你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Entities - Expand

展开实体。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{entityId}/expand?api-version=2024-01-01-preview

URI 参数

名称 必需 类型 说明
entityId
path True

string

实体 ID

resourceGroupName
path True

string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True

string

目标订阅的 ID。

workspaceName
path True

string

工作区的名称。

正则表达式模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

要用于此操作的 API 版本。

请求正文

名称 类型 说明
endTime

string

结束日期筛选器,因此返回的唯一扩展结果在此日期之前。

expansionId

string

要执行的扩展的 ID。

startTime

string

开始日期筛选器,因此返回的唯一扩展结果在此日期之后。

响应

名称 类型 说明
200 OK

EntityExpandResponse

确定

Other Status Codes

CloudError

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

类型: oauth2
流向: implicit
授权 URL: https://login.microsoftonline.com/common/oauth2/authorize

作用域

名称 说明
user_impersonation 模拟用户帐户

示例

Expand an entity

示例请求

POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1/expand?api-version=2024-01-01-preview

{
  "expansionId": "a77992f3-25e9-4d01-99a4-5ff606cc410a",
  "startTime": "2019-04-25T00:00:00.000Z",
  "endTime": "2019-05-26T00:00:00.000Z"
}

示例响应

{
  "value": {
    "entities": [
      {
        "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
        "name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
        "type": "Microsoft.SecurityInsights/entities",
        "kind": "Ip",
        "properties": {
          "address": "13.89.108.248",
          "friendlyName": "13.89.108.248"
        }
      }
    ],
    "edges": [
      {
        "targetEntityId": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/c1d60d86-5988-11eb-ae93-0242ac130002",
        "additionalData": {
          "EpochTimestamp": "1608289949",
          "FirstSeen": "2021-09-01T11:12:29.597Z",
          "Source": "Heartbeat"
        }
      }
    ]
  },
  "metaData": {
    "aggregations": [
      {
        "entityKind": "Account",
        "count": 1
      }
    ]
  }
}

定义

名称 说明
AccountEntity

表示帐户实体。

AlertSeverity

警报严重性。

AlertStatus

警报的生命周期状态。

AntispamMailDirection

此邮件的定向性

AttackTactic

此警报规则创建的警报的严重性。

AzureResourceEntity

表示 Azure 资源实体。

CloudApplicationEntity

表示云应用程序实体。

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

ConfidenceLevel

此警报的置信度。

ConfidenceReasons

置信度原因

ConfidenceScoreStatus

置信度分数计算状态,即指示此警报的分数计算是否处于挂起状态,不适用或最终。

createdByType

创建资源的标识类型。

DeliveryAction

此邮件的传递操作,如“已送达”、“已阻止”、“已替换”等

DeliveryLocation

此邮件的送达位置,如收件箱、JunkFolder 等

DeviceImportance

设备重要性,确定设备是否归类为“皇冠宝石”

DnsEntity

表示 dns 实体。

ElevationToken

与进程关联的提升标记。

EntityEdges

将实体连接到另一个实体的边缘。

EntityExpandParameters

对给定实体执行展开操作所需的参数。

EntityExpandResponse

实体扩展结果操作响应。

EntityKindEnum

聚合实体的类型。

ExpansionResultAggregation

扩展结果中特定聚合的信息。

ExpansionResultsMetadata

扩展结果元数据。

FileEntity

表示文件实体。

FileHashAlgorithm

哈希算法类型。

FileHashEntity

表示文件哈希实体。

GeoLocation

附加到 ip 实体的地理位置上下文

HostEntity

表示主机实体。

HuntingBookmark

表示搜寻书签实体。

IncidentInfo

描述书签的相关事件信息

IncidentSeverity

事件的严重性

IoTDeviceEntity

表示 IoT 设备实体。

IpEntity

表示 ip 实体。

KillChainIntent

警报的意向。

MailboxEntity

表示邮箱实体。

MailClusterEntity

表示邮件群集实体。

MailMessageEntity

表示邮件实体。

MalwareEntity

表示恶意软件实体。

NicEntity

表示网络接口实体。

OSFamily

操作系统类型。

ProcessEntity

表示进程实体。

RegistryHive

保存注册表项的配置单元。

RegistryKeyEntity

表示注册表项实体。

RegistryValueEntity

表示注册表值实体。

RegistryValueKind

指定在注册表中存储值时所用的数据类型,或标识注册表中某个值的数据类型。

SecurityAlert

表示安全警报实体。

SecurityGroupEntity

表示安全组实体。

SubmissionMailEntity

表示提交邮件实体。

systemData

与资源的创建和上次修改相关的元数据。

ThreatIntelligence

ThreatIntelligence 属性包。

UrlEntity

表示 URL 实体。

UserInfo

执行某些操作的用户信息

Value

扩展结果值。

AccountEntity

表示帐户实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Account

实体的类型。

name

string

资源的名称

properties.aadTenantId

string

Azure Active Directory 租户 ID。

properties.aadUserId

string

Azure Active Directory 用户 ID。

properties.accountName

string

帐户的名称。 此字段应仅保留名称,而不添加任何域,即管理员。

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.displayName

string

帐户的显示名称。

properties.dnsDomain

string

完全限定域 DNS 名。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hostEntityId

string

包含帐户的主机实体 ID,如果它是本地帐户, (未加入域)

properties.isDomainJoined

boolean

确定这是否为域帐户。

properties.ntDomain

string

以警报格式域/用户名显示的 NetBIOS 域名。 示例:NT AUTHORITY。

properties.objectGuid

string

objectGUID 属性是一个单值属性,它是由 Active Directory 分配的对象的唯一标识符。

properties.puid

string

Azure Active Directory Passport 用户 ID。

properties.sid

string

帐户安全标识符,例如 S-1-5-18。

properties.upnSuffix

string

帐户的用户主体名称后缀,在某些情况下,它也是域名。 示例:contoso.com。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

AlertSeverity

警报严重性。

名称 类型 说明
High

string

高严重性

Informational

string

信息严重性

Low

string

低严重性

Medium

string

中等严重性

AlertStatus

警报的生命周期状态。

名称 类型 说明
Dismissed

string

警报已消除为误报

InProgress

string

正在处理警报

New

string

新警报

Resolved

string

警报在处理后关闭

Unknown

string

未知值

AntispamMailDirection

此邮件的定向性

名称 类型 说明
Inbound

string

入站

Intraorg

string

Intraorg

Outbound

string

出站

Unknown

string

未知

AttackTactic

此警报规则创建的警报的严重性。

名称 类型 说明
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

AzureResourceEntity

表示 Azure 资源实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

AzureResource

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.resourceId

string

资源的 azure 资源 ID

properties.subscriptionId

string

资源的订阅 ID

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

CloudApplicationEntity

表示云应用程序实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

CloudApplication

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.appId

integer

应用程序的技术标识符。

properties.appName

string

相关云应用程序的名称。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.instanceName

string

云应用程序的用户定义的实例名称。 它通常用于区分客户拥有的多个相同类型的应用程序。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

CloudError

错误响应结构。

名称 类型 说明
error

CloudErrorBody

错误数据

CloudErrorBody

错误详细信息。

名称 类型 说明
code

string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message

string

描述错误的消息,该消息适用于在用户界面中显示。

ConfidenceLevel

此警报的置信度。

名称 类型 说明
High

string

高置信度,表明警报为真正的恶意

Low

string

置信度低,这意味着我们有一些疑问,这确实是恶意攻击或攻击的一部分

Unknown

string

未知置信度,为默认值

ConfidenceReasons

置信度原因

名称 类型 说明
reason

string

原因说明

reasonType

string

原因的类型 (类别)

ConfidenceScoreStatus

置信度分数计算状态,即指示此警报的分数计算是否处于挂起状态,不适用或最终。

名称 类型 说明
Final

string

最终分数已计算并可用

InProcess

string

尚未设置分数,计算正在进行中

NotApplicable

string

不会为此警报计算分数,因为虚拟分析员不支持该警报

NotFinal

string

分数将计算并显示为警报的一部分,但在处理其他数据后,可能会在以后再次更新

createdByType

创建资源的标识类型。

名称 类型 说明
Application

string

Key

string

ManagedIdentity

string

User

string

DeliveryAction

此邮件的传递操作,如“已送达”、“已阻止”、“已替换”等

名称 类型 说明
Blocked

string

已阻止

Delivered

string

已交货

DeliveredAsSpam

string

DeliveredAsSpam

Replaced

string

已替换

Unknown

string

未知

DeliveryLocation

此邮件的送达位置,如收件箱、JunkFolder 等

名称 类型 说明
DeletedFolder

string

DeletedFolder

Dropped

string

Dropped

External

string

外部

Failed

string

失败

Forwarded

string

Forwarded

Inbox

string

Inbox

JunkFolder

string

JunkFolder

Quarantine

string

隔离

Unknown

string

未知

DeviceImportance

设备重要性,确定设备是否归类为“皇冠宝石”

名称 类型 说明
High

string

Low

string

Normal

string

普通

Unknown

string

未知 - 默认值

DnsEntity

表示 dns 实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

DnsResolution

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.dnsServerIpEntityId

string

解析请求的 dns 服务器的 IP 实体 ID

properties.domainName

string

与警报关联的 dns 记录的名称

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hostIpAddressEntityId

string

dns 请求客户端的 IP 实体 ID

properties.ipAddressEntityIds

string[]

解析的 IP 地址的 IP 实体标识符。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

ElevationToken

与进程关联的提升标记。

名称 类型 说明
Default

string

默认提升令牌

Full

string

完全提升令牌

Limited

string

受限提升令牌

EntityEdges

将实体连接到另一个实体的边缘。

名称 类型 说明
additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

targetEntityId

string

目标实体 ID。

EntityExpandParameters

对给定实体执行展开操作所需的参数。

名称 类型 说明
endTime

string

结束日期筛选器,因此返回的唯一扩展结果在此日期之前。

expansionId

string

要执行的扩展的 ID。

startTime

string

开始日期筛选器,因此返回的唯一扩展结果在此日期之后。

EntityExpandResponse

实体扩展结果操作响应。

名称 类型 说明
metaData

ExpansionResultsMetadata

扩展操作结果中的元数据。

value

Value

扩展结果值。

EntityKindEnum

聚合实体的类型。

名称 类型 说明
Account

string

实体表示系统中的帐户。

AzureResource

string

实体表示系统中的 Azure 资源。

Bookmark

string

实体表示系统中的书签。

CloudApplication

string

实体表示系统中的云应用程序。

DnsResolution

string

实体表示系统中的 DNS 解析。

File

string

实体表示系统中的文件。

FileHash

string

实体表示系统中的文件哈希。

Host

string

实体表示系统中的主机。

IoTDevice

string

实体表示系统中的 IoT 设备。

Ip

string

实体表示系统中的 IP。

MailCluster

string

实体表示系统中的邮件群集。

MailMessage

string

实体表示系统中的邮件。

Mailbox

string

实体表示系统中的邮箱。

Malware

string

实体表示系统中的恶意软件。

Nic

string

实体表示系统中的网络接口。

Process

string

实体表示系统中的进程。

RegistryKey

string

实体表示系统中的注册表项。

RegistryValue

string

实体表示系统中的注册表值。

SecurityAlert

string

实体表示系统中的安全警报。

SecurityGroup

string

实体表示系统中的安全组。

SubmissionMail

string

实体表示系统中的提交邮件。

Url

string

实体表示系统中的 URL。

ExpansionResultAggregation

扩展结果中特定聚合的信息。

名称 类型 说明
aggregationType

string

聚合的常见类型。 实体字段名称) 等 (

count

integer

如果扩展结果中给定) ,则给定类型的聚合总数 (和 aggregationType。

displayName

string

按类型显示的聚合名称。

entityKind

EntityKindEnum

聚合实体的类型。

ExpansionResultsMetadata

扩展结果元数据。

名称 类型 说明
aggregations

ExpansionResultAggregation[]

扩展结果中聚合节点的信息。

FileEntity

表示文件实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

File

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.directory

string

文件的完整路径。

properties.fileHashEntityIds

string[]

与此文件关联的文件哈希实体标识符

properties.fileName

string

没有路径的文件名 (某些警报可能不包含路径) 。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hostEntityId

string

文件所属的主机实体 ID

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

FileHashAlgorithm

哈希算法类型。

名称 类型 说明
MD5

string

MD5 哈希类型

SHA1

string

SHA1 哈希类型

SHA256

string

SHA256 哈希类型

SHA256AC

string

SHA256 验证码哈希类型

Unknown

string

未知哈希算法

FileHashEntity

表示文件哈希实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

FileHash

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.algorithm

FileHashAlgorithm

哈希算法类型。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hashValue

string

文件哈希值。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

GeoLocation

附加到 ip 实体的地理位置上下文

名称 类型 说明
asn

integer

自治系统编号

city

string

城市名称

countryCode

string

符合 ISO 3166 格式的国家/地区代码

countryName

string

符合 ISO 3166 Alpha 2 的国家/地区名称:英文短名称的小写

latitude

number

标识位置的纬度,表示为浮点数,范围为 - 90 到 90。 纬度和经度派生自城市或邮政编码。

longitude

number

标识位置的经度,表示为浮点数,范围为 -180 到 180。 纬度和经度派生自城市或邮政编码。

state

string

状态名称

HostEntity

表示主机实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Host

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.azureID

string

VM 的 Azure 资源 ID。

properties.dnsDomain

string

此主机所属的 DNS 域。 应包含域的竞争 DNS 后缀

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hostName

string

不带域后缀的主机名。

properties.isDomainJoined

boolean

确定此主机是否属于域。

properties.netBiosName

string

主机名 (windows2000 之前的) 。

properties.ntDomain

string

此主机所属的 NT 域。

properties.omsAgentID

string

OMS 代理 ID(如果主机已安装 OMS 代理)。

properties.osFamily

OSFamily

操作系统类型。

properties.osVersion

string

操作系统的自由文本表示形式。 此字段用于保存特定版本,比 OSFamily 枚举不支持的 OSFamily 或未来值更精细

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

HuntingBookmark

表示搜寻书签实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Bookmark

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.created

string

创建书签的时间

properties.createdBy

UserInfo

描述创建书签的用户

properties.displayName

string

书签的显示名称

properties.eventTime

string

事件的时间

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.incidentInfo

IncidentInfo

描述与书签相关的事件

properties.labels

string[]

与此书签相关的标签列表

properties.notes

string

书签的注释

properties.query

string

书签的查询。

properties.queryResult

string

书签的查询结果。

properties.updated

string

上次更新书签的时间

properties.updatedBy

UserInfo

描述更新书签的用户

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

IncidentInfo

描述书签的相关事件信息

名称 类型 说明
incidentId

string

事件 ID

relationName

string

关系名称

severity

IncidentSeverity

事件的严重性

title

string

事件的标题

IncidentSeverity

事件的严重性

名称 类型 说明
High

string

高严重性

Informational

string

信息严重性

Low

string

低严重性

Medium

string

中等严重性

IoTDeviceEntity

表示 IoT 设备实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

IoTDevice

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.deviceId

string

IoT 中心中的 IoT 设备的 ID

properties.deviceName

string

设备的友好名称

properties.deviceSubType

string

设备的子类型 (“PLC”、“HMI”、“EWS”等 )

properties.deviceType

string

设备的类型

properties.edgeId

string

边缘设备的 ID

properties.firmwareVersion

string

设备的固件版本

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hostEntityId

string

此设备的主机实体 ID

properties.importance

DeviceImportance

设备重要性,确定设备是否归类为“皇冠宝石”

properties.iotHubEntityId

string

IoT 中心的 AzureResource 实体 ID

properties.iotSecurityAgentId

string

在设备上运行的安全代理的 ID

properties.ipAddressEntityId

string

IP 实体(如果为此设备)

properties.isAuthorized

boolean

确定设备是否分类为授权设备

properties.isProgramming

boolean

确定设备是否分类为编程设备

properties.isScanner

boolean

设备是否分类为扫描程序设备

properties.macAddress

string

设备的 MAC 地址

properties.model

string

设备的型号

properties.nicEntityIds

string[]

IoTDevice 实体的 Nic 实体 ID 列表。

properties.operatingSystem

string

设备的操作系统

properties.owners

string[]

IoTDevice 实体的所有者列表。

properties.protocols

string[]

IoTDevice 实体的协议列表。

properties.purdueLayer

string

设备的 Purdue 层

properties.sensor

string

设备受监视的传感器

properties.serialNumber

string

设备的序列号

properties.site

string

设备的站点

properties.source

string

设备的源

properties.threatIntelligence

ThreatIntelligence[]

附加到 IoTDevice 实体的 TI 上下文的列表。

properties.vendor

string

设备的供应商

properties.zone

string

设备在站点中的区域位置

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

IpEntity

表示 ip 实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Ip

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.address

string

IP 地址作为字符串,例如 127.0.0.1 (Ipv4 或 Ipv6)

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.location

GeoLocation

附加到 ip 实体的地理位置上下文

properties.threatIntelligence

ThreatIntelligence[]

附加到 ip 实体的 TI 上下文的列表。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

KillChainIntent

警报的意向。

名称 类型 说明
Collection

string

收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息,例如敏感文件。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。

CommandAndControl

string

命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。

CredentialAccess

string

凭据访问指能够访问或控制企业环境中使用的系统、域或服务凭据的方法。 攻击者可能会尝试通过用户或管理员帐户(本地系统管理员或具有管理员权限的域用户)获取合法凭据,以便在网络中使用。 当攻击者在网络中具备足够的访问权限时,他们就可以创建帐户以供之后在环境中使用。

DefenseEvasion

string

防御规避策略包含攻击者可用于避开检测或其他防御措施的方法。 有时,这些操作与其他类别中的技术相同或变体,这些技术具有颠覆特定防御或缓解的额外好处。

Discovery

string

发现策略包含允许攻击者了解系统和内部网络的方法。 当攻击者获得对新系统的访问权限时,他们必须导航到他们现在能够控制的内容,以及从该系统操作在入侵期间为其当前目标或总体目标带来的好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。

Execution

string

执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。 这一策略通常与横向移动结合使用,目的是扩展网络上的远程系统访问权限。

Exfiltration

string

外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。

Exploitation

string

利用是攻击者设法在受攻击的资源上站稳脚跟的阶段。 此阶段不仅适用于计算主机,也适用于用户帐户、证书等资源。在此阶段之后,攻击者通常能够控制资源。

Impact

string

影响意图的主要目标是直接降低系统、服务或网络的可用性或完整性;包括操作数据以影响业务或运营过程。 这通常是指勒索、污损、数据操纵等技术。

LateralMovement

string

横向移动包含的方法让攻击者能够访问并控制网络上的远程系统,但不一定包括在远程系统上执行工具。 攻击者可利用这些横向移动方法从系统收集信息,而无需其他工具,例如远程访问工具。 攻击者可以使用横向移动来实现多种目的,包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。

Persistence

string

持久性是对系统的任何访问、操作或配置更改,为攻击者提供该系统上的持久存在。 攻击者通常需要通过中断(例如系统重启、凭据丢失或其他故障)来保持对系统的访问,这些故障需要远程访问工具重启或备用后门才能重新获得访问权限。

PrivilegeEscalation

string

特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行,并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统或执行攻击者所需的特定函数的用户帐户也可能被视为特权提升。

Probing

string

探测可能是尝试访问特定资源,而不考虑恶意意图或尝试在利用之前获取目标系统访问权限以收集信息失败。 此步骤通常被检测为尝试从网络外部发起,试图扫描目标系统并找到方法。

Unknown

string

默认值。

MailboxEntity

表示邮箱实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Mailbox

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.displayName

string

邮箱的显示名称

properties.externalDirectoryObjectId

string

邮箱的 AzureAD 标识符。 类似于帐户实体中的 AadUserId,但此属性特定于办公室端的邮箱对象

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.mailboxPrimaryAddress

string

邮箱的主地址

properties.upn

string

邮箱的 UPN

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

MailClusterEntity

表示邮件群集实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

MailCluster

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。

properties.clusterGroup

string

群集组

properties.clusterQueryEndTime

string

群集查询结束时间

properties.clusterQueryStartTime

string

群集查询开始时间

properties.clusterSourceIdentifier

string

群集源的 ID

properties.clusterSourceType

string

群集源的类型

properties.countByDeliveryStatus

object

按 DeliveryStatus 字符串表示形式的邮件计数

properties.countByProtectionStatus

object

按 ProtectionStatus 字符串表示形式的邮件计数

properties.countByThreatType

object

按 ThreatType 字符串表示形式的邮件计数

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.isVolumeAnomaly

boolean

这是卷异常邮件群集吗?

properties.mailCount

integer

属于邮件群集的邮件数

properties.networkMessageIds

string[]

属于邮件群集的邮件 ID

properties.query

string

用于标识邮件群集的邮件的查询

properties.queryTime

string

查询时间

properties.source

string

邮件群集的源 (默认值为“O365 ATP”)

properties.threats

string[]

属于邮件群集的邮件的威胁

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

MailMessageEntity

表示邮件实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

MailMessage

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.antispamDirection

AntispamMailDirection

此邮件邮件的方向性

properties.bodyFingerprintBin1

integer

bodyFingerprintBin1

properties.bodyFingerprintBin2

integer

bodyFingerprintBin2

properties.bodyFingerprintBin3

integer

bodyFingerprintBin3

properties.bodyFingerprintBin4

integer

bodyFingerprintBin4

properties.bodyFingerprintBin5

integer

bodyFingerprintBin5

properties.deliveryAction

DeliveryAction

此邮件的传递操作,如“已送达”、“已阻止”、“已替换”等

properties.deliveryLocation

DeliveryLocation

此邮件的送达位置,如收件箱、JunkFolder 等

properties.fileEntityIds

string[]

此邮件附件的文件实体 ID

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.internetMessageId

string

此邮件的 Internet 邮件 ID

properties.language

string

此邮件的语言

properties.networkMessageId

string

此邮件的网络邮件 ID

properties.p1Sender

string

p1 发件人的电子邮件地址

properties.p1SenderDisplayName

string

p1 发件人的显示名称

properties.p1SenderDomain

string

p1 发件人的域

properties.p2Sender

string

p2 发件人的电子邮件地址

properties.p2SenderDisplayName

string

p2 发送方的显示名称

properties.p2SenderDomain

string

p2 发件人的域

properties.receiveDate

string

此消息的接收日期

properties.recipient

string

此邮件消息的收件人。 请注意,如果有多个收件人,邮件将分叉,每个副本都有一个收件人

properties.senderIP

string

发件人的 IP 地址

properties.subject

string

此邮件的主题

properties.threatDetectionMethods

string[]

威胁检测方法

properties.threats

string[]

此邮件的威胁

properties.urls

string[]

此邮件中包含的 URL

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

MalwareEntity

表示恶意软件实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Malware

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.category

string

供应商提供的恶意软件类别,例如特洛伊木马

properties.fileEntityIds

string[]

找到恶意软件的链接文件实体标识符列表

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.malwareName

string

供应商提供的恶意软件名称,例如 Win32/Toga!rfn

properties.processEntityIds

string[]

找到恶意软件的链接进程实体标识符的列表。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

NicEntity

表示网络接口实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Nic

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.ipAddressEntityId

string

此网络接口的 IP 实体 ID

properties.macAddress

string

此网络接口的 MAC 地址

properties.vlans

string[]

网络接口实体的 VLAN 列表。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

OSFamily

操作系统类型。

名称 类型 说明
Android

string

使用 Android 操作系统进行主机。

IOS

string

具有 IOS 操作系统的主机。

Linux

string

使用 Linux 操作系统进行主机。

Unknown

string

具有未知操作系统的主机。

Windows

string

使用 Windows 操作系统进行主机。

ProcessEntity

表示进程实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Process

实体的类型。

name

string

资源的名称

properties.accountEntityId

string

运行进程的帐户实体 ID。

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.commandLine

string

用于创建进程的命令行

properties.creationTimeUtc

string

进程开始运行的时间

properties.elevationToken

ElevationToken

与进程关联的提升标记。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hostEntityId

string

运行进程的主机实体 ID

properties.hostLogonSessionEntityId

string

在其中运行进程的会话实体 ID

properties.imageFileEntityId

string

图像文件实体 ID

properties.parentProcessEntityId

string

父进程实体 ID。

properties.processId

string

进程 ID

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

RegistryHive

保存注册表项的配置单元。

名称 类型 说明
HKEY_A

string

HKEY_A

HKEY_CLASSES_ROOT

string

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG

string

HKEY_CURRENT_CONFIG

HKEY_CURRENT_USER

string

HKEY_CURRENT_USER

HKEY_CURRENT_USER_LOCAL_SETTINGS

string

HKEY_CURRENT_USER_LOCAL_SETTINGS

HKEY_LOCAL_MACHINE

string

HKEY_LOCAL_MACHINE

HKEY_PERFORMANCE_DATA

string

HKEY_PERFORMANCE_DATA

HKEY_PERFORMANCE_NLSTEXT

string

HKEY_PERFORMANCE_NLSTEXT

HKEY_PERFORMANCE_TEXT

string

HKEY_PERFORMANCE_TEXT

HKEY_USERS

string

HKEY_USERS

RegistryKeyEntity

表示注册表项实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

RegistryKey

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.hive

RegistryHive

保存注册表项的配置单元。

properties.key

string

注册表项路径。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

RegistryValueEntity

表示注册表值实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

RegistryValue

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.keyEntityId

string

注册表项实体 ID。

properties.valueData

string

值数据的字符串格式表示形式。

properties.valueName

string

注册表值名称。

properties.valueType

RegistryValueKind

指定在注册表中存储值时所用的数据类型,或标识注册表中某个值的数据类型。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

RegistryValueKind

指定在注册表中存储值时所用的数据类型,或标识注册表中某个值的数据类型。

名称 类型 说明
Binary

string

二进制值类型

DWord

string

DWord 值类型

ExpandString

string

ExpandString 值类型

MultiString

string

MultiString 值类型

None

string

QWord

string

QWord 值类型

String

string

字符串值类型

Unknown

string

未知值类型

SecurityAlert

表示安全警报实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

SecurityAlert

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.alertDisplayName

string

警报的显示名称。

properties.alertLink

string

警报的 URI 链接。

properties.alertType

string

警报的类型名称。

properties.compromisedEntity

string

正在报告main实体的显示名称。

properties.confidenceLevel

ConfidenceLevel

此警报的置信度。

properties.confidenceReasons

ConfidenceReasons[]

置信度原因

properties.confidenceScore

number

警报的置信度分数。

properties.confidenceScoreStatus

ConfidenceScoreStatus

置信度分数计算状态,即指示此警报的分数计算是否处于挂起状态,不适用或最终状态。

properties.description

string

警报说明。

properties.endTimeUtc

string

警报的影响结束时间 (导致警报) 的最后一个事件的时间。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.intent

KillChainIntent

保留警报意向阶段 (此警报的) 映射。

properties.processingEndTime

string

警报可供使用的时间。

properties.productComponentName

string

生成警报的产品中的组件的名称。

properties.productName

string

发布此警报的产品的名称。

properties.productVersion

string

生成警报的产品版本。

properties.providerAlertId

string

生成警报的产品内警报的标识符。

properties.remediationSteps

string[]

要执行以修正警报的手动操作项。

properties.resourceIdentifiers

object[]

警报的资源标识符列表。

properties.severity

AlertSeverity

警报的严重性

properties.startTimeUtc

string

警报的影响开始时间 (导致警报) 的第一个事件的时间。

properties.status

AlertStatus

警报的生命周期状态。

properties.systemAlertId

string

保留产品警报的产品标识符。

properties.tactics

AttackTactic[]

警报的策略

properties.timeGenerated

string

生成警报的时间。

properties.vendorName

string

引发警报的供应商的名称。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

SecurityGroupEntity

表示安全组实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

SecurityGroup

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.distinguishedName

string

组可分辨名称

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.objectGuid

string

一个单值属性,它是由 Active Directory 分配的对象的唯一标识符。

properties.sid

string

SID 属性是一个单值属性,用于指定组的安全标识符 (SID)

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

SubmissionMailEntity

表示提交邮件实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

SubmissionMail

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.networkMessageId

string

提交所属的电子邮件的网络消息 ID

properties.recipient

string

邮件的收件人

properties.reportType

string

给定实例的提交类型。 这会映射到垃圾邮件、网络钓鱼诈骗、恶意软件或 NotJunk。

properties.sender

string

邮件的发件人

properties.senderIp

string

发送方的 IP

properties.subject

string

提交邮件的主题

properties.submissionDate

string

提交日期

properties.submissionId

string

提交 ID

properties.submitter

string

提交者

properties.timestamp

string

收到邮件 (时间戳)

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

systemData

与资源的创建和上次修改相关的元数据。

名称 类型 说明
createdAt

string

资源创建时间戳 (UTC) 。

createdBy

string

创建资源的标识。

createdByType

createdByType

创建资源的标识类型。

lastModifiedAt

string

资源上次修改的时间戳 (UTC)

lastModifiedBy

string

上次修改资源的标识。

lastModifiedByType

createdByType

上次修改资源的标识类型。

ThreatIntelligence

ThreatIntelligence 属性包。

名称 类型 说明
confidence

number

置信度 (必须介于 0 到 1)

providerName

string

从中接收此威胁情报信息的提供商的名称

reportLink

string

报表链接

threatDescription

string

威胁说明 (自由文本)

threatName

string

威胁名称 (,例如“Jedobot 恶意软件”)

threatType

string

威胁类型 (,例如“Botnet”)

UrlEntity

表示 URL 实体。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Url

实体的类型。

name

string

资源的名称

properties.additionalData

object

一个自定义字段包,该字段应是实体的一部分,并将呈现给用户。

properties.friendlyName

string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.url

string

实体指向的完整 URL

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

UserInfo

执行某些操作的用户信息

名称 类型 说明
email

string

用户的电子邮件。

name

string

用户的名称。

objectId

string

用户的对象 ID。

Value

扩展结果值。

名称 类型 说明
edges

EntityEdges[]

将实体连接到实体列表的边缘数组。

entities Entity[]:

扩展结果实体的数组。