Microsoft Sentinel 實體類型參考
本檔包含兩組有關 Sentinel Microsoft 中實體和實體類型的資訊,以及 Microsoft統一安全性作業平臺。
- [實體類型和標識符] 數據表會顯示可在警示和事件中識別的不同實體類型,讓您追蹤和調查它們。 數據表也會針對每個實體類型顯示可用來識別實體的不同標識碼。
- [實體架構] 區段會顯示一般實體的數據結構和架構,以及特定每個實體類型的數據結構和架構。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
實體類型和標識碼
下表顯示可由 Microsoft Sentinel 辨識的實體類型,以及可用來作為每個實體類型標識碼的屬性。
Microsoft Sentinel 可辨識警示和事件中的實體,這些實體是由分析規則中的實體對應所建立。 它也會辨識已從其他來源擷取的警示中識別的實體。
在 Sentinel 中建立實體對應時,您目前最多可以使用指定實體 Microsoft的三個識別碼。 僅強標識符 就足以唯一識別實體,而 弱式標識碼 只能與其他標識碼結合。 深入了解 強式和弱式標識碼。 在 sentinel Microsoft 中建立實體對應時,此數據表中大部分但並非所有標識碼都可以使用(請參閱腳注)。
| 實體類型 | 識別碼 | 強標識碼 | 弱式識別碼 |
|---|---|---|---|
| 帳戶 | 名稱 FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
名稱 |
| 主機 | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | 位址 AddressScope |
位址 ** Address+AddressScope ** |
|
| URL | Url | URL (如果絕對 URL) ** | URL (如果相對 URL) ** |
| Azure 資源 (AzureResource) |
ResourceId | ResourceId | |
| 雲端應用程式 (CloudApplication) |
AppId 名稱 InstanceName |
AppId 名稱 AppId+InstanceName Name+InstanceName |
|
| DNS 解析 (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| 檔案 | Directory 名稱 |
Directory+Name | |
| 檔案雜湊 (FileHash) |
演算法 值 |
演算法+值 | |
| 惡意程式碼 | 名稱 類別 |
Name+Category | |
| 處理 | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (無主機) ProcessId+CreationTimeUtc+ ImageFile (無主機) |
| 登錄機碼 (RegistryKey) |
Hive 機碼 |
Hive+Key | |
| 登錄值 (RegistryValue) |
名稱 值 ValueType |
Key+Name | 名稱(無索引鍵) |
| 安全性群組 (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| 信箱 | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| 郵件叢集 (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 威脅 Query QueryTime MailCount IsVolumeAnomaly 來源 ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
| 郵件訊息 (MailMessage) |
收件者 URL 威脅 Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId 主體 BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 語言* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
| 提交郵件 ( 提交信件 ) |
NetworkMessageId 時間戳記 收件者 Sender SenderIp 主體 ReportType SubmissionId SubmissionDate [傳送者] |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Sentinel 實體 | 實體 | 實體 |
表格腳註:
- * 這些識別碼會出現在可用於實體對應的標識符清單中,但嚴格來說,它們不是實體架構的一部分。
- ** 這些識別碼只有在特定條件下才會被視為強式。 遵循星號的連結,以查看套用的條件,在下方的實體架構一節中 相關實體的清單下。
- 斜體標識元名稱 (不含星號)代表內部實體,這表示一個實體類型可以有其他實體類型做為屬性(請參閱 下面的實體架構一節)。 請遵循識別碼的連結來查看內部實體自己的架構。
實體類型架構
下一節包含更深入地查看每個實體類型的完整架構。 您會發現其中許多架構包含其他實體類型的連結。 例如,帳戶架構包含主機實體類型的連結,因為使用者帳戶的一個屬性是其定義的主機。 這些實體即屬性稱為「內部實體」,因此無法做為實體對應的標識碼,但它們在提供實體頁面和調查圖表上實體的完整圖片時非常有用。
注意
[類型] 資料行中值後面的問號表示字段可為 Null。
實體類型架構清單
- 帳戶
- 主機
- IP
- 惡意程式碼
- 檔案
- 處理
- 雲端應用程式
- DNS 解析
- Azure 資源
- 檔案雜湊
- 登錄機碼
- 登錄值
- 安全性群組
- URL
- IoT 裝置
- 信箱
- 郵件叢集
- 郵件訊息
- 提交郵件
- Sentinel 實體
客戶
實體名稱:帳戶
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'account' |
| 名稱 | String | 帳戶的名稱。 此欄位應該只保留名稱,而不會新增任何網域。 |
| FullName | -- | 不是架構的一部分,隨附於舊版實體對應的回溯相容性。 |
| NTDomain | String | NETBIOS 功能變數名稱會以警示格式顯示,也就是 domain\username。 範例:財務、NT AUTHORITY |
| DnsDomain | String | 完整網域 DNS 名稱。 範例:finance.contoso.com |
| UPNSuffix | String | 帳戶的用戶主體名稱後綴。 在許多情況下,UPN 後綴也是功能變數名稱。 範例:contoso.com |
| 主機 | 實體(主機) | 包含帳戶的主機,如果是本機帳戶。 |
| Sid | String | 帳戶的安全性標識碼。 |
| AadTenantId | Guid? | 如果已知,Microsoft Entra 租使用者標識符。 |
| AadUserId | Guid? | 如果已知,Microsoft Entra 帳戶對象標識碼。 |
| PUID | Guid? | 如果已知,Microsoft Entra Passport 用戶標識碼。 |
| IsDomainJoined | 布林? | 指出帳戶是否為網域帳戶。 |
| DisplayName | -- | 不是架構的一部分,隨附於舊版實體對應的回溯相容性。 |
| ObjectGuid | Guid? | objectGUID 屬性是單一值屬性,這是 Active Directory 指派之物件的唯一標識符。 |
| CloudAppAccountId | String | CloudApp 提供者警示中的 AccountID。 是指其他Microsoft產品不支援的第三方應用程式中的帳戶標識碼。 |
| IsAnonymized | 布林? | 指出用戶名稱是否匿名。 選擇性。 預設值: false。 |
| 串流 | 串流 | 與特定帳戶相關的探索記錄來源。 選擇性。 |
帳戶實體的強標識碼
- 名稱 + UPNSuffix
- AadUserId
- Sid
** 只要帳戶不是下列附注所列的其中一個內建帳戶,此標識符就很強。 - Sid + 主機
** 當帳戶是下列附注所列的其中一個內建帳戶時,需要主機組件,才能讓此標識符成為強標識符。 - 名稱 + NTDomain
** 當帳戶是網域帳戶時,這個組合是強標識符,因為 NTDomain 不是內建網域/工作組,而且與主機名不同。 在此情況下,即使沒有主機組件,這是強標識符。 - 名稱 + NTDomain + 主機
** 當帳戶是本機帳戶時,主機組件必須建立強標識碼,這表示 NTDomain 是內建網域/工作組。 - 名稱 + DnsDomain
- PUID
- ObjectGuid
帳戶實體的弱式標識碼
- 名稱
注意
如果使用名稱標識碼定義 Account 實體,而特定實體的 Name 值是下列其中一個泛型、通常內建的帳戶名稱,則該實體將會從警示中卸除。
- ADMIN
- 管理員
- 系統
- 根
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Host
實體名稱:主機
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'host' |
| IpInterfaces | 清單<實體 (Ip)> | 主電腦上所有IP介面的清單。 |
| DnsDomain | String | 此主機所屬的 DNS 網域。 如果已知,應該包含網域的完整 DNS 後綴。 |
| NTDomain | String | 此主機所屬的NT網域。 |
| HostName | String | 沒有網域後綴的主機名。 |
| NetBiosName | String | 主機名 (Windows 2000 之前)。 |
| IoTDevice | 實體 (IoT 裝置) | IoT 裝置實體(如果此主機代表IoT裝置)。 |
| AzureID | String | 如果已知,VM 的 Azure 資源識別符。 |
| OMSAgentID | String | 如果主機已安裝 OMS 代理程式,則為 OMS 代理程式識別碼。 |
| OSFamily | 列舉? | 下列其中一個值: |
| OSVersion | String | 操作系統的任意文字表示法。 此欄位旨在保留比 OSFamily 更精細的特定版本,或 OSFamily 列舉不支援的未來值。 |
| IsDomainJoined | Bool | 指出此主機是否屬於網域。 |
主機實體的強標識碼
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
主機實體的弱式標識碼
- HostName
- NetBiosName
IP
實體名稱:IP
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'ip' |
| 地址 | String | 例如,以字串表示的IP位址。 127.0.0.1 (在 IPv4 或 IPv6 中)。 |
| AddressScope | String | 私人、非全域 IP 位址的主機、子網或專用網名稱。 全域 IP 位址的 Null 或空白 (預設值)。 |
| 地點 | 地理位置 | 附加至IP實體的地理位置內容。 如需詳細資訊,另請參閱透過 REST API 在 Microsoft Sentinel 中以地理位置資料擴充實體 (公開預覽版) 。 |
| 串流 | 串流 | 與特定IP相關的探索記錄來源。 選擇性。 |
IP 實體的強標識碼
- 地址
** 當 IP 位址是全域位址時,僅位址是唯一的強標識符。 - Address + AddressScope
** 對於私人/內部、非全域 IP 位址,需要 AddressScope 元件,才能讓此成為強式標識符。
惡意程式碼
實體名稱:惡意代碼
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'malware' |
| 名稱 | String | 由 (偵測)廠商指派的惡意代碼名稱,例如 Win32/Toga!rfn。 |
| 類別 | String | 例如,由 (detection)) 廠商指派的惡意代碼類別。 木馬。 |
| 檔案 | 列出<實體 (檔案)> | 找到惡意代碼的連結檔案實體清單。 可以包含內嵌或參考的檔案實體。 如需結構的詳細資訊,請參閱檔案實體。 |
| 程序 | 列出<實體 (行程)> | 找到惡意代碼的連結進程實體清單。 這通常會在無檔案活動上觸發警示時使用。 如需結構的詳細資訊,請參閱處理實體。 |
惡意代碼實體的強標識碼
- 名稱 + 類別
檔案
實體名稱:檔案
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'file' |
| 目錄 | String | 檔案的完整路徑。 |
| 名稱 | String | 沒有路徑的檔名(某些警示可能不包含路徑)。 |
| AlternateDataStreamName | String | NTFS 檔系統中的檔名(主要數據流的 Null)。 |
| 主機 | 實體(主機) | 檔案儲存所在的主機。 |
| HostUrl | 實體 (URL) | 從下載檔案的 URL (網記)。 |
| WindowsSecurityZoneType | WindowsSecurityZone | #DEA55579E618E4E2CB2ACA52549E3081A URL 所屬的區域 (網記)。 |
| ReferrerUrl | 實體 (URL) | 檔案的查閱者 URL 下載 HTTP 要求 (網記)。 |
| SizeInBytes | 長? | 檔案的大小 (以位元組為單位)。 |
| FileHashes | 清單<實體 (FileHash)> | 與此檔案相關聯的檔案哈希。 |
檔案實體的強標識碼
- 名稱 + 目錄
- 名稱 + FileHash
- Name + Directory + FileHash
處理
實體名稱:進程
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'process' |
| ProcessId | String | 進程標識碼。 |
| CommandLine | String | 用來建立進程的命令行。 |
| ElevationToken | 列舉? | 與進程相關聯的提高許可權令牌。 可能的值: |
| CreationTimeUtc | DateTime? | 進程開始執行的時間。 |
| ImageFile | 實體(檔案) | 可以包含檔案實體內嵌或作為參考。 如需結構的詳細資訊,請參閱檔案實體。 |
| 帳戶 | 實體(帳戶) | 執行進程的帳戶。 可以包含帳戶實體內嵌或作為參考。 如需結構的詳細資訊,請參閱帳戶實體。 |
| ParentProcess | 實體 (行程) | 父進程實體。 可以包含部分數據,例如,只有 PID。 |
| 主機 | 實體(主機) | 進程執行所在的主機。 |
| LogonSession | 實體 (HostLogonSession) | 進程執行所在的會話。 |
進程實體的強標識碼
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
進程實體的弱式標識碼
- ProcessId + CreationTimeUtc + CommandLine (且無主機)
- ProcessId + CreationTimeUtc + ImageFile (且沒有主機)
雲端應用程式
實體名稱:CloudApplication
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'cloud-application' |
| AppId | int | 荒廢的;請改用SaasId欄位。 應用程式的技術識別碼。 可能的值為雲端應用程式識別碼清單中定義的值。 值選擇性。 不應該包含 InstanceId。 |
| SaasId | int | 取代已被取代的AppId欄位。 應用程式的技術識別碼。 可能的值為雲端應用程式識別碼清單中定義的值。 值選擇性。 不應該包含 InstanceId。 |
| 名稱 | String | 相關雲端應用程式的名稱。 值選擇性。 |
| InstanceName | String | 雲端應用程式的使用者定義實例名稱。 它通常用來區分客戶擁有之相同類型的數個應用程式。 |
| InstanceId | int | 應用程式之特定會話的標識碼。 這是以零起始的執行數位。 值選擇性。 |
| 風險 | AppRisk? | 可讓您依風險分數篩選應用程式,以便專注在只檢閱高風險的應用程式。 可能的值,例如低、中、高或未知。 |
| 串流 | 串流 | 與特定雲端應用程式相關的探索記錄來源。 選擇性。 |
雲端應用程式實體的強標識符
- AppId (不含 InstanceName)
- 名稱(不含 InstanceName)
- AppId + InstanceName
- Name + InstanceName
DNS 解析
實體名稱:DNS
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'dns' |
| DomainName | String | 與警示相關聯的 DNS 記錄名稱。 |
| IpAddress | 列出<實體 (IP)> | 對應至已解析IP位址的實體。 |
| DnsServerIp | 實體 (IP) | 表示解析要求的 DNS 伺服器實體。 |
| HostIpAddress | 實體 (IP) | 代表 DNS 要求客戶端的實體。 |
DNS 實體的強標識碼
- DomainName + DnsServerIp + HostIpAddress
DNS 實體的弱式識別碼
- DomainName + HostIpAddress
Azure 資源
實體名稱:AzureResource
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'azure-resource' |
| ResourceId | String | 資源的 Azure 資源識別碼。 必要。 |
| SubscriptionId | String | 資源的訂用帳戶識別碼。 |
| ActiveContacts | 列出<ActiveContact> | 與資源相關聯的使用中聯繫人。 |
| ResourceType | String | 資源的類型。 |
| ResourceName | String | 資源名稱。 |
Azure 資源實體的強標識碼
- ResourceId
檔案雜湊
實體名稱:FileHash
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'filehash' |
| 演算法 | 列舉 | 哈希演算法類型。 必要。 可能的值: |
| ReplTest1 | String | 哈希值。 必要。 |
檔案哈希實體的強標識碼
- 演演算法 + 值
登錄機碼
實體名稱:RegistryKey
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'registry-key' |
| Hive | 列舉? | 下列其中一個值: |
| 索引鍵 | String | 登錄機碼路徑。 |
登錄機碼實體的強標識碼
- Hive + 金鑰
登錄值
實體名稱:RegistryValue
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'registry-value' |
| 主機 | 實體(主機) | 登錄所屬的主機。 |
| 索引鍵 | Entity (RegistryKey) | 登錄機碼實體。 |
| 名稱 | String | 登錄值名稱。 |
| ReplTest1 | String | 值數據的字串格式表示。 |
| ValueType | 列舉? | 下列其中一個值: 值應該符合 Microsoft.Win32.RegistryValueKind 列舉。 |
登錄值實體的強標識碼
- 索引鍵 + 名稱
登錄值實體的弱式標識碼
- 名稱 (不含索引鍵)
安全性群組
實體名稱:SecurityGroup
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'security-group' |
| DistinguishedName | String | 群組辨別名稱。 |
| SID | String | 單一值屬性,指定群組的安全性標識碼 (SID)。 |
| ObjectGuid | Guid? | 單一值屬性,這是 Active Directory 所指派之物件的唯一標識碼。 |
安全組實體的強標識碼
- DistinguishedName
- SID
- ObjectGuid
URL
實體名稱:URL
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'url' |
| Url | URI | 實體指向的完整 URL。 必要。 |
URL 實體的強標識碼
- URL (** URL 為絕對 URL 時,此標識碼為強項。
URL 實體的弱式標識碼
- URL (** 當 URL 是相對 URL 時,此標識碼很弱。
IoT 裝置
實體名稱:IoTDevice
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'iotdevice' |
| IoTHub | 實體 (AzureResource) | 代表裝置所屬 IoT 中樞 的 AzureResource 實體。 |
| DeviceId | String | IoT 中樞 內容中裝置的標識碼。 必要。 |
| DeviceName | String | 裝置的易記名稱。 |
| 擁有者 | 列出<字串> | 裝置的擁有者。 |
| IoTSecurityAgentId | Guid? | 在裝置上執行的適用於IoT的Defender代理程式的標識碼。 |
| DeviceType | String | 裝置的類型(『溫度感測器』、『冰櫃』、『風力渦輪機』等)。 |
| DeviceTypeId | String | 根據裝置類型架構識別每個裝置類型的唯一標識符,因為裝置類型本身是顯示名稱,而且比較不可靠。 可能的值: 未分類 = 0 其他 = 1 網路裝置 = 2 印表機 = 3 音訊和視訊 = 4 媒體和監視 = 5 通訊 = 7 智慧型設備 = 9 工作站 = 10 伺服器 = 11 Mobile = 12 Smart Facility = 13 工業 = 14 操作設備 = 15 |
| 來源 | String | 裝置實體的來源 (Microsoft/Vendor)。 |
| SourceRef | 實體(URL) | 裝置受控來源專案的 URL 參考。 |
| 製造商 | String | 裝置的製造商。 |
| 模型 | String | 裝置的模型。 |
| OperatingSystem | String | 裝置正在執行的作業系統。 |
| IpAddress | 實體 (IP) | 裝置的目前IP位址。 |
| MacAddress | String | 裝置的 MAC 位址。 |
| Nics | 實體 (Nic) | 裝置上的目前 NIC。 |
| 通訊協定 | 列出<字串> | 裝置支援的通訊協定清單。 |
| SerialNumber | String | 裝置的序號。 |
| 站台 | String | 裝置的月臺位置。 |
| 區域 | String | 月臺內裝置的區域位置。 |
| Sensor | String | 監視裝置的感測器。 |
| 重要性 | 列舉? | 下列其中一個值: |
| PurdueLayer | String | 裝置的 Purdue 層。 |
| IsProgramming | 布林? | 指出裝置是否分類為程式設計裝置。 |
| IsAuthorized | 布林? | 指出裝置是否分類為已授權裝置。 |
| IsScanner | 布林? | 指出裝置是否分類為掃描儀裝置。 |
| DevicePageLink | 實體(URL) | 適用於 IoT 的 Defender 入口網站中裝置頁面的 URL。 |
| DeviceSubType | String | 裝置子類型的名稱。 |
IoT 裝置實體的強標識碼
- IoTHub + DeviceId
IoT 裝置實體的弱式標識碼
- DeviceId (不含 IoTHub)
信箱
實體名稱:信箱
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'mailbox' |
| MailboxPrimaryAddress | String | 信箱的主要位址。 |
| DisplayName | String | 信箱的顯示名稱。 |
| Upn | String | 信箱的UPN。 |
| AadId | String | 使用者的 Azure AD 識別碼。 |
| RiskLevel | RiskLevel? | 此信箱的風險層級。 可能的值: |
| ExternalDirectoryObjectId | Guid? | 信箱的 AzureAD 識別符。 類似於 Account 實體中的 AadUserId,但此屬性專屬於 Office 端的信箱物件。 |
信箱實體的強標識碼
- MailboxPrimaryAddress
郵件叢集
實體名稱:MailCluster
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'mail-cluster' |
| NetworkMessageIds | IList<字串> | 屬於郵件叢集一部分的郵件訊息標識碼。 |
| CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 字串表示法的郵件訊息計數。 |
| CountByThreatType | IDictionary<String,Int> | 依 ThreatType 字串表示法的郵件訊息計數。 |
| CountByProtectionStatus | IDictionary<String,long> | 依保護狀態字串表示法的郵件訊息計數。 |
| CountByDeliveryLocation | IDictionary<String,long> | 依傳遞位置字串表示方式的郵件訊息計數。 |
| 威脅 | IList<字串> | 屬於郵件叢集一部分的郵件訊息威脅。 |
| 查詢 | String | 用來識別郵件叢集訊息的查詢。 |
| QueryTime | DateTime? | 查詢時間。 |
| MailCount | Int? | 屬於郵件叢集一部分的郵件訊息數目。 |
| IsVolumeAnomaly | 布林? | 指出郵件叢集是否為磁碟區異常郵件叢集。 |
| 來源 | String | 郵件叢集的來源 (預設值為 O365 ATP)。 |
郵件叢集實體的強標識碼
- 查詢 + 來源
郵件訊息
實體名稱:MailMessage
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'mail-message' |
| 檔案 | IList<實體 (檔案)> | 此郵件附件的檔案實體。 |
| 收件者 | String | 此郵件郵件的收件者。 在多個收件者的情況下,會複製郵件訊息,而且每個復本都有一個收件者。 |
| URL | IList<字串> | 此郵件訊息中包含的 URL。 |
| 威脅 | IList<字串> | 此郵件訊息中包含的威脅。 |
| Sender | String | 寄件者的電子郵件位址。 |
| SenderIP | String | 寄件者的IP位址。 |
| ReceivedDate | Datetime | 此訊息的接收日期。 |
| NetworkMessageId | Guid? | 此郵件訊息的網路訊息識別碼。 |
| InternetMessageId | String | 此郵件訊息的因特網訊息標識碼。 |
| 主體 | String | 此郵件郵件的主旨。 |
| AntispamDirection | 列舉? | 此郵件訊息的方向性。 可能的值: |
| DeliveryAction | 列舉? | 此郵件訊息的傳遞動作。 可能的值: |
| DeliveryLocation | 列舉? | 此郵件訊息的傳遞位置。 可能的值: |
| CampaignId | String | 此郵件訊息所在的營銷活動識別碼。 |
| SuspiciousRecipients | IList<字串> | 偵測到為可疑的收件者清單。 |
| ForwardedRecipients | IList<字串> | 轉寄郵件上所有收件者的清單。 |
| ForwardingType | IList<字串> | 郵件的轉寄類型,例如 SMTP、ETR 等。 |
郵件訊息實體的強標識碼
- NetworkMessageId + Recipient
提交郵件
實體名稱:SubmissionMail
| 欄位 | 類型 | 描述 |
|---|---|---|
| 型別 | String | 'SubmissionMail' |
| SubmissionId | Guid? | 提交標識碼。 |
| SubmissionDate | DateTime? | 回報此提交的日期時間。 |
| [傳送者] | String | 送出者電子郵件位址。 |
| NetworkMessageId | Guid? | 提交所屬電子郵件的網路訊息標識碼。 |
| Timestamp | DateTime? | 收到郵件時的時間戳(郵件)。 |
| 收件者 | String | 郵件的收件者。 |
| Sender | String | 郵件的寄件者。 |
| SenderIp | String | 寄件人的IP。 |
| 主體 | String | 提交郵件的主旨。 |
| ReportType | String | 指定實例的提交類型。 可能的值為垃圾郵件、網路釣魚、惡意代碼或 NotJunk。 |
SubmissionMail 實體的強標識符
- SubmissionId、Submitter、NetworkMessageId、Recipient
Sentinel 實體
| 欄位 | 類型 | 描述 |
|---|---|---|
| 實體 | String | 警示中識別的實體清單。 此清單是 SecurityAlert 架構中的實體 資料行(請參閱檔)。 |
雲端應用程式識別碼
下列清單會定義已知雲端應用程式的標識碼。 [應用程式識別符] 值會當做 雲端應用程式 實體標識碼使用。
| 應用程式識別碼 | 名稱 |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion 生命週期 |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft 商務用 Skype |
| 25988 | Google Docs |
| 26055 | Microsoft 365 系統管理中心 |
| 26060 | OPSWAT 齒輪 |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft德爾夫 |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS Proxy 模擬器 |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
下一步
在本檔中,您已瞭解 Sentinel Microsoft 中的實體結構、標識碼和架構。