Freigeben über


Referenz zu Microsoft Sentinel-Automatisierungsregeln

Dieser Artikel enthält Referenzinformationen zur Konfiguration von Automatisierungsregeln und den unterstützten Bedingungen und Eigenschaften.

Weitere Informationen zu Automatisierungsregeln finden Sie unter Automatisieren der Bedrohungsreaktion in Microsoft Sentinel mit Automatisierungsregeln.

Anweisungen zum Erstellen, Verwalten und Verwenden von Automatisierungsregeln finden Sie unter Erstellen und Verwenden von Microsoft Sentinel-Automatisierungsregeln zum Verwalten der Antwort.

Unterstützte Entitätseigenschaften

Die folgenden Entitäten und Entitätseigenschaften können als Bedingungen für Automatisierungsregeln verwendet werden:

Diese Tabelle zeigt die Entitätseigenschaften, die in der Automatisierungsregeln-API unterstützt werden. Dies sind die Entitätseigenschaften, deren Werte Sie als Bedingungen für das Auslösen einer Automatisierungsregel festlegen können.

Die vollständige Liste der unterstützten Eigenschaften, die Vorfalleigenschaften enthalten, finden Sie in der Dokumentation zur Automatisierungsregeln-API unter "Automatisierungsregeleigenschaften".

Name (in API) Typ Beschreibung
AccountAadTenantId Zeichenfolge Die Microsoft Entra ID-Mandanten-ID des Kontos
AccountAadUserId Zeichenfolge Die Microsoft Entra ID-Benutzer-ID des Kontos
AccountName Zeichenfolge Der Kontoname
AccountNTDomain Zeichenfolge Der NetBIOS-Domänenname des Kontos
AccountPUID Zeichenfolge Das Konto Microsoft Entra ID Passport-Benutzer-ID
AccountSid Zeichenfolge Der Kontosicherheitsbezeichner
AccountObjectGuid Zeichenfolge Der eindeutige Bezeichner des Kontoobjekts
AccountUPNSuffix Zeichenfolge Das Kontobenutzerprinzipalnamensuffix
AzureResourceResourceId Zeichenfolge Die Azure-Ressourcen-ID
AzureResourceSubscriptionId Zeichenfolge Die Azure-Ressourcenabonnement-ID
CloudApplicationAppId Zeichenfolge Der Bezeichner der Cloudanwendung
CloudApplicationAppName Zeichenfolge Der Name der Cloudanwendung
DNSDomainName Zeichenfolge Der Dns-Eintragsdomänenname
FileDirectory Zeichenfolge Der vollständige Pfad des Dateiverzeichnisses
FileName Zeichenfolge Der Dateiname ohne Pfad
FileHashValue Zeichenfolge Der Dateihashwert
HostAzureID Zeichenfolge Die Azure-Hostressourcen-ID
HostName Zeichenfolge Der Hostname ohne Domäne
HostNetBiosName Zeichenfolge Der NetBIOS-Hostname
HostNTDomain Zeichenfolge Die NT-Hostdomäne
HostOSVersion Zeichenfolge Das Hostbetriebssystem
IoTDeviceId Zeichenfolge Die IoT-Geräte-ID
IoTDeviceName Zeichenfolge Der IoT-Gerätename
IoTDeviceType Zeichenfolge Der IoT-Gerätetyp
IoTDeviceVendor Zeichenfolge Der Anbieter von IoT-Geräten
IoTDeviceModel Zeichenfolge Das IoT-Gerätemodell
IoTDeviceOperatingSystem Zeichenfolge Das IoT-Gerätebetriebssystem
IP-Adresse Zeichenfolge Die IP-Adresse
MailboxDisplayName Zeichenfolge Der Anzeigename des Postfachs
MailboxPrimaryAddress Zeichenfolge Primäre Postfachadresse
MailboxUPN Zeichenfolge Der Benutzerprinzipalname des Postfachs
MailMessageDeliveryAction Zeichenfolge Die E-Mail-Nachrichtenübermittlungsaktion
MailMessageDeliveryLocation Zeichenfolge Speicherort der Nachrichtenübermittlung
MailMessageRecipient Zeichenfolge Der E-Mail-Nachrichtenempfänger
MailMessageSenderIP Zeichenfolge Die IP-Adresse des Absenders der E-Mail-Nachricht
MailMessageSubject Zeichenfolge Der Betreff der E-Mail-Nachricht
MailMessageP1Sender Zeichenfolge Die E-Mail-Nachricht P1-Absender (delegierter Absender)
MailMessageP2Sender Zeichenfolge Die E-Mail-Nachricht P2-Absender (ursprünglicher Absender)
MalwareCategory Zeichenfolge Die Kategorie "Schadsoftware"
MalwareName Zeichenfolge Der Name der Schadsoftware
ProcessCommandLine Zeichenfolge Befehlszeile für die Prozessausführung
ProcessId Zeichenfolge Die Prozess-ID
RegistryKey Zeichenfolge Der Registrierungsschlüsselpfad
RegistryValueData Zeichenfolge Der Registrierungsschlüsselwert in einer formatierten Zeichenfolgendarstellung
url Zeichenfolge Die URL