zayıf tanımlayıcıları

    • DeviceId (IoTHub olmadan)

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Mailbox

    Varlık adı: Posta Kutusu

    Alan Tür Açıklama
    Tür String 'posta kutusu'
    MailboxPrimaryAddress String Posta kutusunun birincil adresi.
    DisplayName String Posta kutusunun görünen adı.
    Yukarı String Posta kutusu UPN'dir.
    AadId String Posta kutusunun kullanıcının Azure AD tanımlayıcısı.
    RiskLevel RiskLevel? Bu posta kutusunun risk düzeyi. Olası değerler:
  • Hiçbiri
  • Düşük
  • Orta
  • Yüksek
  • ExternalDirectoryObjectId Guıd? Posta kutusunun AzureAD tanımlayıcısı. Account varlığındaki AadUserId değerine benzer, ancak bu özellik Office tarafındaki posta kutusu nesnesine özgüdür.

    Posta kutusu varlığının tanımlayıcıları

    • MailboxPrimaryAddress

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Posta kümesi

    Varlık adı: MailCluster

    Alan Tür Açıklama
    Tür String 'mail-cluster'
    NetworkMessageIds IList<Dizesi> Posta kümesinin parçası olan posta iletisi kimlikleri.
    CountByDeliveryStatus IDictionary<String,Int> DeliveryStatus dize gösterimine göre posta iletilerinin sayısı.
    CountByThreatType IDictionary<String,Int> ThreatType dize gösterimine göre posta iletilerinin sayısı.
    CountByProtectionStatus Sözlük<Dizesi,uzun> Koruma durum dizesi gösterimine göre posta iletilerinin sayısı.
    CountByDeliveryLocation Sözlük<Dizesi,uzun> Teslim konumu dizesi gösterimine göre posta iletilerinin sayısı.
    Tehditler IList<Dizesi> Posta kümesinin parçası olan posta iletilerinin tehditleri.
    Sorgu String Posta kümesinin iletilerini tanımlamak için kullanılan sorgu.
    QueryTime DateTime mı? Sorgu süresi.
    MailCount Int? Posta kümesinin parçası olan posta iletilerinin sayısı.
    IsVolumeAnomaly Bool? Posta kümesinin birim anomalisi posta kümesi olup olmadığını gösterir.
    Kaynak String Posta kümesinin kaynağı (varsayılan değerdir O365 ATP).

    Posta kümesi varlığının güçlü tanımlayıcıları

    • Sorgu + Kaynak

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Mail message

    Varlık adı: MailMessage

    Alan Tür Açıklama
    Tür String 'mail-message'
    Dosyalar IList<Varlığı (Dosya)> Bu posta iletisinin eklerinin Dosya varlıkları.
    Alıcı String Bu posta iletisinin alıcısı. Birden çok alıcı söz konusu olduğunda, posta iletisi kopyalanır ve her kopyanın bir alıcısı vardır.
    Url'ler IList<Dizesi> Bu posta iletisinde yer alan URL'ler.
    Tehditler IList<Dizesi> Bu posta iletisinde yer alan tehditler.
    Gönderen String Gönderenin e-posta adresi.
    SenderIP String Gönderenin IP adresi.
    AlındıTarihi DateTime Bu iletinin alınma tarihi.
    NetworkMessageId Guıd? Bu posta iletisinin ağ iletisi kimliği.
    InternetMessageId String Bu posta iletisinin internet ileti kimliği.
    Konu String Bu posta iletisinin konusu.
    AntispamDirection Sabit listesi mi? Bu posta iletisinin yönü. Olası değerler:
  • Bilinmiyor
  • Gelen
  • Giden
  • İntraorg (iç)
  • DeliveryAction Sabit listesi mi? Bu posta iletisinin teslim eylemi. Olası değerler:
  • Bilinmiyor
  • DeliveredAsSpam
  • Teslim edildi
  • Engellendi
  • Replaced
  • DeliveryLocation Sabit listesi mi? Bu posta iletisinin teslim konumu. Olası değerler:
  • Bilinmiyor
  • Gelen kutusu
  • JunkFolder
  • DeletedFolder
  • Karantina
  • Harici
  • Başarısız
  • Düştü
  • Iletilen
  • CampaignId String Bu posta iletisinin bulunduğu kampanyanın tanımlayıcısı.
    SuspiciousRecipients IList<Dizesi> Şüpheli olarak algılanan alıcıların listesi.
    forwardedRecipients IList<Dizesi> İletilen postadaki tüm alıcıların listesi.
    İletme Türü IList<Dizesi> Postanın SMTP, ETR vb. iletme türü.

    Posta iletisi varlığının tanımlayıcıları

    • NetworkMessageId + Alıcı

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Gönderim e-postası

    Varlık adı: SubmissionMail

    Alan Tür Açıklama
    Tür String 'SubmissionMail'
    SubmissionId Guıd? Gönderim Kimliği.
    GönderimTarihi DateTime mı? Bu gönderim için Bildirilen Tarih saati.
    Submitter String Gönderen e-posta adresi.
    NetworkMessageId Guıd? Gönderimin ait olduğu e-postanın ağ iletisi kimliği.
    Zaman damgası DateTime mı? İleti alındığında zaman damgası (Posta).
    Alıcı String Postanın alıcısı.
    Gönderen String Postanın göndereni.
    SenderIp String Gönderenin IP'sini.
    Konu String Posta gönderme konusu.
    ReportType String Verilen örneğin gönderim türü. Olası değerler Gereksiz, Kimlik Avı, Kötü Amaçlı Yazılım veya NotJunk'tır.

    Bir SubmissionMail varlığının güçlü tanımlayıcıları

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Sentinel varlıkları

    Alan Tür Açıklama
    Varlıklar String Uyarıda tanımlanan varlıkların listesi. Bu liste, SecurityAlert şemasındaki varlıklar sütunudur (belgelere bakın).

    Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön

    Bulut uygulaması tanımlayıcıları

    Aşağıdaki liste, bilinen bulut uygulamaları için tanımlayıcıları tanımlar. Uygulama Kimliği değeri, bulut uygulaması varlık tanımlayıcısı olarak kullanılır.

    Uygulama Kimliği Veri Akışı Adı
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Yazılımı
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Hizmetleri
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 İş günü
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive İş
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft Office SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Yaşam Döngüsü
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype Kurumsal
    25988 Google Docs
    26055 Microsoft 365 yönetim merkezi
    26060 OPSWAT Dişlileri
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra Kimlik
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Öykünücüsü
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Sonraki adımlar

    Bu belgede Microsoft Sentinel'de varlık yapısı, tanımlayıcılar ve şema hakkında bilgi edindiyseniz.

    Varlıklar ve varlık eşlemesi hakkında daha fazla bilgi edinin.