Informazioni di riferimento sulle regole di automazione di Microsoft Sentinel

Questo articolo contiene informazioni di riferimento sulla configurazione delle regole di automazione e sulle condizioni e le proprietà supportate.

Per altre informazioni sulle regole di automazione, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.

Per istruzioni sulla creazione, la gestione e l'uso delle regole di automazione, vedere Creare e usare le regole di automazione di Microsoft Sentinel per gestire la risposta.

Proprietà di entità supportate

Le entità e le proprietà dell'entità seguenti possono essere usate come condizioni per le regole di automazione:

Descrizioni delle proprietà

Questa tabella mostra le proprietà dell'entità supportate nell'API delle regole di automazione. Si tratta delle proprietà dell'entità i cui valori è possibile impostare come condizioni per l'attivazione di una regola di automazione.

Per l'elenco completo delle proprietà supportate, che include le proprietà degli eventi imprevisti, vedere Proprietà supportate delle proprietà delle regole di automazione nella documentazione dell'API regole di Automazione.

Nome (nell'API)	Tipo	Descrizione
AccountAadTenantId	string	ID tenant dell'account Microsoft Entra ID
AccountAadUserId	string	ID utente microsoft Entra ID account
AccountName	string	Nome dell'account
AccountNTDomain	string	Nome di dominio NetBIOS dell'account
AccountPUID	string	L'account Microsoft Entra ID Passport User ID
AccountSid	string	Identificatore di sicurezza dell'account
AccountObjectGuid	string	Identificatore univoco dell'oggetto account
AccountUPNSuffix	string	Suffisso del nome dell'entità utente dell'account
AzureResourceResourceId	string	ID risorsa di Azure
AzureResourceSubscriptionId	string	ID sottoscrizione della risorsa di Azure
CloudApplicationAppId	string	Identificatore dell'applicazione cloud
CloudApplicationAppName	string	Nome dell'applicazione cloud
DNSDomainName	string	Nome di dominio del record DNS
FileDirectory	string	Percorso completo della directory file
FileName	string	Nome file senza percorso
FileHashValue	string	Valore hash del file
HostAzureID	string	ID risorsa di Azure host
HostName	string	Nome host senza dominio
HostNetBiosName	string	Nome NetBIOS host
HostNTDomain	string	Dominio NT host
HostOSVersion	string	Sistema operativo host
IoTDeviceId	string	ID dispositivo IoT
IoTDeviceName	string	Nome del dispositivo IoT
IoTDeviceType	string	Tipo di dispositivo IoT
IoTDeviceVendor	string	Fornitore di dispositivi IoT
IoTDeviceModel	string	Modello di dispositivo IoT
IoTDeviceOperatingSystem	string	Sistema operativo del dispositivo IoT
IPAddress	string	Indirizzo IP
MailboxDisplayName	string	Nome visualizzato della cassetta postale
MailboxPrimaryAddress	string	Indirizzo primario della cassetta postale
MailboxUPN	string	Nome dell'entità utente della cassetta postale
MailMessageDeliveryAction	string	Azione di recapito dei messaggi di posta elettronica
MailMessageDeliveryLocation	string	Posizione di recapito dei messaggi di posta elettronica
MailMessageRecipient	string	Destinatario del messaggio di posta elettronica
MailMessageSenderIP	string	Indirizzo IP del mittente del messaggio di posta elettronica
MailMessageSubject	string	Oggetto del messaggio di posta elettronica
MailMessageP1Sender	string	Mittente P1 del messaggio di posta elettronica (mittente delegato)
MailMessageP2Sender	string	Mittente P2 del messaggio di posta elettronica (mittente originale)
MalwareCategory	string	Categoria malware
MalwareName	string	Nome malware
ProcessCommandLine	string	Riga di comando di esecuzione del processo
ProcessId	string	ID processo
RegistryKey	string	Percorso della chiave del Registro di sistema
RegistryValueData	string	Valore della chiave del Registro di sistema nella rappresentazione in formato stringa
Url	string	URL

Mapping alle entità

Questa tabella illustra come vengono visualizzate le proprietà di entità supportate nell'API regole di automazione nell'elenco a discesa delle condizioni nella creazione guidata regole di automazione. Illustra anche come queste proprietà eseguono il mapping alle entità e ai relativi identificatori , come definito negli avvisi di sicurezza di Microsoft Sentinel.

Nome nell'API	Nome nell'elenco a discesa dell'interfaccia utente	Entità: identificatore nello schema degli avvisi V3
AccountAadTenantId	ID tenant dell'account	Account: AadTenantId
AccountAadUserId	ID utente di AAD dell'account	Account: AadUserId
AccountName	Account name	Nome account:
AccountNTDomain	Dominio NT dell'account	Account: NTDomain
AccountPUID	ID dell'account PUID	Account: PUID
AccountSid	SID account	Account: Sid
AccountObjectGuid	ID oggetto account	Account: ObjectGuid
AccountUPNSuffix	Suffisso UPN account	Account: UPNSuffix
AzureResourceResourceId	ID risorsa di Azure	AzureResource: ResourceId
AzureResourceSubscriptionId	ID sottoscrizione della risorsa di Azure	AzureResource: SubscriptionId
CloudApplicationAppId	ID applicazione cloud	CloudApplication: AppId
CloudApplicationAppName	Nome applicazione cloud	CloudApplication: Nome
DNSDomainName	Nome di dominio DNS	DNS: DomainName
FileDirectory	Directory file	File: Directory
FileName	File name	Nome file:
FileHashValue	Hash file	FileHash: Valore
HostAzureID	Host Azure ID	Host: AzureID
HostName	Nome host	Host: HostName
HostNetBiosName	Nome NetBIOS host	Host: NetBiosName
HostNTDomain	Dominio NT host	Host: NTDomain
HostOSVersion	Sistema operativo host	Host: OSVersion
IoTDeviceId	ID dispositivo IoT	IoTDevice: DeviceId
IoTDeviceName	Nome del dispositivo IoT	IoTDevice: DeviceName
IoTDeviceType	Tipo di dispositivo IoT	IoTDevice: DeviceType
IoTDeviceVendor	Fornitore di dispositivi IoT	IoTDevice: Produttore
IoTDeviceModel	Modello di dispositivo IoT	IoTDevice: Modello
IoTDeviceOperatingSystem	Sistema operativo del dispositivo IoT	IoTDevice: OperatingSystem
IPAddress	Indirizzo IP	Indirizzo IP:
MailboxDisplayName	Nome visualizzato cassetta postale	Cassetta postale: DisplayName
MailboxPrimaryAddress	Indirizzo primario della cassetta postale	Mailbox: MailboxPrimaryAddress
MailboxUPN	UPN cassetta postale	Cassetta postale: Upn
MailMessageDeliveryAction	Azione di recapito dei messaggi di posta elettronica	MailMessage: DeliveryAction
MailMessageDeliveryLocation	Posizione di recapito dei messaggi di posta elettronica	MailMessage: DeliveryLocation
MailMessageRecipient	Destinatario messaggio di posta elettronica	MailMessage: Destinatario
MailMessageSenderIP	INDIRIZZO IP del mittente del messaggio di posta elettronica	MailMessage: SenderIP
MailMessageSubject	Oggetto del messaggio di posta elettronica	MailMessage: Oggetto
MailMessageP1Sender	Messaggio di posta elettronica P1 mittente	MailMessage: P1Sender
MailMessageP2Sender	Mittente P2 del messaggio di posta elettronica	MailMessage: P2Sender
MalwareCategory	Categoria malware	Malware: Categoria
MalwareName	Nome malware	Malware: Nome
ProcessCommandLine	Riga di comando processo	Processo: Riga di comando
ProcessId	Process ID	Processo: ProcessId
RegistryKey	Chiave del Registro di sistema	RegistryKey: Chiave
RegistryValueData	Valore del Registro di sistema	RegistryValue: Value
Url	Url	Url: Url