Microsoft Azure Sentinel エンティティ型リファレンス
このドキュメントには、Azure portal の Microsoft Sentinel のエンティティとエンティティの種類に関する 2 つの情報と、Defender ポータルの Microsoft Sentinel に関する 2 つの情報が含まれています。
- エンティティの種類と識別子表には、アラートやインシデントで識別できるさまざまな種類のを示しています。これにより、それらを追跡して調査できます。 この表には、エンティティ型ごとに、エンティティを識別するために使用できるさまざまな識別子も示されています。
- Entity schema セクションには、エンティティの一般的なデータ構造とスキーマと、特にエンティティの種類ごとのデータ構造とスキーマが示されています。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
エンティティ型と識別子
次の表に、Microsoft Sentinel で認識できるエンティティ型と、エンティティの種類ごとに identifiers として使用できるattributesを示します。
Microsoft Sentinel は、分析ルールでエンティティ マッピングによって作成されたアラートとインシデントのエンティティを認識します。 また、他のソースから取り込まれたアラートで既に識別されているエンティティも認識します。
現在、Microsoft Sentinel でエンティティ マッピングを作成するときに、特定のエンティティに対して最大 3 つの識別子を使用できます。 エンティティを一意に識別するには強い識別子だけで十分です。一方、弱い識別子は、他の識別子と組み合わせてのみエンティティを識別できます。 詳しくは、強い識別子および弱い識別子を参照してください。 Microsoft Sentinel でエンティティ マッピングを作成するときに、このテーブルのすべての識別子を使用できるわけではありません (脚注を参照)。
エンティティ型 | 識別子 | 強い識別子 | 弱い識別子 |
---|---|---|---|
取引先企業 | 名前 FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+ Host ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
名前 |
Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
IP | 番地 AddressScope |
Address ** Address+AddressScope ** |
|
URL | URL | URL (絶対 URL の場合) ** | URL (相対 URL の場合) ** |
Azure リソース (AzureResource) |
ResourceId | ResourceId | |
クラウド アプリケーション (CloudApplication) |
AppId 名前 InstanceName |
AppId 名前 AppId+InstanceName Name+InstanceName |
|
DNS 解決 (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
ファイル | ディレクトリ 名前 |
Directory+Name | |
ファイル ハッシュ (FileHash) |
アルゴリズム 値 |
Algorithm+Value | |
マルウェア | 名前 カテゴリ |
Name+Category | |
Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (ホストなし) ProcessId+CreationTimeUtc+ ImageFile (ホストなし) |
レジストリ キー (RegistryKey) |
ハイブ キー |
Hive+Key | |
レジストリ値 (RegistryValue) |
名前 [値] ValueType |
Key+Name | Name (キーなし) |
セキュリティ グループ (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
メール クラスター (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 脅威 クエリ QueryTime MailCount IsVolumeAnomaly ソース ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
メール メッセージ (MailMessage) |
受信者 Urls 脅威 送信者 P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId サブジェクト BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Language * ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
送信メール (SubmissionMail) |
NetworkMessageId Timestamp Recipient 送信者 SenderIp サブジェクト ReportType SubmissionId SubmissionDate 申請者 |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
Sentinel エンティティ | エンティティ | エンティティ |
表の脚注:
- * これらの識別子は、エンティティ マッピングで使用できる識別子の一覧に表示されますが、厳密にはエンティティ スキーマの一部ではありません。
- ** これらの識別子は、特定の条件下でのみ強い識別子と見なされます。 アスタリスクのリンクをクリックすると、下記のエンティティ スキーマ セクションの関連エンティティの一覧で、適用される条件を確認できます。
- 斜体の識別子名 (アスタリスクなし) は内部エンティティを表します。つまり、1 つのエンティティ型は、属性として他のエンティティ型を持つことができます (以下のエンティティ スキーマ セクションを参照)。 識別子のリンクをたどると、内部エンティティ自体のスキーマが確認できます。
- スキーマには他のエンティティが存在する可能性があります。これは、Microsoft Sentinel 以外にも多くのことをサポートする一般的なスキーマです。 この記事には、Microsoft Sentinel で使用できるエンティティのみが記載されています。
エンティティ型スキーマ
以下のセクションでは、各エンティティ型の完全なスキーマの詳細について説明します。 これらのスキーマの多くには、他のエンティティ型へのリンクが含まれていることがわかります。 たとえば、Account のスキーマには、Host エンティティ型へのリンクが含まれています。これは、ユーザー アカウントの 1 つの属性は、それが定義されているホストであるためです。 これらの属性としてのエンティティは "内部エンティティ" と呼ばれ、エンティティ マッピングのための識別子としては使用できませんが、エンティティ ページと調査グラフでエンティティの詳細を提供する場合に非常に便利です。
Note
型列の値の後に疑問符が付いている場合は、フィールドが null 許容であることを示します。
エンティティ型のスキーマの一覧
- 取引先企業
- Host
- IP
- マルウェア
- ファイル
- Process
- クラウド アプリケーション
- DNS 解決
- Azure リソース
- ファイル ハッシュ
- レジストリ キー
- レジストリ値
- セキュリティ グループ
- URL
- IoT デバイス
- メールボックス
- メール クラスター
- メール メッセージ
- 送信メール
- Sentinel エンティティ
アカウント
エンティティ名: Account
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'account' |
名前 | String | アカウントの名前。 このフィールドには、ドメインが追加されていない名前のみを設定する必要があります。 |
Fullname | -- | "スキーマの一部ではありません。エンティティ マッピングの古いバージョンとの下位互換性のために含まれます。 " |
NTDomain | String | アラート形式 domain\username で表される NETBIOS ドメイン名。 例: Finance, NT AUTHORITY |
DnsDomain | String | 完全修飾ドメイン DNS 名。 例: finance.contoso.com |
UPNSuffix | String | アカウントのユーザー プリンシパル名サフィックス。 多くの場合、UPN サフィックスもドメイン名です。 例: contoso.com |
Host | エンティティ (Host) | ローカル アカウントの場合は、アカウントが含まれているホスト。 |
Sid | String | アカウントのセキュリティ識別子。 |
AadTenantId | Guid? | Microsoft Entra テナント ID (既知の場合)。 |
AadUserId | Guid? | Microsoft Entra アカウント オブジェクト ID (既知の場合)。 |
PUID | Guid? | Microsoft Entra パスワード ユーザー ID (既知の場合)。 |
IsDomainJoined | Bool? | アカウントがドメイン アカウントかどうかを示します。 |
表示名 | -- | "スキーマの一部ではありません。エンティティ マッピングの古いバージョンとの下位互換性のために含まれます。 " |
ObjectGuid | Guid? | ObjectGUID 属性は、Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。 |
CloudAppAccountId | String | CloudApp プロバイダーからのアラートにおける AccountID。 他の Microsoft 製品でサポートされていないサード パーティ製アプリのアカウント ID を参照します。 |
IsAnonymized | Bool? | ユーザー名が匿名化されているかどうかを示します。 省略可能。 既定値 : false 。 |
Stream | ストリーム | 特定のアカウントに関連する検出ログのソース。 省略可能。 |
アカウント エンティティの強い識別子
- Name + UPNSuffix
- AadUserId
- Sid
** この識別子は、アカウントが下記の注に記載されている組み込みアカウントの 1 つでない限り、強いです。 - Sid + Host
** アカウントが下記の注に記載されている組み込みアカウントの 1 つである場合、この識別子を強い識別子にするためには Host コンポーネントが必要です。 - Name + NTDomain
** アカウントがドメイン アカウントの場合、この組み合わせは強い識別子です。NTDomain が組み込みのドメイン/ワークグループではなく、ホスト名と異なるためです。 この場合は、Host コンポーネントがなくても強い識別子です。 - Name + NTDomain + Host
** アカウントがローカル アカウントの場合、つまり、NTDomain が組み込みのドメイン/ワークグループの場合は、強い識別子を作成するために Host コンポーネントが必要です。 - Name + DnsDomain
- PUID
- ObjectGuid
アカウント エンティティの弱い識別子
- 名前
注意
アカウント エンティティが 名前識別子を使用して定義され、特定のエンティティの名前値が次の一般的に組み込まれている汎用アカウント名のいずれかである場合、そのエンティティはアラートから削除されます。
- ADMIN
- 管理者
- SYSTEM
- ROOT
- ANONYMOUS
- AUTHENTICATED USER
- ネットワーク
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
Host
エンティティ名: ホスト
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'host' |
IpInterfaces | リスト<エンティティ (Ip)> | ホスト コンピューター上のすべての IP インターフェイスの一覧。 |
DnsDomain | String | このホストが属している DNS ドメイン。 既知の場合は、ドメインの完全な DNS サフィックスが含まれている必要があります。 |
NTDomain | String | このホストが属している NT ドメイン。 |
HostName | String | ドメイン サフィックスを除いたホスト名。 |
NetBiosName | String | ホスト名 (Windows 2000 より前)。 |
IoTDevice | エンティティ (IoT Device) | IoT デバイス エンティティ (このホストが IoT デバイスを表している場合)。 |
AzureID | String | VM の Azure リソース ID (既知の場合)。 |
OMSAgentID | String | OMS エージェント ID (ホストに OMS エージェントがインストールされている場合)。 |
OSFamily | Enum? | 次のいずれかの値です。 |
OSVersion | String | オペレーティング システムの自由記載表現。 このフィールドは、OSFamily より細かい特定のバージョン、または OSFamily 列挙型でサポートされていない将来の値を保持することを意図しています。 |
IsDomainJoined | Bool | このホストがドメインに属しているかどうかを示します。 |
ホスト エンティティの強い識別子
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
ホスト エンティティの弱い識別子
- HostName
- NetBiosName
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
IP
エンティティ名: IP
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'ip' |
住所 | String | 文字列としての IP アドレス。例: 127.0.0.1 (IPv4 または IPv6 のいずれか)。 |
AddressScope | String | プライベートや非グローバルの IP アドレスのホスト、サブネット、プライベート・ネットワークの名前。 グローバル IP アドレスの場合は Null または空 (既定値)。 |
場所 | GeoLocation | IP エンティティに関連付けられている地理的な場所のコンテキスト。 詳細については、「Microsoft Azure Sentinel において REST API を使用して位置情報データでエンティティをエンリッチする (パブリック プレビュー)」も参照してください。 |
Stream | ストリーム | 特定の IP に関連する検出ログのソース。 省略可能。 |
IP エンティティの強い識別子
- 住所
** IP アドレスがグローバル アドレスの場合、Address だけでも一意の強い識別子です。 - Address + AddressScope
** プライベート/内部のグローバル以外の IP アドレスの場合、これを厳密な識別子にするには AddressScope コンポーネントが必要です。
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
マルウェア
エンティティ名: マルウェア
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'malware' |
名前 | String | (検出?) ベンダーによって割り当てられたマルウェア名。例: Win32/Toga!rfn 。 |
カテゴリ | String | (検出?) ベンダーによって割り当てられたマルウェアのカテゴリ。例: Trojan。 |
ファイル | リスト<エンティティ (File)> | マルウェアが検出された、リンクされたファイル エンティティのリスト。 ファイル エンティティをインラインまたは参照として含めることができます。 構造の詳細については、ファイル エンティティを参照してください。 |
プロセス | リスト<エンティティ (Process)> | マルウェアが検出された、リンクされたプロセス エンティティのリスト。 これは、ファイルレス アクティビティでアラートがトリガーされたときによく使用されます。 構造の詳細については、プロセス エンティティを参照してください。 |
マルウェア エンティティの強い識別子
- Name + Category
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
ファイル
エンティティ名: ファイル
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'file' |
ディレクトリ | String | ファイルへの完全なパスです。 |
名前 | String | パスを除いたファイル名 (一部のアラートにはパスが含まれない場合があります)。 |
AlternateDataStreamName | String | NTFS ファイルシステム内のファイル ストリーム名 (メイン ストリームの場合は null)。 |
Host | エンティティ (Host) | ファイルが格納されたホスト。 |
HostUrl | エンティティ (URL) | ファイルがダウンロードされた場所の URL (Web のマーク)。 |
WindowsSecurityZoneType | WindowsSecurityZone | URL が属する Windows セキュリティ ゾーン (Web のマーク)。 |
ReferrerUrl | エンティティ (URL) | ファイルダウンロードの HTTP 要求の参照元 URL (Web のマーク)。 |
SizeInBytes | ロング? | ファイルのサイズをバイト単位で指定します。 |
FileHashes | リスト<エンティティ (FileHash)> | このファイルに関連付けられているファイル ハッシュ。 |
ファイル エンティティの強い識別子
- Name + Directory
- Name + FileHash
- Name + Directory + FileHash
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
プロセス
エンティティ名: プロセス
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'process' |
ProcessId | String | プロセス ID。 |
CommandLine | String | プロセスを作成するために使用されるコマンド ライン。 |
ElevationToken | Enum? | プロセスに関連付けられた昇格トークン。 指定できる値 |
CreationTimeUtc | DateTime? | プロセスの実行が開始された日時。 |
ImageFile | エンティティ (File) | ファイル エンティティをインラインまたは参照として含めることができます。 構造の詳細については、ファイル エンティティを参照してください。 |
取引先企業 | エンティティ (Account) | プロセスが実行されているアカウント。 Account エンティティをインラインまたは参照として含めることができます。 構造の詳細については、アカウント エンティティを参照してください。 |
ParentProcess | エンティティ (Process) | 親プロセス エンティティ。 部分的なデータ (PID のみなど) を含めることができます。 |
Host | エンティティ (Host) | プロセスが実行されていたホスト。 |
LogonSession | Entity (HostLogonSession) | セッションが実行されていたホスト。 |
プロセス エンティティの強い識別子
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
プロセス エンティティの弱い識別子
- ProcessId + CreationTimeUtc + CommandLine (Host はなし)
- ProcessId + CreationTimeUtc + ImageFile (Host はなし)
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
クラウド アプリケーション
エンティティ名: CloudApplication
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'cloud-application' |
AppId | int | 非推奨です。代わりに SaasId フィールドを使用してください。 アプリケーションの技術的 ID。 使用可能な値は、クラウド アプリケーションの識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。 |
SaasId | int | 非推奨の AppId フィールドを置き換えます。 アプリケーションの技術的 ID。 使用可能な値は、クラウド アプリケーションの識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。 |
名前 | String | 関連するクラウド アプリケーションの名前。 値は省略可能です。 |
InstanceName | String | クラウド アプリケーションのユーザー定義のインスタンス名。 多くの場合、顧客が持っている同じ種類の複数のアプリケーションを区別するために使用されます。 |
InstanceId | int | アプリケーションの特定のセッションの識別子。 これは、0 から始まる連続番号です。 値は省略可能です。 |
リスク | AppRisk? | リスク スコアでアプリをフィルター処理できるため、たとえば、リスクの高いアプリのみの確認に集中できます。 Low、Medium、High、Unknown が使用可能な値です。 |
Stream | ストリーム | 特定のクラウド アプリに関連する検出ログのソース。 省略可能。 |
クラウド アプリケーション エンティティの強い識別子
- AppId (InstanceName なし)
- Name (InstanceName なし)
- AppId + InstanceName
- Name + InstanceName
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
DNS の解決
エンティティ名: DNS
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'dns' |
DomainName | String | アラートに関連付けられている DNS レコードの名前。 |
IpAddress | リスト<エンティティ (IP)> | 解決された IP アドレスに対応するエンティティ。 |
DnsServerIp | エンティティ (IP) | 要求を解決する DNS サーバーを表すエンティティ。 |
HostIpAddress | エンティティ (IP) | DNS 要求クライアントを表すエンティティ。 |
DNS エンティティの強い識別子
- DomainName + DnsServerIp + HostIpAddress
DNS エンティティの弱い識別子
- DomainName + HostIpAddress
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
Azure リソース
エンティティ名: AzureResource
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "azure-resource" |
ResourceId | String | リソースの Azure リソース ID。 必須。 |
SubscriptionId | String | リソースのサブスクリプション ID。 |
ActiveContacts | リスト<ActiveContact> | リソースに関連付けられているアクティブな連絡先。 |
ResourceType | String | リソースの種類。 |
ResourceName | String | リソースの名前。 |
Azure リソース エンティティの強い識別子
- ResourceId
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
ファイル ハッシュ
エンティティ名: FileHash
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "filehash" |
アルゴリズム | 列挙型 | ハッシュ アルゴリズムの種類。 必須。 指定できる値 |
Value | String | ハッシュ値。 必須。 |
ファイル ハッシュ エンティティの強い識別子
- Algorithm + Value
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
レジストリ キー
エンティティ名: RegistryKey
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'registry-key' |
Hive | Enum? | 次のいずれかの値です。 |
キー | String | レジストリ キーのパス |
レジストリ キー エンティティの強い識別子
- Hive + Key
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
レジストリ値
エンティティ名: RegistryValue
フィールド | タイプ | 説明 |
---|---|---|
Type | String | 'registry-value' |
Host | エンティティ (Host) | レジストリが属しているホスト。 |
キー | エンティティ (RegistryKey) | レジストリ キーのエンティティ。 |
名前 | String | レジストリ値の名前。 |
Value | String | 値データの文字列形式の表現。 |
ValueType | Enum? | 次のいずれかの値です。 値は、Microsoft.Win32.RegistryValueKind 列挙型に準拠している必要があります。 |
レジストリ値エンティティの強い識別子
- Key + Name
レジストリ値エンティティの弱い識別子
- Name (Key なし)
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
セキュリティ グループ
エンティティ名: SecurityGroup
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "security-group" |
DistinguishedName | String | グループの識別名。 |
SID | String | グループのセキュリティ識別子 (SID) を指定する単一値の属性です。 |
ObjectGuid | Guid? | Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。 |
セキュリティ グループ エンティティの強い識別子
- DistinguishedName
- SID
- ObjectGuid
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
URL
エンティティ名: URL
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "url" |
url | Uri | エンティティが指している完全な URL。 必須。 |
URL エンティティの強い識別子
- URL (** URL が絶対 URL の場合、この識別子は強いです。)
URL エンティティの弱い識別子
- URL (** URL が相対 URL の場合、この識別子は弱いです。)
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
IoT デバイス
エンティティ名: IoTDevice
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "iotdevice" |
IoTHub | エンティティ (AzureResource) | デバイスが属している IoT Hub を表す AzureResource エンティティ。 |
DeviceId | String | IoT Hub のコンテキストでのデバイスの ID。 必須。 |
DeviceName | String | デバイスのフレンドリ名。 |
オーナー | List<String> | デバイスの所有者。 |
IoTSecurityAgentId | Guid? | デバイスで実行されている Defender for IoT エージェントの ID。 |
DeviceType | String | デバイスの種類 (例: "temperature sensor"、"freezer"、"wind turbine")。 |
DeviceTypeId | String | デバイスの種類スキーマに従って各デバイスの種類を識別するための一意の ID。デバイスの種類自体は表示名であり、比較において信頼できるものではありません。 指定できる値 Unclassified = 0 その他 = 1 ネットワーク デバイス = 2 プリンター = 3 音声とビデオ = 4 メディアと監視 = 5 通信 = 7 スマート アプライアンス = 9 ワークステーション = 10 サーバー = 11 モバイル = 12 スマート機能 = 13 産業用 = 14 運用機器 = 15 |
ソース | String | デバイス エンティティのソース (Microsoft/Vendor)。 |
SourceRef | エンティティ (Url) | デバイスが管理されているソース項目への URL 参照。 |
メーカー | String | デバイスの製造元。 |
Model | String | デバイスのモデル。 |
OperatingSystem | String | デバイスで実行されているオペレーティング システム。 |
IpAddress | エンティティ (IP) | デバイスの現在の IP アドレス。 |
MacAddress | String | デバイスの MAC アドレス。 |
Nics | エンティティ (Nic) | デバイス上の現在の NIC。 |
プロトコル | List<String> | デバイスでサポートされているプロトコルのリスト。 |
SerialNumber | String | デバイスのシリアル番号。 |
サイト | String | デバイスのサイトの場所。 |
ゾーン | String | サイト内のデバイスのゾーンの場所。 |
センサー | String | デバイスを監視するセンサー。 |
重要度 | Enum? | 次のいずれかの値です。 |
PurdueLayer | String | デバイスの Purdue レイヤー。 |
IsProgramming | Bool? | デバイスがプログラミング デバイスとして分類されているかどうかを示します。 |
IsAuthorized | Bool? | デバイスが承認されたデバイスとして分類されているかどうかを示します。 |
IsScanner | Bool? | デバイスがスキャナー デバイスとして分類されているかどうかを示します。 |
DevicePageLink | エンティティ (Url) | Defender for IoT ポータルのデバイス ページへの URL。 |
DeviceSubType | String | デバイスのサブタイプの名前。 |
IoT デバイス エンティティの強い識別子
- IoTHub + DeviceId
IoT デバイス エンティティの弱い識別子
- DeviceId (IoTHub なし)
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
Mailbox
エンティティ名: メールボックス
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "mailbox" |
MailboxPrimaryAddress | String | メールボックスのプライマリ アドレス。 |
表示名 | String | メールボックスの表示名。 |
Upn | String | メールボックスの UPN。 |
AadId | String | ユーザーのメールボックスの Azure AD 識別子。 |
RiskLevel | RiskLevel? | このメールボックスのリスク レベル。 指定できる値 |
ExternalDirectoryObjectId | Guid? | メールボックスの AzureAD 識別子。 Account エンティティの AadUserId に似ていますが、このプロパティは Office 側でのメールボックス オブジェクトに固有です。 |
メールボックス エンティティの強い識別子
- MailboxPrimaryAddress
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
メール クラスター
エンティティ名: MailCluster
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "mail-cluster" |
NetworkMessageIds | IList<String> | メール クラスターの一部であるメール メッセージ ID。 |
CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 文字列表現別のメール メッセージの数。 |
CountByThreatType | IDictionary<String,Int> | ThreatType 文字列表現別のメール メッセージの数。 |
CountByProtectionStatus | IDictionary<String,long> | 保護ステータス文字列表現別のメール メッセージの数。 |
CountByDeliveryLocation | IDictionary<String,long> | 配信場所文字列表現別のメール メッセージの数。 |
脅威 | IList<String> | メール クラスターの一部であるメール メッセージの脅威。 |
クエリ | String | メール クラスターのメッセージの識別に使用されたクエリ。 |
QueryTime | DateTime? | クエリの日時。 |
MailCount | Int? | メール クラスターの一部であるメール メッセージの数。 |
IsVolumeAnomaly | Bool? | メール クラスターがボリューム異常メール クラスターかどうかを示します。 |
ソース | String | メール クラスターのソース (既定値は O365 ATP )。 |
メール クラスター エンティティの強い識別子
- Query + Source
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
メール メッセージ
エンティティ名: MailMessage
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "mail-message" |
ファイル | I リスト<エンティティ (File)> | このメール メッセージの添付ファイルのファイル エンティティ。 |
Recipient | String | このメール メッセージの受信者。 複数の受信者がいる場合、メール メッセージがコピーされ、コピーごとに 1 人の受信者になります。 |
Urls | IList<String> | このメール メッセージに含まれている URL。 |
脅威 | IList<String> | このメール メッセージに含まれている脅威。 |
送信者 | String | 送信者の電子メール アドレス。 |
SenderIP | String | 送信者の IP アドレス。 |
ReceivedDate | DateTime | このメッセージの受信日時。 |
NetworkMessageId | Guid? | このメール メッセージのネットワーク メッセージ ID。 |
InternetMessageId | String | このメール メッセージのインターネット メッセージ ID。 |
情報カテゴリ | String | このメール メッセージの件名。 |
AntispamDirection | Enum? | このメール メッセージの方向。 指定できる値 |
DeliveryAction | Enum? | このメール メッセージの配信アクション。 指定できる値 |
DeliveryLocation | Enum? | このメール メッセージの配信場所。 指定できる値 |
CampaignId | String | このメール メッセージが存在するキャンペーンの識別子。 |
SuspiciousRecipients | IList<String> | 疑わしいと検出された受信者の一覧。 |
ForwardedRecipients | IList<String> | 転送されたメールのすべての受信者の一覧。 |
ForwardingType | IList<String> | SMTP、ETR などのメールの転送の種類。 |
メール メッセージ エンティティの強い識別子
- NetworkMessageId + Recipient
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
送信メール
エンティティ名: SubmissionMail
フィールド | タイプ | 説明 |
---|---|---|
Type | String | "SubmissionMail" |
SubmissionId | Guid? | 申請 ID。 |
SubmissionDate | DateTime? | この申請が報告された日時。 |
申請者 | String | 申請者のメール アドレス。 |
NetworkMessageId | Guid? | 申請が属しているメールのネットワーク メッセージ ID。 |
Timestamp | DateTime? | メッセージが受信されたときのタイムスタンプ (メール)。 |
Recipient | String | メールの受信者。 |
送信者 | String | メールの送信者。 |
SenderIp | String | 送信者の IP。 |
情報カテゴリ | String | 申請メールの件名。 |
ReportType | String | 特定のインスタンスの申請の種類。 指定できる値は、Junk、Phish、Malware、NotJunk です。 |
送信メール エンティティの強い識別子
- SubmissionId、Submitter、NetworkMessageId、Recipient
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
Sentinel エンティティ
フィールド | タイプ | 説明 |
---|---|---|
エンティティ | String | アラートで識別されたエンティティのリスト。 このリストは、SecurityAlert スキーマのエンティティ列です (ドキュメントを参照)。 |
エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る
クラウド アプリケーションの識別子
次の一覧では、既知のクラウド アプリケーションの識別子を定義します。 アプリ ID の値は、クラウド アプリケーションのエンティティ識別子として使用されます。
アプリ ID | 名前 |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | ボックス |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | cornerstone ondemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft Online Services |
11522 | Yammer |
11599 | アマゾン ウェブ サービス |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive for Business |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud Apps |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Autodesk Fusion Lifecycle |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype for Business |
25988 | Google Docs |
26055 | Microsoft 365 管理センター |
26060 | OPSWAT Gears |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google ドライブ |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft フォーム |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Workplace by Facebook |
28373 | CAS Proxy Emulator |
28375 | Microsoft Teams |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
次のステップ
このドキュメントでは、Microsoft Azure Sentinel でのエンティティの構造、識別子、スキーマについて学習しました。
エンティティとエンティティ マッピングに関する詳細をご確認ください。