本文包含關於自動化規則配置及支援條件與屬性的參考資訊。
欲了解更多自動化規則,請參閱 Microsoft Sentinel 中的自動化威脅回應與自動化規則。
關於建立、管理及使用自動化規則的說明,請參閱「建立並使用 Microsoft Sentinel 自動化規則來管理回應」。
支援實體屬性
以下實體及實體屬性可作為自動化規則的條件:
此表顯示自動化規則 API 所支援的實體屬性。 這些是實體屬性,你可以設定其值作為觸發自動化規則的條件。
關於完整的支援屬性清單,包括事件屬性,請參閱自動化規則 API 文件中的「自動化規則屬性條件支援屬性」。
| API) 中的名稱 ( |
類型 |
描述 |
| AccountAadTenantId |
字串 |
帳戶 Microsoft Entra ID 租戶 ID |
| AccountAadUserID |
字串 |
帳號 Microsoft Entra ID 使用者 ID |
| 帳號名稱 |
字串 |
帳號名稱 |
| 帳號NTDomain |
字串 |
NetBIOS 網域名稱 |
| 帳號PUID |
字串 |
帳號 Microsoft Entra ID 護照使用者 ID |
| AccountSid |
字串 |
帳戶安全識別碼 |
| AccountObjectGuid |
字串 |
帳號物件唯一識別碼 |
| AccountUPNSuffix |
字串 |
帳戶使用者主體名稱後綴 |
| AzureResourceResourceId |
字串 |
The Azure resource ID |
| AzureResourceSubscriptionId |
字串 |
The Azure resource subscription ID |
| CloudApplicationAppId |
字串 |
雲端應用程式識別碼 |
| CloudApplicationAppName |
字串 |
雲端應用程式名稱 |
| DNSDomainName |
字串 |
DNS 記錄網域名稱 |
| 檔案目錄 |
字串 |
檔案目錄全路徑 |
| FileName |
字串 |
沒有路徑的檔名 |
| 檔案雜湊值 |
字串 |
檔案雜湊值 |
| HostAzureID |
字串 |
The host Azure resource ID |
| HostName |
字串 |
無網域的主機名稱 |
| HostNetBiosName |
字串 |
主機 NetBIOS 名稱 |
| HostNTDomain |
字串 |
主機NT域 |
| HostOS服務 |
字串 |
主機作業系統 |
| IoTDeviceId |
字串 |
物聯網裝置識別碼 |
| IoTDeviceName |
字串 |
物聯網裝置名稱 |
| IoTDeviceType |
字串 |
物聯網裝置類型 |
| IoTDeviceVendor |
字串 |
物聯網裝置供應商 |
| IoTDeviceModel |
字串 |
物聯網裝置模型 |
| IoTDeviceOperatingSystem |
字串 |
物聯網裝置作業系統 |
| IPAddress |
字串 |
IP 位址 |
| MailboxDisplayName |
字串 |
信箱顯示名稱 |
| 信箱主要地址 |
字串 |
郵箱的主要地址 |
| MailboxUPN |
字串 |
信箱使用者主體名稱 |
| 郵件訊息傳遞動作 |
字串 |
郵件訊息投遞動作 |
| 郵件訊息送達地點 |
字串 |
郵件訊息投遞地點 |
| 郵件訊息接收者 |
字串 |
郵件收件人 |
| 郵件訊息發送者 IP |
字串 |
郵件訊息發送者的 IP 位址 |
| 郵件訊息主旨 |
字串 |
郵件訊息主題 |
| 郵件訊息P1發送者 |
字串 |
郵件訊息 P1 發送者 (委派寄件人) |
| 郵件訊息P2發送者 |
字串 |
郵件訊息 P2 寄件人 (原始寄件人) |
| 惡意軟體類別 |
字串 |
惡意軟體類別 |
| 惡意軟體名稱 |
字串 |
惡意軟體名稱 |
| ProcessCommandLine |
字串 |
程序執行命令列 |
| ProcessID |
字串 |
程序識別碼 |
| 登錄鑰匙 |
字串 |
登錄檔金鑰路徑 |
| RegistryValueData |
字串 |
以字串格式表示的登錄檔鍵值 |
| URL |
字串 |
網址 |
此表格展示了自動化 規則 API 中支援的實體屬性如何在自動化規則建立精靈的條件下拉選單中顯示。 同時也顯示這些屬性如何映射到實體及其識別碼,依照 Microsoft Sentinel 安全警示所定義。
| API 中的名稱 |
UI 下拉選單中的名稱 |
實體:V3 警示架構中的識別碼 |
| AccountAadTenantId |
帳號租戶識別碼 |
帳號:AadTenantId |
| AccountAadUserID |
帳號 AAD 使用者 ID |
帳號:AadUserID |
| 帳號名稱 |
帳戶名稱 |
帳號:姓名 |
| 帳號NTDomain |
帳號 NT 網域 |
帳號:NTDomain |
| 帳號PUID |
帳戶PUID |
帳號:PUID |
| AccountSid |
帳號 SID |
帳號:Sid |
| AccountObjectGuid |
帳號物件識別碼 |
帳號:ObjectGuid |
| AccountUPNSuffix |
帳號 UPN 後綴 |
帳號:UPNSuffix |
| AzureResourceResourceId |
Azure resource ID |
AzureResource: ResourceId |
| AzureResourceSubscriptionId |
Azure resource subscription ID |
AzureResource: SubscriptionId |
| CloudApplicationAppId |
雲端應用程式識別碼 |
CloudApplication: AppId |
| CloudApplicationAppName |
雲端應用程式名稱 |
CloudApplication:名稱 |
| DNSDomainName |
DNS 網域名稱 |
DNS:網域名稱 |
| 檔案目錄 |
檔案目錄 |
檔案:目錄 |
| FileName |
檔案名稱 |
檔案:名稱 |
| 檔案雜湊值 |
檔案雜湊 |
FileHash:值 |
| HostAzureID |
Host Azure ID |
主機:AzureID |
| HostName |
主機名稱 |
主持人:主機名稱 |
| HostNetBiosName |
主機 NetBIOS 名稱 |
主機:NetBiosName |
| HostNTDomain |
主機 NT 網域 |
主持人:NTDomain |
| HostOS服務 |
主機作業系統 |
主持人:OSVersion |
| IoTDeviceId |
IoT 裝置識別碼 |
IoTDevice:裝置ID |
| IoTDeviceName |
物聯網裝置名稱 |
IoTDevice:裝置名稱 |
| IoTDeviceType |
物聯網裝置類型 |
IoTDevice:裝置類型 |
| IoTDeviceVendor |
物聯網裝置供應商 |
IoTDevice:製造商 |
| IoTDeviceModel |
物聯網裝置模型 |
IoTDevice:模型 |
| IoTDeviceOperatingSystem |
物聯網裝置作業系統 |
IoTDevice:操作系統 |
| IPAddress |
IP 位址 |
IP:地址 |
| MailboxDisplayName |
信箱顯示名稱 |
信箱:顯示名稱 |
| 信箱主要地址 |
信箱主要地址 |
信箱:Mailbox主要地址 |
| MailboxUPN |
郵箱UPN |
信箱:UPN |
| 郵件訊息傳遞動作 |
郵件訊息投遞動作 |
郵件訊息:DeliveryAction(傳遞行動) |
| 郵件訊息送達地點 |
郵件訊息投遞地點 |
郵件訊息:DeliveryLocation(配送地點) |
| 郵件訊息接收者 |
郵件訊息接收器 |
郵件訊息:收件人 |
| 郵件訊息發送者 IP |
郵件訊息發送者 IP |
郵件訊息:SenderIP |
| 郵件訊息主旨 |
郵件訊息主題 |
郵件訊息:主旨 |
| 郵件訊息P1發送者 |
郵件訊息 P1 寄件人 |
郵件訊息:P1Sender |
| 郵件訊息P2發送者 |
郵件訊息 P2 寄件人 |
郵件訊息:P2Sender |
| 惡意軟體類別 |
惡意軟體類別 |
惡意軟體:類別 |
| 惡意軟體名稱 |
惡意軟體名稱 |
惡意軟體:名稱 |
| ProcessCommandLine |
程序命令列 |
程序:CommandLine |
| ProcessID |
程序識別碼 |
程序:ProcessID |
| 登錄鑰匙 |
登錄機碼 |
登錄鑰匙:說明 |
| RegistryValueData |
登錄值 |
RegistryValue:價值 |
| URL |
URL |
網址:網址 |