Compartir a través de


Referencia de los tipos de entidad de Microsoft Sentinel

Este documento contiene dos conjuntos de información sobre entidades y tipos de entidad en Microsoft Sentinel en Azure Portal y Microsoft Sentinel en el portal de Defender.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener una versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin XDR de Microsoft Defender ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Tipos de entidad e identificadores

En la tabla siguiente se muestran los tipos de entidad que Microsoft Sentinel puede reconocer y los atributos que se pueden usar como identificadores para cada tipo de entidad.

Microsoft Sentinel reconoce entidades en alertas e incidentes creados por la asignación de entidades en reglas de análisis. También reconoce las entidades ya identificadas en las alertas ingeridas de otros orígenes.

Actualmente puede usar hasta tres identificadores para una entidad determinada al crear una asignación de entidades en Microsoft Sentinel. Solo los identificadores seguros son suficientes para identificar de forma única una entidad, mientras que los identificadores no seguros solo pueden hacerlo en combinación con otros identificadores. Obtenga más información sobre los identificadores seguros y no seguros. La mayoría de los identificadores de esta tabla se pueden usar, pero no todos, al crear asignaciones de entidades en Microsoft Sentinel (consulte notas al pie de página).

Tipo de entidad Identificadores Identificadores seguros Identificadores no seguros
Cuenta Nombre
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name+UPNSuffix
AadUserId
Sid **
Sid+Host **
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid
Nombre
Host DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP Dirección
AddressScope
Address **
Address+AddressScope **
URL Dirección URL Dirección URL (si la dirección URL absoluta) ** Dirección URL (si la dirección URL relativa) **
Recurso de Azure
(AzureResource)
ResourceId ResourceId
Aplicación en la nube
(CloudApplication)
AppId
Nombre
InstanceName
AppId
Nombre
AppId+InstanceName
Name+InstanceName
Resolución DNS
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
Archivo Directorio
Nombre
Directory+Name
Hash de archivo
(FileHash)
Algoritmo
Value
Algorithm+Value
Malware Nombre
Categoría
Name+Category
Process ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash
ProcessId+CreationTimeUtc+
   CommandLine (sin host)
ProcessId+CreationTimeUtc+
   ImageFile (sin host)
Clave del Registro
(RegistryKey)
Hive
Clave
Hive+Key
Valor del Registro
(RegistryValue)
NOMBRE
Valor
ValueType
Key+Name Name (sin Key)
Grupo de seguridad
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
Clúster de correo
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Amenazas
Consultar
QueryTime
MailCount
IsVolumeAnomaly
Origen
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Source
Mensaje de correo
(MailMessage)
Recipient
Direcciones URL
Amenazas
Remitente
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Asunto
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Language *
ThreatDetectionMethods *
NetworkMessageId+Recipient
Correo de envío
(SubmissionMail)
NetworkMessageId
Timestamp
Recipient
Remitente
SenderIp
Asunto
ReportType
SubmissionId
SubmissionDate
Remitente
SubmissionId+NetworkMessageId+
   Recipient+Submitter
Entidades de Sentinel Entidades Entidades

Notas al pie de tabla:

  • * Estos identificadores aparecen en la lista de identificadores que se pueden usar en la asignación de entidades, pero estrictamente hablando, no forman parte del esquema de la entidad.
  • ** Estos identificadores solo se consideran seguros en determinadas condiciones. Siga los vínculos de los asteriscos para ver las condiciones que aplican en la lista de la entidad pertinente en la sección esquemas de entidad más adelante.
  • Los nombres de identificador en cursiva (sin asterisco) representan entidades internas, lo que significa que un tipo de entidad puede tener otros tipos de entidad como atributos (consulte la sección esquemas de entidad a continuación). Siga el vínculo del identificador para ver el propio esquema de la entidad interna.

Esquemas de tipo de entidad

La siguiente sección contiene una vista más detallada de los esquemas completos de cada tipo de entidad. Observará que muchos de estos esquemas incluyen vínculos a otros tipos de entidad. Por ejemplo, el esquema de cuenta incluye un vínculo al tipo de entidad Host, ya que un atributo de una cuenta de usuario es el host en el que se define. Estas entidades como atributos se conocen como "entidades internas" y no se pueden usar como identificadores para la asignación de entidades, aunque son muy útiles para proporcionar una imagen completa de las entidades en las páginas de entidad y el gráfico de investigación.

Nota:

Un signo de interrogación después del valor de la columna Tipo indica que el campo admite un valor NULL.

Lista de esquemas de tipo de entidad

Cuenta

Nombre de entidad: Cuenta

Campo Tipo Descripción
Tipo String 'account'
Nombre String Nombre de la cuenta. Este campo solo debe contener el nombre sin ningún dominio agregado.
FullName -- No forma parte del esquema, incluido para la compatibilidad con versiones anteriores de la asignación de entidades.
NTDomain String El nombre de dominio NETBIOS tal como aparece en el formato de alerta: domain\username. Ejemplos: Finanzas, NT AUTHORITY
DnsDomain String Nombre DNS del dominio completo. Ejemplos: finance.contoso.com
UPNSuffix String Sufijo de nombre principal de usuario para la cuenta. En muchos casos, el sufijo UPN también es el nombre de dominio. Ejemplos: contoso.com
Host Entity (Host) Host que contiene la cuenta, si es una cuenta local.
Sid String Identificador de seguridad de la cuenta.
AadTenantId ¿GUID? Identificador de inquilino de Microsoft Entra, si se conoce.
AadUserId ¿GUID? Identificador de objeto de cuenta de Microsoft Entra, si se conoce.
PUID ¿GUID? Identificador de usuario de Microsoft Entra Passport, si se conoce.
IsDomainJoined ¿Valor booleano? Indica si la cuenta es una cuenta de dominio.
DisplayName -- No forma parte del esquema, incluido para la compatibilidad con versiones anteriores de la asignación de entidades.
ObjectGuid ¿GUID? El atributo objectGUID es un atributo de un solo valor y es el identificador único del objeto, asignado por Active Directory.
CloudAppAccountId String El AccountID en las alertas del proveedor de CloudApp. Hace referencia a los identificadores de cuenta en aplicaciones de terceros que no se admiten en otros productos de Microsoft.
IsAnonymized ¿Valor booleano? Indica si el nombre de usuario se anonimiza. Opcional. Valor predeterminado: false.
Stream STREAM El origen de los registros de detección relacionados con la cuenta específica. Opcional.

Identificadores seguros de una entidad Cuenta

  • Name + UPNSuffix
  • AadUserId
  • Sid
    ** Este identificador es seguro siempre que la cuenta no sea una de las cuentas integradas enumeradas en la Nota siguiente.
  • Sid + Host
    ** Cuando la cuenta es una de las cuentas integradas enumeradas en la Nota siguiente, el componente host es necesario para que este identificador sea seguro.
  • Name + NTDomain
    ** Esta combinación es un identificador seguro cuando la cuenta es una cuenta de dominio, ya que NTDomain no es un dominio o grupo de trabajo integrado y es diferente del nombre de host. En este caso, se trata de un identificador seguro incluso sin el componente Host.
  • Name + NTDomain + Host
    ** El componente Host es necesario para crear un identificador seguro cuando la cuenta es una cuenta local, lo que significa que NTDomain es un dominio o grupo de trabajo integrado.
  • Name + DnsDomain
  • PUID
  • ObjectGuid

Identificadores no seguros de una entidad de cuenta

  • Nombre

Nota

Si la entidad Cuenta se define mediante el identificador Nombre y el valor Nombre de una entidad determinada es uno de los siguientes nombres de cuenta genéricos, normalmente integrados, esa entidad se quitará de su alerta.

  • ADMIN
  • ADMINISTRADOR
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • USUARIO AUTENTICADO
  • RED
  • NULL
  • SISTEMA LOCAL
  • LOCALSYSTEM
  • SERVICIO DE RED

Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

Host

Nombre de entidad: Host

Campo Tipo Descripción
Tipo String 'host'
IpInterfaces List<Entity (Ip)> Lista de todas las interfaces IP en la máquina host.
DnsDomain String Dominio DNS al que pertenece este host. Debe contener el sufijo DNS completo del dominio, si se conoce.
NTDomain String Dominio NT al que pertenece este host.
HostName String Nombre del host sin el sufijo de dominio.
NetBiosName String Nombre del host (antes de Windows 2000).
IoTDevice Entity (IoT Device) Entidad del dispositivo IoT (si este host representa un dispositivo IoT).
AzureID String Id. del recurso de Azure de la VM, si se conoce.
OMSAgentID String Id. del agente de OMS, si el host tiene instalado el agente de OMS.
OSFamily ¿Enumeración? Uno de los siguientes valores:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String Representación de texto libre del sistema operativo.
    Este campo está pensado para contener versiones específicas que son más detalladas que OSFamily o valores futuros que la enumeración OSFamily no admite.
    IsDomainJoined Booleano Determina si este host pertenece a un dominio.

    Identificadores seguros de una entidad Host

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Identificadores no seguros de una entidad de host

    • HostName
    • NetBiosName

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    IP

    Nombre de entidad: IP

    Campo Tipo Descripción
    Tipo String 'ip'
    Dirección String La dirección IP como cadena, por ejemplo. 127.0.0.1 (ya sea en IPv4 o IPv6).
    AddressScope String Nombre del host, subred o red privada para direcciones IP privadas y no globales. Null o vacío para las direcciones IP globales (valor predeterminado).
    Ubicación GeoLocation Contexto de ubicación geográfica asociado a la entidad IP.

    Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización mediante la API REST (versión preliminar pública).
    Stream STREAM Origen de los registros de detección relacionados con la dirección IP específica. Opcional.

    Identificadores seguros de una entidad IP

    • Dirección
      ** Solo la dirección es un identificador seguro único cuando la dirección IP es una dirección global.
    • Address + AddressScope
      ** Para las direcciones IP privadas o internas y no globales, se requiere el componente AddressScope para que sea un identificador seguro.

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Malware

    Nombre de entidad: Malware

    Campo Tipo Descripción
    Tipo String 'malware'
    Nombre String Nombre de malware asignado por el proveedor (¿detection?), como Win32/Toga!rfn.
    Categoría String La categoría de malware asignada por el proveedor (¿detection?), por ejemplo. Troyano.
    Archivos List<Entity (File)> Lista de entidades de archivo vinculadas en las que se encontró el malware. Puede contener las entidades Archivo en línea o como referencia.
    Consulte la entidad Archivo para obtener más detalles sobre la estructura.
    Procesos List<Entity (Process)> Lista de entidades Proceso vinculadas en las que se encontró el malware. Se suele usar cuando la alerta se desencadena en una actividad sin archivos.
    Consulte la entidad Proceso para obtener más detalles sobre la estructura.

    Identificadores seguros de una entidad Malware

    • Name + Category

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Archivo

    Nombre de entidad: Archivo

    Campo Tipo Descripción
    Tipo String ‘file’
    Directorio String Ruta de acceso completa al archivo.
    Nombre String Nombre de archivo sin la ruta de acceso (es posible que algunas alertas no incluyan la ruta de acceso).
    AlternateDataStreamName String El nombre de la secuencia de archivos en el sistema de archivos NTFS (null para la secuencia principal).
    Host Entity (Host) Host en el que se almacenó el archivo.
    HostUrl Entity (URL) Dirección URL desde la que se descargó el archivo
    (Marca de la Web).
    WindowsSecurityZoneType WindowsSecurityZone Zona de seguridad de Windows a la que pertenece la dirección URL
    (Marca de la Web).
    ReferrerUrl Entity (URL) Dirección URL de origen de referencia de la solicitud HTTP de descarga del archivo
    (Marca de la Web).
    SizeInBytes ¿Long? Tamaño de archivo en bytes.
    FileHashes List<Entity (FileHash)> Hash de archivo asociados a este archivo.

    Identificadores seguros de una entidad Archivo

    • Name + Directory
    • Name + FileHash
    • Name + Directory + FileHash

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Proceso

    Nombre de entidad: Proceso

    Campo Tipo Descripción
    Tipo String 'process'
    ProcessId String El id. de proceso.
    CommandLine String Línea de comandos utilizada para crear el proceso.
    ElevationToken ¿Enumeración? Token de elevación asociado con el proceso.
    Valores posibles:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? Hora en que se empezó a ejecutar el proceso.
    ImageFile Entity (File) Puede contener la entidad de archivo en línea o como referencia.
    Consulte la entidad Archivo para obtener más detalles sobre la estructura.
    Cuenta Entity (Account) Cuenta que ejecuta los procesos.
    Puede contener la entidad Cuenta en línea o como referencia.
    Consulte la entidad Cuenta para obtener más detalles sobre la estructura.
    ParentProcess Entity (Process) Entidad del proceso principal.
    Puede contener datos parciales, por ejemplo, solo el PID.
    Host Entity (Host) Host en el que se estaba ejecutando el proceso.
    LogonSession Entidad (HostLogonSession) Sesión en la que se estaba ejecutando el proceso.

    Identificadores seguros de una entidad Proceso

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Identificadores no seguros de una entidad de proceso

    • ProcessId + CreationTimeUtc + CommandLine (y ningún host)
    • ProcessId + CreationTimeUtc + ImageFile (y sin Host)

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Aplicación en la nube

    Nombre de entidad: CloudApplication

    Campo Tipo Descripción
    Tipo String 'cloud-application'
    AppId Int Obsoleto; use el campo SaasId en su lugar. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de Identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId.
    SaasId Int Reemplaza el campo AppId en desuso. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de Identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId.
    Nombre String Nombre de la aplicación en la nube relacionada. Valor opcional.
    InstanceName String Nombre de instancia definido por el usuario de la aplicación en la nube. A menudo se usa para distinguir entre varias aplicaciones del mismo tipo que tiene un cliente.
    InstanceId Int Identificador de la sesión específica de la aplicación. Se trata de un número de ejecución basado en cero. Valor opcional.
    Riesgo ¿AppRisk? le permite filtrar las aplicaciones según su puntuación de riesgo, de modo que pueda centrarse, por ejemplo, en revisar únicamente las aplicaciones de mucho riesgo. Valores posibles como Bajo, Medio, Alto o Desconocido.
    Stream STREAM Origen de los registros de detección relacionados con la aplicación en la nube específica. Opcional.

    Identificadores seguros de una entidad Aplicación en la nube

    • AppId (sin InstanceName)
    • Name (sin InstanceName)
    • AppId + InstanceName
    • Name + InstanceName

    Lista de identificadores de aplicación en la nube

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Resolución DNS

    Nombre de entidad: DNS

    Campo Tipo Descripción
    Tipo String 'dns'
    DomainName String Nombre del registro DNS asociado a la alerta.
    IpAddress List<Entity (IP)> Entidades correspondientes a las direcciones IP resueltas.
    DnsServerIp Entity (IP) Entidad que representa el servidor DNS que resuelve la solicitud.
    HostIpAddress Entity (IP) Entidad que representa el cliente de la solicitud DNS.

    Identificadores seguros de una entidad DNS

    • DomainName + DnsServerIp + HostIpAddress

    Identificadores no seguros de una entidad DNS

    • DomainName + HostIpAddress

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Recurso de Azure

    Nombre de entidad: AzureResource

    Campo Tipo Descripción
    Tipo String 'azure-resource'
    ResourceId String Id. de recurso de Azure del recurso. Obligatorio.
    SubscriptionId String Identificador de suscripción del recurso.
    ActiveContacts List<ActiveContact> Contactos activos asociados al recurso.
    ResourceType String Tipo de recurso.
    ResourceName String Nombre del recurso.

    Identificadores seguros de una entidad Recurso de Azure

    • ResourceId

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Hash de archivo

    Nombre de entidad: FileHash

    Campo Tipo Descripción
    Tipo String 'filehash'
    Algoritmo Enumeración Tipo de algoritmo hash. Obligatorio. Valores posibles:
  • Desconocido
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Valor String El valor hash. Obligatorio.

    Identificadores seguros de una entidad Hash de archivo

    • Algorithm + Value

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Clave del Registro

    Nombre de entidad: RegistryKey

    Campo Tipo Descripción
    Tipo String 'registry-key'
    Hive ¿Enumeración? Uno de los siguientes valores:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Clave String Ruta de acceso a la clave del Registro.

    Identificadores seguros de una entidad clave del Registro

    • Hive + Key

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Valor del Registro

    Nombre de entidad: RegistryValue

    Campo Tipo Descripción
    Tipo String 'registry-value'
    Host Entity (Host) Host al que pertenece el Registro.
    Clave Entity (RegistryKey) Entidad de clave del Registro.
    Nombre String Nombre del valor del Registro.
    Valor String Representación con formato de cadena de los datos del valor.
    ValueType ¿Enumeración? Uno de los siguientes valores:
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Ninguno
  • Desconocido
    Los valores deben ajustarse a la enumeración Microsoft.Win32.RegistryValueKind.
  • Identificadores seguros de una entidad valor del Registro

    • Key + Name

    Identificadores no seguros de una entidad de valor del registro

    • Name (sin Key)

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Grupo de seguridad

    Nombre de entidad: SecurityGroup

    Campo Tipo Descripción
    Tipo String 'security-group'
    DistinguishedName String Nombre distintivo del grupo.
    SID String Atributo de valor único que especifica el identificador de seguridad (SID) del grupo.
    ObjectGuid ¿GUID? Atributo de valor único que es el identificador único del objeto asignado por Active Directory.

    Identificadores seguros de una entidad grupo de seguridad

    • DistinguishedName
    • SID
    • ObjectGuid

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    URL

    Nombre de entidad: Dirección URL

    Campo Tipo Descripción
    Tipo String 'url'
    Url Identificador URI Dirección URL completa a la que apunta la entidad. Obligatorio.

    Identificadores seguros de una entidad URL

    • Url (** Este identificador es seguro cuando la dirección URL es una dirección URL absoluta)

    Identificadores no seguros de una entidad URL

    • Dirección URL (** Este identificador es no seguro cuando la dirección URL es una dirección URL relativa)

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Dispositivo IoT

    Nombre de entidad: IoTDevice

    Campo Tipo Descripción
    Tipo String 'iotdevice'
    IoTHub Entity (AzureResource) Entidad AzureResource que representa la instancia de IoT Hub a la que pertenece el dispositivo.
    DeviceId String Id. del dispositivo en el contexto de la instancia de IoT Hub. Obligatorio.
    DeviceName String Nombre descriptivo del dispositivo.
    Propietarios Lista<cadena> Propietarios del dispositivo.
    IoTSecurityAgentId ¿GUID? Id. del agente de Defender para IOT que se ejecuta en el dispositivo.
    DeviceType String Tipo de dispositivo ("sensor de temperatura", "congelador", "aerogenerador", etc.).
    DeviceTypeId String Un id. único para identificar cada tipo de dispositivo según el esquema de tipo de dispositivo, ya que el propio tipo de dispositivo es un nombre para mostrar y no es confiable en comparación.

    Valores posibles:
    Sin clasificar = 0
    Varios = 1
    Dispositivo de red = 2
    Impresora = 3
    Audio y vídeo = 4
    Medios y vigilancia = 5
    Comunicación = 7
    Dispositivo inteligente = 9
    Estación de trabajo = 10
    Servidor = 11
    Móvil = 12
    Instalación inteligente = 13
    Industrial = 14
    Equipo operativo = 15
    Origen String Origen (Microsoft/proveedor) de la entidad de dispositivo.
    SourceRef Entity (Url) Referencia de URL al elemento de origen donde se administra el dispositivo.
    Fabricante String Fabricante del dispositivo.
    Modelo String Modelo del dispositivo.
    OperatingSystem String Sistema operativo que ejecuta el dispositivo.
    IpAddress Entity (IP) Dirección IP actual del dispositivo.
    MacAddress String La dirección MAC del dispositivo.
    Nics Entity (Nic) Las NIC actuales del dispositivo.
    Protocolos Lista<cadena> Lista de los protocolos que admite el dispositivo.
    SerialNumber String El número de serie del dispositivo.
    Sitio String Ubicación del sitio del dispositivo.
    Zona String Ubicación de la zona del dispositivo dentro de un sitio.
    Sensor String Sensor que supervisa el dispositivo.
    Importancia ¿Enumeración? Uno de los siguientes valores:
  • Bajo
  • Normal
  • Alto
  • PurdueLayer String Capa Purdue del dispositivo.
    IsProgramming ¿Valor booleano? Indica si el dispositivo está clasificado como dispositivo de programación.
    IsAuthorized ¿Valor booleano? Indica si el dispositivo está clasificado como dispositivo autorizado.
    IsScanner ¿Valor booleano? Indica si el dispositivo está clasificado como un dispositivo de digitalización.
    DevicePageLink Entity (Url) Dirección URL de la página del dispositivo en el portal de Defender para IoT.
    DeviceSubType String El nombre del sitio del dispositivo.

    Identificadores seguros de una entidad Dispositivo IoT

    • IoTHub + DeviceId

    Identificadores no seguros de una entidad de dispositivo IoT

    • DeviceId (sin IoTHub)

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Mailbox

    Nombre de entidad: Buzón de correo

    Campo Tipo Descripción
    Tipo String 'mailbox'
    MailboxPrimaryAddress String Dirección principal del buzón.
    DisplayName String Nombre para mostrar del buzón.
    Upn String UPN del buzón.
    AadId String Identificador de Azure AD del buzón del usuario.
    RiskLevel ¿RiskLevel? Nivel de riesgo del buzón. Valores posibles:
  • Ninguno
  • Bajo
  • Medio
  • Alto
  • ExternalDirectoryObjectId ¿GUID? Identificador de AzureAD del buzón. Similar a AadUserId en la entidad Cuenta, pero esta propiedad es específica del objeto de buzón en Office.

    Identificadores seguros de una entidad Buzón

    • MailboxPrimaryAddress

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Clúster de correo

    Nombre de entidad: MailCluster

    Campo Tipo Descripción
    Tipo String 'mail-cluster'
    NetworkMessageIds IList<cadena> Identificadores de mensaje de correo que forman parte del clúster de correo.
    CountByDeliveryStatus IDictionary<cadena,entero> Recuento de mensajes de correo por representación de cadena DeliveryStatus.
    CountByThreatType IDictionary<cadena,entero> Recuento de mensajes de correo por representación de cadena ThreatType.
    CountByProtectionStatus IDictionary<cadena,larga> Recuento de mensajes de correo por representación de cadena de estado de protección.
    CountByDeliveryLocation IDictionary<cadena,larga> Recuento de mensajes de correo por representación de cadena de ubicación de entrega.
    Threats IList<cadena> Amenazas de los mensajes de correo que forman parte del clúster de correo.
    Consultar String Consulta que se usó para identificar los mensajes del clúster de correo.
    QueryTime DateTime? Tiempo de la consulta.
    MailCount ¿Entero? Número de mensajes de correo que forman parte del clúster de correo.
    IsVolumeAnomaly ¿Valor booleano? Indica si el clúster de correo es un clúster de correo de anomalías de volumen.
    Origen String Origen del clúster de correo (el valor predeterminado es O365 ATP).

    Identificadores seguros de una entidad Clúster de correo

    • Query + Source

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Mensaje de correo

    Nombre de entidad: MailMessage

    Campo Tipo Descripción
    Tipo String 'mail-message'
    Archivos IList<Entity (File)> Entidades Archivo de los datos adjuntos de este mensaje de correo.
    Recipient String Destinatario de este mensaje de correo. En el caso de varios destinatarios, el mensaje de correo se copia y cada copia tiene un destinatario.
    Urls IList<cadena> Direcciones URL includas en este mensaje de correo.
    Threats IList<cadena> Amenazas incluidas en este mensaje de correo.
    Sender String La dirección de correo electrónico del remitente.
    SenderIP String Dirección IP del remitente.
    ReceivedDate DateTime Fecha de recepción de este mensaje.
    NetworkMessageId ¿GUID? Id. de mensaje de red de este mensaje de correo.
    InternetMessageId String Id. de mensaje de Internet de este mensaje de correo.
    Asunto String Asunto del mensaje de correo.
    AntispamDirection ¿Enumeración? Direccionalidad de este mensaje de correo. Valores posibles:
  • Desconocido
  • Entrada
  • Salida
  • Intraorg (interno)
  • DeliveryAction ¿Enumeración? Acción de entrega de este mensaje de correo. Valores posibles:
  • Desconocido
  • DeliveredAsSpam
  • Delivered (Entregado)
  • Bloqueado
  • Reemplazados
  • DeliveryLocation ¿Enumeración? Ubicación de entrega de este mensaje de correo. Valores posibles:
  • Desconocido
  • Bandeja de entrada
  • JunkFolder
  • DeletedFolder
  • Cuarentena
  • Externo
  • Con error
  • Dropped
  • Forwarded
  • CampaignId String Identificador de la campaña en la que está presente este mensaje de correo.
    SuspiciousRecipients IList<cadena> La lista de destinatarios que se detectaron como sospechosos.
    ForwardedRecipients IList<cadena> Lista de todos los destinatarios del correo reenviado.
    ForwardingType IList<cadena> Tipo de reenvío del correo, como SMTP, ETR, etc.

    Identificadores seguros de una entidad Mensaje de correo

    • NetworkMessageId + Recipient

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Correo de envío

    Nombre de entidad: SubmissionMail

    Campo Tipo Descripción
    Tipo String 'SubmissionMail'
    SubmissionId ¿GUID? Id. de envío.
    SubmissionDate DateTime? Fecha y hora de notificación de este envío.
    Remitente String Dirección de correo electrónico del remitente.
    NetworkMessageId ¿GUID? Id. del mensaje de red del correo electrónico al que pertenece el envío.
    Timestamp DateTime? Marca de tiempo de recepción del mensaje (correo).
    Recipient String Destinatario del correo.
    Sender String Remitente del correo.
    SenderIp String Dirección IP del remitente.
    Asunto String Asunto del correo de envío.
    ReportType String Tipo de envío de la instancia especificada. Los valores posibles son No deseado, Cebo, Malware o Correo deseado.

    Identificadores seguros de una entidad SubmissionMail

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Entidades de Sentinel

    Campo Tipo Descripción
    Entidades String Una lista de las entidades identificadas en la alerta. Esta lista es la columna de entidades del esquema SecurityAlert (consulte la documentación).

    Volver a la lista de esquemas de tipo de entidad | Volver a la tabla de identificadores de entidad

    Identificadores de aplicación en la nube

    En la lista siguiente se definen los identificadores de las aplicaciones en la nube conocidas. El valor de identificador de aplicación se usa como un identificador de entidad de aplicación en la nube.

    Identificador de la aplicación Nombre
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11 713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive para la Empresa
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype Empresarial
    25988 Google Docs
    26055 Centro de administración de Microsoft 365
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 Emulador de proxy de CAS
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Pasos siguientes

    En este documento ha obtenido información acerca de la estructura de la entidad, los identificadores y el esquema de Microsoft Sentinel.

    Obtenga más información sobre las entidades y la asignación de entidades.