你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel实体类型参考

本文档包含两组有关 Azure 门户 Microsoft Sentinel 中的实体和实体类型的信息,以及 Defender 门户中的Microsoft Sentinel

重要

2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel

如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验

实体类型和标识符

下表显示了可通过Microsoft Sentinel识别的实体类型,以及可用作每个实体类型的标识符的属性

Microsoft Sentinel识别警报和事件中的实体,这些实体是由分析规则中的实体映射创建的。 它还识别从其他源引入的警报中已识别的实体。

在 Microsoft Sentinel 中创建实体映射时,当前最多可以为给定实体使用三个标识符。 仅强标识符就足以唯一标识实体,而弱标识符只能与其他标识符结合使用。 详细了解 强标识符和弱标识符。 在 Microsoft Sentinel (中创建实体映射时,可以使用此表中的大多数(但不是所有标识符)请参阅脚注) 。

实体类型 标识符 强标识符 弱标识符
帐户 名称
FullName *
NTDomain
DnsDomain
UPNSuffix

AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name+UPNSuffix
AADUserId
**
Sid+Host**
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid
名称
主机 DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
实体类型 标识符 强标识符 弱标识符
Ip 地址
AddressScope
全局地址: 地址**
专用地址: Address+AddressScope**

专用地址: 地址**
Url URL 如果绝对 URL) ,则 url (** 如果相对 URL) ,则 url (**
Azure 资源
(AzureResource)
ResourceId ResourceId
云应用程序
(CloudApplication)
AppId
名称
InstanceName
AppId
名称
AppId+InstanceName
Name+InstanceName
DNS 解析
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
文件 目录
名称
目录+名称
文件哈希
(FileHash)
算法
算法+值
恶意软件 名称
类别
Name+Category
实体类型 标识符 强标识符 弱标识符
流程 ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
主机+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
    FileHash
ProcessId+CreationTimeUtc+
   CommandLine (无主机)
ProcessId+CreationTimeUtc+
    ImageFile (无主机)
注册表项
(RegistryKey)
Hive
Hive+Key
注册表值
(RegistryValue)
名称

ValueType
+名称 名称 (无密钥)
安全组
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
邮箱 MailboxPrimaryAddress
DisplayName
UPN
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
实体类型 标识符 强标识符 弱标识符
邮件群集
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
威胁
查询
QueryTime
MailCount
IsVolumeAnomaly

ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Source
邮件
(MailMessage)
收件人
URL
威胁
发件人
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
主题
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
语言*
ThreatDetectionMethods *
NetworkMessageId+Recipient
提交邮件
(提交邮件)
NetworkMessageId
Timestamp
收件人
发件人
SenderIp
主题
ReportType
SubmissionId
SubmissionDate
提交者
SubmissionId+NetworkMessageId+
   收件人+提交者
Sentinel实体 实体 实体

表脚注:

  • * 这些标识符显示在可用于实体映射的标识符列表中,但严格地说,它们不是实体架构的一部分。
  • ** 仅在某些条件下,这些标识符才被视为强标识符。 按照星号的链接,在 下面的实体架构部分的相关实体列表下查看适用的条件。
  • 不带星号的斜体标识符名称 (表示内部实体) 表示内部实体,这意味着一个实体类型可以将其他实体类型作为属性 (请参阅下面的实体架构部分) 。 按照标识符的链接查看内部实体自己的架构。
  • 架构中可能存在其他实体,该架构是一种常规架构,除了支持Microsoft Sentinel之外,还支持许多内容。 本文仅列出了Microsoft Sentinel中可用的实体。

实体类型架构

以下部分更深入地介绍了每个实体类型的完整架构。 你会注意到,其中许多架构都包含指向其他实体类型的链接。 例如,帐户架构包含指向 Host 实体类型的链接,因为用户帐户的一个属性是定义它的主机。 这些实体即属性称为“内部实体”,它们不能用作实体映射的标识符,但它们在提供实体页和调查图上实体的完整图示非常有用。

注意

“类型”列中值后面的问号表示该字段可为空。

实体类型架构列表

帐户

实体名称:帐户

字段 类型 说明
Type String “account”
名称 String 帐户的名称。 此字段应仅保留名称,而不添加任何域。
FullName -- 不是架构的一部分,为了与旧版实体映射的向后兼容而包含在内。
NTDomain String 以警报格式显示的 NETBIOS 域名-域\用户名。
例子: 金融,NT AUTHORITY
DnsDomain String 完全限定的域 DNS 名称。
示例: finance.contoso.com
UPNSuffix String 帐户的用户主体名称后缀。 在许多情况下,UPN 后缀也是域名。
示例: contoso.com
Host 实体 (主机) 包含帐户的主机(如果它是本地帐户)。
String 帐户的安全标识符。
AadTenantId Guid? Microsoft Entra租户 ID(如果已知)。
AadUserId Guid? Microsoft Entra帐户对象 ID(如果已知)。
PUID Guid? Microsoft Entra Passport 用户 ID(如果已知)。
IsDomainJoined Bool? 指示帐户是否为域帐户。
DisplayName -- 不是架构的一部分,为了与旧版实体映射的向后兼容而包含在内。
ObjectGuid Guid? objectGUID 属性是一个单值属性,它是由 Active Directory 分配的对象的唯一标识符。
CloudAppAccountId String 来自 CloudApp 提供商的警报中的 AccountID。 指其他Microsoft产品不支持的第三方应用中的帐户 ID。
IsAnonymized Bool? 指示用户名是否匿名。 可选。 默认值为:false
Stream Stream 与特定帐户相关的发现日志的源。 可选。

帐户实体的强标识符

  • Name + UPNSuffix
  • AadUserId

  • ** 只要帐户 不是 以下 说明 中列出的内置帐户之一,此标识符就很强。
  • Sid + 主机
    ** 当帐户是以下 说明 中列出的内置帐户之一时,主机组件需要使此标识符成为强标识符。
  • Name + NTDomain
    ** 当帐户是域帐户时,此组合是强标识符,因为 NTDomain 不是内置域/工作组,并且不同于主机名。 在这种情况下,即使没有 Host 组件,这也是强标识符。
  • 名称 + NTDomain + 主机
    ** 当帐户是本地帐户时,主机组件需要创建强标识符,这意味着 NTDomain 是内置域/工作组。
  • Name + DnsDomain
  • PUID
  • ObjectGuid

帐户实体的弱标识符

  • 名称

注意

如果 Account 实体是使用 名称 标识符定义的,并且特定实体的 Name 值是以下泛型(通常是内置帐户名称)之一,则该实体将从其警报中删除。

  • 管理
  • 管理员
  • SYSTEM
  • ANONYMOUS
  • AUTHENTICATED USER
  • NETWORK
  • NULL
  • LOCAL SYSTEM
  • LOCALSYSTEM
  • NETWORK SERVICE

返回到实体类型架构 | 列表返回到实体标识符表

主机

实体名称:主机

字段 类型 说明
Type String “host”
IpInterfaces 列出<实体 (Ip) > 主机上所有 IP 接口的列表。
DnsDomain String 此主机所属的 DNS 域。 应包含域的完整 DNS 后缀(如果已知)。
NTDomain String 此主机所属的 NT 域。
HostName String 不带域后缀的主机名。
NetBiosName String 主机名 (Windows 2000 之前的) 。
IoTDevice 实体 (IoT 设备) 如果此主机表示 IoT 设备) ,则 IoT 设备实体 (。
AzureID String VM Azure资源 ID(如果已知)。
OMSAgentID String OMS 代理 ID(如果主机已安装 OMS 代理)。
OSFamily 枚举? 下列值之一:
  • Linux
  • Windows
  • Android
  • Ios
  • Mac
  • OSVersion String 操作系统的自由文本表示形式。
    此字段用于保存与 OSFamily 相比更精细的特定版本,或 OSFamily 枚举不支持的未来值。
    IsDomainJoined Bool 指示此主机是否属于域。

    主机实体的强标识符

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    主机实体的弱标识符

    • HostName
    • NetBiosName

    返回到实体类型架构 | 列表返回到实体标识符表

    IP

    实体名称:IP

    字段 类型 说明
    Type String “ip”
    地址 String IP 地址作为字符串 (IPv4 或 IPv6) 。
    示例:20.112.250.1332603:1030:b:3::152
    AddressScope String 专用非全局 IP 地址的主机、子网或专用网络的名称。 默认) 全局 IP 地址 (为 null 或空。
    示例:/27255.255.255.128
    Location 地理位置 附加到 IP 实体的地理位置上下文。

    有关详细信息,另请参阅通过 REST API 使用地理位置数据扩充Microsoft Sentinel中的实体 (公共预览版)
    Stream Stream 与特定 IP 相关的发现日志的源。 可选。

    IP 实体的强标识符

    • 地址
      当 IP 地址是全局地址时,地址标识符本身是唯一的强标识符。
    • Address + AddressScope
      对于专用/内部非全局 IP 地址,需要 AddressScope 组件才能使其成为强标识符。

    IP 实体的弱标识符

    • 地址
      当 IP 地址是专用/内部非全局 IP 地址时,地址标识符本身是弱标识符。

    返回到实体类型架构 | 列表返回到实体标识符表

    恶意软件

    实体名称:恶意软件

    字段 类型 说明
    Type String “malware”
    名称 String 由 (检测 ) 供应商分配的恶意软件名称,例如 Win32/Toga!rfn
    类别 String 例如,由 (检测 ) 供应商分配的恶意软件类别。 木马。
    Files 列出<实体 (文件) > 找到恶意软件的链接文件实体的列表。 可以包含内联或作为引用的文件实体。
    有关结构的更多详细信息,请参阅 File 实体。
    过程 列出<实体 (进程) > 找到恶意软件的链接进程实体列表。 在无文件活动上触发警报时,通常会使用此方法。
    有关结构的更多详细信息,请参阅 Process 实体。

    恶意软件实体的强标识符

    • 名称 + 类别

    返回到实体类型架构 | 列表返回到实体标识符表

    文件

    实体名称:文件

    字段 类型 说明
    Type String “file”
    Directory String 文件的完整路径。
    名称 String 没有路径的文件名 (某些警报可能不包含路径) 。
    AlternateDataStreamName String NTFS 文件系统中的文件流名称对于主流) (null。
    Host 实体 (主机) 存储文件的主机。
    HostUrl 实体 (URL) 从中下载文件的 URL
    (Web) 的标记
    WindowsSecurityZoneType WindowsSecurityZone Windows 安全中心 URL 所属的区域
    (Web) 的标记
    ReferrerUrl 实体 (URL) 文件下载 HTTP 请求的引用 URL
    (Web) 的标记
    SizeInBytes 长? 文件的大小(以字节为单位)。
    FileHashes 列出<实体 (FileHash) > 与此文件关联的文件哈希。

    文件实体的强标识符

    • 名称 + 目录
    • Name + FileHash
    • Name + Directory + FileHash

    返回到实体类型架构 | 列表返回到实体标识符表

    流程

    实体名称:进程

    字段 类型 说明
    Type String “process”
    ProcessId String 进程 ID。
    CommandLine String 用于创建进程的命令行。
    ElevationToken 枚举? 与进程关联的提升令牌。
    可能的值:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc Datetime? 进程开始运行的时间。
    ImageFile 实体 (文件) 可以包含内联或作为引用的 File 实体。
    有关结构的更多详细信息,请参阅 File 实体。
    Account 实体 (帐户) 运行进程的帐户。
    可以包含内联或作为引用的 Account 实体。
    有关结构的更多详细信息,请参阅 Account 实体。
    ParentProcess 实体 (进程) 父进程实体。
    可以包含部分数据,例如,只能包含 PID。
    Host 实体 (主机) 运行进程的主机。
    LogonSession 实体 (HostLogonSession) 运行进程的会话。

    进程实体的强标识符

    • Host + ProcessId + CreationTimeUtc
    • 主机 + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    进程实体的弱标识符

    • ProcessId + CreationTimeUtc + CommandLine (,没有主机)
    • ProcessId + CreationTimeUtc + ImageFile (,没有主机)

    返回到实体类型架构 | 列表返回到实体标识符表

    云应用程序

    实体名称:CloudApplication

    字段 类型 说明
    Type String “cloud-application”
    AppId Int 废弃;请改用 SaasId 字段。 应用程序的技术标识符。 可能的值是在 云应用程序标识符列表中定义的值。 值可选。 不应包含 InstanceId。
    SaasId Int 替换已弃用的 AppId 字段。 应用程序的技术标识符。 可能的值是在 云应用程序标识符列表中定义的值。 值可选。 不应包含 InstanceId。
    名称 String 相关云应用程序的名称。 值可选。
    InstanceName String 云应用程序的用户定义的实例名称。 它通常用于区分客户具有的相同类型的多个应用程序。
    InstanceId Int 应用程序的特定会话的标识符。 这是一个从零开始的运行数字。 值可选。
    风险 AppRisk? 允许按风险分数筛选应用,以便可以专注于(例如,仅查看高风险应用)。 可能的值,如低、中、高或未知。
    Stream Stream 与特定云应用相关的发现日志的源。 可选。

    云应用程序实体的强标识符

    • 没有 InstanceName) 的 AppId (
    • 不带 InstanceName) 的名称 (
    • AppId + InstanceName
    • Name + InstanceName

    云应用程序标识符列表

    返回到实体类型架构 | 列表返回到实体标识符表

    DNS 解析

    实体名称:DNS

    字段 类型 说明
    Type String “dns”
    DomainName String 与警报关联的 DNS 记录的名称。
    IpAddress 列出<实体 (IP) > 与解析的 IP 地址对应的实体。
    DnsServerIp 实体 (IP) 表示解析请求的 DNS 服务器的实体。
    HostIpAddress 实体 (IP) 表示 DNS 请求客户端的实体。

    DNS 实体的强标识符

    • DomainName + DnsServerIp + HostIpAddress

    DNS 实体的弱标识符

    • DomainName + HostIpAddress

    返回到实体类型架构 | 列表返回到实体标识符表

    Azure 资源

    实体名称:AzureResource

    字段 类型 说明
    Type String “azure-resource”
    ResourceId String 资源的Azure资源 ID。 强制性。
    SubscriptionId String 资源的订阅 ID。
    ActiveContacts 列出<ActiveContact> 与资源关联的活动联系人。
    ResourceType String 资源的类型。
    ResourceName String 资源的名称。

    Azure资源实体的强标识符

    • ResourceId

    返回到实体类型架构 | 列表返回到实体标识符表

    文件哈希

    实体名称:FileHash

    字段 类型 说明
    Type String 'filehash'
    算法 枚举 哈希算法类型。 强制性。 可能的值:
  • 未知
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • String 哈希值。 强制性。

    文件哈希实体的强标识符

    • 算法 + 值

    返回到实体类型架构 | 列表返回到实体标识符表

    注册表项

    实体名称:RegistryKey

    字段 类型 说明
    Type String “registry-key”
    Hive 枚举? 下列值之一:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • String 注册表项路径。

    注册表项实体的强标识符

    • Hive + 密钥

    返回到实体类型架构 | 列表返回到实体标识符表

    注册表值

    实体名称:RegistryValue

    字段 类型 说明
    Type String 'registry-value'
    Host 实体 (主机) 注册表所属的主机。
    实体 (RegistryKey) 注册表项实体。
    名称 String 注册表值名称。
    String 值数据的字符串格式表示形式。
    ValueType 枚举? 下列值之一:
  • String
  • Binary
  • Dword
  • Qword
  • MultiString
  • ExpandString
  • 未知
    值应符合 Microsoft.Win32.RegistryValueKind 枚举。
  • 注册表值实体的强标识符

    • + 名称

    注册表值实体的弱标识符

    • 不带密钥) 的名称 (

    返回到实体类型架构 | 列表返回到实体标识符表

    安全组

    实体名称:SecurityGroup

    字段 类型 说明
    Type String “安全组”
    DistinguishedName String 组可分辨名称。
    SID String 一个单值属性,指定组的安全标识符 (SID) 。
    ObjectGuid Guid? 一个单值属性,该属性是 Active Directory 分配的对象的唯一标识符。

    安全组实体的强标识符

    • DistinguishedName
    • SID
    • ObjectGuid

    返回到实体类型架构 | 列表返回到实体标识符表

    URL

    实体名称:Url

    字段 类型 说明
    类型 String “url”
    URL Uri 实体指向的完整 URL。 强制性。

    URL 实体的强标识符

    • URL (** 当 URL 为绝对 URL 时,此标识符为强。)

    URL 实体的弱标识符

    • URL (** 当 URL 是相对 URL 时,此标识符很弱。)

    返回到实体类型架构 | 列表返回到实体标识符表

    IoT 设备

    实体名称:IoTDevice

    字段 类型 说明
    Type String “iotdevice”
    IoTHub 实体 (AzureResource) 表示设备所属IoT 中心的 AzureResource 实体。
    DeviceId String IoT 中心上下文中的设备的 ID。 强制性。
    DeviceName String 设备的友好名称。
    Owners 列表<字符串> 设备的所有者。
    IoTSecurityAgentId Guid? 在设备上运行的 Defender for IoT 代理的 ID。
    DeviceType String 设备类型 (“温度传感器”、“冰柜”、“风力涡轮机”等 ) 。
    DeviceTypeId String 一个唯一 ID,用于根据设备类型架构标识每个设备类型,因为设备类型本身是显示名称,在比较中并不可靠。

    可能的值:
    未分类 = 0
    杂项 = 1
    网络设备 = 2
    打印机 = 3
    音频和视频 = 4
    媒体和监视 = 5
    通信 = 7
    智能设备 = 9
    工作站 = 10
    服务器 = 11
    Mobile = 12
    智能设施 = 13
    工业 = 14
    操作设备 = 15
    Source String 设备实体的源 (Microsoft/供应商) 。
    SourceRef 实体 (url) 对管理设备的源项的 URL 引用。
    制造商 String 设备制造商。
    Model String 设备型号。
    OperatingSystem String 设备运行的操作系统。
    IpAddress 实体 (IP) 设备的当前 IP 地址。
    MacAddress String 设备的 MAC 地址。
    Nic 实体 (Nic) 设备上的当前 NIC。
    协议 列表<字符串> 设备支持的协议列表。
    SerialNumber String 设备的序列号。
    Site String 设备的站点位置。
    Zone String 设备在站点中的区域位置。
    传感器 String 监视设备的传感器。
    Importance 枚举? 下列值之一:
  • 一般
  • PurdueLayer String 设备的普渡层。
    IsProgramming Bool? 指示设备是否分类为编程设备。
    IsAuthorized Bool? 指示设备是否分类为授权设备。
    IsScanner Bool? 指示设备是否分类为扫描程序设备。
    DevicePageLink 实体 (url) Defender for IoT 门户中设备页的 URL。
    DeviceSubType String 设备子类型的名称。

    IoT 设备实体的强标识符

    • IoTHub + DeviceId

    IoT 设备实体的弱标识符

    • 没有 IoTHub) 的 DeviceId (

    返回到实体类型架构 | 列表返回到实体标识符表

    邮箱

    实体名称:邮箱

    字段 类型 说明
    Type String “mailbox”
    MailboxPrimaryAddress String 邮箱的主地址。
    DisplayName String 邮箱的显示名称。
    UPN String 邮箱的 UPN。
    AadId String 用户的邮箱Azure AD 标识符。
    RiskLevel RiskLevel (整数) 此邮箱的风险级别。 可能的值:
  • ExternalDirectoryObjectId Guid? 邮箱的 AzureAD 标识符。 类似于 Account 实体中的 AadUserId,但此属性特定于 Office 端的邮箱对象。

    邮箱实体的强标识符

    • MailboxPrimaryAddress

    返回到实体类型架构 | 列表返回到实体标识符表

    邮件群集

    实体名称:MailCluster

    字段 类型 说明
    Type String “mail-cluster”
    NetworkMessageIds IList<字符串> 属于邮件群集的邮件 ID。
    CountByDeliveryStatus IDictionary<字符串,Int> 按 DeliveryStatus 字符串表示形式的邮件计数。
    CountByThreatType IDictionary<字符串,Int> 按 ThreatType 字符串表示形式的邮件计数。
    CountByProtectionStatus IDictionary<字符串,long> 按保护状态字符串表示形式的邮件计数。
    CountByDeliveryLocation IDictionary<字符串,long> 按传递位置字符串表示形式的邮件计数。
    威胁 IList<字符串> 作为邮件群集一部分的邮件消息威胁数。
    Query String 用于标识邮件群集的邮件的查询。
    QueryTime Datetime? 查询时间。
    MailCount Int? 属于邮件群集的邮件数。
    IsVolumeAnomaly Bool? 指示邮件群集是否为卷异常邮件群集。
    Source String 邮件群集的源 (默认为 O365 ATP) 。

    邮件群集实体的强标识符

    • 查询 + 源

    返回到实体类型架构 | 列表返回到实体标识符表

    邮件

    实体名称:MailMessage

    字段 类型 说明
    Type String 'mail-message'
    Files IList<实体 (文件) > 此邮件附件的文件实体。
    收件人 String 此邮件的收件人。 对于多个收件人,将复制邮件,并且每个副本都有一个收件人。
    Urls IList<字符串> 此邮件中包含的 URL。
    威胁 IList<字符串> 此邮件中包含的威胁。
    Sender String 发件人的电子邮件地址。
    SenderIP String 发件人的 IP 地址。
    ReceivedDate 日期时间 此消息的接收日期。
    NetworkMessageId Guid? 此邮件的网络邮件 ID。
    InternetMessageId String 此邮件的 Internet 邮件 ID。
    主题 String 此邮件的主题。
    AntispamDirection 枚举? 此邮件的方向性。 可能的值:
  • 未知
  • 入境
  • 出站
  • 内部 (内部)
  • DeliveryAction 枚举? 此邮件的传递操作。 可能的值:
  • 未知
  • DeliveredAsSpam
  • 已送达
  • Blocked
  • 取代
  • DeliveryLocation 枚举? 此邮件的传递位置。 可能的值:
  • 未知
  • Inbox
  • JunkFolder
  • DeletedFolder
  • Quarantine
  • 外部
  • 已失败
  • 下降
  • 转发
  • CampaignId String 此邮件所在的市场活动的标识符。
    SuspiciousRecipients IList<字符串> 被检测为可疑的收件人的列表。
    ForwardedRecipients IList<字符串> 转发的邮件上所有收件人的列表。
    ForwardingType IList<字符串> 邮件的转发类型,例如 SMTP、ETR 等。

    邮件实体的强标识符

    • NetworkMessageId + Recipient

    返回到实体类型架构 | 列表返回到实体标识符表

    提交邮件

    实体名称:SubmissionMail

    字段 类型 说明
    Type String “SubmissionMail”
    SubmissionId Guid? 提交 ID。
    SubmissionDate Datetime? 报告此提交的日期时间。
    提交者 String 提交者电子邮件地址。
    NetworkMessageId Guid? 提交所属的电子邮件的网络消息 ID。
    Timestamp Datetime? 邮件) 收到邮件 (时间戳。
    收件人 String 邮件的收件人。
    Sender String 邮件的发件人。
    SenderIp String 发件人的 IP。
    主题 String 提交邮件的主题。
    ReportType String 给定实例的提交类型。 可能的值为“垃圾邮件”、“网络钓鱼”、“恶意软件”或“NotJunk”。

    SubmissionMail 实体的强标识符

    • SubmissionId、Submitter、NetworkMessageId、Recipient

    返回到实体类型架构 | 列表返回到实体标识符表

    Sentinel实体

    字段 类型 说明
    Entities String 警报中标识的实体的列表。 此列表是 SecurityAlert 架构中的 实体 列, (请参阅文档) 。

    返回到实体类型架构 | 列表返回到实体标识符表

    云应用程序标识符

    以下列表定义了已知云应用程序的标识符。 应用 ID 值用作 云应用程序 实体标识符。

    应用程序 ID 名称
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 同意
    14509 ServiceNow
    15570 画面
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion 生命周期
    23043 可宽延时间
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 Microsoft 365 管理中心
    26060 OPSWAT 齿轮
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 按Facebook的工作区
    28373 CAS 代理模拟器
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    后续步骤

    本文档介绍了 Microsoft Sentinel 中的实体结构、标识符和架构。

    详细了解 实体实体映射