Referência de regras de automação do Microsoft Sentinel

Este artigo contém informações de referência sobre a configuração de regras de automação e as condições e propriedades suportadas.

Para saber mais sobre regras de automação, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.

Para obter instruções sobre como criar, gerenciar e usar regras de automação, consulte Criar e usar regras de automação do Microsoft Sentinel para gerenciar a resposta.

Propriedades de entidade suportadas

As seguintes entidades e propriedades de entidade podem ser usadas como condições para regras de automação:

Descrição dos imóveis

Esta tabela mostra as propriedades da entidade suportadas na API de regras de automação. Essas são as propriedades da entidade cujos valores você pode definir como condições para acionar uma regra de automação.

Para obter a lista completa de propriedades suportadas, que inclui propriedades incidentes, consulte Propriedades suportadas pela condição da propriedade da regra de automação na documentação da API de regras de automação.

Nome (em API)	Tipo	Description
AccountAadTenantId	string	A conta ID do locatário do Microsoft Entra ID
AccountAadUserId	string	O ID de usuário do Microsoft Entra ID da conta
AccountName	string	O nome da conta
ContaNTDomain	string	O nome de domínio NetBIOS da conta
ContaPUID	string	A conta Microsoft Entra ID Passport User ID
AccountSid	string	O identificador de segurança da conta
AccountObjectGuid	string	O identificador exclusivo do objeto de conta
ContaUPNSuffix	string	O sufixo do nome principal do usuário da conta
AzureResourceResourceId	string	A ID do recurso do Azure
AzureResourceSubscriptionId	string	A ID da assinatura de recurso do Azure
CloudApplicationAppId	string	O identificador de aplicativo na nuvem
CloudApplicationAppName	string	O nome do aplicativo na nuvem
DNSDomainName	string	O nome de domínio do registro dns
Diretório de arquivos	string	O caminho completo do diretório de arquivos
FileName	string	O nome do arquivo sem caminho
FileHashValue	string	O valor de hash do arquivo
HostAzureID	string	A ID do recurso do Azure do host
Nome do Anfitrião	string	O nome do host sem domínio
HostNetBiosName	string	O nome NetBIOS do host
HostNTDomain	string	O domínio NT do host
HostOSVersion	string	O sistema operacional do host
IoTDeviceId	string	O ID do dispositivo IoT
IoTDeviceName	string	O nome do dispositivo IoT
IoTDeviceType	string	O tipo de dispositivo IoT
IoTDeviceVendor	string	O fornecedor de dispositivos IoT
IoTDeviceModel	string	O modelo de dispositivo IoT
IoTDeviceOperatingSystem	string	O sistema operacional do dispositivo IoT
IPAddress	string	O endereço IP
MailboxDisplayName	string	O nome para exibição da caixa de correio
MailboxPrimaryAddress	string	O endereço principal da caixa de correio
Caixa de correioUPN	string	O nome principal do usuário da caixa de correio
MailMessageDeliveryAction	string	A ação de entrega de mensagens de email
MailMessageDeliveryLocation	string	O local de entrega da mensagem de correio
MailMessageRecipient	string	O destinatário da mensagem de correio
MailMessageSenderIP	string	O endereço IP do remetente da mensagem de correio
MailMessageSubject	string	O assunto da mensagem de correio
MailMessageP1Sender	string	O remetente da mensagem de correio P1 (remetente delegado)
MailMessageP2Sender	string	O remetente da mensagem de correio P2 (remetente original)
MalwareCategoria	string	A categoria de malware
MalwareName	string	O nome do malware
ProcessCommandLine	string	A linha de comando de execução do processo
ProcessId	string	O ID do processo
RegistryKey	string	O caminho da chave do Registro
RegistryValueData	string	O valor da chave do Registro na representação formatada em cadeia de caracteres
Url	string	O url

Mapeamento para entidades

Esta tabela mostra como as propriedades de entidade suportadas na API de regras de automação são exibidas na lista suspensa de condições no assistente de criação de regras de automação. Ele também mostra como essas propriedades são mapeadas para entidades e seus identificadores, conforme definido nos alertas de segurança do Microsoft Sentinel.

Nome na API	Nome na lista suspensa da interface do usuário	Entidade: Identificador no esquema de alerta V3
AccountAadTenantId	ID do locatário da conta	Conta: AadTenantId
AccountAadUserId	ID de usuário do AAD da conta	Conta: AadUserId
AccountName	Nome da conta	Nome da Conta:
ContaNTDomain	Conta NT domínio	Conta: NTDomain
ContaPUID	Conta PUID	Conta: PUID
AccountSid	SID da Conta	Conta: Sid
AccountObjectGuid	ID do objeto da conta	Conta: ObjectGuid
ContaUPNSuffix	Sufixo UPN da conta	Conta: UPNSuffix
AzureResourceResourceId	ID de recurso do Azure	AzureResource: ResourceId
AzureResourceSubscriptionId	ID da Subscrição de Recursos do Azure	AzureResource: SubscriptionId
CloudApplicationAppId	ID do aplicativo na nuvem	CloudApplication: AppId
CloudApplicationAppName	Nome do aplicativo na nuvem	CloudApplication: Nome
DNSDomainName	Nome de domínio DNS	DNS: Nome de Domínio
Diretório de arquivos	Diretório de arquivos	Arquivo: Diretório
FileName	Nome de ficheiro	Arquivo: Nome
FileHashValue	Hash de ficheiro	FileHash: Valor
HostAzureID	Host Azure ID	Host: AzureID
Nome do Anfitrião	Nome do anfitrião	Host: HostName
HostNetBiosName	Nome NetBIOS do host	Anfitrião: NetBiosName
HostNTDomain	Domínio Host NT	Anfitrião: NTDomain
HostOSVersion	Sistema operativo anfitrião	Anfitrião: OSVersion
IoTDeviceId	ID do dispositivo IoT	IoTDevice: DeviceId
IoTDeviceName	Nome do dispositivo IoT	IoTDevice: Nome do dispositivo
IoTDeviceType	Tipo de dispositivo IoT	IoTDevice: Tipo de dispositivo
IoTDeviceVendor	Fornecedor de dispositivos IoT	IoTDevice: Fabricante
IoTDeviceModel	Modelo de dispositivo IoT	IoTDevice: Modelo
IoTDeviceOperatingSystem	Sistema operacional do dispositivo IoT	IoTDevice: OperatingSystem
IPAddress	Endereço IP	Endereço IP:
MailboxDisplayName	Nome para exibição da caixa de correio	Caixa de correio: DisplayName
MailboxPrimaryAddress	Endereço principal da caixa de correio	Caixa de correio: MailboxPrimaryAddress
Caixa de correioUPN	Caixa de correio UPN	Caixa de correio: Upn
MailMessageDeliveryAction	Ação de entrega de mensagens de email	MailMessage: DeliveryAction
MailMessageDeliveryLocation	Local de entrega de mensagens de correio	MailMessage: DeliveryLocation
MailMessageRecipient	Destinatário da mensagem de correio	MailMessage: Destinatário
MailMessageSenderIP	IP do remetente da mensagem de correio	MailMessage: SenderIP
MailMessageSubject	Assunto da mensagem de correio	MailMessage: Assunto
MailMessageP1Sender	Remetente da mensagem de correio P1	MailMessage: P1Sender
MailMessageP2Sender	Remetente da mensagem de correio P2	MailMessage: P2Sender
MalwareCategoria	Categoria de malware	Malware: Categoria
MalwareName	Nome do malware	Malware: Nome
ProcessCommandLine	Linha de comando do processo	Processo: CommandLine
ProcessId	Process ID	Processo: ProcessId
RegistryKey	Chave do registo	RegistryKey: Chave
RegistryValueData	Valor de registo	RegistryValue: Valor
Url	Url	Url: Url