你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文档包含两组有关 Azure 门户 Microsoft Sentinel 中的实体和实体类型的信息,以及 Defender 门户中的Microsoft Sentinel。
- “实体类型和标识符”表显示可在警报和事件中识别的不同类型的实体,以便跟踪和调查它们。 该表还显示了每种实体类型可用于标识实体的不同标识符。
- “实体架构”部分显示实体的一般数据结构和架构,以及每种实体类型的特定数据结构和架构。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
实体类型和标识符
下表显示了可通过Microsoft Sentinel识别的实体类型,以及可用作每个实体类型的标识符的属性。
Microsoft Sentinel识别警报和事件中的实体,这些实体是由分析规则中的实体映射创建的。 它还识别从其他源引入的警报中已识别的实体。
在 Microsoft Sentinel 中创建实体映射时,当前最多可以为给定实体使用三个标识符。 仅强标识符就足以唯一标识实体,而弱标识符只能与其他标识符结合使用。 详细了解 强标识符和弱标识符。 在 Microsoft Sentinel (中创建实体映射时,可以使用此表中的大多数(但不是所有标识符)请参阅脚注) 。
| 实体类型 | 标识符 | 强标识符 | 弱标识符 |
|---|---|---|---|
| 帐户 | 名称 FullName * NTDomain DnsDomain UPNSuffix 希 AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId 希 ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
名称 |
| 主机 | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| 实体类型 | 标识符 | 强标识符 | 弱标识符 |
| Ip | 地址 AddressScope |
全局地址: 地址** 专用地址: Address+AddressScope** |
专用地址: 地址** |
| Url | URL | 如果绝对 URL) ,则 url (** | 如果相对 URL) ,则 url (** |
|
Azure 资源 (AzureResource) |
ResourceId | ResourceId | |
|
云应用程序 (CloudApplication) |
AppId 名称 InstanceName |
AppId 名称 AppId+InstanceName Name+InstanceName |
|
|
DNS 解析 (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| 文件 | 目录 名称 |
目录+名称 | |
|
文件哈希 (FileHash) |
算法 值 |
算法+值 | |
| 恶意软件 | 名称 类别 |
Name+Category | |
| 实体类型 | 标识符 | 强标识符 | 弱标识符 |
| 流程 | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc 主机+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (无主机) ProcessId+CreationTimeUtc+ ImageFile (无主机) |
|
注册表项 (RegistryKey) |
Hive 键 |
Hive+Key | |
|
注册表值 (RegistryValue) |
名称 值 ValueType |
键+名称 | 名称 (无密钥) |
|
安全组 (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| 邮箱 | MailboxPrimaryAddress DisplayName UPN ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| 实体类型 | 标识符 | 强标识符 | 弱标识符 |
|
邮件群集 (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 威胁 查询 QueryTime MailCount IsVolumeAnomaly 源 ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
邮件 (MailMessage) |
收件人 URL 威胁 发件人 P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId 主题 BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 语言* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
提交邮件 (提交邮件) |
NetworkMessageId Timestamp 收件人 发件人 SenderIp 主题 ReportType SubmissionId SubmissionDate 提交者 |
SubmissionId+NetworkMessageId+ 收件人+提交者 |
|
| Sentinel实体 | 实体 | 实体 |
表脚注:
- * 这些标识符显示在可用于实体映射的标识符列表中,但严格地说,它们不是实体架构的一部分。
- ** 仅在某些条件下,这些标识符才被视为强标识符。 按照星号的链接,在 下面的实体架构部分的相关实体列表下查看适用的条件。
- 不带星号的斜体标识符名称 (表示内部实体) 表示内部实体,这意味着一个实体类型可以将其他实体类型作为属性 (请参阅下面的实体架构部分) 。 按照标识符的链接查看内部实体自己的架构。
- 架构中可能存在其他实体,该架构是一种常规架构,除了支持Microsoft Sentinel之外,还支持许多内容。 本文仅列出了Microsoft Sentinel中可用的实体。
实体类型架构
以下部分更深入地介绍了每个实体类型的完整架构。 你会注意到,其中许多架构都包含指向其他实体类型的链接。 例如,帐户架构包含指向 Host 实体类型的链接,因为用户帐户的一个属性是定义它的主机。 这些实体即属性称为“内部实体”,它们不能用作实体映射的标识符,但它们在提供实体页和调查图上实体的完整图示非常有用。
注意
“类型”列中值后面的问号表示该字段可为空。
实体类型架构列表
- Account
- Host
- IP
- 恶意软件
- 文件
- 进程
- 云应用程序
- DNS 解析
- Azure 资源
- 文件哈希
- 注册表项
- 注册表值
- 安全组
- URL
- IoT 设备
- Mailbox
- 邮件群集
- 邮件
- 提交邮件
- Sentinel实体
帐户
实体名称:帐户
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “account” |
| 名称 | String | 帐户的名称。 此字段应仅保留名称,而不添加任何域。 |
| FullName | -- | 不是架构的一部分,为了与旧版实体映射的向后兼容而包含在内。 |
| NTDomain | String | 以警报格式显示的 NETBIOS 域名-域\用户名。 例子: 金融,NT AUTHORITY |
| DnsDomain | String | 完全限定的域 DNS 名称。 示例: finance.contoso.com |
| UPNSuffix | String | 帐户的用户主体名称后缀。 在许多情况下,UPN 后缀也是域名。 示例: contoso.com |
| Host | 实体 (主机) | 包含帐户的主机(如果它是本地帐户)。 |
| 希 | String | 帐户的安全标识符。 |
| AadTenantId | Guid? | Microsoft Entra租户 ID(如果已知)。 |
| AadUserId | Guid? | Microsoft Entra帐户对象 ID(如果已知)。 |
| PUID | Guid? | Microsoft Entra Passport 用户 ID(如果已知)。 |
| IsDomainJoined | Bool? | 指示帐户是否为域帐户。 |
| DisplayName | -- | 不是架构的一部分,为了与旧版实体映射的向后兼容而包含在内。 |
| ObjectGuid | Guid? | objectGUID 属性是一个单值属性,它是由 Active Directory 分配的对象的唯一标识符。 |
| CloudAppAccountId | String | 来自 CloudApp 提供商的警报中的 AccountID。 指其他Microsoft产品不支持的第三方应用中的帐户 ID。 |
| IsAnonymized | Bool? | 指示用户名是否匿名。 可选。 默认值为:false。 |
| Stream | Stream | 与特定帐户相关的发现日志的源。 可选。 |
帐户实体的强标识符
- Name + UPNSuffix
- AadUserId
-
希
** 只要帐户 不是 以下 说明 中列出的内置帐户之一,此标识符就很强。 -
Sid + 主机
** 当帐户是以下 说明 中列出的内置帐户之一时,主机组件需要使此标识符成为强标识符。 -
Name + NTDomain
** 当帐户是域帐户时,此组合是强标识符,因为 NTDomain 不是内置域/工作组,并且不同于主机名。 在这种情况下,即使没有 Host 组件,这也是强标识符。 -
名称 + NTDomain + 主机
** 当帐户是本地帐户时,主机组件需要创建强标识符,这意味着 NTDomain 是内置域/工作组。 - Name + DnsDomain
- PUID
- ObjectGuid
帐户实体的弱标识符
- 名称
注意
如果 Account 实体是使用 名称 标识符定义的,并且特定实体的 Name 值是以下泛型(通常是内置帐户名称)之一,则该实体将从其警报中删除。
- 管理
- 管理员
- SYSTEM
- 根
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
主机
实体名称:主机
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “host” |
| IpInterfaces | 列出<实体 (Ip) > | 主机上所有 IP 接口的列表。 |
| DnsDomain | String | 此主机所属的 DNS 域。 应包含域的完整 DNS 后缀(如果已知)。 |
| NTDomain | String | 此主机所属的 NT 域。 |
| HostName | String | 不带域后缀的主机名。 |
| NetBiosName | String | 主机名 (Windows 2000 之前的) 。 |
| IoTDevice | 实体 (IoT 设备) | 如果此主机表示 IoT 设备) ,则 IoT 设备实体 (。 |
| AzureID | String | VM Azure资源 ID(如果已知)。 |
| OMSAgentID | String | OMS 代理 ID(如果主机已安装 OMS 代理)。 |
| OSFamily | 枚举? | 下列值之一: |
| OSVersion | String | 操作系统的自由文本表示形式。 此字段用于保存与 OSFamily 相比更精细的特定版本,或 OSFamily 枚举不支持的未来值。 |
| IsDomainJoined | Bool | 指示此主机是否属于域。 |
主机实体的强标识符
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
主机实体的弱标识符
- HostName
- NetBiosName
IP
实体名称:IP
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “ip” |
| 地址 | String | IP 地址作为字符串 (IPv4 或 IPv6) 。 示例: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | String | 专用非全局 IP 地址的主机、子网或专用网络的名称。 默认) 全局 IP 地址 (为 null 或空。 示例: /27, 255.255.255.128 |
| Location | 地理位置 | 附加到 IP 实体的地理位置上下文。 有关详细信息,另请参阅通过 REST API 使用地理位置数据扩充Microsoft Sentinel中的实体 (公共预览版) 。 |
| Stream | Stream | 与特定 IP 相关的发现日志的源。 可选。 |
IP 实体的强标识符
-
地址
当 IP 地址是全局地址时,地址标识符本身是唯一的强标识符。 -
Address + AddressScope
对于专用/内部非全局 IP 地址,需要 AddressScope 组件才能使其成为强标识符。
IP 实体的弱标识符
-
地址
当 IP 地址是专用/内部非全局 IP 地址时,地址标识符本身是弱标识符。
恶意软件
实体名称:恶意软件
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “malware” |
| 名称 | String | 由 (检测 ) 供应商分配的恶意软件名称,例如 Win32/Toga!rfn。 |
| 类别 | String | 例如,由 (检测 ) 供应商分配的恶意软件类别。 木马。 |
| Files | 列出<实体 (文件) > | 找到恶意软件的链接文件实体的列表。 可以包含内联或作为引用的文件实体。 有关结构的更多详细信息,请参阅 File 实体。 |
| 过程 | 列出<实体 (进程) > | 找到恶意软件的链接进程实体列表。 在无文件活动上触发警报时,通常会使用此方法。 有关结构的更多详细信息,请参阅 Process 实体。 |
恶意软件实体的强标识符
- 名称 + 类别
文件
实体名称:文件
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “file” |
| Directory | String | 文件的完整路径。 |
| 名称 | String | 没有路径的文件名 (某些警报可能不包含路径) 。 |
| AlternateDataStreamName | String | NTFS 文件系统中的文件流名称对于主流) (null。 |
| Host | 实体 (主机) | 存储文件的主机。 |
| HostUrl | 实体 (URL) | 从中下载文件的 URL (Web) 的标记。 |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows 安全中心 URL 所属的区域 (Web) 的标记。 |
| ReferrerUrl | 实体 (URL) | 文件下载 HTTP 请求的引用 URL (Web) 的标记。 |
| SizeInBytes | 长? | 文件的大小(以字节为单位)。 |
| FileHashes | 列出<实体 (FileHash) > | 与此文件关联的文件哈希。 |
文件实体的强标识符
- 名称 + 目录
- Name + FileHash
- Name + Directory + FileHash
流程
实体名称:进程
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “process” |
| ProcessId | String | 进程 ID。 |
| CommandLine | String | 用于创建进程的命令行。 |
| ElevationToken | 枚举? | 与进程关联的提升令牌。 可能的值: |
| CreationTimeUtc | Datetime? | 进程开始运行的时间。 |
| ImageFile | 实体 (文件) | 可以包含内联或作为引用的 File 实体。 有关结构的更多详细信息,请参阅 File 实体。 |
| Account | 实体 (帐户) | 运行进程的帐户。 可以包含内联或作为引用的 Account 实体。 有关结构的更多详细信息,请参阅 Account 实体。 |
| ParentProcess | 实体 (进程) | 父进程实体。 可以包含部分数据,例如,只能包含 PID。 |
| Host | 实体 (主机) | 运行进程的主机。 |
| LogonSession | 实体 (HostLogonSession) | 运行进程的会话。 |
进程实体的强标识符
- Host + ProcessId + CreationTimeUtc
- 主机 + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
进程实体的弱标识符
- ProcessId + CreationTimeUtc + CommandLine (,没有主机)
- ProcessId + CreationTimeUtc + ImageFile (,没有主机)
云应用程序
实体名称:CloudApplication
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “cloud-application” |
| AppId | Int | 废弃;请改用 SaasId 字段。 应用程序的技术标识符。 可能的值是在 云应用程序标识符列表中定义的值。 值可选。 不应包含 InstanceId。 |
| SaasId | Int | 替换已弃用的 AppId 字段。 应用程序的技术标识符。 可能的值是在 云应用程序标识符列表中定义的值。 值可选。 不应包含 InstanceId。 |
| 名称 | String | 相关云应用程序的名称。 值可选。 |
| InstanceName | String | 云应用程序的用户定义的实例名称。 它通常用于区分客户具有的相同类型的多个应用程序。 |
| InstanceId | Int | 应用程序的特定会话的标识符。 这是一个从零开始的运行数字。 值可选。 |
| 风险 | AppRisk? | 允许按风险分数筛选应用,以便可以专注于(例如,仅查看高风险应用)。 可能的值,如低、中、高或未知。 |
| Stream | Stream | 与特定云应用相关的发现日志的源。 可选。 |
云应用程序实体的强标识符
- 没有 InstanceName) 的 AppId (
- 不带 InstanceName) 的名称 (
- AppId + InstanceName
- Name + InstanceName
DNS 解析
实体名称:DNS
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “dns” |
| DomainName | String | 与警报关联的 DNS 记录的名称。 |
| IpAddress | 列出<实体 (IP) > | 与解析的 IP 地址对应的实体。 |
| DnsServerIp | 实体 (IP) | 表示解析请求的 DNS 服务器的实体。 |
| HostIpAddress | 实体 (IP) | 表示 DNS 请求客户端的实体。 |
DNS 实体的强标识符
- DomainName + DnsServerIp + HostIpAddress
DNS 实体的弱标识符
- DomainName + HostIpAddress
Azure 资源
实体名称:AzureResource
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “azure-resource” |
| ResourceId | String | 资源的Azure资源 ID。 强制性。 |
| SubscriptionId | String | 资源的订阅 ID。 |
| ActiveContacts | 列出<ActiveContact> | 与资源关联的活动联系人。 |
| ResourceType | String | 资源的类型。 |
| ResourceName | String | 资源的名称。 |
Azure资源实体的强标识符
- ResourceId
文件哈希
实体名称:FileHash
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | 'filehash' |
| 算法 | 枚举 | 哈希算法类型。 强制性。 可能的值: |
| 值 | String | 哈希值。 强制性。 |
文件哈希实体的强标识符
- 算法 + 值
注册表项
实体名称:RegistryKey
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “registry-key” |
| Hive | 枚举? | 下列值之一: |
| 键 | String | 注册表项路径。 |
注册表项实体的强标识符
- Hive + 密钥
注册表值
实体名称:RegistryValue
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | 'registry-value' |
| Host | 实体 (主机) | 注册表所属的主机。 |
| 键 | 实体 (RegistryKey) | 注册表项实体。 |
| 名称 | String | 注册表值名称。 |
| 值 | String | 值数据的字符串格式表示形式。 |
| ValueType | 枚举? | 下列值之一: 值应符合 Microsoft.Win32.RegistryValueKind 枚举。 |
注册表值实体的强标识符
- 键 + 名称
注册表值实体的弱标识符
- 不带密钥) 的名称 (
安全组
实体名称:SecurityGroup
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “安全组” |
| DistinguishedName | String | 组可分辨名称。 |
| SID | String | 一个单值属性,指定组的安全标识符 (SID) 。 |
| ObjectGuid | Guid? | 一个单值属性,该属性是 Active Directory 分配的对象的唯一标识符。 |
安全组实体的强标识符
- DistinguishedName
- SID
- ObjectGuid
URL
实体名称:Url
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | String | “url” |
| URL | Uri | 实体指向的完整 URL。 强制性。 |
URL 实体的强标识符
- URL (** 当 URL 为绝对 URL 时,此标识符为强。)
URL 实体的弱标识符
- URL (** 当 URL 是相对 URL 时,此标识符很弱。)
IoT 设备
实体名称:IoTDevice
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “iotdevice” |
| IoTHub | 实体 (AzureResource) | 表示设备所属IoT 中心的 AzureResource 实体。 |
| DeviceId | String | IoT 中心上下文中的设备的 ID。 强制性。 |
| DeviceName | String | 设备的友好名称。 |
| Owners | 列表<字符串> | 设备的所有者。 |
| IoTSecurityAgentId | Guid? | 在设备上运行的 Defender for IoT 代理的 ID。 |
| DeviceType | String | 设备类型 (“温度传感器”、“冰柜”、“风力涡轮机”等 ) 。 |
| DeviceTypeId | String | 一个唯一 ID,用于根据设备类型架构标识每个设备类型,因为设备类型本身是显示名称,在比较中并不可靠。 可能的值: 未分类 = 0 杂项 = 1 网络设备 = 2 打印机 = 3 音频和视频 = 4 媒体和监视 = 5 通信 = 7 智能设备 = 9 工作站 = 10 服务器 = 11 Mobile = 12 智能设施 = 13 工业 = 14 操作设备 = 15 |
| Source | String | 设备实体的源 (Microsoft/供应商) 。 |
| SourceRef | 实体 (url) | 对管理设备的源项的 URL 引用。 |
| 制造商 | String | 设备制造商。 |
| Model | String | 设备型号。 |
| OperatingSystem | String | 设备运行的操作系统。 |
| IpAddress | 实体 (IP) | 设备的当前 IP 地址。 |
| MacAddress | String | 设备的 MAC 地址。 |
| Nic | 实体 (Nic) | 设备上的当前 NIC。 |
| 协议 | 列表<字符串> | 设备支持的协议列表。 |
| SerialNumber | String | 设备的序列号。 |
| Site | String | 设备的站点位置。 |
| Zone | String | 设备在站点中的区域位置。 |
| 传感器 | String | 监视设备的传感器。 |
| Importance | 枚举? | 下列值之一: |
| PurdueLayer | String | 设备的普渡层。 |
| IsProgramming | Bool? | 指示设备是否分类为编程设备。 |
| IsAuthorized | Bool? | 指示设备是否分类为授权设备。 |
| IsScanner | Bool? | 指示设备是否分类为扫描程序设备。 |
| DevicePageLink | 实体 (url) | Defender for IoT 门户中设备页的 URL。 |
| DeviceSubType | String | 设备子类型的名称。 |
IoT 设备实体的强标识符
- IoTHub + DeviceId
IoT 设备实体的弱标识符
- 没有 IoTHub) 的 DeviceId (
邮箱
实体名称:邮箱
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “mailbox” |
| MailboxPrimaryAddress | String | 邮箱的主地址。 |
| DisplayName | String | 邮箱的显示名称。 |
| UPN | String | 邮箱的 UPN。 |
| AadId | String | 用户的邮箱Azure AD 标识符。 |
| RiskLevel | RiskLevel (整数) | 此邮箱的风险级别。 可能的值: |
| ExternalDirectoryObjectId | Guid? | 邮箱的 AzureAD 标识符。 类似于 Account 实体中的 AadUserId,但此属性特定于 Office 端的邮箱对象。 |
邮箱实体的强标识符
- MailboxPrimaryAddress
邮件群集
实体名称:MailCluster
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “mail-cluster” |
| NetworkMessageIds | IList<字符串> | 属于邮件群集的邮件 ID。 |
| CountByDeliveryStatus | IDictionary<字符串,Int> | 按 DeliveryStatus 字符串表示形式的邮件计数。 |
| CountByThreatType | IDictionary<字符串,Int> | 按 ThreatType 字符串表示形式的邮件计数。 |
| CountByProtectionStatus | IDictionary<字符串,long> | 按保护状态字符串表示形式的邮件计数。 |
| CountByDeliveryLocation | IDictionary<字符串,long> | 按传递位置字符串表示形式的邮件计数。 |
| 威胁 | IList<字符串> | 作为邮件群集一部分的邮件消息威胁数。 |
| Query | String | 用于标识邮件群集的邮件的查询。 |
| QueryTime | Datetime? | 查询时间。 |
| MailCount | Int? | 属于邮件群集的邮件数。 |
| IsVolumeAnomaly | Bool? | 指示邮件群集是否为卷异常邮件群集。 |
| Source | String | 邮件群集的源 (默认为 O365 ATP) 。 |
邮件群集实体的强标识符
- 查询 + 源
邮件
实体名称:MailMessage
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | 'mail-message' |
| Files | IList<实体 (文件) > | 此邮件附件的文件实体。 |
| 收件人 | String | 此邮件的收件人。 对于多个收件人,将复制邮件,并且每个副本都有一个收件人。 |
| Urls | IList<字符串> | 此邮件中包含的 URL。 |
| 威胁 | IList<字符串> | 此邮件中包含的威胁。 |
| Sender | String | 发件人的电子邮件地址。 |
| SenderIP | String | 发件人的 IP 地址。 |
| ReceivedDate | 日期时间 | 此消息的接收日期。 |
| NetworkMessageId | Guid? | 此邮件的网络邮件 ID。 |
| InternetMessageId | String | 此邮件的 Internet 邮件 ID。 |
| 主题 | String | 此邮件的主题。 |
| AntispamDirection | 枚举? | 此邮件的方向性。 可能的值: |
| DeliveryAction | 枚举? | 此邮件的传递操作。 可能的值: |
| DeliveryLocation | 枚举? | 此邮件的传递位置。 可能的值: |
| CampaignId | String | 此邮件所在的市场活动的标识符。 |
| SuspiciousRecipients | IList<字符串> | 被检测为可疑的收件人的列表。 |
| ForwardedRecipients | IList<字符串> | 转发的邮件上所有收件人的列表。 |
| ForwardingType | IList<字符串> | 邮件的转发类型,例如 SMTP、ETR 等。 |
邮件实体的强标识符
- NetworkMessageId + Recipient
提交邮件
实体名称:SubmissionMail
| 字段 | 类型 | 说明 |
|---|---|---|
| Type | String | “SubmissionMail” |
| SubmissionId | Guid? | 提交 ID。 |
| SubmissionDate | Datetime? | 报告此提交的日期时间。 |
| 提交者 | String | 提交者电子邮件地址。 |
| NetworkMessageId | Guid? | 提交所属的电子邮件的网络消息 ID。 |
| Timestamp | Datetime? | 邮件) 收到邮件 (时间戳。 |
| 收件人 | String | 邮件的收件人。 |
| Sender | String | 邮件的发件人。 |
| SenderIp | String | 发件人的 IP。 |
| 主题 | String | 提交邮件的主题。 |
| ReportType | String | 给定实例的提交类型。 可能的值为“垃圾邮件”、“网络钓鱼”、“恶意软件”或“NotJunk”。 |
SubmissionMail 实体的强标识符
- SubmissionId、Submitter、NetworkMessageId、Recipient
Sentinel实体
| 字段 | 类型 | 说明 |
|---|---|---|
| Entities | String | 警报中标识的实体的列表。 此列表是 SecurityAlert 架构中的 实体 列, (请参阅文档) 。 |
云应用程序标识符
以下列表定义了已知云应用程序的标识符。 应用 ID 值用作 云应用程序 实体标识符。
| 应用程序 ID | 名称 |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | 同意 |
| 14509 | ServiceNow |
| 15570 | 画面 |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion 生命周期 |
| 23043 | 可宽延时间 |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Microsoft 365 管理中心 |
| 26060 | OPSWAT 齿轮 |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | 按Facebook的工作区 |
| 28373 | CAS 代理模拟器 |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
后续步骤
本文档介绍了 Microsoft Sentinel 中的实体结构、标识符和架构。