Referenz zu Microsoft Sentinel-Automatisierungsregeln
Dieser Artikel enthält Referenzinformationen zur Konfiguration von Automatisierungsregeln und den unterstützten Bedingungen und Eigenschaften.
Weitere Informationen zu Automatisierungsregeln finden Sie unter Automatisieren der Bedrohungsreaktion in Microsoft Sentinel mit Automatisierungsregeln.
Anweisungen zum Erstellen, Verwalten und Verwenden von Automatisierungsregeln finden Sie unter Erstellen und Verwenden von Microsoft Sentinel-Automatisierungsregeln zum Verwalten der Antwort.
Unterstützte Entitätseigenschaften
Die folgenden Entitäten und Entitätseigenschaften können als Bedingungen für Automatisierungsregeln verwendet werden:
Diese Tabelle zeigt die Entitätseigenschaften, die in der Automatisierungsregeln-API unterstützt werden. Dies sind die Entitätseigenschaften, deren Werte Sie als Bedingungen für das Auslösen einer Automatisierungsregel festlegen können.
Die vollständige Liste der unterstützten Eigenschaften, die Vorfalleigenschaften enthalten, finden Sie in der Dokumentation zur Automatisierungsregeln-API unter "Automatisierungsregeleigenschaften".
Name (in API) | Typ | Beschreibung |
---|---|---|
AccountAadTenantId | Zeichenfolge | Die Microsoft Entra ID-Mandanten-ID des Kontos |
AccountAadUserId | Zeichenfolge | Die Microsoft Entra ID-Benutzer-ID des Kontos |
AccountName | Zeichenfolge | Der Kontoname |
AccountNTDomain | Zeichenfolge | Der NetBIOS-Domänenname des Kontos |
AccountPUID | Zeichenfolge | Das Konto Microsoft Entra ID Passport-Benutzer-ID |
AccountSid | Zeichenfolge | Der Kontosicherheitsbezeichner |
AccountObjectGuid | Zeichenfolge | Der eindeutige Bezeichner des Kontoobjekts |
AccountUPNSuffix | Zeichenfolge | Das Kontobenutzerprinzipalnamensuffix |
AzureResourceResourceId | Zeichenfolge | Die Azure-Ressourcen-ID |
AzureResourceSubscriptionId | Zeichenfolge | Die Azure-Ressourcenabonnement-ID |
CloudApplicationAppId | Zeichenfolge | Der Bezeichner der Cloudanwendung |
CloudApplicationAppName | Zeichenfolge | Der Name der Cloudanwendung |
DNSDomainName | Zeichenfolge | Der Dns-Eintragsdomänenname |
FileDirectory | Zeichenfolge | Der vollständige Pfad des Dateiverzeichnisses |
FileName | Zeichenfolge | Der Dateiname ohne Pfad |
FileHashValue | Zeichenfolge | Der Dateihashwert |
HostAzureID | Zeichenfolge | Die Azure-Hostressourcen-ID |
HostName | Zeichenfolge | Der Hostname ohne Domäne |
HostNetBiosName | Zeichenfolge | Der NetBIOS-Hostname |
HostNTDomain | Zeichenfolge | Die NT-Hostdomäne |
HostOSVersion | Zeichenfolge | Das Hostbetriebssystem |
IoTDeviceId | Zeichenfolge | Die IoT-Geräte-ID |
IoTDeviceName | Zeichenfolge | Der IoT-Gerätename |
IoTDeviceType | Zeichenfolge | Der IoT-Gerätetyp |
IoTDeviceVendor | Zeichenfolge | Der Anbieter von IoT-Geräten |
IoTDeviceModel | Zeichenfolge | Das IoT-Gerätemodell |
IoTDeviceOperatingSystem | Zeichenfolge | Das IoT-Gerätebetriebssystem |
IP-Adresse | Zeichenfolge | Die IP-Adresse |
MailboxDisplayName | Zeichenfolge | Der Anzeigename des Postfachs |
MailboxPrimaryAddress | Zeichenfolge | Primäre Postfachadresse |
MailboxUPN | Zeichenfolge | Der Benutzerprinzipalname des Postfachs |
MailMessageDeliveryAction | Zeichenfolge | Die E-Mail-Nachrichtenübermittlungsaktion |
MailMessageDeliveryLocation | Zeichenfolge | Speicherort der Nachrichtenübermittlung |
MailMessageRecipient | Zeichenfolge | Der E-Mail-Nachrichtenempfänger |
MailMessageSenderIP | Zeichenfolge | Die IP-Adresse des Absenders der E-Mail-Nachricht |
MailMessageSubject | Zeichenfolge | Der Betreff der E-Mail-Nachricht |
MailMessageP1Sender | Zeichenfolge | Die E-Mail-Nachricht P1-Absender (delegierter Absender) |
MailMessageP2Sender | Zeichenfolge | Die E-Mail-Nachricht P2-Absender (ursprünglicher Absender) |
MalwareCategory | Zeichenfolge | Die Kategorie "Schadsoftware" |
MalwareName | Zeichenfolge | Der Name der Schadsoftware |
ProcessCommandLine | Zeichenfolge | Befehlszeile für die Prozessausführung |
ProcessId | Zeichenfolge | Die Prozess-ID |
RegistryKey | Zeichenfolge | Der Registrierungsschlüsselpfad |
RegistryValueData | Zeichenfolge | Der Registrierungsschlüsselwert in einer formatierten Zeichenfolgendarstellung |
url | Zeichenfolge | Die URL |