Referencia de los tipos de entidad de Microsoft Sentinel
Este documento contiene dos conjuntos de información sobre entidades y tipos de entidad en Microsoft Sentinel en Azure Portal y Microsoft Sentinel en el portal de Defender.
- La tabla Entity types and identifiers (Tipos de entidad e identificadores) muestra los diferentes tipos de entidades que se pueden identificar en alertas e incidentes, lo que le permite realizar un seguimiento e investigarlos. La tabla también muestra, para cada tipo de entidad, los distintos identificadores que se pueden usar para identificar una entidad.
- En la sección Esquema de entidad se muestran la estructura de datos y el esquema de las entidades en general y para cada tipo de entidad en particular.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener una versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin XDR de Microsoft Defender ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Tipos de entidad e identificadores
En la tabla siguiente se muestran los tipos de entidad que Microsoft Sentinel puede reconocer y los atributos que se pueden usar como identificadores para cada tipo de entidad.
Microsoft Sentinel reconoce entidades en alertas e incidentes creados por la asignación de entidades en reglas de análisis. También reconoce las entidades ya identificadas en las alertas ingeridas de otros orígenes.
Actualmente puede usar hasta tres identificadores para una entidad determinada al crear una asignación de entidades en Microsoft Sentinel. Solo los identificadores seguros son suficientes para identificar de forma única una entidad, mientras que los identificadores no seguros solo pueden hacerlo en combinación con otros identificadores. Obtenga más información sobre los identificadores seguros y no seguros. La mayoría de los identificadores de esta tabla se pueden usar, pero no todos, al crear asignaciones de entidades en Microsoft Sentinel (consulte notas al pie de página).
Tipo de entidad | Identificadores | Identificadores seguros | Identificadores no seguros |
---|---|---|---|
Cuenta | Nombre FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AadUserId Sid ** Sid+Host ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Nombre |
Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
IP | Dirección AddressScope |
Address ** Address+AddressScope ** |
|
URL | Dirección URL | Dirección URL (si la dirección URL absoluta) ** | Dirección URL (si la dirección URL relativa) ** |
Recurso de Azure (AzureResource) |
ResourceId | ResourceId | |
Aplicación en la nube (CloudApplication) |
AppId Nombre InstanceName |
AppId Nombre AppId+InstanceName Name+InstanceName |
|
Resolución DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
Archivo | Directorio Nombre |
Directory+Name | |
Hash de archivo (FileHash) |
Algoritmo Value |
Algorithm+Value | |
Malware | Nombre Categoría |
Name+Category | |
Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (sin host) ProcessId+CreationTimeUtc+ ImageFile (sin host) |
Clave del Registro (RegistryKey) |
Hive Clave |
Hive+Key | |
Valor del Registro (RegistryValue) |
NOMBRE Valor ValueType |
Key+Name | Name (sin Key) |
Grupo de seguridad (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
Clúster de correo (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Amenazas Consultar QueryTime MailCount IsVolumeAnomaly Origen ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
Mensaje de correo (MailMessage) |
Recipient Direcciones URL Amenazas Remitente P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Asunto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Language * ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
Correo de envío (SubmissionMail) |
NetworkMessageId Timestamp Recipient Remitente SenderIp Asunto ReportType SubmissionId SubmissionDate Remitente |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
Entidades de Sentinel | Entidades | Entidades |
Notas al pie de tabla:
- * Estos identificadores aparecen en la lista de identificadores que se pueden usar en la asignación de entidades, pero estrictamente hablando, no forman parte del esquema de la entidad.
- ** Estos identificadores solo se consideran seguros en determinadas condiciones. Siga los vínculos de los asteriscos para ver las condiciones que aplican en la lista de la entidad pertinente en la sección esquemas de entidad más adelante.
- Los nombres de identificador en cursiva (sin asterisco) representan entidades internas, lo que significa que un tipo de entidad puede tener otros tipos de entidad como atributos (consulte la sección esquemas de entidad a continuación). Siga el vínculo del identificador para ver el propio esquema de la entidad interna.
Esquemas de tipo de entidad
La siguiente sección contiene una vista más detallada de los esquemas completos de cada tipo de entidad. Observará que muchos de estos esquemas incluyen vínculos a otros tipos de entidad. Por ejemplo, el esquema de cuenta incluye un vínculo al tipo de entidad Host, ya que un atributo de una cuenta de usuario es el host en el que se define. Estas entidades como atributos se conocen como "entidades internas" y no se pueden usar como identificadores para la asignación de entidades, aunque son muy útiles para proporcionar una imagen completa de las entidades en las páginas de entidad y el gráfico de investigación.
Nota:
Un signo de interrogación después del valor de la columna Tipo indica que el campo admite un valor NULL.
Lista de esquemas de tipo de entidad
- Cuenta
- Host
- IP
- Malware
- Archivo
- Process
- Aplicación en la nube
- Resolución DNS
- Recurso de Azure
- Hash de archivo
- Clave del Registro
- Valor del Registro
- Grupo de seguridad
- URL
- Dispositivo IoT
- Buzón
- Clúster de correo
- Mensaje de correo
- Correo de envío
- Entidades de Sentinel
Cuenta
Nombre de entidad: Cuenta
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'account' |
Nombre | String | Nombre de la cuenta. Este campo solo debe contener el nombre sin ningún dominio agregado. |
FullName | -- | No forma parte del esquema, incluido para la compatibilidad con versiones anteriores de la asignación de entidades. |
NTDomain | String | El nombre de dominio NETBIOS tal como aparece en el formato de alerta: domain\username. Ejemplos: Finanzas, NT AUTHORITY |
DnsDomain | String | Nombre DNS del dominio completo. Ejemplos: finance.contoso.com |
UPNSuffix | String | Sufijo de nombre principal de usuario para la cuenta. En muchos casos, el sufijo UPN también es el nombre de dominio. Ejemplos: contoso.com |
Host | Entity (Host) | Host que contiene la cuenta, si es una cuenta local. |
Sid | String | Identificador de seguridad de la cuenta. |
AadTenantId | ¿GUID? | Identificador de inquilino de Microsoft Entra, si se conoce. |
AadUserId | ¿GUID? | Identificador de objeto de cuenta de Microsoft Entra, si se conoce. |
PUID | ¿GUID? | Identificador de usuario de Microsoft Entra Passport, si se conoce. |
IsDomainJoined | ¿Valor booleano? | Indica si la cuenta es una cuenta de dominio. |
DisplayName | -- | No forma parte del esquema, incluido para la compatibilidad con versiones anteriores de la asignación de entidades. |
ObjectGuid | ¿GUID? | El atributo objectGUID es un atributo de un solo valor y es el identificador único del objeto, asignado por Active Directory. |
CloudAppAccountId | String | El AccountID en las alertas del proveedor de CloudApp. Hace referencia a los identificadores de cuenta en aplicaciones de terceros que no se admiten en otros productos de Microsoft. |
IsAnonymized | ¿Valor booleano? | Indica si el nombre de usuario se anonimiza. Opcional. Valor predeterminado: false . |
Stream | STREAM | El origen de los registros de detección relacionados con la cuenta específica. Opcional. |
Identificadores seguros de una entidad Cuenta
- Name + UPNSuffix
- AadUserId
- Sid
** Este identificador es seguro siempre que la cuenta no sea una de las cuentas integradas enumeradas en la Nota siguiente. - Sid + Host
** Cuando la cuenta es una de las cuentas integradas enumeradas en la Nota siguiente, el componente host es necesario para que este identificador sea seguro. - Name + NTDomain
** Esta combinación es un identificador seguro cuando la cuenta es una cuenta de dominio, ya que NTDomain no es un dominio o grupo de trabajo integrado y es diferente del nombre de host. En este caso, se trata de un identificador seguro incluso sin el componente Host. - Name + NTDomain + Host
** El componente Host es necesario para crear un identificador seguro cuando la cuenta es una cuenta local, lo que significa que NTDomain es un dominio o grupo de trabajo integrado. - Name + DnsDomain
- PUID
- ObjectGuid
Identificadores no seguros de una entidad de cuenta
- Nombre
Nota
Si la entidad Cuenta se define mediante el identificador Nombre y el valor Nombre de una entidad determinada es uno de los siguientes nombres de cuenta genéricos, normalmente integrados, esa entidad se quitará de su alerta.
- ADMIN
- ADMINISTRADOR
- SYSTEM
- ROOT
- ANONYMOUS
- USUARIO AUTENTICADO
- RED
- NULL
- SISTEMA LOCAL
- LOCALSYSTEM
- SERVICIO DE RED
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Host
Nombre de entidad: Host
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'host' |
IpInterfaces | List<Entity (Ip)> | Lista de todas las interfaces IP en la máquina host. |
DnsDomain | String | Dominio DNS al que pertenece este host. Debe contener el sufijo DNS completo del dominio, si se conoce. |
NTDomain | String | Dominio NT al que pertenece este host. |
HostName | String | Nombre del host sin el sufijo de dominio. |
NetBiosName | String | Nombre del host (antes de Windows 2000). |
IoTDevice | Entity (IoT Device) | Entidad del dispositivo IoT (si este host representa un dispositivo IoT). |
AzureID | String | Id. del recurso de Azure de la VM, si se conoce. |
OMSAgentID | String | Id. del agente de OMS, si el host tiene instalado el agente de OMS. |
OSFamily | ¿Enumeración? | Uno de los siguientes valores: |
OSVersion | String | Representación de texto libre del sistema operativo. Este campo está pensado para contener versiones específicas que son más detalladas que OSFamily o valores futuros que la enumeración OSFamily no admite. |
IsDomainJoined | Booleano | Determina si este host pertenece a un dominio. |
Identificadores seguros de una entidad Host
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificadores no seguros de una entidad de host
- HostName
- NetBiosName
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
IP
Nombre de entidad: IP
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'ip' |
Dirección | String | La dirección IP como cadena, por ejemplo. 127.0.0.1 (ya sea en IPv4 o IPv6). |
AddressScope | String | Nombre del host, subred o red privada para direcciones IP privadas y no globales. Null o vacío para las direcciones IP globales (valor predeterminado). |
Ubicación | GeoLocation | Contexto de ubicación geográfica asociado a la entidad IP. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización mediante la API REST (versión preliminar pública). |
Stream | STREAM | Origen de los registros de detección relacionados con la dirección IP específica. Opcional. |
Identificadores seguros de una entidad IP
- Dirección
** Solo la dirección es un identificador seguro único cuando la dirección IP es una dirección global. - Address + AddressScope
** Para las direcciones IP privadas o internas y no globales, se requiere el componente AddressScope para que sea un identificador seguro.
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Malware
Nombre de entidad: Malware
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'malware' |
Nombre | String | Nombre de malware asignado por el proveedor (¿detection?), como Win32/Toga!rfn . |
Categoría | String | La categoría de malware asignada por el proveedor (¿detection?), por ejemplo. Troyano. |
Archivos | List<Entity (File)> | Lista de entidades de archivo vinculadas en las que se encontró el malware. Puede contener las entidades Archivo en línea o como referencia. Consulte la entidad Archivo para obtener más detalles sobre la estructura. |
Procesos | List<Entity (Process)> | Lista de entidades Proceso vinculadas en las que se encontró el malware. Se suele usar cuando la alerta se desencadena en una actividad sin archivos. Consulte la entidad Proceso para obtener más detalles sobre la estructura. |
Identificadores seguros de una entidad Malware
- Name + Category
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Archivo
Nombre de entidad: Archivo
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | ‘file’ |
Directorio | String | Ruta de acceso completa al archivo. |
Nombre | String | Nombre de archivo sin la ruta de acceso (es posible que algunas alertas no incluyan la ruta de acceso). |
AlternateDataStreamName | String | El nombre de la secuencia de archivos en el sistema de archivos NTFS (null para la secuencia principal). |
Host | Entity (Host) | Host en el que se almacenó el archivo. |
HostUrl | Entity (URL) | Dirección URL desde la que se descargó el archivo (Marca de la Web). |
WindowsSecurityZoneType | WindowsSecurityZone | Zona de seguridad de Windows a la que pertenece la dirección URL (Marca de la Web). |
ReferrerUrl | Entity (URL) | Dirección URL de origen de referencia de la solicitud HTTP de descarga del archivo (Marca de la Web). |
SizeInBytes | ¿Long? | Tamaño de archivo en bytes. |
FileHashes | List<Entity (FileHash)> | Hash de archivo asociados a este archivo. |
Identificadores seguros de una entidad Archivo
- Name + Directory
- Name + FileHash
- Name + Directory + FileHash
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Proceso
Nombre de entidad: Proceso
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'process' |
ProcessId | String | El id. de proceso. |
CommandLine | String | Línea de comandos utilizada para crear el proceso. |
ElevationToken | ¿Enumeración? | Token de elevación asociado con el proceso. Valores posibles: |
CreationTimeUtc | DateTime? | Hora en que se empezó a ejecutar el proceso. |
ImageFile | Entity (File) | Puede contener la entidad de archivo en línea o como referencia. Consulte la entidad Archivo para obtener más detalles sobre la estructura. |
Cuenta | Entity (Account) | Cuenta que ejecuta los procesos. Puede contener la entidad Cuenta en línea o como referencia. Consulte la entidad Cuenta para obtener más detalles sobre la estructura. |
ParentProcess | Entity (Process) | Entidad del proceso principal. Puede contener datos parciales, por ejemplo, solo el PID. |
Host | Entity (Host) | Host en el que se estaba ejecutando el proceso. |
LogonSession | Entidad (HostLogonSession) | Sesión en la que se estaba ejecutando el proceso. |
Identificadores seguros de una entidad Proceso
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificadores no seguros de una entidad de proceso
- ProcessId + CreationTimeUtc + CommandLine (y ningún host)
- ProcessId + CreationTimeUtc + ImageFile (y sin Host)
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Aplicación en la nube
Nombre de entidad: CloudApplication
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'cloud-application' |
AppId | Int | Obsoleto; use el campo SaasId en su lugar. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de Identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId. |
SaasId | Int | Reemplaza el campo AppId en desuso. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de Identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId. |
Nombre | String | Nombre de la aplicación en la nube relacionada. Valor opcional. |
InstanceName | String | Nombre de instancia definido por el usuario de la aplicación en la nube. A menudo se usa para distinguir entre varias aplicaciones del mismo tipo que tiene un cliente. |
InstanceId | Int | Identificador de la sesión específica de la aplicación. Se trata de un número de ejecución basado en cero. Valor opcional. |
Riesgo | ¿AppRisk? | le permite filtrar las aplicaciones según su puntuación de riesgo, de modo que pueda centrarse, por ejemplo, en revisar únicamente las aplicaciones de mucho riesgo. Valores posibles como Bajo, Medio, Alto o Desconocido. |
Stream | STREAM | Origen de los registros de detección relacionados con la aplicación en la nube específica. Opcional. |
Identificadores seguros de una entidad Aplicación en la nube
- AppId (sin InstanceName)
- Name (sin InstanceName)
- AppId + InstanceName
- Name + InstanceName
Lista de identificadores de aplicación en la nube
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Resolución DNS
Nombre de entidad: DNS
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'dns' |
DomainName | String | Nombre del registro DNS asociado a la alerta. |
IpAddress | List<Entity (IP)> | Entidades correspondientes a las direcciones IP resueltas. |
DnsServerIp | Entity (IP) | Entidad que representa el servidor DNS que resuelve la solicitud. |
HostIpAddress | Entity (IP) | Entidad que representa el cliente de la solicitud DNS. |
Identificadores seguros de una entidad DNS
- DomainName + DnsServerIp + HostIpAddress
Identificadores no seguros de una entidad DNS
- DomainName + HostIpAddress
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Recurso de Azure
Nombre de entidad: AzureResource
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'azure-resource' |
ResourceId | String | Id. de recurso de Azure del recurso. Obligatorio. |
SubscriptionId | String | Identificador de suscripción del recurso. |
ActiveContacts | List<ActiveContact> | Contactos activos asociados al recurso. |
ResourceType | String | Tipo de recurso. |
ResourceName | String | Nombre del recurso. |
Identificadores seguros de una entidad Recurso de Azure
- ResourceId
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Hash de archivo
Nombre de entidad: FileHash
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'filehash' |
Algoritmo | Enumeración | Tipo de algoritmo hash. Obligatorio. Valores posibles: |
Valor | String | El valor hash. Obligatorio. |
Identificadores seguros de una entidad Hash de archivo
- Algorithm + Value
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Clave del Registro
Nombre de entidad: RegistryKey
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'registry-key' |
Hive | ¿Enumeración? | Uno de los siguientes valores: |
Clave | String | Ruta de acceso a la clave del Registro. |
Identificadores seguros de una entidad clave del Registro
- Hive + Key
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Valor del Registro
Nombre de entidad: RegistryValue
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'registry-value' |
Host | Entity (Host) | Host al que pertenece el Registro. |
Clave | Entity (RegistryKey) | Entidad de clave del Registro. |
Nombre | String | Nombre del valor del Registro. |
Valor | String | Representación con formato de cadena de los datos del valor. |
ValueType | ¿Enumeración? | Uno de los siguientes valores: Los valores deben ajustarse a la enumeración Microsoft.Win32.RegistryValueKind. |
Identificadores seguros de una entidad valor del Registro
- Key + Name
Identificadores no seguros de una entidad de valor del registro
- Name (sin Key)
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Grupo de seguridad
Nombre de entidad: SecurityGroup
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'security-group' |
DistinguishedName | String | Nombre distintivo del grupo. |
SID | String | Atributo de valor único que especifica el identificador de seguridad (SID) del grupo. |
ObjectGuid | ¿GUID? | Atributo de valor único que es el identificador único del objeto asignado por Active Directory. |
Identificadores seguros de una entidad grupo de seguridad
- DistinguishedName
- SID
- ObjectGuid
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
URL
Nombre de entidad: Dirección URL
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'url' |
Url | Identificador URI | Dirección URL completa a la que apunta la entidad. Obligatorio. |
Identificadores seguros de una entidad URL
- Url (** Este identificador es seguro cuando la dirección URL es una dirección URL absoluta)
Identificadores no seguros de una entidad URL
- Dirección URL (** Este identificador es no seguro cuando la dirección URL es una dirección URL relativa)
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Dispositivo IoT
Nombre de entidad: IoTDevice
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'iotdevice' |
IoTHub | Entity (AzureResource) | Entidad AzureResource que representa la instancia de IoT Hub a la que pertenece el dispositivo. |
DeviceId | String | Id. del dispositivo en el contexto de la instancia de IoT Hub. Obligatorio. |
DeviceName | String | Nombre descriptivo del dispositivo. |
Propietarios | Lista<cadena> | Propietarios del dispositivo. |
IoTSecurityAgentId | ¿GUID? | Id. del agente de Defender para IOT que se ejecuta en el dispositivo. |
DeviceType | String | Tipo de dispositivo ("sensor de temperatura", "congelador", "aerogenerador", etc.). |
DeviceTypeId | String | Un id. único para identificar cada tipo de dispositivo según el esquema de tipo de dispositivo, ya que el propio tipo de dispositivo es un nombre para mostrar y no es confiable en comparación. Valores posibles: Sin clasificar = 0 Varios = 1 Dispositivo de red = 2 Impresora = 3 Audio y vídeo = 4 Medios y vigilancia = 5 Comunicación = 7 Dispositivo inteligente = 9 Estación de trabajo = 10 Servidor = 11 Móvil = 12 Instalación inteligente = 13 Industrial = 14 Equipo operativo = 15 |
Origen | String | Origen (Microsoft/proveedor) de la entidad de dispositivo. |
SourceRef | Entity (Url) | Referencia de URL al elemento de origen donde se administra el dispositivo. |
Fabricante | String | Fabricante del dispositivo. |
Modelo | String | Modelo del dispositivo. |
OperatingSystem | String | Sistema operativo que ejecuta el dispositivo. |
IpAddress | Entity (IP) | Dirección IP actual del dispositivo. |
MacAddress | String | La dirección MAC del dispositivo. |
Nics | Entity (Nic) | Las NIC actuales del dispositivo. |
Protocolos | Lista<cadena> | Lista de los protocolos que admite el dispositivo. |
SerialNumber | String | El número de serie del dispositivo. |
Sitio | String | Ubicación del sitio del dispositivo. |
Zona | String | Ubicación de la zona del dispositivo dentro de un sitio. |
Sensor | String | Sensor que supervisa el dispositivo. |
Importancia | ¿Enumeración? | Uno de los siguientes valores: |
PurdueLayer | String | Capa Purdue del dispositivo. |
IsProgramming | ¿Valor booleano? | Indica si el dispositivo está clasificado como dispositivo de programación. |
IsAuthorized | ¿Valor booleano? | Indica si el dispositivo está clasificado como dispositivo autorizado. |
IsScanner | ¿Valor booleano? | Indica si el dispositivo está clasificado como un dispositivo de digitalización. |
DevicePageLink | Entity (Url) | Dirección URL de la página del dispositivo en el portal de Defender para IoT. |
DeviceSubType | String | El nombre del sitio del dispositivo. |
Identificadores seguros de una entidad Dispositivo IoT
- IoTHub + DeviceId
Identificadores no seguros de una entidad de dispositivo IoT
- DeviceId (sin IoTHub)
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Mailbox
Nombre de entidad: Buzón de correo
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'mailbox' |
MailboxPrimaryAddress | String | Dirección principal del buzón. |
DisplayName | String | Nombre para mostrar del buzón. |
Upn | String | UPN del buzón. |
AadId | String | Identificador de Azure AD del buzón del usuario. |
RiskLevel | ¿RiskLevel? | Nivel de riesgo del buzón. Valores posibles: |
ExternalDirectoryObjectId | ¿GUID? | Identificador de AzureAD del buzón. Similar a AadUserId en la entidad Cuenta, pero esta propiedad es específica del objeto de buzón en Office. |
Identificadores seguros de una entidad Buzón
- MailboxPrimaryAddress
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Clúster de correo
Nombre de entidad: MailCluster
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'mail-cluster' |
NetworkMessageIds | IList<cadena> | Identificadores de mensaje de correo que forman parte del clúster de correo. |
CountByDeliveryStatus | IDictionary<cadena,entero> | Recuento de mensajes de correo por representación de cadena DeliveryStatus. |
CountByThreatType | IDictionary<cadena,entero> | Recuento de mensajes de correo por representación de cadena ThreatType. |
CountByProtectionStatus | IDictionary<cadena,larga> | Recuento de mensajes de correo por representación de cadena de estado de protección. |
CountByDeliveryLocation | IDictionary<cadena,larga> | Recuento de mensajes de correo por representación de cadena de ubicación de entrega. |
Threats | IList<cadena> | Amenazas de los mensajes de correo que forman parte del clúster de correo. |
Consultar | String | Consulta que se usó para identificar los mensajes del clúster de correo. |
QueryTime | DateTime? | Tiempo de la consulta. |
MailCount | ¿Entero? | Número de mensajes de correo que forman parte del clúster de correo. |
IsVolumeAnomaly | ¿Valor booleano? | Indica si el clúster de correo es un clúster de correo de anomalías de volumen. |
Origen | String | Origen del clúster de correo (el valor predeterminado es O365 ATP ). |
Identificadores seguros de una entidad Clúster de correo
- Query + Source
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Mensaje de correo
Nombre de entidad: MailMessage
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'mail-message' |
Archivos | IList<Entity (File)> | Entidades Archivo de los datos adjuntos de este mensaje de correo. |
Recipient | String | Destinatario de este mensaje de correo. En el caso de varios destinatarios, el mensaje de correo se copia y cada copia tiene un destinatario. |
Urls | IList<cadena> | Direcciones URL includas en este mensaje de correo. |
Threats | IList<cadena> | Amenazas incluidas en este mensaje de correo. |
Sender | String | La dirección de correo electrónico del remitente. |
SenderIP | String | Dirección IP del remitente. |
ReceivedDate | DateTime | Fecha de recepción de este mensaje. |
NetworkMessageId | ¿GUID? | Id. de mensaje de red de este mensaje de correo. |
InternetMessageId | String | Id. de mensaje de Internet de este mensaje de correo. |
Asunto | String | Asunto del mensaje de correo. |
AntispamDirection | ¿Enumeración? | Direccionalidad de este mensaje de correo. Valores posibles: |
DeliveryAction | ¿Enumeración? | Acción de entrega de este mensaje de correo. Valores posibles: |
DeliveryLocation | ¿Enumeración? | Ubicación de entrega de este mensaje de correo. Valores posibles: |
CampaignId | String | Identificador de la campaña en la que está presente este mensaje de correo. |
SuspiciousRecipients | IList<cadena> | La lista de destinatarios que se detectaron como sospechosos. |
ForwardedRecipients | IList<cadena> | Lista de todos los destinatarios del correo reenviado. |
ForwardingType | IList<cadena> | Tipo de reenvío del correo, como SMTP, ETR, etc. |
Identificadores seguros de una entidad Mensaje de correo
- NetworkMessageId + Recipient
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Correo de envío
Nombre de entidad: SubmissionMail
Campo | Tipo | Descripción |
---|---|---|
Tipo | String | 'SubmissionMail' |
SubmissionId | ¿GUID? | Id. de envío. |
SubmissionDate | DateTime? | Fecha y hora de notificación de este envío. |
Remitente | String | Dirección de correo electrónico del remitente. |
NetworkMessageId | ¿GUID? | Id. del mensaje de red del correo electrónico al que pertenece el envío. |
Timestamp | DateTime? | Marca de tiempo de recepción del mensaje (correo). |
Recipient | String | Destinatario del correo. |
Sender | String | Remitente del correo. |
SenderIp | String | Dirección IP del remitente. |
Asunto | String | Asunto del correo de envío. |
ReportType | String | Tipo de envío de la instancia especificada. Los valores posibles son No deseado, Cebo, Malware o Correo deseado. |
Identificadores seguros de una entidad SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Recipient
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Entidades de Sentinel
Campo | Tipo | Descripción |
---|---|---|
Entidades | String | Una lista de las entidades identificadas en la alerta. Esta lista es la columna de entidades del esquema SecurityAlert (consulte la documentación). |
Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad
Identificadores de aplicación en la nube
En la lista siguiente se definen los identificadores de las aplicaciones en la nube conocidas. El valor de identificador de aplicación se usa como un identificador de entidad de aplicación en la nube.
Identificador de la aplicación | Nombre |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | Box |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | cornerstone ondemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft Online Services |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11 713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive para la Empresa |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud Apps |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Autodesk Fusion Lifecycle |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype Empresarial |
25988 | Google Docs |
26055 | Centro de administración de Microsoft 365 |
26060 | OPSWAT Gears |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google Drive |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Workplace by Facebook |
28373 | Emulador de proxy de CAS |
28375 | Microsoft Teams |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
Pasos siguientes
En este documento ha obtenido información acerca de la estructura de la entidad, los identificadores y el esquema de Microsoft Sentinel.
Obtenga más información sobre las entidades y la asignación de entidades.