Compartir vía


Referencia de reglas de automatización de Microsoft Sentinel

Este artículo contiene información de referencia sobre la configuración de reglas de automatización y las condiciones y propiedades admitidas.

Para más información sobre las reglas de automatización, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.

Para obtener instrucciones sobre cómo crear, administrar y usar reglas de automatización, consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar la respuesta.

Propiedades de entidad admitidas

Las siguientes entidades y propiedades de entidad se pueden usar como condiciones para las reglas de automatización:

En esta tabla se muestran las propiedades de entidad admitidas en la API de reglas de automatización. Estas son las propiedades de entidad cuyos valores se pueden establecer como condiciones para desencadenar una regla de automatización.

Para obtener la lista completa de las propiedades admitidas, que incluye las propiedades de incidente, consulte Propiedades admitidas de la condición de la propiedad de regla de Automation en la documentación de la API de reglas de Automation.

Nombre (en API) Tipo Descripción
AccountAadTenantId string Identificador de inquilino de Microsoft Entra id. de cuenta
AccountAadUserId string Identificador de usuario de Microsoft Entra id. de cuenta
AccountName string El nombre de la cuenta
AccountNTDomain string Nombre de dominio netBIOS de la cuenta
AccountPUID string El identificador de usuario de Microsoft Entra ID Passport de cuenta
AccountSid string Identificador de seguridad de la cuenta
AccountObjectGuid string Identificador único del objeto de cuenta
AccountUPNSuffix string Sufijo de nombre principal de usuario de cuenta
AzureResourceResourceId string Identificador de recurso de Azure
AzureResourceSubscriptionId string Identificador de suscripción de recursos de Azure
CloudApplicationAppId string Identificador de la aplicación en la nube
CloudApplicationAppName string Nombre de la aplicación en la nube
DNSDomainName string El nombre de dominio del registro dns
FileDirectory string Ruta de acceso completa del directorio de archivos
FileName string Nombre de archivo sin ruta de acceso
FileHashValue string Valor hash de archivo
HostAzureID string Identificador de recurso de Azure del host
HostName string El nombre de host sin dominio
HostNetBiosName string Nombre netBIOS del host
HostNTDomain string Dominio NT del host
HostOSVersion string Sistema operativo host
IoTDeviceId string Identificador del dispositivo IoT
IoTDeviceName string El nombre del dispositivo IoT
IoTDeviceType string El tipo de dispositivo IoT
IoTDeviceVendor string El proveedor de dispositivos IoT
IoTDeviceModel string El modelo de dispositivo IoT
IoTDeviceOperatingSystem string El sistema operativo del dispositivo IoT
IPAddress string La dirección IP
MailboxDisplayName string Nombre para mostrar del buzón
MailboxPrimaryAddress string Dirección principal del buzón
MailboxUPN string El nombre principal de usuario del buzón
MailMessageDeliveryAction string Acción de entrega de mensajes de correo
MailMessageDeliveryLocation string Ubicación de entrega de mensajes de correo
MailMessageRecipient string Destinatario del mensaje de correo
MailMessageSenderIP string Dirección IP del remitente del mensaje de correo
MailMessageSubject string Asunto del mensaje de correo
MailMessageP1Sender string Remitente P1 del mensaje de correo (remitente delegado)
MailMessageP2Sender string El remitente P2 del mensaje de correo (remitente original)
MalwareCategory string Categoría de malware
MalwareName string El nombre del malware
ProcessCommandLine string Línea de comandos de ejecución de procesos
ProcessId string Identificador de proceso
RegistryKey string Ruta de acceso de la clave del Registro
RegistryValueData string Valor de clave del Registro en representación con formato de cadena
Url string Dirección URL