Referencia de reglas de automatización de Microsoft Sentinel
Este artículo contiene información de referencia sobre la configuración de reglas de automatización y las condiciones y propiedades admitidas.
Para más información sobre las reglas de automatización, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.
Para obtener instrucciones sobre cómo crear, administrar y usar reglas de automatización, consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar la respuesta.
Propiedades de entidad admitidas
Las siguientes entidades y propiedades de entidad se pueden usar como condiciones para las reglas de automatización:
En esta tabla se muestran las propiedades de entidad admitidas en la API de reglas de automatización. Estas son las propiedades de entidad cuyos valores se pueden establecer como condiciones para desencadenar una regla de automatización.
Para obtener la lista completa de las propiedades admitidas, que incluye las propiedades de incidente, consulte Propiedades admitidas de la condición de la propiedad de regla de Automation en la documentación de la API de reglas de Automation.
Nombre (en API) | Tipo | Descripción |
---|---|---|
AccountAadTenantId | string | Identificador de inquilino de Microsoft Entra id. de cuenta |
AccountAadUserId | string | Identificador de usuario de Microsoft Entra id. de cuenta |
AccountName | string | El nombre de la cuenta |
AccountNTDomain | string | Nombre de dominio netBIOS de la cuenta |
AccountPUID | string | El identificador de usuario de Microsoft Entra ID Passport de cuenta |
AccountSid | string | Identificador de seguridad de la cuenta |
AccountObjectGuid | string | Identificador único del objeto de cuenta |
AccountUPNSuffix | string | Sufijo de nombre principal de usuario de cuenta |
AzureResourceResourceId | string | Identificador de recurso de Azure |
AzureResourceSubscriptionId | string | Identificador de suscripción de recursos de Azure |
CloudApplicationAppId | string | Identificador de la aplicación en la nube |
CloudApplicationAppName | string | Nombre de la aplicación en la nube |
DNSDomainName | string | El nombre de dominio del registro dns |
FileDirectory | string | Ruta de acceso completa del directorio de archivos |
FileName | string | Nombre de archivo sin ruta de acceso |
FileHashValue | string | Valor hash de archivo |
HostAzureID | string | Identificador de recurso de Azure del host |
HostName | string | El nombre de host sin dominio |
HostNetBiosName | string | Nombre netBIOS del host |
HostNTDomain | string | Dominio NT del host |
HostOSVersion | string | Sistema operativo host |
IoTDeviceId | string | Identificador del dispositivo IoT |
IoTDeviceName | string | El nombre del dispositivo IoT |
IoTDeviceType | string | El tipo de dispositivo IoT |
IoTDeviceVendor | string | El proveedor de dispositivos IoT |
IoTDeviceModel | string | El modelo de dispositivo IoT |
IoTDeviceOperatingSystem | string | El sistema operativo del dispositivo IoT |
IPAddress | string | La dirección IP |
MailboxDisplayName | string | Nombre para mostrar del buzón |
MailboxPrimaryAddress | string | Dirección principal del buzón |
MailboxUPN | string | El nombre principal de usuario del buzón |
MailMessageDeliveryAction | string | Acción de entrega de mensajes de correo |
MailMessageDeliveryLocation | string | Ubicación de entrega de mensajes de correo |
MailMessageRecipient | string | Destinatario del mensaje de correo |
MailMessageSenderIP | string | Dirección IP del remitente del mensaje de correo |
MailMessageSubject | string | Asunto del mensaje de correo |
MailMessageP1Sender | string | Remitente P1 del mensaje de correo (remitente delegado) |
MailMessageP2Sender | string | El remitente P2 del mensaje de correo (remitente original) |
MalwareCategory | string | Categoría de malware |
MalwareName | string | El nombre del malware |
ProcessCommandLine | string | Línea de comandos de ejecución de procesos |
ProcessId | string | Identificador de proceso |
RegistryKey | string | Ruta de acceso de la clave del Registro |
RegistryValueData | string | Valor de clave del Registro en representación con formato de cadena |
Url | string | Dirección URL |