Compartilhar via


Referência dos tipos de entidade do Microsoft Sentinel

Este documento contém dois conjuntos de informações sobre entidades e tipos de entidade no Microsoft Sentinel no portal do Azure e no Microsoft Sentinel no portal do Defender.

  • A tabela Tipos e identificadores de entidade mostra os diferentes tipos de entidades que podem ser identificadas em alertas e incidentes, permitindo que você as rastreie e investigue. A tabela também mostra, para cada tipo de entidade, os diferentes identificadores que podem ser usados para identificar uma entidade.
  • A seção Esquema de entidade mostra a estrutura de dados e o esquema para entidades em geral e para cada tipo de entidade em particular.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Tipos de entidade e identificadores

A tabela a seguir mostra os tipos de entidade que podem ser reconhecidos pelo Microsoft Sentinel e os atributos que podem ser usados como identificadores para cada tipo de entidade.

O Microsoft Sentinel reconhece entidades em alertas e incidentes criados pelo mapeamento de entidades em regras de análise. Ele também reconhece entidades já identificadas em alertas ingeridos de outras fontes.

Atualmente, você pode usar até três identificadores para uma determinada entidade ao criar um mapeamento de entidade no Microsoft Sentinel. Identificadores fortes por si só são suficientes para identificar uma entidade exclusivamente, enquanto identificadores fracos só conseguem fazer isso em combinação com outros identificadores. Saiba mais sobre identificadores fortes e fracos. A maioria, mas não todos os identificadores nesta tabela, podem ser usados ao criar mapeamentos de entidade no Microsoft Sentinel (consulte as notas de rodapé).

Tipo de entidade Identificadores Identificadores fortes Identificadores fracos
Conta Nome
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name+UPNSuffix
AADUserId
Sid **
Sid+Host **
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid
Nome
Host DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP Endereço
AddressScope
Address **
Address+AddressScope **
URL Url URL (se for URL absoluto) ** URL (se for URL relativa) **
Recursos do Azure
(AzureResource)
ResourceId ResourceId
Aplicativo de nuvem
(CloudApplication)
AppId
Nome
InstanceName
AppId
Nome
AppId+InstanceName
Name+InstanceName
Resolução DNS
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
Arquivo Diretório
Nome
Directory+Name
Hash do arquivo
(FileHash)
Algoritmo
Valor
Algorithm+Value
Malware Nome
Categoria
Name+Category
Processo ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash
ProcessId+CreationTimeUtc+
   CommandLine (no Host)
ProcessId+CreationTimeUtc+
   ImageFile (sem Host)
Chave do Registro
(Chave do Registro)
Hive
Chave
Hive+Key
Valor do Registro
(Valor do Registro)
Nome
Valor
ValueType
Key+Name Name (sem Key)
Grupo de segurança
(Grupo de Segurança)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
Cluster de e-mail
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Ameaças
Consulta
Querytime
MailCount
IsVolumeAnomaly
Origem
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Source
Mensagem de e-mail
(Mensagem de e-mail)
Destinatário
URLs
Ameaças
Remetente
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Assunto
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
Language *
ThreatDetectionMethods *
NetworkMessageId+Recipient
E-mail de envio
(EnvioCorreio)
NetworkMessageId
Timestamp
Destinatário
Remetente
SenderIp
Assunto
ReportType
SubmissionId
SubmissionDate
Emissor
SubmissionId+NetworkMessageId+
   Recipient+Submitter
Entidades do Sentinel Entidades Entidades

Notas de rodapé da tabela:

  • * Esses identificadores são exibidos na lista de identificadores que podem ser usados no mapeamento de entidade, mas, estritamente falando, não fazem parte do esquema de entidade.
  • ** Esses identificadores só são considerados fortes sob determinadas condições. Para ver as condições que se aplicam, siga os links dos asteriscos na listagem da entidade relevante na seção de esquemas de entidade abaixo.
  • Os nomes de identificador em itálico (sem um asterisco) representam entidades internas, o que significa que um tipo de entidade pode ter outros tipos de entidade como atributos (consulte a seção de esquemas de entidade abaixo). Siga o link do identificador para ver o esquema da entidade interna.
  • Outras entidades podem estar presentes no esquema, que é um esquema geral que dá suporte a muitas coisas além do Microsoft Sentinel. Somente as entidades disponíveis no Microsoft Sentinel estão listadas neste artigo.

Esquemas de tipo de entidade

A seção a seguir contém uma análise mais detalhada dos esquemas completos de cada tipo de entidade. Você notará que muitos desses esquemas incluem links para outros tipos de entidade. Por exemplo, o esquema de conta de usuário inclui um link para o tipo de entidade Host, já que um atributo de uma conta de usuário é o host no qual está definido. Essas entidades como atributos são conhecidas como "entidades internas" e não podem ser usadas como identificadores no mapeamento de entidade, mas são muito úteis para fornecer um retrato completo das entidades em páginas de entidade e o grafo de investigação.

Observação

Um ponto de interrogação após o valor na coluna Tipo indica que o campo permite valor nulo.

Lista de esquemas de tipo de entidade

Conta

Nome da entidade: Conta

Campo Type Descrição
Tipo String 'account'
Nome String O nome da conta. Esse campo deve conter apenas o nome, sem nenhum domínio adicionado.
FullName -- Não faz parte do esquema, incluído para compatibilizar a versão antiga do mapeamento de entidade com versões anteriores.
NTDomain String O nome de domínio NETBIOS como ele aparece no formato de alerta — domínio\nome de usuário. Exemplos: Financeiro, NT AUTHORITY
DnsDomain String O nome DNS do domínio totalmente qualificado. Exemplos: financeiro.contoso.com
UPNSuffix String O sufixo do nome UPN para a conta. Em muitos casos, o sufixo UPN também é o nome de domínio. Exemplos: contoso.com
Host Entidade (Host) O host que contém a conta, caso seja uma conta local.
Sid String O identificador de segurança da conta.
AadTenantId Guid? A ID do locatário do Microsoft Entra, se conhecida.
AadUserId Guid? A ID do objeto da conta do Microsoft Entra, se conhecida.
PUID Guid? A ID do usuário do Microsoft Entra Passport, se conhecida.
IsDomainJoined Bool? Indica se a conta é uma conta de domínio.
DisplayName -- Não faz parte do esquema, incluído para compatibilizar a versão antiga do mapeamento de entidade com versões anteriores.
ObjectGuid Guid? O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Active Directory Domain Services.
CloudAppAccountId String A AccountID em alertas do provedor CloudApp. Refere-se a IDs de conta em aplicativos de terceiros que não têm suporte em outros produtos da Microsoft.
IsAnonymized Bool? Indica se o nome de usuário é anônimo. Opcional. Valor padrão: false.
Stream STREAM A origem dos logs de descoberta relacionados à conta específica. Opcional.

Identificadores fortes de uma entidade de conta

  • Name + UPNSuffix
  • AadUserId
  • Sid
    ** Esse identificador é forte desde que a conta não seja uma das contas internas listadas na Observação abaixo.
  • Sid + Host
    ** Quando a conta é uma das contas internas listadas na Observação abaixo, é preciso do componente Host para tornar esse identificador forte.
  • Name + NTDomain
    ** Essa combinação se torna um identificador forte quando a conta é uma conta de domínio, já que NTDomain não é um domínio/grupo de trabalho interno e é diferente do nome do host. Nesse caso, esse é um identificador forte mesmo sem o componente Host.
  • Name + NTDomain + Host
    ** É preciso do componente Host para criar um identificador forte quando a conta é uma conta local, o que significa que o NTDomain é um grupo de trabalho/domínio interno.
  • Name + DnsDomain
  • PUID
  • ObjectGuid

Identificadores fracos de uma entidade de conta

  • Nome

Observação

Se a entidade Conta for definida usando o identificador Nome e o valor Nome de uma entidade específica for um dos seguintes nomes de conta genéricos e comumente integrados, essa entidade será retirada do seu alerta.

  • ADMIN
  • ADMINISTRADOR
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • USUÁRIO AUTENTICADO
  • REDE
  • NULO
  • LOCAL SYSTEM
  • LOCALSYSTEM
  • SERVIÇO DE REDE

Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

Host

Nome da entidade: Host

Campo Type Descrição
Tipo String 'host'
IpInterfaces List<Entity (Ip)> Lista de todas as interfaces IP no computador host.
DnsDomain String O domínio DNS ao qual este host pertence. Deve conter o sufixo DNS completo para o domínio, se conhecido.
NTDomain String O domínio NT ao qual este host pertence.
HostName String O nome do host sem o sufixo de domínio.
NetBiosName String O nome do host (anterior ao Windows 2000).
IoTDevice Entidade (Dispositivo IoT) A entidade do dispositivo IoT (se este host representar um dispositivo IoT).
AzureID String A ID do recurso da VM do Azure, se conhecida.
OMSAgentID String A ID do agente do OMS, se o host tiver o agente do OMS instalado.
OSFamily Enum? Um dos seguintes valores:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String Uma representação de texto livre do sistema operacional.
    Esse campo destina-se a manter versões específicas, que são mais refinadas do que o OSFamily ou valores futuros não suportados pela enumeração OSFamily.
    IsDomainJoined Bool Indica se este host pertence a um domínio.

    Identificadores fortes de uma entidade de host

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Identificadores fracos de uma entidade de host

    • HostName
    • NetBiosName

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    IP

    Nome da entidade: IP

    Campo Type Descrição
    Tipo String 'ip'
    Endereço String O endereço IP como cadeia de caracteres, por exemplo. 127.0.0.1 (em IPv4 ou IPv6).
    AddressScope String Nome do host, da sub-rede ou da rede privada para endereços IP privados e não globais. Nulo ou vazio para endereços IP globais (padrão).
    Localização GeoLocation O contexto de localização geográfica anexado à entidade IP.

    Para obter mais informações, também veja Enriquecer entidades no Microsoft Sentinel com os dados de geolocalização pela API REST (Versão prévia pública).
    Stream STREAM A origem dos logs de descoberta relacionados ao IP específico. Opcional.

    Identificadores fortes de uma entidade IP

    • Endereço
      ** O endereço sozinho é um identificador exclusivo e forte quando o endereço IP é um endereço global.
    • Address + AddressScope
      ** Para endereços IP privados/internos não globais, o componente AddressScope é necessário para torná-lo um identificador forte.

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Malware

    Nome da entidade: Malware

    Campo Type Descrição
    Tipo String 'malware'
    Nome String O nome do malware atribuído pelo fornecedor (detecção?), como Win32/Toga!rfn.
    Categoria String A categoria de malware atribuída pelo fornecedor (detecção?), por exemplo. Trojan.
    Arquivos List<Entity (File)> Lista de entidades de arquivo vinculadas nas quais o malware foi encontrado. Pode conter as entidades de arquivo embutidas ou como referência.
    Consulte a entidade Arquivo para obter mais detalhes sobre a estrutura.
    Processos List<Entity (Process)> Lista de entidades de processo vinculadas nas quais o malware foi encontrado. Isso geralmente seria usado quando o alerta fosse disparado na atividade sem arquivos.
    Consulte a entidade Processo para obter mais detalhes sobre a estrutura.

    Identificadores fortes de uma entidade de malware

    • Name + Category

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Arquivo

    Nome da entidade: Arquivo

    Campo Type Descrição
    Tipo String 'file'
    Diretório String O caminho completo para o arquivo.
    Nome String O nome do arquivo sem o caminho (alguns alertas podem não incluir o caminho).
    AlternateDataStreamName String O nome do fluxo de arquivos no sistema de arquivos NTFS (nulo para o fluxo principal).
    Host Entidade (Host) O host no qual o arquivo foi armazenado.
    HostUrl Entidade (URL) URL da qual o arquivo foi baixado
    (Marca da Web).
    WindowsSecurityZoneType WindowsSecurityZone Zona de Segurança do Windows à qual a URL pertence
    (Marca da Web).
    ReferrerUrl Entidade (URL) URL do referenciador da solicitação HTTP de download do arquivo
    (Marca da Web).
    SizeInBytes Long? O tamanho do arquivo em bytes.
    FileHashes List<Entity (FileHash)> Os hashes de arquivo associados a este arquivo.

    Identificadores fortes de uma entidade de arquivo

    • Name + Directory
    • Name + FileHash
    • Name + Directory + FileHash

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Processo

    Nome da entidade: Processo

    Campo Type Descrição
    Tipo String 'process'
    ProcessId String A ID do processo.
    CommandLine String A linha de comando usada para criar o processo.
    ElevationToken Enum? O token de elevação associado ao processo.
    Valores possíveis:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? A hora em que o processo começou a ser executado.
    ImageFile Entidade (Arquivo) Pode conter as entidades de arquivo embutidas ou como referência.
    Consulte a entidade Arquivo para obter mais detalhes sobre a estrutura.
    Conta Entidade (Conta) A conta que executa os processos.
    Pode conter a entidade Conta embutida ou como referência.
    Consulte a entidade Conta para obter mais detalhes sobre a estrutura.
    ParentProcess Entidade (Processo) A entidade de processo pai.
    Pode conter dados parciais; por exemplo, apenas o PID.
    Host Entidade (Host) O host no qual o processo estava em execução.
    LogonSession Entidade (HostLogonSession) A sessão na qual o processo estava em execução.

    Identificadores fortes de uma entidade de processo

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Identificadores fracos de uma entidade de processo

    • ProcessId + CreationTimeUtc + CommandLine (e nenhum host)
    • Host + ProcessId + CreationTimeUtc + ImageFile (e nenhum host)

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Aplicativo de nuvem

    Nome da entidade: CloudApplication

    Campo Type Descrição
    Tipo String 'cloud-application'
    AppId Int Preterido; em vez disso, use o campo SaasId. O identificador técnico do aplicativo. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos na nuvem. Valor opcional. Não deve conter InstanceId.
    SaasId Int Substitui o campo AppId preterido. O identificador técnico do aplicativo. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos na nuvem. Valor opcional. Não deve conter InstanceId.
    Nome String O nome do aplicativo em nuvem relacionado. Valor opcional.
    InstanceName String O nome da instância definida pelo usuário do aplicativo de nuvem. Geralmente, ele é usado para diferenciar os vários aplicativos do mesmo tipo que um cliente possui.
    InstanceId Int O identificador da sessão específica do aplicativo. Esse é um número de execução baseado em zero. Valor opcional.
    Risco AppRisk? Permite a filtragem de aplicativos pela pontuação de risco, de modo que você possa se concentrar, por exemplo, somente na análise dos aplicativos de alto risco. Valores possíveis, como Baixo, Médio, Alto ou Desconhecido.
    Stream STREAM A origem dos logs de descoberta relacionados ao aplicativo de nuvem específico. Opcional.

    Identificadores fortes de uma entidade de aplicativo de nuvem

    • AppId (sem InstanceName)
    • Name (sem InstanceName)
    • AppId + InstanceName
    • Name + InstanceName

    Lista de identificadores de aplicativo de nuvem

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Resolução DNS

    Nome da entidade: DNS

    Campo Type Descrição
    Tipo String 'dns'
    DomainName String O nome do registro do DNS associado ao alerta.
    IpAddress List<Entity (IP)> Entidades correspondentes aos endereços IP resolvidos.
    DnsServerIp Entidade (IP) Uma entidade que representa o servidor DNS resolvendo a solicitação.
    HostIpAddress Entidade (IP) Uma entidade que representa o cliente da solicitação de DNS.

    Identificadores fortes de uma entidade DNS

    • DomainName + DnsServerIp + HostIpAddress

    Identificadores fracos de uma entidade DNS

    • DomainName + HostIpAddress

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Recursos do Azure

    Nome da entidade: AzureResource

    Campo Type Descrição
    Tipo String 'recurso-azure'
    ResourceId String A ID do recurso do Azure. Mandatory.
    SubscriptionId String A ID da assinatura do recurso.
    ActiveContacts List<ActiveContact> Contatos ativos associados ao recurso.
    ResourceType String O tipo do recurso.
    ResourceName String O nome do recurso.

    Identificadores fortes de uma entidade de recursos do Azure

    • ResourceId

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Hash do arquivo

    Nome da entidade: FileHash

    Campo Type Descrição
    Tipo String 'filehash'
    Algoritmo Enumeração O tipo do algoritmo de hash. Mandatory. Valores possíveis:
  • Unknown
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Valor String O valor de hash. Mandatory.

    Identificadores fortes de uma entidade hash de arquivo

    • Algorithm + Value

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Chave do Registro

    Nome da entidade: RegistryKey

    Campo Type Descrição
    Tipo String 'registry-key'
    Hive Enum? Um dos seguintes valores:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Chave String Caminho da chave do registro.

    Identificadores fortes de uma entidade de chave do registro

    • Hive + Key

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Valor do Registro

    Nome da entidade: RegistryValue

    Campo Type Descrição
    Tipo String 'registry-value'
    Host Entidade (Host) O host ao qual o registro pertence.
    Chave Entidade (RegistryKey) Caminho da chave do registro.
    Nome String O nome do valor de registro.
    Valor String Representação formatada da cadeia de caracteres dos dados do valor.
    ValueType Enum? Um dos seguintes valores:
  • String
  • Binário
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Nenhum
  • Unknown
    Os valores devem estar em conformidade com a enumeração do Microsoft.Win32.RegistryValueKind.
  • Identificadores fortes de uma entidade de valor de registro

    • Key + Name

    Identificadores fracos de uma entidade de valor de registro

    • Nome (sem chave)

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Grupo de segurança

    Nome da entidade: SecurityGroup

    Campo Type Descrição
    Tipo String 'grupo-segurança'
    DistinguishedName String O nome diferenciado do grupo.
    SID String Um atributo de valor único que especifica o SID (identificador de segurança) do grupo.
    ObjectGuid Guid? Um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Active Directory Domain Services.

    Identificadores fortes de uma entidade de grupo de segurança

    • DistinguishedName
    • SID
    • ObjectGuid

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    URL

    Nome da entidade: Url

    Campo Type Descrição
    Type String 'url'
    Url Uri O URL completo ao qual a entidade aponta. Mandatory.

    Identificadores fortes de uma entidade URL

    • Url (** Esse identificador é forte quando a URL é uma URL absoluta.)

    Identificadores fracos de uma entidade URL

    • Url (** Esse identificador é fraco quando a URL é uma URL relativa.)

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Dispositivo IoT

    Nome da entidade: IoTDevice

    Campo Type Descrição
    Tipo String 'iotdevice'
    IoTHub Entidade (AzureResource) A entidade AzureResource que representa o Hub IoT ao qual o dispositivo pertence.
    DeviceId String A ID do dispositivo no contexto do Hub IoT. Mandatory.
    DeviceName String O nome amigável do dispositivo.
    Proprietários Lista<Cadeia de caracteres> Os proprietários do dispositivo.
    IoTSecurityAgentId Guid? A ID do agente do Defender para IoT em execução no dispositivo.
    DeviceType String O tipo do dispositivo ('sensor de temperatura', 'freezer', 'turbinas de vento' etc.).
    DeviceTypeId String Uma ID exclusiva para identificar cada tipo de dispositivo de acordo com o esquema de tipo de dispositivo, pois o tipo de dispositivo em si é um nome de exibição e não confiável em comparações.

    Valores possíveis:
    Unclassified = 0
    Miscellaneous = 1
    Network Device = 2
    Printer = 3
    Audio and Video = 4
    Media and Surveillance = 5
    Communication = 7
    Smart Appliance = 9
    Workstation = 10
    Server = 11
    Mobile = 12
    Smart Facility = 13
    Industrial = 14
    Operational Equipment = 15
    Origem String A origem (Microsoft/fornecedor) da entidade do dispositivo.
    SourceRef Entidade (Url) Uma referência de URL para o item de origem no qual o dispositivo é gerenciado.
    Fabricante String O fabricante do dispositivo.
    Modelo String O modelo do dispositivo.
    OperatingSystem String O sistema operacional que o dispositivo está executando.
    IpAddress Entidade (IP) O endereço IP atual do dispositivo.
    MacAddress String O endereço MAC do dispositivo.
    Nics Entidade (Nic) As NICs atuais no dispositivo.
    Protocolos Lista<Cadeia de caracteres> Uma lista de protocolos compatíveis com o dispositivo.
    SerialNumber String O número de série do dispositivo.
    Site String O local do site do dispositivo.
    Zona String O local da zona do dispositivo dentro de um site.
    Sensor String O sensor que monitora o dispositivo.
    Importância Enum? Um dos seguintes valores:
  • Baixo
  • Normal
  • Alto
  • PurdueLayer String A camada Purdue do dispositivo.
    IsProgramming Bool? Indica se o dispositivo foi classificado como dispositivo de programação.
    IsAuthorized Bool? Indica se o dispositivo foi classificado como um dispositivo autorizado.
    IsScanner Bool? Indica se o dispositivo foi classificado como um dispositivo de scanner.
    DevicePageLink Entidade (Url) Uma URL para a página do dispositivo no portal do Defender para IoT.
    DeviceSubType String O nome do subtipo do dispositivo.

    Identificadores fortes de uma entidade de dispositivo IoT

    • IoTHub + DeviceId

    Identificadores fracos de uma entidade de dispositivo IoT

    • DeviceID (sem IoTHub)

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Mailbox

    Nome da entidade: Caixa de correio

    Campo Type Descrição
    Tipo String 'caixa de correio'
    MailboxPrimaryAddress String O endereço principal da caixa de correio.
    DisplayName String O nome de exibição da caixa de correio.
    Upn String O UPN da caixa de correio.
    AadId String O identificador do Azure AD da caixa de correio do usuário.
    RiskLevel RiskLevel? O nível de risco da caixa de correio. Valores possíveis:
  • Nenhum
  • Baixo
  • Médio
  • Alto
  • ExternalDirectoryObjectId Guid? O identificador AzureAD da caixa de correio. Semelhante ao AadUserId da entidade Conta, mas esta propriedade é específica para o objeto mailbox no Office.

    Identificadores fortes de uma entidade de caixa de correio

    • MailboxPrimaryAddress

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Cluster de e-mail

    Nome da entidade: MailCluster

    Campo Type Descrição
    Tipo String 'cluster-email'
    NetworkMessageIds lLista<Cadeia de caracteres> As IDs de mensagens de email que fazem parte do cluster de email.
    CountByDeliveryStatus IDictionary<String,Int> Contagem de mensagens de email por representação de cadeia de caracteres do DeliveryStatus.
    CountByThreatType IDictionary<String,Int> Contagem de mensagens de email por representação de cadeia de caracteres do Threattype.
    CountByProtectionStatus IDictionary<String,long> Contagem de mensagens de email por representação de cadeia de caracteres do status Proteção.
    CountByDeliveryLocation IDictionary<String,long> Contagem de mensagens de email por representação de cadeia de caracteres do Local de entrega.
    Ameaças lLista<Cadeia de caracteres> As ameaças de mensagens de email que fazem parte do cluster de email.
    Consulta String A consulta que foi usada para identificar as mensagens do cluster de email.
    QueryTime DateTime? Tempo de consulta.
    MailCount Int? O número de mensagens de email que fazem parte do cluster de email.
    IsVolumeAnomaly Bool? Indica se o cluster de email é um cluster de email de anomalias de volume.
    Origem String A origem do cluster de emails (o padrão é O365 ATP).

    Identificadores fortes de uma entidade de cluster de email

    • Query + Source

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Mensagem de e-mail

    Nome da entidade: MailMessage

    Campo Type Descrição
    Tipo String 'mensagem-email'
    Arquivos IList<Entity (File)> As entidades de arquivo dos anexos desta mensagem de email.
    Recipient String O destinatário desta mensagem de email. No caso de vários destinatários, a mensagem de email é copiada e cada cópia tem um destinatário.
    Urls lLista<Cadeia de caracteres> Os URLs contidos nesta mensagem de email.
    Ameaças lLista<Cadeia de caracteres> As ameaças contidas nesta mensagem de email.
    Remetente String O endereço de email do remetente.
    SenderIP String O endereço IP do remetente.
    ReceivedDate Datetime A data de recebimento desta mensagem.
    NetworkMessageId Guid? A ID da mensagem de rede deste email.
    InternetMessageId String A ID da mensagem da internet deste email.
    Assunto String O assunto da mensagem deste email.
    AntispamDirection Enum? A direção desta mensagem de email. Valores possíveis:
  • Unknown
  • Entrada
  • Saída
  • IntraOrg (interno)
  • DeliveryAction Enum? A ação de entrega desta mensagem de email. Valores possíveis:
  • Unknown
  • DeliveredAsSpam
  • Entregue
  • Bloqueado
  • Substituído
  • DeliveryLocation Enum? O local de entrega desta mensagem de email. Valores possíveis:
  • Unknown
  • Caixa de Entrada
  • JunkFolder
  • DeletedFolder
  • Quarentena
  • Externo
  • Com falha
  • Dropped
  • Encaminhado
  • CampaignId String O identificador da campanha na qual essa mensagem de email está presente.
    SuspiciousRecipients lLista<Cadeia de caracteres> A lista de destinatários que foram detectados como suspeitos.
    ForwardedRecipients lLista<Cadeia de caracteres> A lista de todos os destinatários no email encaminhado.
    ForwardingType lLista<Cadeia de caracteres> O tipo de encaminhamento do email, como SMTP, ETR etc.

    Identificadores fortes de uma entidade de mensagem de email

    • NetworkMessageId + Recipient

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    E-mail de envio

    Nome da entidade: SubmissionMail

    Campo Type Descrição
    Tipo String 'SubmissionMail'
    SubmissionId Guid? A ID de envio.
    SubmissionDate DateTime? Data e hora relatadas para este envio.
    Emissor String O endereço de email de quem enviou.
    NetworkMessageId Guid? A ID da mensagem de rede do email ao qual o envio pertence.
    Timestamp DateTime? O carimbo de data/hora quando a mensagem é recebida (email).
    Recipient String O destinatário do email.
    Remetente String O remetente do email.
    SenderIp String O IP do remetente.
    Assunto String O assunto do email de envio.
    ReportType String O tipo de envio para a instância especificada. Os valores possíveis são Junk, Phish, Malware ou NotJunk.

    Identificadores fortes de uma entidade SubmissionMail

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Entidades do Sentinel

    Campo Type Descrição
    Entidades String Uma lista das entidades identificadas no alerta. Essa lista é a coluna entities do esquema SecurityAlert (consulte a documentação).

    Voltar à lista de esquemas de tipo de entidade | Voltar à tabela de identificadores de entidade

    Identificadores de aplicativo de nuvem

    A lista a seguir define identificadores para aplicativos de nuvem conhecidos. O valor da ID do aplicativo é usado como um identificador de entidade de aplicativo de nuvem.

    ID do aplicativo Nome
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Ciclo de vida do Autodesk Fusion
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 Centro de administração do Microsoft 365
    26060 Engrenagens de OPSWAT
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 ID do Microsoft Entra
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 Emulador de proxy CAS
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Próximas etapas

    Neste documento, você aprendeu sobre a estrutura, os identificadores e o esquema de entidades no Microsoft Sentinel.

    Saiba mais sobre entidades e mapeamento de entidades.