次の方法で共有


Microsoft Azure Sentinel エンティティ型リファレンス

このドキュメントには、Azure portal の Microsoft Sentinel のエンティティとエンティティの種類に関する 2 つの情報と、Defender ポータルの Microsoft Sentinel に関する 2 つの情報が含まれています。

  • エンティティの種類と識別子表には、アラートやインシデントで識別できるさまざまな種類のを示しています。これにより、それらを追跡して調査できます。 この表には、エンティティ型ごとに、エンティティを識別するために使用できるさまざまな識別子も示されています。
  • Entity schema セクションには、エンティティの一般的なデータ構造とスキーマと、特にエンティティの種類ごとのデータ構造とスキーマが示されています。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

エンティティ型と識別子

次の表に、Microsoft Sentinel で認識できるエンティティ型と、エンティティの種類ごとに identifiers として使用できるattributesを示します。

Microsoft Sentinel は、分析ルールでエンティティ マッピングによって作成されたアラートとインシデントのエンティティを認識します。 また、他のソースから取り込まれたアラートで既に識別されているエンティティも認識します。

現在、Microsoft Sentinel でエンティティ マッピングを作成するときに、特定のエンティティに対して最大 3 つの識別子を使用できます。 エンティティを一意に識別するには強い識別子だけで十分です。一方、弱い識別子は、他の識別子と組み合わせてのみエンティティを識別できます。 詳しくは、強い識別子および弱い識別子を参照してください。 Microsoft Sentinel でエンティティ マッピングを作成するときに、このテーブルのすべての識別子を使用できるわけではありません (脚注を参照)。

エンティティ型 識別子 強い識別子 弱い識別子
取引先企業 名前
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name+UPNSuffix
AADUserId
Sid **
Sid+ Host **
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid
名前
Host DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP 番地
AddressScope
Address **
Address+AddressScope **
URL URL URL (絶対 URL の場合) ** URL (相対 URL の場合) **
Azure リソース
(AzureResource)
ResourceId ResourceId
クラウド アプリケーション
(CloudApplication)
AppId
名前
InstanceName
AppId
名前
AppId+InstanceName
Name+InstanceName
DNS 解決
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
ファイル ディレクトリ
名前
Directory+Name
ファイル ハッシュ
(FileHash)
アルゴリズム
Algorithm+Value
マルウェア 名前
カテゴリ
Name+Category
Process ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash
ProcessId+CreationTimeUtc+
   CommandLine (ホストなし)
ProcessId+CreationTimeUtc+
   ImageFile (ホストなし)
レジストリ キー
(RegistryKey)
ハイブ
キー
Hive+Key
レジストリ値
(RegistryValue)
名前
[値]
ValueType
Key+Name Name (キーなし)
セキュリティ グループ
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
メール クラスター
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
脅威
クエリ
QueryTime
MailCount
IsVolumeAnomaly
ソース
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Source
メール メッセージ
(MailMessage)
受信者
Urls
脅威
送信者
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
サブジェクト
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Language *
ThreatDetectionMethods *
NetworkMessageId+Recipient
送信メール
(SubmissionMail)
NetworkMessageId
Timestamp
Recipient
送信者
SenderIp
サブジェクト
ReportType
SubmissionId
SubmissionDate
申請者
SubmissionId+NetworkMessageId+
   Recipient+Submitter
Sentinel エンティティ エンティティ エンティティ

表の脚注:

  • * これらの識別子は、エンティティ マッピングで使用できる識別子の一覧に表示されますが、厳密にはエンティティ スキーマの一部ではありません。
  • ** これらの識別子は、特定の条件下でのみ強い識別子と見なされます。 アスタリスクのリンクをクリックすると、下記のエンティティ スキーマ セクションの関連エンティティの一覧で、適用される条件を確認できます。
  • 斜体の識別子名 (アスタリスクなし) は内部エンティティを表します。つまり、1 つのエンティティ型は、属性として他のエンティティ型を持つことができます (以下のエンティティ スキーマ セクションを参照)。 識別子のリンクをたどると、内部エンティティ自体のスキーマが確認できます。
  • スキーマには他のエンティティが存在する可能性があります。これは、Microsoft Sentinel 以外にも多くのことをサポートする一般的なスキーマです。 この記事には、Microsoft Sentinel で使用できるエンティティのみが記載されています。

エンティティ型スキーマ

以下のセクションでは、各エンティティ型の完全なスキーマの詳細について説明します。 これらのスキーマの多くには、他のエンティティ型へのリンクが含まれていることがわかります。 たとえば、Account のスキーマには、Host エンティティ型へのリンクが含まれています。これは、ユーザー アカウントの 1 つの属性は、それが定義されているホストであるためです。 これらの属性としてのエンティティは "内部エンティティ" と呼ばれ、エンティティ マッピングのための識別子としては使用できませんが、エンティティ ページと調査グラフでエンティティの詳細を提供する場合に非常に便利です。

Note

列の値の後に疑問符が付いている場合は、フィールドが null 許容であることを示します。

エンティティ型のスキーマの一覧

アカウント

エンティティ名: Account

フィールド タイプ 説明
Type String 'account'
名前 String アカウントの名前。 このフィールドには、ドメインが追加されていない名前のみを設定する必要があります。
Fullname -- "スキーマの一部ではありません。エンティティ マッピングの古いバージョンとの下位互換性のために含まれます。 "
NTDomain String アラート形式 domain\username で表される NETBIOS ドメイン名。 例: Finance, NT AUTHORITY
DnsDomain String 完全修飾ドメイン DNS 名。 例: finance.contoso.com
UPNSuffix String アカウントのユーザー プリンシパル名サフィックス。 多くの場合、UPN サフィックスもドメイン名です。 例: contoso.com
Host エンティティ (Host) ローカル アカウントの場合は、アカウントが含まれているホスト。
Sid String アカウントのセキュリティ識別子。
AadTenantId Guid? Microsoft Entra テナント ID (既知の場合)。
AadUserId Guid? Microsoft Entra アカウント オブジェクト ID (既知の場合)。
PUID Guid? Microsoft Entra パスワード ユーザー ID (既知の場合)。
IsDomainJoined Bool? アカウントがドメイン アカウントかどうかを示します。
表示名 -- "スキーマの一部ではありません。エンティティ マッピングの古いバージョンとの下位互換性のために含まれます。 "
ObjectGuid Guid? ObjectGUID 属性は、Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。
CloudAppAccountId String CloudApp プロバイダーからのアラートにおける AccountID。 他の Microsoft 製品でサポートされていないサード パーティ製アプリのアカウント ID を参照します。
IsAnonymized Bool? ユーザー名が匿名化されているかどうかを示します。 省略可能。 既定値 : false
Stream ストリーム 特定のアカウントに関連する検出ログのソース。 省略可能。

アカウント エンティティの強い識別子

  • Name + UPNSuffix
  • AadUserId
  • Sid
    ** この識別子は、アカウントが下記のに記載されている組み込みアカウントの 1 つでない限り、強いです。
  • Sid + Host
    ** アカウントが下記のに記載されている組み込みアカウントの 1 つである場合、この識別子を強い識別子にするためには Host コンポーネントが必要です。
  • Name + NTDomain
    ** アカウントがドメイン アカウントの場合、この組み合わせは強い識別子です。NTDomain が組み込みのドメイン/ワークグループではなく、ホスト名と異なるためです。 この場合は、Host コンポーネントがなくても強い識別子です。
  • Name + NTDomain + Host
    ** アカウントがローカル アカウントの場合、つまり、NTDomain が組み込みのドメイン/ワークグループの場合は、強い識別子を作成するために Host コンポーネントが必要です。
  • Name + DnsDomain
  • PUID
  • ObjectGuid

アカウント エンティティの弱い識別子

  • 名前

注意

アカウント エンティティが 名前識別子を使用して定義され、特定のエンティティの名前値が次の一般的に組み込まれている汎用アカウント名のいずれかである場合、そのエンティティはアラートから削除されます。

  • ADMIN
  • 管理者
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • AUTHENTICATED USER
  • ネットワーク
  • NULL
  • LOCAL SYSTEM
  • LOCALSYSTEM
  • NETWORK SERVICE

エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

Host

エンティティ名: ホスト

フィールド タイプ 説明
Type String 'host'
IpInterfaces リスト<エンティティ (Ip)> ホスト コンピューター上のすべての IP インターフェイスの一覧。
DnsDomain String このホストが属している DNS ドメイン。 既知の場合は、ドメインの完全な DNS サフィックスが含まれている必要があります。
NTDomain String このホストが属している NT ドメイン。
HostName String ドメイン サフィックスを除いたホスト名。
NetBiosName String ホスト名 (Windows 2000 より前)。
IoTDevice エンティティ (IoT Device) IoT デバイス エンティティ (このホストが IoT デバイスを表している場合)。
AzureID String VM の Azure リソース ID (既知の場合)。
OMSAgentID String OMS エージェント ID (ホストに OMS エージェントがインストールされている場合)。
OSFamily Enum? 次のいずれかの値です。
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String オペレーティング システムの自由記載表現。
    このフィールドは、OSFamily より細かい特定のバージョン、または OSFamily 列挙型でサポートされていない将来の値を保持することを意図しています。
    IsDomainJoined Bool このホストがドメインに属しているかどうかを示します。

    ホスト エンティティの強い識別子

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    ホスト エンティティの弱い識別子

    • HostName
    • NetBiosName

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    IP

    エンティティ名: IP

    フィールド タイプ 説明
    Type String 'ip'
    住所 String 文字列としての IP アドレス。例: 127.0.0.1 (IPv4 または IPv6 のいずれか)。
    AddressScope String プライベートや非グローバルの IP アドレスのホスト、サブネット、プライベート・ネットワークの名前。 グローバル IP アドレスの場合は Null または空 (既定値)。
    場所 GeoLocation IP エンティティに関連付けられている地理的な場所のコンテキスト。

    詳細については、「Microsoft Azure Sentinel において REST API を使用して位置情報データでエンティティをエンリッチする (パブリック プレビュー)」も参照してください。
    Stream ストリーム 特定の IP に関連する検出ログのソース。 省略可能。

    IP エンティティの強い識別子

    • 住所
      ** IP アドレスがグローバル アドレスの場合、Address だけでも一意の強い識別子です。
    • Address + AddressScope
      ** プライベート/内部のグローバル以外の IP アドレスの場合、これを厳密な識別子にするには AddressScope コンポーネントが必要です。

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    マルウェア

    エンティティ名: マルウェア

    フィールド タイプ 説明
    Type String 'malware'
    名前 String (検出?) ベンダーによって割り当てられたマルウェア名。例: Win32/Toga!rfn
    カテゴリ String (検出?) ベンダーによって割り当てられたマルウェアのカテゴリ。例: Trojan。
    ファイル リスト<エンティティ (File)> マルウェアが検出された、リンクされたファイル エンティティのリスト。 ファイル エンティティをインラインまたは参照として含めることができます。
    構造の詳細については、ファイル エンティティを参照してください。
    プロセス リスト<エンティティ (Process)> マルウェアが検出された、リンクされたプロセス エンティティのリスト。 これは、ファイルレス アクティビティでアラートがトリガーされたときによく使用されます。
    構造の詳細については、プロセス エンティティを参照してください。

    マルウェア エンティティの強い識別子

    • Name + Category

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    ファイル

    エンティティ名: ファイル

    フィールド タイプ 説明
    Type String 'file'
    ディレクトリ String ファイルへの完全なパスです。
    名前 String パスを除いたファイル名 (一部のアラートにはパスが含まれない場合があります)。
    AlternateDataStreamName String NTFS ファイルシステム内のファイル ストリーム名 (メイン ストリームの場合は null)。
    Host エンティティ (Host) ファイルが格納されたホスト。
    HostUrl エンティティ (URL) ファイルがダウンロードされた場所の URL
    (Web のマーク)。
    WindowsSecurityZoneType WindowsSecurityZone URL が属する Windows セキュリティ ゾーン
    (Web のマーク)。
    ReferrerUrl エンティティ (URL) ファイルダウンロードの HTTP 要求の参照元 URL
    (Web のマーク)。
    SizeInBytes ロング? ファイルのサイズをバイト単位で指定します。
    FileHashes リスト<エンティティ (FileHash)> このファイルに関連付けられているファイル ハッシュ。

    ファイル エンティティの強い識別子

    • Name + Directory
    • Name + FileHash
    • Name + Directory + FileHash

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    プロセス

    エンティティ名: プロセス

    フィールド タイプ 説明
    Type String 'process'
    ProcessId String プロセス ID。
    CommandLine String プロセスを作成するために使用されるコマンド ライン。
    ElevationToken Enum? プロセスに関連付けられた昇格トークン。
    指定できる値
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? プロセスの実行が開始された日時。
    ImageFile エンティティ (File) ファイル エンティティをインラインまたは参照として含めることができます。
    構造の詳細については、ファイル エンティティを参照してください。
    取引先企業 エンティティ (Account) プロセスが実行されているアカウント。
    Account エンティティをインラインまたは参照として含めることができます。
    構造の詳細については、アカウント エンティティを参照してください。
    ParentProcess エンティティ (Process) 親プロセス エンティティ。
    部分的なデータ (PID のみなど) を含めることができます。
    Host エンティティ (Host) プロセスが実行されていたホスト。
    LogonSession Entity (HostLogonSession) セッションが実行されていたホスト。

    プロセス エンティティの強い識別子

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    プロセス エンティティの弱い識別子

    • ProcessId + CreationTimeUtc + CommandLine (Host はなし)
    • ProcessId + CreationTimeUtc + ImageFile (Host はなし)

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    クラウド アプリケーション

    エンティティ名: CloudApplication

    フィールド タイプ 説明
    Type String 'cloud-application'
    AppId int 非推奨です。代わりに SaasId フィールドを使用してください。 アプリケーションの技術的 ID。 使用可能な値は、クラウド アプリケーションの識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。
    SaasId int 非推奨の AppId フィールドを置き換えます。 アプリケーションの技術的 ID。 使用可能な値は、クラウド アプリケーションの識別子の一覧で定義されている値です。 値は省略可能です。 InstanceId を含めることはできません。
    名前 String 関連するクラウド アプリケーションの名前。 値は省略可能です。
    InstanceName String クラウド アプリケーションのユーザー定義のインスタンス名。 多くの場合、顧客が持っている同じ種類の複数のアプリケーションを区別するために使用されます。
    InstanceId int アプリケーションの特定のセッションの識別子。 これは、0 から始まる連続番号です。 値は省略可能です。
    リスク AppRisk? リスク スコアでアプリをフィルター処理できるため、たとえば、リスクの高いアプリのみの確認に集中できます。 Low、Medium、High、Unknown が使用可能な値です。
    Stream ストリーム 特定のクラウド アプリに関連する検出ログのソース。 省略可能。

    クラウド アプリケーション エンティティの強い識別子

    • AppId (InstanceName なし)
    • Name (InstanceName なし)
    • AppId + InstanceName
    • Name + InstanceName

    クラウド アプリケーションの識別子の一覧

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    DNS の解決

    エンティティ名: DNS

    フィールド タイプ 説明
    Type String 'dns'
    DomainName String アラートに関連付けられている DNS レコードの名前。
    IpAddress リスト<エンティティ (IP)> 解決された IP アドレスに対応するエンティティ。
    DnsServerIp エンティティ (IP) 要求を解決する DNS サーバーを表すエンティティ。
    HostIpAddress エンティティ (IP) DNS 要求クライアントを表すエンティティ。

    DNS エンティティの強い識別子

    • DomainName + DnsServerIp + HostIpAddress

    DNS エンティティの弱い識別子

    • DomainName + HostIpAddress

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    Azure リソース

    エンティティ名: AzureResource

    フィールド タイプ 説明
    Type String "azure-resource"
    ResourceId String リソースの Azure リソース ID。 必須。
    SubscriptionId String リソースのサブスクリプション ID。
    ActiveContacts リスト<ActiveContact> リソースに関連付けられているアクティブな連絡先。
    ResourceType String リソースの種類。
    ResourceName String リソースの名前。

    Azure リソース エンティティの強い識別子

    • ResourceId

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    ファイル ハッシュ

    エンティティ名: FileHash

    フィールド タイプ 説明
    Type String "filehash"
    アルゴリズム 列挙型 ハッシュ アルゴリズムの種類。 必須。 指定できる値
  • Unknown
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Value String ハッシュ値。 必須。

    ファイル ハッシュ エンティティの強い識別子

    • Algorithm + Value

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    レジストリ キー

    エンティティ名: RegistryKey

    フィールド タイプ 説明
    Type String 'registry-key'
    Hive Enum? 次のいずれかの値です。
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • キー String レジストリ キーのパス

    レジストリ キー エンティティの強い識別子

    • Hive + Key

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    レジストリ値

    エンティティ名: RegistryValue

    フィールド タイプ 説明
    Type String 'registry-value'
    Host エンティティ (Host) レジストリが属しているホスト。
    キー エンティティ (RegistryKey) レジストリ キーのエンティティ。
    名前 String レジストリ値の名前。
    Value String 値データの文字列形式の表現。
    ValueType Enum? 次のいずれかの値です。
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • なし
  • Unknown
    値は、Microsoft.Win32.RegistryValueKind 列挙型に準拠している必要があります。
  • レジストリ値エンティティの強い識別子

    • Key + Name

    レジストリ値エンティティの弱い識別子

    • Name (Key なし)

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    セキュリティ グループ

    エンティティ名: SecurityGroup

    フィールド タイプ 説明
    Type String "security-group"
    DistinguishedName String グループの識別名。
    SID String グループのセキュリティ識別子 (SID) を指定する単一値の属性です。
    ObjectGuid Guid? Active Directory によって割り当てられる、オブジェクトの一意識別子である単一値の属性です。

    セキュリティ グループ エンティティの強い識別子

    • DistinguishedName
    • SID
    • ObjectGuid

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    URL

    エンティティ名: URL

    フィールド タイプ 説明
    Type String "url"
    url Uri エンティティが指している完全な URL。 必須。

    URL エンティティの強い識別子

    • URL (** URL が絶対 URL の場合、この識別子は強いです。)

    URL エンティティの弱い識別子

    • URL (** URL が相対 URL の場合、この識別子は弱いです。)

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    IoT デバイス

    エンティティ名: IoTDevice

    フィールド タイプ 説明
    Type String "iotdevice"
    IoTHub エンティティ (AzureResource) デバイスが属している IoT Hub を表す AzureResource エンティティ。
    DeviceId String IoT Hub のコンテキストでのデバイスの ID。 必須。
    DeviceName String デバイスのフレンドリ名。
    オーナー List<String> デバイスの所有者。
    IoTSecurityAgentId Guid? デバイスで実行されている Defender for IoT エージェントの ID。
    DeviceType String デバイスの種類 (例: "temperature sensor"、"freezer"、"wind turbine")。
    DeviceTypeId String デバイスの種類スキーマに従って各デバイスの種類を識別するための一意の ID。デバイスの種類自体は表示名であり、比較において信頼できるものではありません。

    指定できる値
    Unclassified = 0
    その他 = 1
    ネットワーク デバイス = 2
    プリンター = 3
    音声とビデオ = 4
    メディアと監視 = 5
    通信 = 7
    スマート アプライアンス = 9
    ワークステーション = 10
    サーバー = 11
    モバイル = 12
    スマート機能 = 13
    産業用 = 14
    運用機器 = 15
    ソース String デバイス エンティティのソース (Microsoft/Vendor)。
    SourceRef エンティティ (Url) デバイスが管理されているソース項目への URL 参照。
    メーカー String デバイスの製造元。
    Model String デバイスのモデル。
    OperatingSystem String デバイスで実行されているオペレーティング システム。
    IpAddress エンティティ (IP) デバイスの現在の IP アドレス。
    MacAddress String デバイスの MAC アドレス。
    Nics エンティティ (Nic) デバイス上の現在の NIC。
    プロトコル List<String> デバイスでサポートされているプロトコルのリスト。
    SerialNumber String デバイスのシリアル番号。
    サイト String デバイスのサイトの場所。
    ゾーン String サイト内のデバイスのゾーンの場所。
    センサー String デバイスを監視するセンサー。
    重要度 Enum? 次のいずれかの値です。
  • 正常
  • PurdueLayer String デバイスの Purdue レイヤー。
    IsProgramming Bool? デバイスがプログラミング デバイスとして分類されているかどうかを示します。
    IsAuthorized Bool? デバイスが承認されたデバイスとして分類されているかどうかを示します。
    IsScanner Bool? デバイスがスキャナー デバイスとして分類されているかどうかを示します。
    DevicePageLink エンティティ (Url) Defender for IoT ポータルのデバイス ページへの URL。
    DeviceSubType String デバイスのサブタイプの名前。

    IoT デバイス エンティティの強い識別子

    • IoTHub + DeviceId

    IoT デバイス エンティティの弱い識別子

    • DeviceId (IoTHub なし)

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    Mailbox

    エンティティ名: メールボックス

    フィールド タイプ 説明
    Type String "mailbox"
    MailboxPrimaryAddress String メールボックスのプライマリ アドレス。
    表示名 String メールボックスの表示名。
    Upn String メールボックスの UPN。
    AadId String ユーザーのメールボックスの Azure AD 識別子。
    RiskLevel RiskLevel? このメールボックスのリスク レベル。 指定できる値
  • なし
  • Medium
  • ExternalDirectoryObjectId Guid? メールボックスの AzureAD 識別子。 Account エンティティの AadUserId に似ていますが、このプロパティは Office 側でのメールボックス オブジェクトに固有です。

    メールボックス エンティティの強い識別子

    • MailboxPrimaryAddress

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    メール クラスター

    エンティティ名: MailCluster

    フィールド タイプ 説明
    Type String "mail-cluster"
    NetworkMessageIds IList<String> メール クラスターの一部であるメール メッセージ ID。
    CountByDeliveryStatus IDictionary<String,Int> DeliveryStatus 文字列表現別のメール メッセージの数。
    CountByThreatType IDictionary<String,Int> ThreatType 文字列表現別のメール メッセージの数。
    CountByProtectionStatus IDictionary<String,long> 保護ステータス文字列表現別のメール メッセージの数。
    CountByDeliveryLocation IDictionary<String,long> 配信場所文字列表現別のメール メッセージの数。
    脅威 IList<String> メール クラスターの一部であるメール メッセージの脅威。
    クエリ String メール クラスターのメッセージの識別に使用されたクエリ。
    QueryTime DateTime? クエリの日時。
    MailCount Int? メール クラスターの一部であるメール メッセージの数。
    IsVolumeAnomaly Bool? メール クラスターがボリューム異常メール クラスターかどうかを示します。
    ソース String メール クラスターのソース (既定値は O365 ATP)。

    メール クラスター エンティティの強い識別子

    • Query + Source

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    メール メッセージ

    エンティティ名: MailMessage

    フィールド タイプ 説明
    Type String "mail-message"
    ファイル I リスト<エンティティ (File)> このメール メッセージの添付ファイルのファイル エンティティ。
    Recipient String このメール メッセージの受信者。 複数の受信者がいる場合、メール メッセージがコピーされ、コピーごとに 1 人の受信者になります。
    Urls IList<String> このメール メッセージに含まれている URL。
    脅威 IList<String> このメール メッセージに含まれている脅威。
    送信者 String 送信者の電子メール アドレス。
    SenderIP String 送信者の IP アドレス。
    ReceivedDate DateTime このメッセージの受信日時。
    NetworkMessageId Guid? このメール メッセージのネットワーク メッセージ ID。
    InternetMessageId String このメール メッセージのインターネット メッセージ ID。
    情報カテゴリ String このメール メッセージの件名。
    AntispamDirection Enum? このメール メッセージの方向。 指定できる値
  • Unknown
  • 受信
  • 送信
  • Intraorg (内部)
  • DeliveryAction Enum? このメール メッセージの配信アクション。 指定できる値
  • Unknown
  • DeliveredAsSpam
  • 配信済み
  • [ブロック済み]
  • 置換後
  • DeliveryLocation Enum? このメール メッセージの配信場所。 指定できる値
  • Unknown
  • Inbox
  • JunkFolder
  • DeletedFolder
  • 検疫
  • 外部
  • 失敗
  • Dropped
  • Forwarded
  • CampaignId String このメール メッセージが存在するキャンペーンの識別子。
    SuspiciousRecipients IList<String> 疑わしいと検出された受信者の一覧。
    ForwardedRecipients IList<String> 転送されたメールのすべての受信者の一覧。
    ForwardingType IList<String> SMTP、ETR などのメールの転送の種類。

    メール メッセージ エンティティの強い識別子

    • NetworkMessageId + Recipient

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    送信メール

    エンティティ名: SubmissionMail

    フィールド タイプ 説明
    Type String "SubmissionMail"
    SubmissionId Guid? 申請 ID。
    SubmissionDate DateTime? この申請が報告された日時。
    申請者 String 申請者のメール アドレス。
    NetworkMessageId Guid? 申請が属しているメールのネットワーク メッセージ ID。
    Timestamp DateTime? メッセージが受信されたときのタイムスタンプ (メール)。
    Recipient String メールの受信者。
    送信者 String メールの送信者。
    SenderIp String 送信者の IP。
    情報カテゴリ String 申請メールの件名。
    ReportType String 特定のインスタンスの申請の種類。 指定できる値は、Junk、Phish、Malware、NotJunk です。

    送信メール エンティティの強い識別子

    • SubmissionId、Submitter、NetworkMessageId、Recipient

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    Sentinel エンティティ

    フィールド タイプ 説明
    エンティティ String アラートで識別されたエンティティのリスト。 このリストは、SecurityAlert スキーマのエンティティ列です (ドキュメントを参照)。

    エンティティ型のスキーマの一覧に戻る | エンティティ識別子の表に戻る

    クラウド アプリケーションの識別子

    次の一覧では、既知のクラウド アプリケーションの識別子を定義します。 アプリ ID の値は、クラウド アプリケーションのエンティティ識別子として使用されます。

    アプリ ID 名前
    10026 DocuSign
    10395 Anaplan
    10489 ボックス
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 アマゾン ウェブ サービス
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 Microsoft 365 管理センター
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google ドライブ
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft フォーム
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    次のステップ

    このドキュメントでは、Microsoft Azure Sentinel でのエンティティの構造、識別子、スキーマについて学習しました。

    エンティティエンティティ マッピングに関する詳細をご確認ください。