本文件包含兩組關於 Microsoft Sentinel 中 Azure 入口網站與 Defender 入口中 Microsoft Sentinel 實體及實體類型的資訊。
- 實體類型與識別碼表顯示可在警示與事件中識別的不同實體類型,讓您能追蹤並調查這些實體。 表格同時顯示每種實體類型可用來識別實體的不同識別碼。
- 實體結構章節展示了一般實體的資料結構與架構,以及每種實體類型的具體資料結構。
重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
實體類型與識別碼
下表顯示 Microsoft Sentinel 可識別的實體類型,以及可用作每種實體類型識別碼的屬性。
Microsoft Sentinel 能在透過分析規則中實體映射產生的警示與事件中識別實體。 它也會辨識已從其他來源接收的警示中識別的實體。
目前在 Microsoft Sentinel 建立實體映射時,最多可使用三個識別碼來識別特定實體。 僅用強識別碼就足以唯一識別實體,而弱識別碼只能與其他識別碼結合才能做到。 了解更多關於 強識別碼與弱識別碼的資訊。 本表中大多數(但非全部)識別碼可用於建立實體映射Microsoft Sentinel (詳見腳註) 。
| 實體類型 | 識別碼 | 強識別碼 | 弱識別碼 |
|---|---|---|---|
| 帳戶 | 名稱 全名 * NTDomain DnsDomain UPNSuffix 西德 租戶身份 AadUserID PUID IsDomainJoined 顯示名稱 * 物件指南 |
名稱+UPNSuffix AADUserId 西德 ** Sid+Host** 名稱+宿主+NTDomin ** 名字+NTDomin ** 名稱+Dns網域 PUID 物件指南 |
名稱 |
| 主機 | DnsDomain NTDomain HostName 全名 * NetBiosName AzureID OMSAgentID OSFamily OS的 IsDomainJoined |
主機名稱+NTDomain 主機名稱+Dns網域 NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| 實體類型 | 識別碼 | 強識別碼 | 弱識別碼 |
| IP | 地址 位址範圍 |
全球地址: 地址** 私有位址: 位址+位址範圍** |
私人地址: 地址** |
| URL | URL | 如果絕對 網址 () ** | 若為相對 URL) ,則 URL (** |
|
Azure resource (AzureResource) |
資源識別 | 資源識別 | |
|
雲端應用 (CloudApplication) |
AppID 名稱 實例名稱 |
AppID 名稱 AppId+InstanceName 名稱+實例名稱 |
|
|
DNS 解析 (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | 網域名稱+HostIp位址 |
| 檔案 | Directory 名稱 |
目錄+名稱 | |
|
檔案雜湊 (FileHash) |
演算法 值 |
演算法+價值 | |
| 惡意程式碼 | 名稱 類別 |
名稱+類別 | |
| 實體類型 | 識別碼 | 強識別碼 | 弱識別碼 |
| 程序 | ProcessID CommandLine ElevationToken(高程代幣) 創世時間UTC |
Host+ProcessID+CreationTimeUtc 主機+ParentProcessID+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ 檔案雜湊 |
ProcessId+CreationTimeUtc+ 命令列 (無主機) ProcessId+CreationTimeUtc+ ImageFile (無主機) |
|
登錄檔鍵 (登錄鑰匙) |
Hive 機碼 |
蜂巢+鑰匙 | |
|
登錄值 (RegistryValue) |
名稱 值 價值類型 |
Key+名稱 | 名稱 (無鑰匙) |
|
安全性群組 (安全集團) |
DistinguishedName SID 物件指南 |
DistinguishedName SID 物件指南 |
|
| 信箱 | 信箱主要地址 DisplayName UPN ExternalDirectoryObjectId 風險等級 |
信箱主要地址 | |
| 實體類型 | 識別碼 | 強識別碼 | 弱識別碼 |
|
郵件叢集 (MailCluster) |
NetworkMessageIds 計數按交付狀態 CountByThreatType CountByProtectionStatus(計數保護狀態) 威脅 查詢 查詢時間 郵件計數 IsVolume 異常 來源 ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
查詢+來源 | |
|
郵件訊息 (郵件訊息) |
收件者 URL 威脅 寄件者 P1Sender * P1SenderDisplayName * P1SenderDomain * 發送者IP P2Sender * P2SenderDisplayName * P2SenderDomain * 收到日期 網路訊息ID InternetMessageId 主旨 BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * 反垃圾郵件指令 DeliveryAction 配送地點 語言 * 威脅偵測方法 * |
NetworkMessageId+收件人 | |
|
投稿郵件 (投稿郵件) |
網路訊息ID 時間戳記 收件者 寄件者 發送者Ip 主旨 報告類型 SubmissionId 提交日期 提交者 |
SubmissionId+NetworkMessageId+ 收件人+投稿者 |
|
| Sentinel 實體 | 實體 | 實體 |
表格註腳:
- * 這些識別碼出現在可用於實體映射的識別碼清單中,但嚴格來說它們不屬於實體結構的一部分。
- ** 這些識別碼僅在特定條件下被視為強。 請點擊星號連結,查看下方實體結構區塊中相關實體的清單中適用的條件。
- 斜體識別碼名稱 (無星號) 代表內部實體,這表示一種實體類型可以有其他實體類型作為屬性 (詳見下方實體結構章節) 。 點選識別碼的連結,可以看到該內部實體的架構。
- 結構中可能存在其他實體,該結構是一種通用架構,支援除 Microsoft Sentinel 外的多種功能。 本文僅列出 Microsoft Sentinel 中可用的實體。
實體類型結構
以下章節將更深入探討每種實體類型的完整架構。 你會注意到許多這些結構包含指向其他實體類型的連結。 例如,帳戶結構包含主機實體類型的連結,因為使用者帳戶的一個屬性就是它所定義的主機。 這些以屬性形式存在的實體稱為「內部實體」,無法用作實體映射的識別碼,但對於提供實體頁面及調查圖中實體的完整圖像非常有用。
注意事項
類型 欄位值 後面有問號表示該欄位可為 null。
實體類型結構列表
- Account
- Host
- IP
- 惡意程式碼
- 檔案
- 程序
- 雲端應用
- DNS 解析
- Azure resource
- 檔案雜湊
- 登錄機碼
- 登錄值
- 安全性群組
- URL
- 物聯網裝置
- 信箱
- 郵件叢集
- 郵件訊息
- 投稿郵件
- Sentinel 實體
帳戶
實體名稱:帳戶
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「帳號」 |
| 名稱 | 字串 | 帳戶名稱。 這個欄位應該只包含名稱,且不加任何網域。 |
| FullName | -- | 這不是 schema 的一部分,而是為了向下相容舊版實體映射而加入。 |
| NTDomain | 字串 | NETBIOS 網域名稱在警報格式中呈現為 domain\username。 範例: 財政部,北領地管理局 |
| DnsDomain | 字串 | 完全限定的網域 DNS 名稱。 範例: finance.contoso.com |
| UPNSuffix | 字串 | 帳戶的使用者主體名稱後綴。 在許多情況下,UPN 後綴同時也是網域名稱。 範例: contoso.com |
| Host | 實體 (主機) | 如果是本地帳號,則是包含該帳號的主機。 |
| 西德 | 字串 | 帳號的安全識別碼。 |
| 租戶身份 | Guid? | 如果知道的話,就是 Microsoft Entra 租戶 ID。 |
| AadUserID | Guid? | 如果知道的話,是 Microsoft Entra 帳號物件 ID。 |
| PUID | Guid? | 如果知道的話,就是 Microsoft Entra Passport 的使用者 ID。 |
| IsDomainJoined | Bool? | 顯示該帳號是否為網域帳號。 |
| DisplayName | -- | 這不是 schema 的一部分,而是為了向下相容舊版實體映射而加入。 |
| 物件指南 | Guid? | objectGUID 屬性是一個單一值屬性,是該物件的唯一識別碼,由 Active Directory 指派。 |
| CloudAppAccountId | 字串 | CloudApp 服務提供者的警示中 AccountID。 指的是第三方應用程式中其他 Microsoft 產品不支援的帳號 ID。 |
| 已匿名化 | Bool? | 顯示使用者名稱是否已匿名化。 選用。 預設值: false。 |
| 資料流 | Stream | 發現日誌的來源與特定帳號相關。 選用。 |
帳戶實體的強識別碼
- 名稱 + UPNSuffix
- AadUserID
-
西德
** 只要 帳號不是 下方 備註 中列出的內建帳號,此識別碼即為強力。 -
西德+主持人
** 當帳號是下方 註 解中列出的內建帳號之一時,必須啟用主機元件以使此識別碼成為強標識。 -
姓名 + NTDomain
** 當帳號為網域時,此組合是強識別碼,因為 NTDomain 非內建網域/工作群組,且與主機名稱不同。 在這種情況下,即使沒有 Host 元件,這也是強識別碼。 -
名稱 + NTDomain + 宿主
** Host 元件是建立強識別碼的必要條件,當帳號為本地帳號時,NTDomain 是內建的網域/工作群組。 - 名稱 + DnsDomain
- PUID
- 物件指南
帳戶實體的弱識別碼
- 名稱
注意事項
如果 帳戶 實體是以 名稱 識別碼定義,且特定實體的名稱值是以下常見且通用的帳戶名稱之一,那麼該實體將從警報中移除。
- 行政
- 行政官
- SYSTEM
- 根部
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- 本地系統
- NETWORK SERVICE
主機
實體名稱:主機
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「宿主」 |
| Ip介面 | List<實體 (IP) > | 主機上所有 IP 介面的清單。 |
| DnsDomain | 字串 | 這台主機所屬的 DNS 網域。 如果已知,應該包含該網域的完整 DNS 後綴。 |
| NTDomain | 字串 | 這個主機所屬的NT域。 |
| HostName | 字串 | 主機名稱,但沒有網域後綴。 |
| NetBiosName | 字串 | 主機名稱 (Windows 2000) 之前的名稱。 |
| IoTDevice | 物 聯網裝置 (實體) | 物聯網裝置實體 (該主機是否代表物聯網裝置) 。 |
| AzureID | 字串 | 如果知道的話,就是虛擬機的 Azure 資源 ID。 |
| OMSAgentID | 字串 | 如果主機安裝了 OMS 代理,則是 OMS 代理 ID。 |
| OSFamily | 列舉? | 下列其中一個值: |
| OS的 | 字串 | 作業系統的自由文字表示。 此欄位用以存放比 OSFamily 更細緻的特定版本,或是未來 OSFamily 列舉不支援的數值。 |
| IsDomainJoined | 布林值 | 表示該主機是否屬於某網域。 |
主機實體的強識別碼
- 主機名稱 + NTDomain
- 主機名稱 + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
宿主實體的弱識別碼
- HostName
- NetBiosName
IP
實體名稱:IP
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「ip」 |
| Address | 字串 | IP 位址作為字串 (IPv4 或 IPv6) 。 範例: 20.112.250.1332603:1030:b:3::152 |
| 位址範圍 | 字串 | 私有非全球 IP 位址的主機名稱、子網路或私人網路名稱。 全域 IP 位址的 Null 或 Empty (預設) 。 範例: /27255.255.255.128 |
| 位置 | 地理定位 | 附加於IP實體的地理定位上下文。 欲了解更多資訊,請參閱透過 REST API (公開預覽版) 以地理定位資料豐富 Microsoft Sentinel 實體。 |
| 資料流 | Stream | 發現日誌的來源與特定 IP 相關。 選用。 |
IP 實體的強識別碼
-
Address
當 IP 位址為全域位址時,位址識別碼本身即為唯一且強的識別碼。 -
位址 + 位址範圍
對於私有/內部、非全域 IP 位址,AddressScope 元件是必須的,以使此識別碼成為強識別碼。
IP 實體的弱識別碼
-
Address
當 IP 位址是私有/內部、非全域 IP 位址時,位址識別碼本身就是一個弱識別碼。
惡意程式碼
實體名稱:惡意軟體
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「惡意軟體」 |
| 名稱 | 字串 | 由 (偵測 ) 廠商所指派的惡意軟體名稱,例如 Win32/Toga!rfn。 |
| 類別 | 字串 | 例如, (偵測 ) 廠商所指定的惡意軟體類別。 特洛伊人。 |
| Files | 列表<實體 (檔案) > | 發現惡意軟體的連結檔案實體列表。 可包含內嵌或作為參考的檔案實體。 有關結構的更多細節,請參閱 檔案 實體。 |
| 程序 | 名單<實體 (流程) > | 發現惡意軟體的連結程序實體列表。 這通常用於警報觸發無檔案活動時。 有關結構的更多細節,請參閱 「流程 實體」。 |
惡意軟體實體的強識別碼
- 名稱 + 類別
檔案
實體名稱:檔案
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「檔案」 |
| Directory | 字串 | 完整路徑的檔案。 |
| 名稱 | 字串 | 有些警示 (檔名中沒有路徑,可能不包含路徑) 。 |
| AlternateDataStreamName | 字串 | NTFS 檔案系統中的檔案串流名稱 (主串流) 為空。 |
| Host | 實體 (主機) | 檔案所儲存的主機。 |
| HostUrl | 實體 (網址) | 檔案下載的網址 (網路印記) 。 |
| WindowsSecurityZoneType | WindowsSecurityZone | 該 URL 所屬的 Windows 安全性區域 (網路印記) 。 |
| 引用網址 | 實體 (網址) | 檔案下載HTTP請求的引用URL (網路印記) 。 |
| 大小在位元組 | 很長? | 檔案大小(位元組)。 |
| 檔案雜湊 | List<實體 (FileHash) > | 檔案雜湊值與此檔案相關聯。 |
檔案實體的強識別碼
- 姓名 + 目錄
- 名稱 + 檔案雜湊
- 名稱 + 目錄 + 檔案雜湊
程序
實體名稱:Process
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「過程」 |
| ProcessID | 字串 | 流程識別碼。 |
| CommandLine | 字串 | 用來建立這個程序的指令列。 |
| ElevationToken(高程代幣) | 列舉? | 與此過程相關的升高標記。 可能的數值: |
| 創世時間UTC | 約會時間? | 那是過程開始運作的時刻。 |
| 影像檔案 | 實體 (檔案) | 可以包含檔案實體,或作為參考。 有關結構的更多細節,請參閱 檔案 實體。 |
| Account | 實體 (帳戶) | 就是負責執行這些程序的帳號。 可包含帳戶實體作為參考。 有關結構的更多細節,請參閱 帳戶 實體。 |
| ParentProcess | 實體 (程序) | 母程序實體。 例如,可以包含部分資料,例如僅包含 PID。 |
| Host | 實體 (主機) | 程序正在運行的主機。 |
| 登入會話 | HostLogonSession (實體) | 就是流程正在進行的那個會話。 |
流程實體的強識別碼
- Host + ProcessID + CreationTimeUtc
- 主機 + ParentProcessID + CreationTimeUTC + CommandLine
- Host + ProcessID + CreationTimeUtc + ImageFile
- Host + ProcessID + CreationTimeUtc + ImageFile.FileHash
流程實體的弱識別碼
- ProcessID + CreationTimeUtc + CommandLine (,且沒有主機)
- ProcessID + CreationTimeUtc + ImageFile (且無主機)
雲端應用
實體名稱:CloudApplication
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「雲端應用」 |
| AppID | 臨界值 | 已棄用;請改用 SaasId 欄位。 應用程式的技術識別碼。 可能的值是雲端 應用程式識別碼清單中定義的值。 價值可選。 不應該包含 InstanceId。 |
| SaasId | 臨界值 | 取代已棄用的 AppId 欄位。 應用程式的技術識別碼。 可能的值是雲端 應用程式識別碼清單中定義的值。 價值可選。 不應該包含 InstanceId。 |
| 名稱 | 字串 | 相關雲端應用程式的名稱。 價值可選。 |
| 實例名稱 | 字串 | 雲端應用程式的使用者自訂實例名稱。 它常用於區分客戶擁有的多個同類型應用程式。 |
| 實例ID | 臨界值 | 應用程式特定會話的識別碼。 這是一個以零為基礎的運行數。 價值可選。 |
| 風險 | AppRisk? | 讓你依風險分數篩選應用程式,例如只審查高風險應用程式。 可能的數值是低、中、高或未知。 |
| 資料流 | Stream | 發現日誌的來源是針對特定雲端應用程式的。 選用。 |
雲端應用實體的強識別碼
- AppId (沒有 InstanceName)
- 名稱 (但沒有 InstanceName)
- AppId + InstanceName
- 名稱 + 實例名稱
DNS 解析
實體名稱:DNS
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「DNS」 |
| DomainName | 字串 | 與警示相關的 DNS 紀錄名稱。 |
| Ip位址 | List<實體 (IP) > | 對應已解析 IP 位址的實體。 |
| DNSServerIp | 實體 (IP) | 代表 DNS 伺服器的實體正在解析請求。 |
| HostIp 位址 | 實體 (IP) | 一個代表 DNS 請求客戶端的實體。 |
DNS 實體的強識別碼
- 網域名稱 + dnsServerIp + HostIpAddress
DNS 實體的弱識別碼
- 網域名稱 + HostIp 位址
Azure resource
實體名稱:AzureResource
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 'azure-resource' |
| 資源識別 | 字串 | 資源的 Azure 資源 ID。 必須。 |
| SubscriptionId | 字串 | 資源的訂閱 ID。 |
| ActiveContacts | 名單<ActiveContact> | 與資源相關的活躍聯絡人。 |
| ResourceType | 字串 | 資源的類型。 |
| ResourceName | 字串 | 資源的名稱。 |
Azure 資源實體的強識別碼
- 資源識別
檔案雜湊
實體名稱:FileHash
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「Filehash」 |
| 演算法 | Enum | 雜湊演算法類型。 必須。 可能的數值: |
| 值 | 字串 | 雜湊值。 必須。 |
檔案雜湊實體的強識別碼
- 演算法 + 價值
登錄機碼
實體名稱:RegistryKey
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「登錄檔金鑰」 |
| Hive | 列舉? | 下列其中一個值: |
| 機碼 | 字串 | 登錄檔金鑰路徑。 |
註冊金鑰實體的強識別碼
- 蜂巢+鑰匙
登錄值
實體名稱:RegistryValue
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「登錄值」 |
| Host | 實體 (主機) | 登錄所屬的主機。 |
| 機碼 | RegistryKey (實體) | 註冊金鑰實體。 |
| 名稱 | 字串 | 登錄檔值名稱。 |
| 值 | 字串 | 以字串格式表示值資料。 |
| 價值類型 | 列舉? | 下列其中一個值: 值應該符合 Microsoft.Win32.RegistryValueKind 的枚舉方式。 |
註冊價值實體的強識別碼
- 金鑰 +名稱
登記處價值實體的弱識別碼
- 名稱 (但沒有)
安全性群組
實體名稱:SecurityGroup
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「安全小組」 |
| DistinguishedName | 字串 | 該團體享有盛名。 |
| SID | 字串 | 一個單一值屬性,用來指定群組 SID) (安全識別碼。 |
| 物件指南 | Guid? | 一個單一值屬性,是物件的唯一識別碼,由 Active Directory 指派。 |
安全群組實體的強識別碼
- DistinguishedName
- SID
- 物件指南
URL
實體名稱:網址
| 欄位 | 類型 | 描述 |
|---|---|---|
| 類型 | 字串 | 「網址」 |
| URL | Uri | 實體指向的完整網址。 必須。 |
URL 實體的強識別碼
- 網址 (** 當 URL 為絕對 URL 時,此識別碼為強標識 )
URL 實體的弱識別碼
- URL (** 當 URL 為相對 URL 時,此識別碼較弱 )
物聯網裝置
實體名稱:IoTDevice
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「IoT裝置」 |
| 冰凍 | Entity (AzureResource) | 代表該裝置所屬的 IoT 中樞的 AzureResource 實體。 |
| DeviceId | 字串 | 裝置在 IoT 中樞的 ID 中。 必須。 |
| DeviceName | 字串 | 這個裝置的親切名稱。 |
| 擁有者 | 列表<字串> | 裝置的擁有者。 |
| IoTSecurityAgentId | Guid? | 裝置上運行的 Defender for IoT 代理的 ID。 |
| 裝置類型 | 字串 | 裝置的類型 ( 溫度感測器」、「冷凍庫」、「風力發電機」等 ) 。 |
| 裝置類型識別 | 字串 | 一個獨特的 ID,用來根據裝置類型結構識別每個裝置類型,因為該裝置類型本身是顯示名稱,且在比較時並不可靠。 可能的數值: 未分類 = 0 雜項 = 1 網路裝置 = 2 印表機 = 3 音訊與影像 = 4 媒體與監控 = 5 溝通 = 7 智慧家電 = 9 工作站 = 10 伺服器 = 11 Mobile = 12 智慧設施 = 13 工業 = 14 作戰設備 = 15 |
| Source | 字串 | 來源 (裝置實體的Microsoft/廠商) 。 |
| 資料來源參考 | 實體 (網址) | 一個指向裝置管理來源項目的 URL 參考。 |
| 製造商 | 字串 | 裝置製造商。 |
| Model | 字串 | 裝置的型號。 |
| OperatingSystem | 字串 | 裝置所運行的作業系統。 |
| Ip位址 | 實體 (IP) | 裝置目前的 IP 位址。 |
| MacAddress | 字串 | 裝置的 MAC 位址。 |
| Nic | Nic) (實體 | 裝置目前的網卡。 |
| 通訊協定 | 列表<字串> | 裝置支援的協定清單。 |
| SerialNumber | 字串 | 裝置的序號。 |
| Site | 字串 | 裝置的位置。 |
| Zone | 字串 | 裝置在站點內的位置。 |
| 感測器 | 字串 | 監控裝置的感測器。 |
| Importance | 列舉? | 下列其中一個值: |
| 普渡萊爾 | 字串 | 裝置的 Purdue 層。 |
| IsProgramming | Bool? | 表示該裝置是否被歸類為程式設計裝置。 |
| 已授權 | Bool? | 表示該裝置是否被歸類為授權裝置。 |
| Is掃描器 | Bool? | 表示該裝置是否被歸類為掃描器裝置。 |
| 裝置頁面連結 | 實體 (網址) | Defender for IoT 入口網站中裝置頁面的網址。 |
| 裝置子類型 | 字串 | 裝置子類型的名稱。 |
物聯網裝置實體的強識別碼
- IoTHub + DeviceId
物聯網裝置實體的弱識別碼
- DeviceID (沒有 IoTHub)
信箱
實體名稱:Mailbox
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「信箱」 |
| 信箱主要地址 | 字串 | 信箱的主要地址。 |
| DisplayName | 字串 | 信箱的顯示名稱。 |
| UPN | 字串 | 信箱是UPN。 |
| AadId | 字串 | 信箱的使用者 Azure AD 識別碼。 |
| 風險等級 | 風險等級 (整數) | 這個信箱的風險等級。 可能的數值: |
| ExternalDirectoryObjectId | Guid? | 信箱的 AzureAD 識別碼。 類似於帳戶實體中的 AadUserId,但這個屬性是專屬於 Office 端的 mailbox 物件。 |
郵箱實體的強識別碼
- 信箱主要地址
郵件叢集
實體名稱:MailCluster
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「郵件叢集」 |
| NetworkMessageIds | IList<弦> | 郵件群組中的郵件訊息 ID。 |
| 計數按交付狀態 | IDictionary<String,Int> | 以 DeliveryStatus 字串表示方式計數郵件訊息。 |
| CountByThreatType | IDictionary<String,Int> | 以 ThreatType 字串表示方式計算郵件訊息數量。 |
| CountByProtectionStatus(計數保護狀態) | IDictionary<String,長> | 依保護狀態字串表示方式計數郵件訊息。 |
| CountByDelivery地點 | IDictionary<String,長> | 郵件訊息數量依投遞地點字串表示法計算。 |
| 威脅 | IList<弦> | 郵件群組中的郵件威脅。 |
| Query | 字串 | 用來識別郵件叢集訊息的查詢。 |
| 查詢時間 | 約會時間? | 查詢時間。 |
| 郵件計數 | 智力? | 郵件群組中包含的郵件訊息數量。 |
| IsVolume 異常 | Bool? | 指示郵件叢集是否為磁碟異常郵件叢集。 |
| Source | 字串 | 郵件叢集的來源 (預設是 O365 ATP) 。 |
郵件叢集實體的強識別碼
- 查詢 + 來源
郵件訊息
實體名稱:MailMessage
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「郵件訊息」 |
| Files | IList<實體 (檔案) > | 此郵件附件的檔案實體。 |
| 收件者 | 字串 | 此郵件收件人。 若有多個收件人,郵件訊息會被複製,且每個副本有一個收件人。 |
| Urls | IList<弦> | 這封郵件中包含的網址。 |
| 威脅 | IList<弦> | 這封郵件中包含的威脅。 |
| Sender | 字串 | 寄件人的電子郵件地址。 |
| 發送者IP | 字串 | 寄件人的 IP 位址。 |
| 收到日期 | DateTime | 此訊息的接收日期。 |
| 網路訊息ID | Guid? | 這封郵件的網路訊息 ID。 |
| InternetMessageId | 字串 | 這封郵件的網路訊息 ID。 |
| 主旨 | 字串 | 這封郵件的主題。 |
| 反垃圾郵件指令 | 列舉? | 這封郵件的方向性。 可能的數值: |
| DeliveryAction | 列舉? | 這封郵件的投遞動作。 可能的數值: |
| 配送地點 | 列舉? | 這封郵件的投遞地點。 可能的數值: |
| CampaignID | 字串 | 此郵件所屬競選活動的識別碼。 |
| 可疑收件人 | IList<弦> | 被發現可疑的收件人名單。 |
| 轉寄收件人 | IList<弦> | 轉寄郵件中所有收件人的名單。 |
| 轉發類型 | IList<弦> | 郵件的轉寄類型,例如 SMTP、ETR 等。 |
郵件訊息實體的強識別碼
- NetworkMessageID + 收件人
投稿郵件
實體名稱:SubmissionMail
| 欄位 | 類型 | 描述 |
|---|---|---|
| Type | 字串 | 「投稿郵件」 |
| SubmissionId | Guid? | 提交編號。 |
| 提交日期 | 約會時間? | 本投稿的報告日期時間。 |
| 提交者 | 字串 | 投稿者的電子郵件地址。 |
| 網路訊息ID | Guid? | 提交所屬電子郵件的網路訊息 ID。 |
| 時間戳記 | 約會時間? | 郵件收到時的時間戳記 (郵件) 。 |
| 收件者 | 字串 | 收件人。 |
| Sender | 字串 | 寄信人。 |
| 發送者Ip | 字串 | 發送者的 IP。 |
| 主旨 | 字串 | 投稿郵件的主題。 |
| 報告類型 | 字串 | 該實例的提交類型。 可能的值包括 Junk、Phish、Malware 或 NotJunk。 |
SubmissionMail 實體的強識別碼
- SubmissionId、提交者、NetworkMessageId、收件人
Sentinel 實體
| 欄位 | 類型 | 描述 |
|---|---|---|
| Entities | 字串 | 警示中識別的實體列表。 此清單是 SecurityAlert 架構中的 實體 欄位, (請參閱文件) 。 |
雲端應用程式識別碼
以下列表定義了已知雲端應用的識別碼。 App ID 值被用作 雲端應用程式 實體識別碼。
| 應用程式識別碼 | 名稱 |
|---|---|
| 10026 | DocuSign |
| 10395 | 安納普蘭 |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive 軟體 |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | 成功因素 |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | 真人 |
| 13979 | 同意 |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | 亞馬遜 |
| 17865 | 阿里巴公司 |
| 18432 | Zscaler |
| 19688 | 沒錯 |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion 生命週期 |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft 商務用 Skype |
| 25988 | Google 文件 |
| 26055 | Microsoft 365 系統管理中心 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint 線上版 |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft 表單 |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Facebook 上的職場 |
| 28373 | CAS 代理模擬器 |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | 高Q |
| 35395 | Microsoft Dynamics Talent |
後續步驟
在這份文件中,你了解了 Microsoft Sentinel 中的實體結構、識別碼與結構。