Entities - Get
获取实体。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{entityId}?api-version=2025-04-01-previewURI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
entity
|
path | True |
string |
实体 ID |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
资源组的名称。 此名称不区分大小写。 |
|
subscription
|
path | True |
string (uuid) |
目标订阅的 ID。 该值必须是 UUID。 |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
工作区的名称。 |
|
api-version
|
query | True |
string minLength: 1 |
用于此作的 API 版本。 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK |
Entity:
|
好的 |
| Other Status Codes |
描述作失败的原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
类型:
oauth2
流向:
implicit
授权 URL:
https://login.microsoftonline.com/common/oauth2/authorize
作用域
| 名称 | 说明 |
|---|---|
| user_impersonation | 模拟用户帐户 |
示例
Get a cloud application entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "CloudApplication",
"properties": {
"friendlyName": "AppName",
"appId": 1,
"appName": "AppName",
"instanceName": "InstanceName"
}
}Get a dns entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/f4e74920-f2c0-4412-a45f-66d94fdf01f8?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/f4e74920-f2c0-4412-a45f-66d94fdf01f8",
"name": "f4e74920-f2c0-4412-a45f-66d94fdf01f8",
"type": "Microsoft.SecurityInsights/entities",
"kind": "DnsResolution",
"properties": {
"friendlyName": "domain",
"domainName": "domain",
"ipAddressEntityIds": [
"475d3120-33e0-4841-9f1c-a8f15a801d19"
]
}
}Get a file entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/af378b21-b4aa-4fe7-bc70-13f8621a322f?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/af378b21-b4aa-4fe7-bc70-13f8621a322f",
"name": "af378b21-b4aa-4fe7-bc70-13f8621a322f",
"type": "Microsoft.SecurityInsights/entities",
"kind": "File",
"properties": {
"friendlyName": "cmd.exe",
"directory": "C:\\Windows\\System32",
"fileName": "cmd.exe"
}
}Get a file hash entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/ea359fa6-c1e5-f878-e105-6344f3e399a1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/ea359fa6-c1e5-f878-e105-6344f3e399a1",
"name": "ea359fa6-c1e5-f878-e105-6344f3e399a1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "FileHash",
"properties": {
"friendlyName": "E923636F1093C414AAB39F846E9D7A372BEEFA7B628B28179197E539C56AA0F0(SHA256)",
"hashValue": "E923636F1093C414AAB39F846E9D7A372BEEFA7B628B28179197E539C56AA0F0",
"algorithm": "SHA256"
}
}Get a host entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Host",
"properties": {
"friendlyName": "vm1",
"dnsDomain": "contoso",
"ntDomain": "domain",
"hostName": "vm1",
"netBiosName": "contoso",
"azureID": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.Compute/virtualMachines/vm1",
"omsAgentID": "70fbdad0-7441-4564-b2b5-2b8862d0fee0",
"osFamily": "Windows",
"osVersion": "1.0",
"isDomainJoined": true
}
}Get a mailbox entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Mailbox",
"properties": {
"friendlyName": "emailAddress1",
"displayName": "display name",
"mailboxPrimaryAddress": "emailAddress1",
"upn": "upn1",
"externalDirectoryObjectId": "18cc8fdc-e169-4451-983a-bd027db286eb"
}
}Get a mailCluster entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "MailCluster",
"properties": {
"friendlyName": "ClusterSourceIdentifier",
"networkMessageIds": [
"ccfce855-e02f-491b-a1cc-5bafb371ad0c"
],
"countByDeliveryStatus": {
"deliveryStatus": 5
},
"countByThreatType": {
"threatType": 6
},
"countByProtectionStatus": {
"protectionStatus": 65
},
"threats": [
"thrreat1",
"thread2"
],
"query": "kqlFilter",
"queryTime": "2021-09-01T01:42:01.6026755Z",
"source": "ClusterSourceIdentifier",
"clusterSourceIdentifier": "cluster source identifier",
"clusterSourceType": "Similarity",
"clusterGroup": "cluster group"
}
}Get a mailMessage entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "MailMessage",
"properties": {
"friendlyName": "cmd.exe",
"fileEntityIds": [
"ccfce855-e02f-491b-a1cc-5bafb371ad0c"
],
"recipient": "recipient",
"urls": [
"http://moqbrarcwmnk.banxhdcojlg.biz"
],
"threats": [
"thrreat1",
"thread2"
],
"p1Sender": "email@fake.com",
"p1SenderDisplayName": "p1 sender display name",
"p1SenderDomain": "p1 sender domain",
"senderIP": "1.23.34.43",
"p2Sender": "the sender",
"deliveryAction": "Blocked",
"p2SenderDisplayName": "p2 sender display name",
"p2SenderDomain": "p2 Sender Domain",
"internetMessageId": "message id",
"subject": "subject",
"language": "language",
"threatDetectionMethods": [
"thrreat1",
"thread2"
]
}
}Get a malware entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/af378b21-b4aa-4fe7-bc70-13f8621a322f?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/af378b21-b4aa-4fe7-bc70-13f8621a322f",
"name": "af378b21-b4aa-4fe7-bc70-13f8621a322f",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Malware",
"properties": {
"malwareName": "Win32/Toga!rfn",
"category": "Trojan",
"friendlyName": "Win32/Toga!rfn"
}
}Get a process entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/7264685c-038c-42c6-948c-38e14ef1fb98?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/7264685c-038c-42c6-948c-38e14ef1fb98",
"name": "7264685c-038c-42c6-948c-38e14ef1fb98",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Process",
"properties": {
"friendlyName": "cmd.exe",
"processId": "0x2aa48",
"commandLine": "\"cmd\"",
"imageFileEntityId": "bba7b47b-c1c1-4021-b568-5b07b9292f5e"
}
}Get a registry key entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "RegistryKey",
"properties": {
"friendlyName": "SOFTWARE",
"hive": "HKEY_LOCAL_MACHINE",
"key": "SOFTWARE"
}
}Get a registry value entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/dc44bd11-b348-4d76-ad29-37bf7aa41356?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/dc44bd11-b348-4d76-ad29-37bf7aa41356",
"name": "dc44bd11-b348-4d76-ad29-37bf7aa41356",
"type": "Microsoft.SecurityInsights/entities",
"kind": "RegistryValue",
"properties": {
"friendlyName": "Data",
"valueName": "Name",
"valueData": "Data",
"valueType": "String",
"keyEntityId": "e1d3d618-e11f-478b-98e3-bb381539a8e1"
}
}Get a security alert entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/4aa486e0-6f85-41af-99ea-7acdce7be6c8?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/4aa486e0-6f85-41af-99ea-7acdce7be6c8",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "SecurityAlert",
"properties": {
"systemAlertId": "4aa486e0-6f85-41af-99ea-7acdce7be6c8",
"intent": "Unknown",
"alertDisplayName": "Suspicious account detected",
"description": "",
"confidenceLevel": "Unknown",
"severity": "Medium",
"vendorName": "Microsoft",
"productName": "Azure Sentinel",
"productComponentName": "Scheduled Alerts",
"alertType": "c8c99641-985d-4e4e-8e91-fb3466cd0e5b_46c7b6c0-ff43-44dd-8b4d-ceffff7aa7df",
"providerAlertId": "c2bafff9-fb31-41d0-a177-ecbff7a02ffe",
"processingEndTime": "2019-07-06T13:56:53.5392366Z",
"status": "New",
"endTimeUtc": "2021-09-01T13:21:45.926185Z",
"startTimeUtc": "2021-09-01T08:21:45.926185Z",
"timeGenerated": "2021-09-01T13:56:53.5392366Z",
"tactics": [
"Persistence",
"LateralMovement"
],
"additionalData": {
"Query": "Heartbeat \n| extend AccountCustomEntity = \"administrator\"",
"Query Period": "05:00:00",
"Trigger Operator": "GreaterThan",
"Trigger Threshold": "200",
"Search Query Results Overall Count": "203",
"Total Account Entities": "1"
},
"friendlyName": "Suspicious account detected",
"alertLink": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518119885989999999_4aa486e0-6f85-41af-99ea-7acdce7be6c8/subscriptionId/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/myRg/myWorkspace/referencedFrom/alertDeepLink/location/centralus"
}
}Get a security group entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "SecurityGroup",
"properties": {
"friendlyName": "Name",
"distinguishedName": "Name",
"sid": "Sid",
"objectGuid": "fb1b8e04-d944-4986-b39a-1ce9adedcd98"
}
}Get a submissionMail entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "SubmissionMail",
"properties": {
"friendlyName": "recipient",
"submissionId": "5bb3d8fe-54bc-499c-bc21-86fe8df2a184",
"submitter": "submitter",
"recipient": "recipient",
"sender": "sender",
"senderIp": "1.4.35.34",
"subject": "subject",
"reportType": "report type"
}
}Get a url entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Url",
"properties": {
"friendlyName": "https://bing.com",
"url": "https://bing.com"
}
}Get an account entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain",
"upnSuffix": "contoso",
"sid": "S-1-5-18",
"aadTenantId": "70fbdad0-7441-4564-b2b5-2b8862d0fee0",
"aadUserId": "f7033626-2572-46b1-bba0-06646f4f95b3",
"puid": "ee3cb2d8-14ba-45ef-8009-d6f1cacfa04d",
"isDomainJoined": true,
"objectGuid": "11227b78-3c6e-436e-a2a2-02fc7662eca0",
"dnsDomain": "contoso.com"
}
}Get an azure resource entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "AzureResource",
"properties": {
"friendlyName": "vm1",
"resourceId": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.Compute/virtualMachines/vm1",
"subscriptionId": "d0cfe6b2-9ac0-4464-9919-dccaee2e48c0"
}
}Get an IoT device entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "IoTDevice",
"properties": {
"friendlyName": "device1",
"deviceId": "device1",
"deviceName": "device1",
"iotHubEntityId": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/8b2d9401-f953-e89d-2583-be9b4975870c",
"nicEntityIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/6ee379bd-ace8-44cf-ab10-ee669a1b71e2"
],
"deviceType": "Industrial",
"firmwareVersion": "20.11",
"importance": "Normal",
"isAuthorized": true,
"isProgramming": false,
"isScanner": false,
"model": "demo-model",
"protocols": [
"CIP",
"EtherNet/IP"
],
"operatingSystem": "Windows",
"purdueLayer": "ProcessControl",
"sensor": "demo-sensor",
"site": "demo-site",
"vendor": "demo-vendor",
"zone": "zone"
}
}Get an ip entity.
示例请求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/entities",
"kind": "Ip",
"properties": {
"friendlyName": "10.3.2.8",
"address": "10.3.2.8"
}
}定义
AccountEntity
表示帐户实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Account |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.aadTenantId |
string |
Azure Active Directory 租户 ID。 |
| properties.aadUserId |
string |
Azure Active Directory 用户 ID。 |
| properties.accountName |
string |
帐户的名称。 此字段应仅保留名称而不添加任何域,即管理员。 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.displayName |
string |
帐户的显示名称。 |
| properties.dnsDomain |
string |
完全限定的域名。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hostEntityId |
string |
包含帐户的主机实体 ID(如果它是本地帐户(未加入域) |
| properties.isDomainJoined |
boolean |
确定此帐户是否为域帐户。 |
| properties.ntDomain |
string |
NetBIOS 域名显示为警报格式的域/用户名。 示例:NT AUTHORITY。 |
| properties.objectGuid |
string (uuid) |
objectGUID 属性是一个单值属性,它是由 Active Directory 分配的对象的唯一标识符。 |
| properties.puid |
string |
Azure Active Directory Passport 用户 ID。 |
| properties.sid |
string |
帐户安全标识符,例如 S-1-5-18。 |
| properties.upnSuffix |
string |
帐户的用户主体名称后缀,在某些情况下也是域名。 示例:contoso.com。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
AlertSeverity
警报严重性。
| 值 | 说明 |
|---|---|
| High |
高严重性 |
| Medium |
中等严重性 |
| Low |
低严重性 |
| Informational |
信息严重性 |
AlertStatus
警报的生命周期状态。
| 值 | 说明 |
|---|---|
| Unknown |
未知值 |
| New |
新建警报 |
| Resolved |
处理后关闭警报 |
| Dismissed |
警报已消除为误报 |
| InProgress |
正在处理警报 |
AntispamMailDirection
此邮件的方向性
| 值 | 说明 |
|---|---|
| Unknown |
未知 |
| Inbound |
入站 |
| Outbound |
出站 |
| Intraorg |
组织内部 |
AttackTactic
此警报规则创建的警报的严重性。
| 值 | 说明 |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
AzureResourceEntity
表示 Azure 资源实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Azure |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.resourceId |
string |
资源的 Azure 资源 ID |
| properties.subscriptionId |
string |
资源的订阅 ID |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
CloudApplicationEntity
表示云应用程序实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Cloud |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.appId |
integer (int32) |
应用程序的技术标识符。 |
| properties.appName |
string |
相关云应用程序的名称。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.instanceName |
string |
云应用程序的用户定义的实例名称。 它通常用于区分客户拥有的相同类型的多个应用程序。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
CloudError
错误响应结构。
| 名称 | 类型 | 说明 |
|---|---|---|
| error |
错误数据 |
CloudErrorBody
错误详细信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
| message |
string |
描述错误的消息,旨在适合在用户界面中显示。 |
ConfidenceLevel
此警报的置信度。
| 值 | 说明 |
|---|---|
| Unknown |
未知置信度,为默认值 |
| Low |
低置信度,这意味着我们有些怀疑,这确实是恶意的或攻击的一部分 |
| High |
高置信度,表明警报是真正的正恶意 |
ConfidenceReasons
置信度原因
| 名称 | 类型 | 说明 |
|---|---|---|
| reason |
string |
原因说明 |
| reasonType |
string |
原因的类型(类别) |
ConfidenceScoreStatus
置信度分数计算状态,即指示此警报的评分计算是否挂起(不适用或最终)。
| 值 | 说明 |
|---|---|
| NotApplicable |
不会为此警报计算分数,因为虚拟分析师不支持该警报 |
| InProcess |
尚未设置分数,并且正在进行计算 |
| NotFinal |
评分计算并显示为警报的一部分,但在处理其他数据后可能会稍后再次更新 |
| Final |
最终分数已计算并可用 |
createdByType
创建资源的标识的类型。
| 值 | 说明 |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
DeliveryAction
此邮件的传递作,如“已送达”、“已阻止”、“已替换”等
| 值 | 说明 |
|---|---|
| Unknown |
未知 |
| DeliveredAsSpam |
DeliveredAsSpam (已送达为垃圾邮件) |
| Delivered |
已交货 |
| Blocked |
封锁 |
| Replaced |
取代 |
DeliveryLocation
此邮件的送达位置,如收件箱、垃圾邮件等
| 值 | 说明 |
|---|---|
| Unknown |
未知 |
| Inbox |
收件箱 |
| JunkFolder |
垃圾文件夹 |
| DeletedFolder |
DeletedFolder (已删除文件夹) |
| Quarantine |
隔离 |
| External |
外部 |
| Failed |
已失败 |
| Dropped |
下降 |
| Forwarded |
转发 |
DeviceImportance
设备重要性,确定设备是否被归类为“皇冠珠宝”
| 值 | 说明 |
|---|---|
| Unknown |
未知 - 默认值 |
| Low |
低 |
| Normal |
正常 |
| High |
高 |
DnsEntity
表示 dns 实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Dns |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.dnsServerIpEntityId |
string |
解析请求的 dns 服务器的 IP 实体 ID |
| properties.domainName |
string |
与警报关联的 dns 记录的名称 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hostIpAddressEntityId |
string |
DNS 请求客户端的 IP 实体 ID |
| properties.ipAddressEntityIds |
string[] |
已解析 IP 地址的 IP 实体标识符。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
ElevationToken
与进程关联的提升令牌。
| 值 | 说明 |
|---|---|
| Default |
默认提升令牌 |
| Full |
完全提升令牌 |
| Limited |
有限提升令牌 |
EntityKindEnum
聚合实体的类型。
| 值 | 说明 |
|---|---|
| Account |
实体表示系统中的帐户。 |
| Host |
实体表示系统中的主机。 |
| File |
实体表示系统中的文件。 |
| AzureResource |
实体表示系统中的 Azure 资源。 |
| CloudApplication |
实体表示系统中的云应用程序。 |
| DnsResolution |
实体表示系统中的 dns 解析。 |
| FileHash |
实体表示系统中的文件哈希。 |
| Ip |
实体表示系统中的 IP。 |
| Malware |
实体表示系统中的恶意软件。 |
| Process |
实体表示系统中的进程。 |
| RegistryKey |
实体表示系统中的注册表项。 |
| RegistryValue |
实体表示系统中的注册表值。 |
| SecurityGroup |
实体表示系统中的安全组。 |
| Url |
实体表示系统中的 URL。 |
| IoTDevice |
实体表示系统中的 IoT 设备。 |
| SecurityAlert |
实体表示系统中的安全警报。 |
| Bookmark |
实体表示系统中的书签。 |
| Mailbox |
实体表示系统中的邮箱。 |
| MailCluster |
实体表示系统中的邮件群集。 |
| MailMessage |
实体表示系统中的邮件。 |
| SubmissionMail |
实体表示系统中的提交邮件。 |
| Nic |
实体表示系统中的网络接口。 |
FileEntity
表示文件实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
File |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.directory |
string |
文件的完整路径。 |
| properties.fileHashEntityIds |
string[] |
与此文件关联的文件哈希实体标识符 |
| properties.fileName |
string |
没有路径的文件名(某些警报可能不包含路径)。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hostEntityId |
string |
文件所属的 Host 实体 ID |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
FileHashAlgorithm
哈希算法类型。
| 值 | 说明 |
|---|---|
| Unknown |
未知哈希算法 |
| MD5 |
MD5 哈希类型 |
| SHA1 |
SHA1 哈希类型 |
| SHA256 |
SHA256 哈希类型 |
| SHA256AC |
SHA256 Authenticode 哈希类型 |
FileHashEntity
表示文件哈希实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
File |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.algorithm |
哈希算法类型。 |
|
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hashValue |
string |
文件哈希值。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
GeoLocation
附加到 ip 实体的地理位置上下文
| 名称 | 类型 | 说明 |
|---|---|---|
| asn |
integer (int32) |
自治系统编号 |
| city |
string |
城市名称 |
| countryCode |
string |
根据 ISO 3166 格式的国家/地区代码 |
| countryName |
string |
根据 ISO 3166 Alpha 2 的国家/地区名称:英文短名称的小写 |
| latitude |
number (double) |
标识位置的纬度,表示为浮点数,范围为 - 90 到 90。 纬度和经度派生自城市或邮政编码。 |
| longitude |
number (double) |
标识位置的经度,以浮点数表示,范围为 -180 到 180。 纬度和经度派生自城市或邮政编码。 |
| state |
string |
状态名称 |
HostEntity
表示主机实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Host |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.azureID |
string |
VM 的 Azure 资源 ID。 |
| properties.dnsDomain |
string |
此主机所属的 DNS 域。 应包含域的竞争 DNS 后缀 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hostName |
string |
不带域后缀的主机名。 |
| properties.isDomainJoined |
boolean |
确定此主机是否属于域。 |
| properties.netBiosName |
string |
主机名(windows2000 前)。 |
| properties.ntDomain |
string |
此主机所属的 NT 域。 |
| properties.omsAgentID |
string |
如果主机安装了 OMS 代理,则为 OMS 代理 ID。 |
| properties.osFamily |
作系统类型。 |
|
| properties.osVersion |
string |
作系统的自由文本表示形式。 此字段用于保存特定版本,其粒度比 OSFamily 或 OSFamily 枚举不支持的未来值更精细 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
HuntingBookmark
表示搜寻书签实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Bookmark |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.created |
string (date-time) |
创建书签的时间 |
| properties.createdBy |
描述创建书签的用户 |
|
| properties.displayName |
string |
书签的显示名称 |
| properties.eventTime |
string (date-time) |
事件的时间 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.incidentInfo |
描述与书签相关的事件 |
|
| properties.labels |
string[] |
与此书签相关的标签列表 |
| properties.notes |
string |
书签的笔记 |
| properties.query |
string |
书签的查询。 |
| properties.queryResult |
string |
书签的查询结果。 |
| properties.updated |
string (date-time) |
上次更新书签的时间 |
| properties.updatedBy |
描述更新书签的用户 |
|
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
IncidentInfo
介绍书签的相关事件信息
| 名称 | 类型 | 说明 |
|---|---|---|
| incidentId |
string |
事件 ID |
| relationName |
string |
关系名称 |
| severity |
事件的严重性 |
|
| title |
string |
事件的标题 |
IncidentSeverity
事件的严重性
| 值 | 说明 |
|---|---|
| High |
高严重性 |
| Medium |
中等严重性 |
| Low |
低严重性 |
| Informational |
信息严重性 |
IoTDeviceEntity
表示 IoT 设备实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Io |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.deviceId |
string |
IoT 中心 IoT 设备的 ID |
| properties.deviceName |
string |
设备的友好名称 |
| properties.deviceSubType |
string |
设备的子类型(“PLC”、“HMI”、“EWS”等) |
| properties.deviceType |
string |
设备的类型 |
| properties.edgeId |
string |
边缘设备的 ID |
| properties.firmwareVersion |
string |
设备的固件版本 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hostEntityId |
string |
此设备的主机实体 ID |
| properties.importance |
设备重要性,确定设备是否被归类为“皇冠珠宝” |
|
| properties.iotHubEntityId |
string |
IoT 中心的 AzureResource 实体 ID |
| properties.iotSecurityAgentId |
string (uuid) |
设备上运行的安全代理的 ID |
| properties.ipAddressEntityId |
string |
此设备的 IP 实体 |
| properties.isAuthorized |
boolean |
确定设备是否被归类为授权设备 |
| properties.isProgramming |
boolean |
确定设备是否被归类为编程设备 |
| properties.isScanner |
boolean |
设备是否被归类为扫描程序设备 |
| properties.macAddress |
string |
设备的 MAC 地址 |
| properties.model |
string |
设备的型号 |
| properties.nicEntityIds |
string[] |
IoTDevice 实体的 Nic 实体 ID 的列表。 |
| properties.operatingSystem |
string |
设备的操作系统 |
| properties.owners |
string[] |
IoTDevice 实体的所有者列表。 |
| properties.protocols |
string[] |
IoTDevice 实体的协议列表。 |
| properties.purdueLayer |
string |
设备的 Purdue 层 |
| properties.sensor |
string |
设备受监视的传感器 |
| properties.serialNumber |
string |
设备的序列号 |
| properties.site |
string |
设备的站点 |
| properties.source |
string |
设备的源 |
| properties.threatIntelligence |
附加到 IoTDevice 实体的 TI 上下文列表。 |
|
| properties.vendor |
string |
设备的供应商 |
| properties.zone |
string |
设备在站点中的区域位置 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
IpEntity
表示 IP 实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Ip |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.address |
string |
IP 地址作为字符串,例如 127.0.0.1(在 Ipv4 或 Ipv6 中) |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.location |
附加到 ip 实体的地理位置上下文 |
|
| properties.threatIntelligence |
附加到 IP 实体的 TI 上下文的列表。 |
|
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
KillChainIntent
警报的意图。
| 值 | 说明 |
|---|---|
| Unknown |
默认值。 |
| Probing |
探测可能是尝试访问特定资源,而不考虑恶意意图或尝试访问目标系统以在利用之前收集信息失败。 此步骤通常被检测为源自网络外部的尝试,试图扫描目标系统并找到一种方法。 |
| Exploitation |
利用是攻击者设法站稳脚跟攻击资源的阶段。 此阶段不仅适用于计算主机,也适用于用户帐户、证书等资源。攻击者通常能够在此阶段后控制资源。 |
| Persistence |
持久性是对系统的任何访问、作或配置更改,使攻击者在该系统上具有持久性状态。 攻击者通常需要通过中断(例如系统重启、凭据丢失或其他需要远程访问工具重启或备用后门才能重新获得访问权限)来维护对系统的访问。 |
| PrivilegeEscalation |
权限提升是攻击者通过某些行为获取系统或网络上更高权限的结果。 某些工具或操作需要更高级别的权限才能工作,并且在整个操作过程中,在很多点都可能需要这些权限。 有权访问特定系统的用户帐户或执行攻击者实现其目标所需的特定功能也可能被视为特权升级。 |
| DefenseEvasion |
防御逃避包括攻击者可用于逃避检测或避免其他防御的技术。 有时,这些作与其他类别中的技术变体相同,这些技术具有颠覆特定防御或缓解的附加优势。 |
| CredentialAccess |
凭据访问表示导致对企业环境中使用的系统、域或服务凭据的访问或控制的技术。 攻击者可能会尝试从用户或管理员帐户(具有管理员访问权限的本地系统管理员或域用户)获取合法凭据,以在网络中使用。 在网络中具有足够的访问权限后,攻击者可以创建帐户供以后在环境中使用。 |
| Discovery |
发现包含一些技术,使攻击者能够了解系统和内部网络。 当攻击者获得对新系统的访问权限时,他们必须导航到他们现在能够控制的内容,以及从该系统作的好处在入侵期间赋予他们当前的目标或整体目标。 操作系统提供了许多本机工具,有助于在妥协后的信息收集阶段。 |
| LateralMovement |
横向移动包括使对手能够在网络上访问和控制远程系统的技术,但不一定包括远程系统上的工具的执行。 横向移动技术可以允许攻击者从系统收集信息,而无需其他工具,例如远程访问工具。 攻击者可以出于多种目的使用横向移动,包括远程执行工具、透视到其他系统、访问特定信息或文件、访问其他凭据或造成效果。 |
| Execution |
执行策略表示导致在本地或远程系统上执行对手控制的代码的技术。 此策略通常与横向移动结合使用,以扩展对网络上远程系统的访问。 |
| Collection |
集合包含用于在外泄之前从目标网络识别和收集信息(如敏感文件)的技术。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。 |
| Exfiltration |
外泄是指导致攻击者从目标网络中删除文件和信息的技术和属性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。 |
| CommandAndControl |
命令和控制策略表示攻击者如何在目标网络中与其控制下的系统通信。 |
| Impact |
影响意向主要目标是直接减少系统、服务或网络的可用性或完整性;包括数据作以影响业务或运营过程。 这通常是指赎金软件、破坏、数据作等技术。 |
MailboxEntity
表示邮箱实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Mailbox |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.displayName |
string |
邮箱的显示名称 |
| properties.externalDirectoryObjectId |
string (uuid) |
邮箱的 AzureAD 标识符。 类似于帐户实体中的 AadUserId,但此属性特定于 Office 端的邮箱对象 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.mailboxPrimaryAddress |
string |
邮箱的主地址 |
| properties.upn |
string |
邮箱的 UPN |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MailClusterEntity
表示邮件群集实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Mail |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.clusterGroup |
string |
群集组 |
| properties.clusterQueryEndTime |
string (date-time) |
群集查询结束时间 |
| properties.clusterQueryStartTime |
string (date-time) |
群集查询开始时间 |
| properties.clusterSourceIdentifier |
string |
群集源的 ID |
| properties.clusterSourceType |
string |
群集源的类型 |
| properties.countByDeliveryStatus |
object |
通过 DeliveryStatus 字符串表示形式的邮件计数 |
| properties.countByProtectionStatus |
object |
ProtectionStatus 字符串表示形式的邮件计数 |
| properties.countByThreatType |
object |
ThreatType 字符串表示形式的邮件计数 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.isVolumeAnomaly |
boolean |
这是卷异常邮件群集 |
| properties.mailCount |
integer (int32) |
属于邮件群集的邮件数 |
| properties.networkMessageIds |
string[] |
属于邮件群集的邮件 ID |
| properties.query |
string |
用于标识邮件群集的邮件的查询 |
| properties.queryTime |
string (date-time) |
查询时间 |
| properties.source |
string |
邮件群集的源(默认值为“O365 ATP”) |
| properties.threats |
string[] |
属于邮件群集的邮件的威胁 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MailMessageEntity
表示邮件实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Mail |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.antispamDirection |
此邮件的方向性 |
|
| properties.bodyFingerprintBin1 |
integer (int32) |
bodyFingerprintBin1 |
| properties.bodyFingerprintBin2 |
integer (int32) |
bodyFingerprintBin2 |
| properties.bodyFingerprintBin3 |
integer (int32) |
bodyFingerprintBin3 |
| properties.bodyFingerprintBin4 |
integer (int32) |
bodyFingerprintBin4 |
| properties.bodyFingerprintBin5 |
integer (int32) |
bodyFingerprintBin5 |
| properties.deliveryAction |
此邮件的传递作,如“已送达”、“已阻止”、“已替换”等 |
|
| properties.deliveryLocation |
此邮件的送达位置,如收件箱、垃圾邮件等 |
|
| properties.fileEntityIds |
string[] |
此邮件附件的文件实体 ID |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.internetMessageId |
string |
此邮件的 Internet 邮件 ID |
| properties.language |
string |
此邮件的语言 |
| properties.networkMessageId |
string (uuid) |
此邮件的网络邮件 ID |
| properties.p1Sender |
string |
p1 发件人的电子邮件地址 |
| properties.p1SenderDisplayName |
string |
p1 发送方的显示名称 |
| properties.p1SenderDomain |
string |
p1 发件人的域 |
| properties.p2Sender |
string |
p2 发件人的电子邮件地址 |
| properties.p2SenderDisplayName |
string |
p2 发送方的显示名称 |
| properties.p2SenderDomain |
string |
p2 发件人的域 |
| properties.receiveDate |
string (date-time) |
此消息的接收日期 |
| properties.recipient |
string |
此邮件的收件人。 请注意,如果有多个收件人,邮件将分叉,并且每个副本都有一个收件人 |
| properties.senderIP |
string |
发件人的 IP 地址 |
| properties.subject |
string |
此邮件的主题 |
| properties.threatDetectionMethods |
string[] |
威胁检测方法 |
| properties.threats |
string[] |
此邮件的威胁 |
| properties.urls |
string[] |
此邮件中包含的 URL |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MalwareEntity
表示恶意软件实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Malware |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.category |
string |
供应商提供的恶意软件类别,例如特洛伊木马 |
| properties.fileEntityIds |
string[] |
找到恶意软件的链接文件实体标识符列表 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.malwareName |
string |
供应商提供的恶意软件名称,例如 Win32/Toga!rfn |
| properties.processEntityIds |
string[] |
找到恶意软件的链接进程实体标识符的列表。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
NicEntity
表示网络接口实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Nic |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.ipAddressEntityId |
string |
此网络接口的 IP 实体 ID |
| properties.macAddress |
string |
此网络接口的 MAC 地址 |
| properties.vlans |
string[] |
网络接口实体的 VLAN 列表。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
OSFamily
作系统类型。
| 值 | 说明 |
|---|---|
| Linux |
使用 Linux作系统托管。 |
| Windows |
使用 Windows作系统托管。 |
| Android |
使用 Android作系统托管。 |
| IOS |
使用 IOS作系统托管。 |
| Unknown |
具有未知作系统的主机。 |
ProcessEntity
表示进程实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Process |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.accountEntityId |
string |
运行进程的帐户实体 ID。 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.commandLine |
string |
用于创建进程的命令行 |
| properties.creationTimeUtc |
string (date-time) |
进程开始运行的时间 |
| properties.elevationToken |
与进程关联的提升令牌。 |
|
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hostEntityId |
string |
运行进程的主机实体 ID |
| properties.hostLogonSessionEntityId |
string |
在其中运行进程的会话实体 ID |
| properties.imageFileEntityId |
string |
图像文件实体 ID |
| properties.parentProcessEntityId |
string |
父进程实体 ID。 |
| properties.processId |
string |
进程 ID |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
RegistryHive
保存注册表项的 hive。
| 值 | 说明 |
|---|---|
| HKEY_LOCAL_MACHINE |
HKEY_LOCAL_MACHINE |
| HKEY_CLASSES_ROOT |
HKEY_CLASSES_ROOT |
| HKEY_CURRENT_CONFIG |
HKEY_CURRENT_CONFIG |
| HKEY_USERS |
HKEY_USERS |
| HKEY_CURRENT_USER_LOCAL_SETTINGS |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
| HKEY_PERFORMANCE_DATA |
HKEY_PERFORMANCE_DATA |
| HKEY_PERFORMANCE_NLSTEXT |
HKEY_PERFORMANCE_NLSTEXT |
| HKEY_PERFORMANCE_TEXT |
HKEY_PERFORMANCE_TEXT |
| HKEY_A |
HKEY_A |
| HKEY_CURRENT_USER |
HKEY_CURRENT_USER |
RegistryKeyEntity
表示注册表项实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Registry |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.hive |
保存注册表项的 hive。 |
|
| properties.key |
string |
注册表项路径。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
RegistryValueEntity
表示注册表值实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Registry |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.keyEntityId |
string |
注册表项实体 ID。 |
| properties.valueData |
string |
值数据的字符串格式表示形式。 |
| properties.valueName |
string |
注册表值名称。 |
| properties.valueType |
指定在注册表中存储值时要使用的数据类型,或标识注册表中某个值的数据类型。 |
|
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
RegistryValueKind
指定在注册表中存储值时要使用的数据类型,或标识注册表中某个值的数据类型。
| 值 | 说明 |
|---|---|
| None |
没有 |
| Unknown |
未知值类型 |
| String |
字符串值类型 |
| ExpandString |
ExpandString 值类型 |
| Binary |
二进制值类型 |
| DWord |
DWord 值类型 |
| MultiString |
MultiString 值类型 |
| QWord |
QWord 值类型 |
SecurityAlert
表示安全警报实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind | string: |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.alertDisplayName |
string |
警报的显示名称。 |
| properties.alertLink |
string |
警报的 URI 链接。 |
| properties.alertType |
string |
警报的类型名称。 |
| properties.compromisedEntity |
string |
报告的主实体的显示名称。 |
| properties.confidenceLevel |
此警报的置信度。 |
|
| properties.confidenceReasons |
置信度原因 |
|
| properties.confidenceScore |
number (double) |
警报的置信度分数。 |
| properties.confidenceScoreStatus |
置信度分数计算状态,即指示此警报的评分计算是否挂起(不适用或最终)。 |
|
| properties.description |
string |
警报说明。 |
| properties.endTimeUtc |
string (date-time) |
警报的影响结束时间(导致警报的最后一个事件的时间)。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.intent |
保留此警报的警报意向阶段映射。 |
|
| properties.processingEndTime |
string (date-time) |
警报可供使用的时间。 |
| properties.productComponentName |
string |
生成警报的产品内组件的名称。 |
| properties.productName |
string |
发布此警报的产品的名称。 |
| properties.productVersion |
string |
生成警报的产品的版本。 |
| properties.providerAlertId |
string |
生成警报的产品内的警报的标识符。 |
| properties.remediationSteps |
string[] |
手动执行作项来修正警报。 |
| properties.resourceIdentifiers |
object[] |
警报的资源标识符列表。 |
| properties.severity |
警报的严重性 |
|
| properties.startTimeUtc |
string (date-time) |
警报的影响开始时间(导致警报的第一个事件的时间)。 |
| properties.status |
警报的生命周期状态。 |
|
| properties.systemAlertId |
string |
保存产品的警报的产品标识符。 |
| properties.tactics |
警报的策略 |
|
| properties.timeGenerated |
string (date-time) |
生成警报的时间。 |
| properties.vendorName |
string |
引发警报的供应商的名称。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
SecurityGroupEntity
表示安全组实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Security |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.distinguishedName |
string |
组可分辨名称 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.objectGuid |
string (uuid) |
一个单值属性,它是由 Active Directory 分配的对象的唯一标识符。 |
| properties.sid |
string |
SID 属性是一个单值属性,指定组的安全标识符(SID) |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
SubmissionMailEntity
表示提交邮件实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Submission |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.networkMessageId |
string (uuid) |
提交所属的电子邮件的网络消息 ID |
| properties.recipient |
string |
邮件的收件人 |
| properties.reportType |
string |
给定实例的提交类型。 这映射到垃圾邮件、网络钓鱼、恶意软件或 NotJunk。 |
| properties.sender |
string |
邮件的发件人 |
| properties.senderIp |
string |
发送方的 IP |
| properties.subject |
string |
提交邮件的主题 |
| properties.submissionDate |
string (date-time) |
提交日期 |
| properties.submissionId |
string (uuid) |
提交 ID |
| properties.submitter |
string |
提交者 |
| properties.timestamp |
string (date-time) |
收到邮件时的时间戳(邮件) |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
systemData
与创建和上次修改资源相关的元数据。
| 名称 | 类型 | 说明 |
|---|---|---|
| createdAt |
string (date-time) |
资源创建时间戳(UTC)。 |
| createdBy |
string |
创建资源的标识。 |
| createdByType |
创建资源的标识的类型。 |
|
| lastModifiedAt |
string (date-time) |
上次修改的资源时间戳(UTC) |
| lastModifiedBy |
string |
上次修改资源的标识。 |
| lastModifiedByType |
上次修改资源的标识的类型。 |
ThreatIntelligence
ThreatIntelligence 属性包。
| 名称 | 类型 | 说明 |
|---|---|---|
| confidence |
number (double) |
置信度(必须介于 0 和 1 之间) |
| providerName |
string |
收到此威胁情报信息的提供商的名称 |
| reportLink |
string |
报表链接 |
| threatDescription |
string |
威胁说明(自由文本) |
| threatName |
string |
威胁名称(例如“Jedobot 恶意软件”) |
| threatType |
string |
威胁类型(例如“僵尸网络”) |
UrlEntity
表示 URL 实体。
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Url |
实体的类型。 |
| name |
string |
资源的名称 |
| properties.additionalData |
object |
应属于实体的自定义字段的包,并将呈现给用户。 |
| properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
| properties.url |
string |
实体指向的完整 URL |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
UserInfo
执行某些作的用户信息
| 名称 | 类型 | 说明 |
|---|---|---|
|
string |
用户的电子邮件。 |
|
| name |
string |
用户的名称。 |
| objectId |
string (uuid) |
用户的对象 ID。 |