Microsoft Sentinel 自動化規則參考
本文包含自動化規則設定和支援的條件和屬性的相關參考資訊。
若要深入瞭解自動化規則,請參閱 使用自動化規則自動Microsoft Sentinel 中的威脅回應。
如需建立、管理及使用自動化規則的指示,請參閱 建立和使用Microsoft Sentinel 自動化規則來管理回應。
下列實體和實體屬性可作為自動化規則的條件:
下表顯示自動化規則 API 中支援的實體屬性。 這些是實體屬性,您可以將其值設定為觸發自動化規則的條件。
如需包含事件屬性的支援屬性完整清單,請參閱自動化規則 API 檔中的自動化規則屬性條件支援屬性。
| 名稱 (在 API 中) |
類型 |
描述 |
| AccountAadTenantId |
字串 |
帳戶Microsoft Entra ID 租用戶標識碼 |
| AccountAadUserId |
字串 |
帳戶Microsoft Entra ID 用戶標識碼 |
| AccountName |
字串 |
帳戶名稱 |
| AccountNTDomain |
字串 |
帳戶 NetBIOS 功能變數名稱 |
| AccountPUID |
字串 |
帳戶Microsoft Entra ID Passport 用戶標識碼 |
| AccountSid |
字串 |
帳戶安全性標識碼 |
| AccountObjectGuid |
字串 |
帳戶物件唯一標識符 |
| AccountUPNSuffix |
字串 |
帳戶用戶主體名稱後綴 |
| AzureResourceResourceId |
字串 |
Azure 資源標識碼 |
| AzureResourceSubscriptionId |
字串 |
Azure 資源訂用帳戶標識碼 |
| CloudApplicationAppId |
字串 |
雲端應用程式識別碼 |
| CloudApplicationAppName |
字串 |
雲端應用程式名稱 |
| DNSDomainName |
字串 |
dns 記錄功能變數名稱 |
| FileDirectory |
字串 |
檔案目錄完整路徑 |
| FileName |
字串 |
沒有路徑的檔名 |
| FileHashValue |
字串 |
檔案哈希值 |
| HostAzureID |
字串 |
主機 Azure 資源識別碼 |
| HostName |
字串 |
沒有網域的主機名 |
| HostNetBiosName |
字串 |
主機 NetBIOS 名稱 |
| HostNTDomain |
字串 |
主機 NT 網域 |
| HostOSVersion |
字串 |
主機作業系統 |
| IoTDeviceId |
字串 |
IoT 裝置標識碼 |
| IoTDeviceName |
字串 |
IoT 裝置名稱 |
| IoTDeviceType |
字串 |
IoT 裝置類型 |
| IoTDeviceVendor |
字串 |
IoT 裝置廠商 |
| IoTDeviceModel |
字串 |
IoT 裝置型號 |
| IoTDeviceOperatingSystem |
字串 |
IoT 裝置作業系統 |
| IPAddress |
字串 |
IP 位址 |
| MailboxDisplayName |
字串 |
信箱顯示名稱 |
| MailboxPrimaryAddress |
字串 |
信箱主要位址 |
| MailboxUPN |
字串 |
信箱用戶主體名稱 |
| MailMessageDeliveryAction |
字串 |
郵件訊息傳遞動作 |
| MailMessageDeliveryLocation |
字串 |
郵件訊息傳遞位置 |
| MailMessageRecipient |
字串 |
郵件訊息收件者 |
| MailMessageSenderIP |
字串 |
郵件訊息寄件者IP位址 |
| MailMessageSubject |
字串 |
郵件訊息主旨 |
| MailMessageP1Sender |
字串 |
郵件訊息 P1 寄件者 (委派發件者) |
| MailMessageP2Sender |
字串 |
郵件訊息 P2 寄件者 (原始寄件者) |
| MalwareCategory |
字串 |
惡意代碼類別 |
| MalwareName |
字串 |
惡意代碼名稱 |
| ProcessCommandLine |
字串 |
進程執行命令行 |
| ProcessId |
字串 |
進程標識碼 |
| RegistryKey |
字串 |
登錄機碼路徑 |
| RegistryValueData |
字串 |
字串格式表示的登錄機碼值 |
| Url |
字串 |
URL |
下表顯示自動化規則 API 中支援的實體屬性如何顯示在自動化規則建立精靈中的條件下拉式清單中。 它也會顯示這些屬性如何對應至 實體及其標識符 ,如Microsoft Sentinel 安全性警示中所定義。
| API 中的名稱 |
UI 下拉式清單中的名稱 |
實體:V3 警示架構中的標識碼 |
| AccountAadTenantId |
帳戶租用戶標識碼 |
帳戶:AadTenantId |
| AccountAadUserId |
帳戶 AAD 用戶識別碼 |
帳戶:AadUserId |
| AccountName |
帳戶名稱 |
帳戶名稱: |
| AccountNTDomain |
帳戶 NT 網域 |
帳戶:NTDomain |
| AccountPUID |
帳戶 PUID |
帳戶:PUID |
| AccountSid |
帳戶 SID |
帳戶:Sid |
| AccountObjectGuid |
帳戶物件標識碼 |
帳戶:ObjectGuid |
| AccountUPNSuffix |
帳戶 UPN 後綴 |
帳戶:UPNSuffix |
| AzureResourceResourceId |
Azure 資源識別碼 |
AzureResource:ResourceId |
| AzureResourceSubscriptionId |
Azure 資源訂用帳戶標識碼 |
AzureResource:SubscriptionId |
| CloudApplicationAppId |
雲端應用程式識別碼 |
CloudApplication:AppId |
| CloudApplicationAppName |
雲端應用程式名稱 |
CloudApplication:名稱 |
| DNSDomainName |
DNS 網域名稱 |
DNS:DomainName |
| FileDirectory |
檔案目錄 |
檔案:目錄 |
| FileName |
File name |
檔案:名稱 |
| FileHashValue |
檔案雜湊 |
FileHash:值 |
| HostAzureID |
主機 Azure 識別碼 |
主機:AzureID |
| HostName |
主機名稱 |
主機:HostName |
| HostNetBiosName |
主機 NetBIOS 名稱 |
主機:NetBiosName |
| HostNTDomain |
主機 NT 網域 |
主機:NTDomain |
| HostOSVersion |
主機作業系統 |
主機:OSVersion |
| IoTDeviceId |
IoT 裝置標識碼 |
IoTDevice:DeviceId |
| IoTDeviceName |
IoT 裝置名稱 |
IoTDevice:DeviceName |
| IoTDeviceType |
IoT 裝置類型 |
IoTDevice:DeviceType |
| IoTDeviceVendor |
IoT 裝置廠商 |
IoTDevice:製造商 |
| IoTDeviceModel |
IoT 裝置型號 |
IoTDevice:模型 |
| IoTDeviceOperatingSystem |
IoT 裝置作業系統 |
IoTDevice:OperatingSystem |
| IPAddress |
IP 位址 |
IP 位址: |
| MailboxDisplayName |
信箱顯示名稱 |
Mailbox:DisplayName |
| MailboxPrimaryAddress |
信箱主要位址 |
信箱:MailboxPrimaryAddress |
| MailboxUPN |
信箱 UPN |
信箱:Upn |
| MailMessageDeliveryAction |
郵件訊息傳遞動作 |
MailMessage:DeliveryAction |
| MailMessageDeliveryLocation |
郵件訊息傳遞位置 |
MailMessage:DeliveryLocation |
| MailMessageRecipient |
郵件訊息收件者 |
MailMessage:收件者 |
| MailMessageSenderIP |
郵件訊息寄件者IP |
MailMessage:SenderIP |
| MailMessageSubject |
郵件訊息主旨 |
MailMessage:主旨 |
| MailMessageP1Sender |
郵件訊息 P1 寄件者 |
MailMessage:P1Sender |
| MailMessageP2Sender |
郵件訊息 P2 發件者 |
MailMessage: P2Sender |
| MalwareCategory |
惡意代碼類別 |
惡意代碼:類別 |
| MalwareName |
惡意程式碼名稱 |
惡意代碼:名稱 |
| ProcessCommandLine |
處理命令行 |
程式:CommandLine |
| ProcessId |
處理序識別碼 |
Process:ProcessId |
| RegistryKey |
登錄機碼 |
RegistryKey:機碼 |
| RegistryValueData |
登錄值 |
RegistryValue:Value |
| Url |
Url |
URL:URL |