Referência de regras de automação do Microsoft Sentinel

Este artigo contém informações de referência sobre a configuração de regras de automação e as condições e propriedades com suporte.

Para saber mais sobre regras de automação, confira Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.

Para obter instruções sobre como criar, gerenciar e usar regras de automação, consulte Criar e usar regras de automação do Microsoft Sentinel para gerenciar a resposta.

Propriedades de entidade com suporte

As seguintes entidades e propriedades de entidade podem ser usadas como condições para regras de automação:

Descrições de propriedade

Esta tabela mostra as propriedades da entidade com suporte na API de regras de automação. Essas são as propriedades da entidade cujos valores você pode definir como condições para acionar uma regra de automação.

Para obter a lista completa de propriedades com suporte, que inclui propriedades de incidente, consulte Propriedades com suporte da condição de propriedade da regra de automação na documentação da API de regras de automação.

Nome (na API)	Tipo	Descrição
AccountAadTenantId	string	A ID do locatário da ID do Microsoft Entra da conta
AccountAadUserId	string	A ID de usuário do ID do Microsoft Entra da conta
AccountName	string	O nome da conta
AccountNTDomain	string	O nome de domínio NetBIOS da conta
AccountPUID	string	A conta Microsoft Entra ID ID de usuário do Passport
AccountSid	string	O identificador de segurança da conta
AccountObjectGuid	string	O identificador exclusivo do objeto de conta
AccountUPNSuffix	string	O sufixo do nome principal do usuário da conta
AzureResourceResourceId	string	A ID do recurso do Azure
AzureResourceSubscriptionId	string	A ID da assinatura de recurso do Azure
CloudApplicationAppId	string	O identificador do aplicativo em nuvem
CloudApplicationAppName	string	O nome do aplicativo de nuvem
DNSDomainName	string	O nome de domínio do registro dns
Diretório de arquivos	string	O caminho completo do diretório de arquivos
FileName	string	O nome do arquivo sem caminho
ArquivoHashValor	string	O valor de hash do arquivo
HostAzureID	string	A ID do recurso do Azure do host
HostName	string	O nome do host sem domínio
Nome da HostNetBios	string	O nome NetBIOS do host
HostNTDomain	string	O domínio do NT do host
HostOSVersion	string	O sistema operacional host
IoTDeviceId	string	A ID do dispositivo IoT
IoTDeviceName	string	O nome do dispositivo IoT
IoTDeviceType	string	O tipo de dispositivo IoT
IoTDeviceVendor	string	O fornecedor de dispositivos IoT
IoTDeviceModel	string	O modelo de dispositivo IoT
IoTDeviceOperatingSystem	string	O sistema operacional do dispositivo IoT
IPAddress	string	O endereço IP
MailboxDisplayName	string	O nome de exibição da caixa de correio
MailboxPrimaryAddress	string	O endereço principal da caixa de correio
MailboxUPN	string	O nome principal do usuário da caixa de correio
MailMessageDeliveryAction	string	A ação de entrega de mensagens de email
MailMessageDeliveryLocation	string	O local de entrega da mensagem de email
MailMessageRecipient	string	O destinatário da mensagem de email
MailMessageSenderIP	string	O endereço IP do remetente da mensagem de email
MailMessageSubject	string	O assunto da mensagem de email
MensagemDeCorreioP1Remetente	string	O remetente da mensagem de email P1 (remetente delegado)
MensagemDeCorreioP2Remetente	string	O remetente da mensagem de email P2 (remetente original)
Categoria de malware	string	A categoria de malware
Nome do malware	string	O nome do malware
Linha de comando do processo	string	A linha de comando de execução do processo
ProcessId	string	O ID do processo
RegistryKey	string	O caminho da chave do Registro
RegistryValueData	string	O valor da chave do Registro na representação formatada de cadeia de caracteres
Url	string	O url

Mapeamento para entidades

Esta tabela mostra como as propriedades da entidade com suporte na API de regras de automação são exibidas na lista suspensa de condições no assistente de criação de regras de automação. Ele também mostra como essas propriedades são mapeadas para entidades e seus identificadores , conforme definido nos alertas de segurança do Microsoft Sentinel.

Nome na API	Nome no menu suspenso da interface do usuário	Entidade: Identificador no esquema de alerta V3
AccountAadTenantId	ID do locatário da conta	Conta: AadTenantId
AccountAadUserId	ID de usuário do AAD da conta	Conta: AadUserId
AccountName	Nome da conta	Nome da conta:
AccountNTDomain	Domínio NT da conta	Conta: NTDomain
AccountPUID	PUID da conta	Conta: PUID
AccountSid	SID da Conta	Conta: Sid
AccountObjectGuid	ID de objeto da conta	Conta: ObjectGuid
AccountUPNSuffix	Sufixo UPN da conta	Conta: UPNSuffix
AzureResourceResourceId	ID do recurso do Azure	AzureResource: ResourceId
AzureResourceSubscriptionId	ID da assinatura de recurso do Azure	AzureResource: SubscriptionId
CloudApplicationAppId	ID do aplicativo em nuvem	CloudApplication: AppId
CloudApplicationAppName	Nome do aplicativo em nuvem	CloudApplication: Nome
DNSDomainName	Nome de domínio DNS	DNS: Nome de domínio
Diretório de arquivos	Diretório de arquivos	Arquivo: Diretório
FileName	Nome do arquivo	Nome de Arquivo:
ArquivoHashValor	Hash do arquivo	FileHash: Valor
HostAzureID	Host Azure ID	Host: AzureID
HostName	Nome do host	Host: Nome do host
Nome da HostNetBios	Nome do NetBIOS do host	Anfitrião: NetBiosName
HostNTDomain	Domínio do Host NT	Anfitrião: NTDomain
HostOSVersion	Sistema operacional do host	Anfitrião: OSVersion
IoTDeviceId	ID do dispositivo IoT	IoTDevice: DeviceId
IoTDeviceName	nome do dispositivo IoT	IoTDevice: DeviceName
IoTDeviceType	Tipo de dispositivo IoT	IoTDevice: DeviceType
IoTDeviceVendor	Fornecedor de dispositivos IoT	IoTDevice: Fabricante
IoTDeviceModel	Modelo de dispositivo IoT	IoTDevice: Modelo
IoTDeviceOperatingSystem	Sistema operacional do dispositivo IoT	IoTDevice: Sistema operacional
EndereçoIP	Endereço IP	Endereço IP:
MailboxDisplayName	Nome de exibição da caixa de correio	Caixa de correio: DisplayName
MailboxPrimaryAddress	Endereço principal da caixa de correio	Caixa de correio: MailboxPrimaryAddress
MailboxUPN	UPN da caixa de correio	Caixa de correio: Upn
MailMessageDeliveryAction	Ação de entrega de mensagens de email	MailMessage: DeliveryAction
MailMessageDeliveryLocation	Local de entrega de mensagens de email	MailMessage: DeliveryLocation
MailMessageRecipient	Destinatário da mensagem de e-mail	MailMessage: Destinatário
MailMessageSenderIP	IP do remetente da mensagem de e-mail	MailMessage: SenderIP
MailMessageSubject	Assunto da mensagem de e-mail	MailMessage: Assunto
MensagemDeCorreioP1Remetente	Remetente da mensagem de e-mail P1	MailMessage: P1Sender
MensagemDeCorreioP2Remetente	Remetente da mensagem de email P2	MailMessage: P2Sender
Categoria de malware	Categoria de malware	Malware: Categoria
Nome do malware	Nome do malware	Malware: Nome
Linha de comando do processo	Linha de comando do processo	Processo: Linha de Comando
ProcessId	ID do Processo	Processo: ProcessId
RegistryKey	Chave do Registro	RegistryKey: Chave
RegistryValueData	Valor do Registro	RegistryValue: Valor
Url	Url	Url: Url