Dokumentacja typów jednostek usługi Microsoft Sentinel
Ten dokument zawiera dwa zestawy informacji dotyczących jednostek i typów jednostek w usłudze Microsoft Sentinel w witrynie Azure Portal i usłudze Microsoft Sentinel w portalu usługi Defender.
- W tabeli Typy jednostek i identyfikatory przedstawiono różne typy jednostek, które można zidentyfikować w alertach i zdarzeniach, co umożliwia ich śledzenie i badanie. W tabeli przedstawiono również dla każdego typu jednostki różne identyfikatory, których można użyć do identyfikowania jednostki.
- Sekcja Schemat jednostki zawiera ogólną strukturę danych i schemat jednostek oraz dla każdego typu jednostki.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Typy jednostek i identyfikatory
W poniższej tabeli przedstawiono typy jednostek, które można rozpoznać przez usługę Microsoft Sentinel, oraz atrybuty , które mogą być używane jako identyfikatory dla każdego typu jednostki.
Usługa Microsoft Sentinel rozpoznaje jednostki w alertach i zdarzeniach tworzonych przez mapowanie jednostek w regułach analizy. Rozpoznaje również jednostki już zidentyfikowane w alertach pozyskanych z innych źródeł.
Obecnie można używać maksymalnie trzech identyfikatorów dla danej jednostki podczas tworzenia mapowania jednostek w usłudze Microsoft Sentinel. Tylko silne identyfikatory są wystarczające do unikatowego identyfikowania jednostki, natomiast słabe identyfikatory mogą to zrobić tylko w połączeniu z innymi identyfikatorami. Dowiedz się więcej o silnych i słabych identyfikatorach. Większość, ale nie wszystkie identyfikatory w tej tabeli mogą być używane podczas tworzenia mapowań jednostek w usłudze Microsoft Sentinel (zobacz przypisy dolne).
| Typ encji | Identifiers | Silne identyfikatory | Słabe identyfikatory |
|---|---|---|---|
| Klient | Nazwisko FullName * NTDomain Domena dns UPNSuffix Sid Identyfikator AadTenantId AadUserId PUID IsDomainJoinEd DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+host ** Nazwa+host+NTDomain ** Nazwa+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Nazwisko |
| Host | Domena dns NTDomain HostName FullName * NetBiosName Identyfikator platformy Azure Identyfikator OMSAgentID OSFamily OSVersion IsDomainJoinEd |
Nazwa hosta+NTDomain Nazwa hosta i domena DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain Identyfikator platformy Azure Identyfikator OMSAgentID |
HostName NetBiosName |
| Adres IP | Adres Adreszakres |
Adres ** Address+AddressScope ** |
|
| Adres URL | Url | Adres URL (jeśli bezwzględny adres URL ) ** | Adres URL (jeśli względny adres URL ) ** |
| Zasób platformy Azure (AzureResource) |
ResourceId | ResourceId | |
| Aplikacja w chmurze (CloudApplication) |
AppId Nazwisko InstanceName |
AppId Nazwisko AppId+InstanceName Nazwa i nazwa wystąpienia |
|
| Rozpoznawanie nazw DNS (DNS) |
DomainName | DomainName+DnsServerIp HostIpAddress+ | DomainName+HostIpAddress |
| Plik | Katalog Nazwisko |
Katalog+nazwa | |
| Skrót pliku (FileHash) |
Algorytm Wartość |
Algorytm i wartość | |
| Złośliwe oprogramowanie | Nazwisko Kategoria |
Nazwa i kategoria | |
| Proces | ProcessId CommandLine Podniesienie uprawnień CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Identyfikator ParentProcessId hosta++ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (bez hosta) ProcessId+CreationTimeUtc+ ImageFile (bez hosta) |
| Klucz rejestru (RegistryKey) |
Hive Key |
Hive+Key | |
| Wartość rejestru (RegistryValue) |
Nazwa/nazwisko Wartość ValueType |
Klucz+nazwa | Nazwa (bez klucza) |
| Grupa zabezpieczeń (SecurityGroup) |
Nazwa wyróżniająca SID ObjectGuid |
Nazwa wyróżniająca SID ObjectGuid |
|
| Skrzynka pocztowa | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Klaster poczty (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Zagrożenia Query Czas kwerendy MailCount IsVolumeAnomaly Źródło ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Zapytanie i źródło | |
| Wiadomość e-mail (MailMessage) |
Adresat Adresy URL Zagrożenia Nadawca P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * Odebranodanie NetworkMessageId InternetMessageId Temat BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Język* ThreatDetectionMethods * |
NetworkMessageId+Odbiorca | |
| Wyślij wiadomość e-mail (SubmissionMail) |
NetworkMessageId Sygnatura czasowa Adresat Nadawca SenderIp Temat Typ raportu Identyfikator przesyłania Data przesłania Nadesłał |
SubmissionId+NetworkMessageId+ Odbiorca i osoba przesyłająca |
|
| Jednostki usługi Sentinel | Jednostki | Encje |
Przypisy dolne tabeli:
- * Te identyfikatory są wyświetlane na liście identyfikatorów, które mogą być używane w mapowaniu jednostek, ale ściśle mówiąc, nie są częścią schematu jednostki.
- ** Te identyfikatory są uznawane za silne tylko w określonych warunkach. Postępuj zgodnie z linkami gwiazdki, aby wyświetlić warunki, które mają zastosowanie, w obszarze listy odpowiedniej jednostki w poniższej sekcji schematów jednostek.
- Nazwy identyfikatorów kursywy (bez gwiazdki) reprezentują jednostki wewnętrzne, co oznacza, że jeden typ jednostki może mieć inne typy jednostek jako atrybuty (zobacz sekcję schematów jednostek poniżej). Postępuj zgodnie z linkiem identyfikatora, aby wyświetlić własny schemat jednostki wewnętrznej.
Schematy typu jednostki
Poniższa sekcja zawiera bardziej szczegółowe omówienie pełnych schematów każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek. Na przykład schemat Konto zawiera link do typu jednostki Host, ponieważ jednym z atrybutów konta użytkownika jest host, na którego jest zdefiniowany. Te atrybuty jako jednostki są nazywane "jednostkami wewnętrznymi" i nie można ich używać jako identyfikatorów do mapowania jednostek, ale są one bardzo przydatne w zapewnianiu pełnego obrazu jednostek na stronach jednostek i wykresie badania.
Uwaga
Znak zapytania po wartości w kolumnie Typ wskazuje, że pole jest dopuszczane do wartości null.
Lista schematów typu jednostki
- Klient
- Host
- Adres IP
- Złośliwe oprogramowanie
- Plik
- Proces
- Aplikacja w chmurze
- Rozpoznawanie nazw DNS
- Zasób platformy Azure
- Skrót pliku
- Klucz rejestru
- Wartość rejestru
- Grupa zabezpieczeń
- Adres URL
- Urządzenie IoT
- Skrzynka pocztowa
- Klaster poczty
- Wiadomość e-mail
- Wyślij wiadomość e-mail
- Jednostki usługi Sentinel
Klient
Nazwa jednostki: Konto
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "konto" |
| Nazwa/nazwisko | String | Nazwa konta. To pole powinno zawierać tylko nazwę bez dodania do niej żadnej domeny. |
| FullName | -- | Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
| NTDomain | String | Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, NT AUTHORITY |
| Domena dns | String | W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com |
| UPNSuffix | String | Sufiks głównej nazwy użytkownika dla konta. W wielu przypadkach sufiks nazwy UPN jest również nazwą domeny. Przykłady: contoso.com |
| Host | Jednostka (host) | Host zawierający konto, jeśli jest kontem lokalnym. |
| Sid | String | Identyfikator zabezpieczeń konta. |
| Identyfikator AadTenantId | Guid? | Identyfikator dzierżawy entra firmy Microsoft, jeśli jest znany. |
| AadUserId | Guid? | Identyfikator obiektu konta Entra firmy Microsoft, jeśli jest znany. |
| IDENTYFIKATOR PUID | Guid? | Identyfikator użytkownika usługi Microsoft Entra Passport, jeśli jest znany. |
| IsDomainJoinEd | Bool? | Wskazuje, czy konto jest kontem domeny. |
| Nazwa wyświetlana | -- | Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
| ObjectGuid | Guid? | Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory. |
| CloudAppAccountId | String | Identyfikator accountID w alertach od dostawcy usługi CloudApp. Odwołuje się do identyfikatorów kont w aplikacjach innych firm, które nie są obsługiwane w innych produktach firmy Microsoft. |
| IsAnonymized | Bool? | Wskazuje, czy nazwa użytkownika jest anonimowa. Opcjonalny. Wartość domyślna: false. |
| Strumień | Stream | Źródło dzienników odnajdywania powiązanych z określonym kontem. Opcjonalny. |
Silne identyfikatory jednostki konta
- Nazwa + UPNSuffix
- AadUserId
- Sid
** Ten identyfikator jest silny, o ile konto nie jest jednym z wbudowanych kont wymienionych w notatce poniżej. - Sid i host
** Jeśli konto jest jednym z wbudowanych kont wymienionych w notatce poniżej, składnik hosta jest wymagany, aby ten identyfikator był silny. - Nazwa + NTDomain
** Ta kombinacja jest silnym identyfikatorem, gdy konto jest kontem domeny, ponieważ NTDomain nie jest wbudowaną domeną/grupą roboczą i różni się od nazwy hosta. W takim przypadku jest to silny identyfikator, nawet bez składnika Host. - Nazwa + NTDomain + host
** Składnik hosta jest niezbędny do utworzenia silnego identyfikatora, gdy konto jest kontem lokalnym, co oznacza, że NTDomain jest wbudowaną domeną/grupą roboczą. - Nazwa i domena DnsDomain
- IDENTYFIKATOR PUID
- ObjectGuid
Słabe identyfikatory jednostki konta
- Nazwisko
Uwaga
Jeśli jednostka Account jest zdefiniowana przy użyciu identyfikatora Name, a wartość Nazwa określonej jednostki jest jedną z następujących ogólnych, często wbudowanych nazw kont, ta jednostka zostanie porzucona z alertu.
- ADMINISTRATOR
- ADMINISTRATOR
- SYSTEM
- KORZEŃ
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Gospodarz
Nazwa jednostki: Host
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "host" |
| IpInterfaces | Jednostka listy<(Ip)> | Lista wszystkich interfejsów IP na maszynie hosta. |
| Domena dns | String | Domena DNS, do którego należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany. |
| NTDomain | String | Domena NT, do którego należy ten host. |
| Nazwa hosta | String | Nazwa hosta bez sufiksu domeny. |
| NetBiosName | String | Nazwa hosta (przed systemem Windows 2000). |
| IoTDevice | Jednostka (urządzenie IoT) | Jednostka Urządzenie IoT (jeśli ten host reprezentuje urządzenie IoT). |
| Identyfikator platformy Azure | String | Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany. |
| Identyfikator OMSAgentID | String | Identyfikator agenta pakietu OMS, jeśli host ma zainstalowanego agenta pakietu OMS. |
| OSFamily | Wyliczenie? | Jedna z następujących wartości: |
| OSVersion | String | Wolna reprezentacja systemu operacyjnego. To pole jest przeznaczone do przechowywania określonych wersji, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily. |
| IsDomainJoinEd | Bool | Wskazuje, czy ten host należy do domeny. |
Silne identyfikatory jednostki hosta
- Nazwa hosta + NTDomain
- Nazwa hosta i domena DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- Identyfikator platformy Azure
- Identyfikator OMSAgentID
- IoTDevice
Słabe identyfikatory jednostki hosta
- HostName
- NetBiosName
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Adres IP
Nazwa jednostki: ADRES IP
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "ip" |
| Address | String | Na przykład adres IP jako ciąg. 127.0.0.1 (w IPv4 lub IPv6). |
| Adreszakres | String | Nazwa hosta, podsieci lub sieci prywatnej dla prywatnych, nieglobalnych adresów IP. Wartości null lub puste dla globalnych adresów IP (ustawienie domyślne). |
| Lokalizacja | GeoLocation | Kontekst lokalizacji geograficznej dołączony do jednostki IP. Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza). |
| Strumień | Stream | Źródło dzienników odnajdywania powiązanych z określonym adresem IP. Opcjonalny. |
Silne identyfikatory jednostki IP
- Address
** Sam adres jest unikatowym, silnym identyfikatorem, gdy adres IP jest adresem globalnym. - Adres i adreszakres
** W przypadku prywatnych/wewnętrznych, nieglobalnych adresów IP składnik AddressScope jest wymagany do utworzenia silnego identyfikatora.
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Złośliwe oprogramowanie
Nazwa jednostki: Złośliwe oprogramowanie
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "malware" |
| Nazwa/nazwisko | String | Nazwa złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?), na przykład Win32/Toga!rfn. |
| Kategoria | String | Na przykład kategoria złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?). Koń trojański. |
| Pliki | Jednostka listy<(plik)> | Lista połączonych jednostek plików, na których znaleziono złośliwe oprogramowanie. Może zawierać jednostki File w tekście lub jako odwołanie. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Plik. |
| Procesy | Jednostka listy<(proces)> | Lista połączonych jednostek procesów, na których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert został wyzwolony w przypadku działania bez plików. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Process. |
Silne identyfikatory jednostki złośliwego oprogramowania
- Nazwa i kategoria
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Plik
Nazwa jednostki: Plik
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "plik" |
| Katalog | String | Pełna ścieżka, w której ma być wyszukiwany plik. |
| Nazwa/nazwisko | String | Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki). |
| AlternateDataStreamName | String | Nazwa strumienia plików w systemie plików NTFS (wartość null dla głównego strumienia). |
| Host | Jednostka (host) | Host, na którym był przechowywany plik. |
| HostUrl | Jednostka (adres URL) | Adres URL, z którego pobrano plik (Znacznik sieci Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zabezpieczenia Windows strefy, do której należy adres URL (Znacznik sieci Web). |
| RefererUrl | Jednostka (adres URL) | Adres URL odwołania żądania HTTP pobierania pliku (Znacznik sieci Web). |
| SizeInBytes | Długi? | Rozmiar pliku w bajtach. |
| Skróty plików | Jednostka listy<(FileHash)> | Skróty plików skojarzone z tym plikiem. |
Silne identyfikatory jednostki pliku
- Nazwa i katalog
- Nazwa i plikHash
- Nazwa + katalog + plikHash
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Przetwarzaj
Nazwa jednostki: Proces
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "proces" |
| Identyfikator procesu | String | Identyfikator procesu. |
| Wiersz polecenia | String | Wiersz polecenia użyty do utworzenia procesu. |
| Podniesienie uprawnień | Wyliczenie? | Token podniesienia uprawnień skojarzony z procesem. Możliwe wartości: |
| CreationTimeUtc | Data/godzina? | Czas rozpoczęcia procesu. |
| ImageFile | Jednostka (plik) | Może zawierać jednostkę File w tekście lub jako odwołanie. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Plik. |
| Klient | Jednostka (konto) | Konto, na którym są uruchomione procesy. Może zawierać jednostkę Account w tekście lub jako odwołanie. Aby uzyskać więcej informacji na temat struktury, zobacz jednostkę Account (Konto). |
| ParentProcess | Jednostka (proces) | Jednostka procesu nadrzędnego. Może zawierać dane częściowe, na przykład tylko piD. |
| Host | Jednostka (host) | Host, na którym był uruchomiony proces. |
| Logowanie | Jednostka (HostLogonSession) | Sesja, w której był uruchomiony proces. |
Silne identyfikatory jednostki procesu
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Słabe identyfikatory jednostki procesu
- ProcessId + CreationTimeUtc + CommandLine (i bez hosta)
- ProcessId + CreationTimeUtc + ImageFile (i bez hosta)
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Aplikacja w chmurze
Nazwa jednostki: CloudApplication
Silne identyfikatory jednostki aplikacji w chmurze
- AppId (bez wystąpieniaName)
- Nazwa (bez wystąpieniaName)
- Identyfikator aplikacji i nazwa wystąpienia
- Nazwa i nazwa wystąpienia
Lista identyfikatorów aplikacji w chmurze
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Rozpoznawanie nazw DNS
Nazwa jednostki: DNS
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "dns" |
| Nazwa domeny | String | Nazwa rekordu DNS skojarzonego z alertem. |
| Adresy IP | Jednostka listy<(IP)> | Jednostki odpowiadające rozpoznanych adresom IP. |
| DnsServerIp | Jednostka (IP) | Jednostka reprezentująca serwer DNS rozpoznający żądanie. |
| HostIpAddress | Jednostka (IP) | Jednostka reprezentująca klienta żądania DNS. |
Silne identyfikatory jednostki DNS
- DomainName + DnsServerIp HostIpAddress +
Słabe identyfikatory jednostki DNS
- DomainName + HostIpAddress
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Zasób platformy Azure
Nazwa jednostki: AzureResource
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "azure-resource" |
| ResourceId | String | Identyfikator zasobu platformy Azure. Obowiązkowy. |
| Identyfikator subskrypcji | String | Identyfikator subskrypcji zasobu. |
| Aktywnekontakty | Wyświetlanie listy<aktywnychkontaktów> | Aktywne kontakty skojarzone z zasobem. |
| ResourceType | String | Typ zasobu. |
| ResourceName | String | Nazwa zasobu. |
Silne identyfikatory jednostki zasobów platformy Azure
- ResourceId
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Wartość skrótu pliku
Nazwa jednostki: FileHash
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "filehash" |
| Algorytm | Wyliczenie | Typ algorytmu skrótu. Obowiązkowy. Możliwe wartości: |
| Wartość | String | Wartość skrótu. Obowiązkowy. |
Silne identyfikatory jednostki skrótu pliku
- Algorytm i wartość
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Klucz rejestru
Nazwa jednostki: RegistryKey
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "registry-key" |
| Hive | Wyliczenie? | Jedna z następujących wartości: |
| Klawisz | String | Ścieżka klucza rejestru. |
Silne identyfikatory jednostki klucza rejestru
- Hive + klucz
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Wartość rejestru
Nazwa jednostki: RegistryValue
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "registry-value" |
| Host | Jednostka (host) | Host, do którego należy rejestr. |
| Klawisz | Jednostka (RegistryKey) | Jednostka klucza rejestru. |
| Nazwa/nazwisko | String | Nazwa wartości rejestru. |
| Wartość | String | Ciąg sformatowany reprezentacja danych wartości. |
| ValueType | Wyliczenie? | Jedna z następujących wartości: Wartości powinny być zgodne z wyliczeniem Microsoft.Win32.RegistryValueKind. |
Silne identyfikatory jednostki wartości rejestru
- Klucz i nazwa
Słabe identyfikatory jednostki wartości rejestru
- Nazwa (bez klucza)
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Grupa zabezpieczeń
Nazwa jednostki: SecurityGroup
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "Grupa zabezpieczeń" |
| Nazwa wyróżniająca | String | Nazwa wyróżniająca grupy. |
| SID | String | Atrybut z jedną wartością, który określa identyfikator zabezpieczeń (SID) grupy. |
| ObjectGuid | Guid? | Atrybut z jedną wartością, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory. |
Silne identyfikatory jednostki grupy zabezpieczeń
- Nazwa wyróżniająca
- SID
- ObjectGuid
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
URL
Nazwa jednostki: adres URL
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "url" |
| Url | Identyfikator URI | Pełny adres URL wskazujący jednostkę. Obowiązkowy. |
Silne identyfikatory jednostki adresu URL
- Adres URL (** Ten identyfikator jest silny, gdy adres URL jest bezwzględnym adresem URL).
Słabe identyfikatory jednostki adresu URL
- Adres URL (** Ten identyfikator jest słaby, gdy adres URL jest względnym adresem URL).
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Urządzenie IoT
Nazwa jednostki: IoTDevice
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "iotdevice" |
| IoTHub | Jednostka (AzureResource) | Jednostka AzureResource reprezentująca centrum IoT Hub, do którego należy urządzenie. |
| Identyfikator urządzenia | String | Identyfikator urządzenia w kontekście usługi IoT Hub. Obowiązkowy. |
| Nazwa urządzenia | String | Przyjazna nazwa urządzenia. |
| Właścicieli | Ciąg listy<> | Właściciele urządzenia. |
| IoTSecurityAgentId | Guid? | Identyfikator agenta usługi Defender for IoT uruchomionego na urządzeniu. |
| Typ urządzenia | String | Typ urządzenia ("czujnik temperatury", "zamrażarka", "turbina wiatrowa" itp.). |
| DeviceTypeId | String | Unikatowy identyfikator identyfikujący każdy typ urządzenia zgodnie ze schematem typu urządzenia, ponieważ sam typ urządzenia jest nazwą wyświetlaną i nie jest niezawodny w porównaniach. Możliwe wartości: Niesklasyfikowane = 0 Różne = 1 Urządzenie sieciowe = 2 Drukarka = 3 Dźwięk i wideo = 4 Media i nadzór = 5 Komunikacja = 7 Urządzenie inteligentne = 9 Stacja robocza = 10 Serwer = 11 Telefon komórkowy = 12 Inteligentny obiekt = 13 Przemysłowy = 14 Sprzęt operacyjny = 15 |
| Source | String | Źródło (Microsoft/Vendor) jednostki urządzenia. |
| SourceRef | Jednostka (adres URL) | Odwołanie do adresu URL elementu źródłowego, w którym jest zarządzane urządzenie. |
| Producent | String | Producent urządzenia. |
| Model | String | Model urządzenia. |
| OperatingSystem | String | System operacyjny, na którym działa urządzenie. |
| Adresy IP | Jednostka (IP) | Bieżący adres IP urządzenia. |
| MacAddress | String | Adres MAC urządzenia. |
| Karty sieciowe | Jednostka (nic) | Bieżące karty sieciowe na urządzeniu. |
| Protokoły | Ciąg listy<> | Lista protokołów, które obsługuje urządzenie. |
| Numer seryjny | String | Numer seryjny urządzenia. |
| Oddział | String | Lokalizacja lokacji urządzenia. |
| Strefa | String | Lokalizacja strefy urządzenia w lokacji. |
| Czujnik | String | Czujnik monitorujący urządzenie. |
| Znaczenie | Wyliczenie? | Jedna z następujących wartości: |
| PurdueLayer | String | Warstwa purdue urządzenia. |
| IsProgramming | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie programistyczne. |
| IsAuthorized | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako autoryzowane urządzenie. |
| IsScanner | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie skanera. |
| DevicePageLink | Jednostka (adres URL) | Adres URL strony urządzenia w portalu usługi Defender for IoT. |
| DeviceSubType | String | Nazwa podtypu urządzenia. |
Silne identyfikatory jednostki urządzenia IoT
- IoTHub + DeviceId
Słabe identyfikatory jednostki urządzenia IoT
- DeviceId (bez usługi IoTHub)
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Mailbox
Nazwa jednostki: Skrzynka pocztowa
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "skrzynka pocztowa" |
| MailboxPrimaryAddress | String | Podstawowy adres skrzynki pocztowej. |
| Nazwa wyświetlana | String | Nazwa wyświetlana skrzynki pocztowej. |
| Upn | String | Nazwa UPN skrzynki pocztowej. |
| AadId | String | Identyfikator usługi Azure AD skrzynki pocztowej użytkownika. |
| Poziom ryzyka | RiskLevel? | Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości: |
| ExternalDirectoryObjectId | Guid? | Identyfikator skrzynki pocztowej usługi AzureAD. Podobnie jak AadUserId w jednostce Account, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office. |
Silne identyfikatory jednostki skrzynki pocztowej
- MailboxPrimaryAddress
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Klaster poczty
Nazwa jednostki: MailCluster
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "mail-cluster" |
| NetworkMessageIds | Ciąg IList<> | Identyfikatory wiadomości e-mail, które są częścią klastra poczty. |
| CountByDeliveryStatus | Ciąg IDictionary<, Int> | Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus. |
| CountByThreatType | Ciąg IDictionary<, Int> | Liczba wiadomości e-mail według reprezentacji ciągu ThreatType. |
| CountByProtectionStatus | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu stanu ochrony. |
| CountByDeliveryLocation | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu lokalizacji dostarczania. |
| Zagrożenia | Ciąg IList<> | Zagrożenia dotyczące wiadomości e-mail, które są częścią klastra poczty. |
| Zapytanie | String | Zapytanie, które zostało użyte do zidentyfikowania wiadomości klastra poczty. |
| Czas kwerendy | Data/godzina? | Czas zapytania. |
| MailCount | Int? | Liczba wiadomości e-mail, które są częścią klastra poczty. |
| IsVolumeAnomaly | Bool? | Wskazuje, czy klaster poczty jest klastrem poczty anomalii woluminu. |
| Source | String | Źródło klastra poczty (wartość domyślna to O365 ATP). |
Silne identyfikatory jednostki klastra poczty
- Zapytanie i źródło
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Mail message
Nazwa jednostki: MailMessage
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "wiadomość e-mail" |
| Pliki | Jednostka IList<(plik)> | Jednostki Plik załączników tej wiadomości e-mail. |
| Odbiorca | String | Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata. |
| Adresy URL | Ciąg IList<> | Adresy URL zawarte w tej wiadomości e-mail. |
| Zagrożenia | Ciąg IList<> | Zagrożenia zawarte w tej wiadomości e-mail. |
| Nadawca | String | Adres e-mail nadawcy. |
| SenderIP | String | Adres IP nadawcy. |
| Odebranodanie | DateTime | Odebrana data tej wiadomości. |
| NetworkMessageId | Guid? | Identyfikator wiadomości sieciowej tej wiadomości e-mail. |
| InternetMessageId | String | Identyfikator wiadomości internetowej tej wiadomości e-mail. |
| Temat | String | Temat tej wiadomości e-mail. |
| AntispamDirection | Wyliczenie? | Kierunek tej wiadomości e-mail. Możliwe wartości: |
| DeliveryAction | Wyliczenie? | Akcja dostarczania tej wiadomości e-mail. Możliwe wartości: |
| DeliveryLocation | Wyliczenie? | Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości: |
| Identyfikator kampanii | String | Identyfikator kampanii, w której znajduje się ta wiadomość e-mail. |
| SuspiciousRecipients | Ciąg IList<> | Lista adresatów, którzy zostali wykryci jako podejrzani. |
| Elementy przesyłania dalej | Ciąg IList<> | Lista wszystkich adresatów przesłanej dalej poczty. |
| Typ przekazywania | Ciąg IList<> | Typ przekazywania poczty, taki jak SMTP, ETR itp. |
Silne identyfikatory jednostki wiadomości e-mail
- NetworkMessageId + Odbiorca
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Wyślij wiadomość e-mail
Nazwa jednostki: SubmissionMail
| Pole | Typ | Opis |
|---|---|---|
| Type | String | "SubmissionMail" |
| Identyfikator przesyłania | Guid? | Identyfikator przesyłania. |
| Data przesłania | Data/godzina? | Zgłoszona data przesłania. |
| Nadesłał | String | Adres e-mail przesyłającej. |
| NetworkMessageId | Guid? | Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie. |
| Sygnatura czasowa | Data/godzina? | Sygnatura czasowa odebrania wiadomości (Poczta). |
| Odbiorca | String | Adresat wiadomości e-mail. |
| Nadawca | String | Nadawca wiadomości e-mail. |
| SenderIp | String | Adres IP nadawcy. |
| Temat | String | Temat przesłania wiadomości e-mail. |
| Typ raportu | String | Typ przesyłania dla danego wystąpienia. Możliwe wartości to Junk, Phish, Malware lub NotJunk. |
Silne identyfikatory jednostki SubmissionMail
- SubmitId, Submitter, NetworkMessageId, Odbiorca
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Jednostki usługi Sentinel
| Pole | Typ | Opis |
|---|---|---|
| Encje | String | Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna jednostek ze schematu SecurityAlert (zobacz dokumentację). |
Powrót do listy schematów typu jednostki Powrót do tabeli identyfikatorów | jednostek
Identyfikatory aplikacji w chmurze
Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość Identyfikator aplikacji jest używana jako identyfikator jednostki aplikacji w chmurze.
| Identyfikator aplikacji | Nazwisko |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Oprogramowanie Jive |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Dzień roboczy |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive dla biznesu |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Cykl życia programu Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype dla firm |
| 25988 | Google Docs |
| 26055 | Centrum administracyjne platformy Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS Proxy Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Następne kroki
W tym dokumencie przedstawiono strukturę jednostek, identyfikatory i schemat w usłudze Microsoft Sentinel.
Dowiedz się więcej o jednostkach i mapowaniu jednostek.