Referenz zu Microsoft Sentinel-Automatisierungsregeln

Dieser Artikel enthält Referenzinformationen zur Konfiguration von Automatisierungsregeln und den unterstützten Bedingungen und Eigenschaften.

Weitere Informationen zu Automatisierungsregeln finden Sie unter Automatisieren der Bedrohungsreaktion in Microsoft Sentinel mit Automatisierungsregeln.

Anweisungen zum Erstellen, Verwalten und Verwenden von Automatisierungsregeln finden Sie unter Erstellen und Verwenden von Microsoft Sentinel-Automatisierungsregeln zum Verwalten der Antwort.

Unterstützte Entitätseigenschaften

Die folgenden Entitäten und Entitätseigenschaften können als Bedingungen für Automatisierungsregeln verwendet werden:

Beschreibungen der Eigenschaften

Diese Tabelle zeigt die Entitätseigenschaften, die in der Automatisierungsregeln-API unterstützt werden. Dies sind die Entitätseigenschaften, deren Werte Sie als Bedingungen für das Auslösen einer Automatisierungsregel festlegen können.

Die vollständige Liste der unterstützten Eigenschaften, die Vorfalleigenschaften enthalten, finden Sie in der Dokumentation zur Automatisierungsregeln-API unter "Automatisierungsregeleigenschaften".

Name (in API)	Typ	Beschreibung
AccountAadTenantId	Zeichenfolge	Die Microsoft Entra ID-Mandanten-ID des Kontos
AccountAadUserId	Zeichenfolge	Die Microsoft Entra ID-Benutzer-ID des Kontos
AccountName	Zeichenfolge	Der Kontoname
AccountNTDomain	Zeichenfolge	Der NetBIOS-Domänenname des Kontos
AccountPUID	Zeichenfolge	Das Konto Microsoft Entra ID Passport-Benutzer-ID
AccountSid	Zeichenfolge	Der Kontosicherheitsbezeichner
AccountObjectGuid	Zeichenfolge	Der eindeutige Bezeichner des Kontoobjekts
AccountUPNSuffix	Zeichenfolge	Das Kontobenutzerprinzipalnamensuffix
AzureResourceResourceId	Zeichenfolge	Die Azure-Ressourcen-ID
AzureResourceSubscriptionId	Zeichenfolge	Die Azure-Ressourcenabonnement-ID
CloudApplicationAppId	Zeichenfolge	Der Bezeichner der Cloudanwendung
CloudApplicationAppName	Zeichenfolge	Der Name der Cloudanwendung
DNSDomainName	Zeichenfolge	Der Dns-Eintragsdomänenname
FileDirectory	Zeichenfolge	Der vollständige Pfad des Dateiverzeichnisses
FileName	Zeichenfolge	Der Dateiname ohne Pfad
FileHashValue	Zeichenfolge	Der Dateihashwert
HostAzureID	Zeichenfolge	Die Azure-Hostressourcen-ID
HostName	Zeichenfolge	Der Hostname ohne Domäne
HostNetBiosName	Zeichenfolge	Der NetBIOS-Hostname
HostNTDomain	Zeichenfolge	Die NT-Hostdomäne
HostOSVersion	Zeichenfolge	Das Hostbetriebssystem
IoTDeviceId	Zeichenfolge	Die IoT-Geräte-ID
IoTDeviceName	Zeichenfolge	Der IoT-Gerätename
IoTDeviceType	Zeichenfolge	Der IoT-Gerätetyp
IoTDeviceVendor	Zeichenfolge	Der Anbieter von IoT-Geräten
IoTDeviceModel	Zeichenfolge	Das IoT-Gerätemodell
IoTDeviceOperatingSystem	Zeichenfolge	Das IoT-Gerätebetriebssystem
IP-Adresse	Zeichenfolge	Die IP-Adresse
MailboxDisplayName	Zeichenfolge	Der Anzeigename des Postfachs
MailboxPrimaryAddress	Zeichenfolge	Primäre Postfachadresse
MailboxUPN	Zeichenfolge	Der Benutzerprinzipalname des Postfachs
MailMessageDeliveryAction	Zeichenfolge	Die E-Mail-Nachrichtenübermittlungsaktion
MailMessageDeliveryLocation	Zeichenfolge	Speicherort der Nachrichtenübermittlung
MailMessageRecipient	Zeichenfolge	Der E-Mail-Nachrichtenempfänger
MailMessageSenderIP	Zeichenfolge	Die IP-Adresse des Absenders der E-Mail-Nachricht
MailMessageSubject	Zeichenfolge	Der Betreff der E-Mail-Nachricht
MailMessageP1Sender	Zeichenfolge	Die E-Mail-Nachricht P1-Absender (delegierter Absender)
MailMessageP2Sender	Zeichenfolge	Die E-Mail-Nachricht P2-Absender (ursprünglicher Absender)
MalwareCategory	Zeichenfolge	Die Kategorie "Schadsoftware"
MalwareName	Zeichenfolge	Der Name der Schadsoftware
ProcessCommandLine	Zeichenfolge	Befehlszeile für die Prozessausführung
ProcessId	Zeichenfolge	Die Prozess-ID
RegistryKey	Zeichenfolge	Der Registrierungsschlüsselpfad
RegistryValueData	Zeichenfolge	Der Registrierungsschlüsselwert in einer formatierten Zeichenfolgendarstellung
url	Zeichenfolge	Die URL

Zuordnung zu Entitäten

Diese Tabelle zeigt, wie die unterstützten Entitätseigenschaften in der Automatisierungsregeln-API im Dropdownmenü "Bedingung" im Assistenten zum Erstellen von Automatisierungsregeln angezeigt werden. Außerdem wird gezeigt, wie diese Eigenschaften Entitäten und ihren Bezeichnern zugeordnet werden, wie in Microsoft Sentinel-Sicherheitswarnungen definiert.

Name in API	Name in der Dropdownliste der Benutzeroberfläche	Entität: Bezeichner im V3-Warnungsschema
AccountAadTenantId	Kontomandanten-ID	Konto: AadTenantId
AccountAadUserId	Konto-AAD-Benutzer-ID	Konto: AadUserId
AccountName	Kontoname	Kontoname:
AccountNTDomain	Konto NT-Domäne	Konto: NTDomain
AccountPUID	Konto-PUID	Konto: PUID
AccountSid	Konto-SID	Konto: Sid
AccountObjectGuid	Kontoobjekt-ID	Konto: ObjectGuid
AccountUPNSuffix	Konto-UPN-Suffix	Konto: UPNSuffix
AzureResourceResourceId	Azure-Ressourcen-ID	AzureResource: ResourceId
AzureResourceSubscriptionId	Azure-Ressourcenabonnement-ID	AzureResource: SubscriptionId
CloudApplicationAppId	Cloudanwendungs-ID	CloudApplication: AppId
CloudApplicationAppName	Name der Cloudanwendung	CloudApplication: Name
DNSDomainName	DNS-Domänenname	DNS: DomainName
FileDirectory	Dateiverzeichnis	Datei: Verzeichnis
FileName	Dateiname	Dateiname:
FileHashValue	Dateihash	FileHash: Value
HostAzureID	Host Azure ID	Host: AzureID
HostName	Hostname	Host: HostName
HostNetBiosName	NetBIOS-Hostname	Host: NetBiosName
HostNTDomain	NT-Hostdomäne	Host: NTDomain
HostOSVersion	Betriebssystem des Hosts	Host: OSVersion
IoTDeviceId	IoT-Geräte-ID	IoTDevice: DeviceId
IoTDeviceName	IoT-Gerätename	IoTDevice: DeviceName
IoTDeviceType	IoT-Gerätetyp	IoTDevice: DeviceType
IoTDeviceVendor	IoT-Geräteanbieter	IoTDevice: Hersteller
IoTDeviceModel	IoT-Gerätemodell	IoTDevice: Modell
IoTDeviceOperatingSystem	IoT-Gerätebetriebssystem	IoTDevice: OperatingSystem
IP-Adresse	IP-Adresse	IP-Adresse:
MailboxDisplayName	Anzeigename des Postfachs	Postfach: DisplayName
MailboxPrimaryAddress	Primäre Postfachadresse	Postfach: MailboxPrimaryAddress
MailboxUPN	Postfach-UPN	Postfach: Upn
MailMessageDeliveryAction	E-Mail-Nachrichtenübermittlungsaktion	MailMessage: DeliveryAction
MailMessageDeliveryLocation	E-Mail-Nachrichtenübermittlungsort	MailMessage: DeliveryLocation
MailMessageRecipient	E-Mail-Nachrichtenempfänger	MailMessage: Empfänger
MailMessageSenderIP	E-Mail-Absender-IP	MailMessage: SenderIP
MailMessageSubject	Betreff der E-Mail-Nachricht	MailMessage: Betreff
MailMessageP1Sender	E-Mail-Nachricht P1-Absender	MailMessage: P1Sender
MailMessageP2Sender	E-Mail-Nachricht P2-Absender	MailMessage: P2Sender
MalwareCategory	Kategorie "Schadsoftware"	Schadsoftware: Kategorie
MalwareName	Malware name	Schadsoftware: Name
ProcessCommandLine	Befehlszeile "Prozess"	Prozess: CommandLine
ProcessId	Prozess-ID	Prozess: ProcessId
RegistryKey	Registrierungsschlüssel	RegistryKey: Schlüssel
RegistryValueData	Registrierungswert	RegistryValue: Value
url	url	Url: Url