Referência de tipos de entidade do Microsoft Sentinel
Este documento contém dois conjuntos de informações sobre entidades e tipos de entidades no Microsoft Sentinel no portal do Azure e no Microsoft Sentinel no portal do Defender.
- A tabela Tipos de entidades e identificadores mostra os diferentes tipos de entidades que podem ser identificadas em alertas e incidentes, permitindo rastreá-las e investigá-las. A tabela também mostra, para cada tipo de entidade, os diferentes identificadores que podem ser usados para identificar uma entidade.
- A seção Esquema de entidade mostra a estrutura de dados e o esquema para entidades em geral e para cada tipo de entidade em particular.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Tipos de entidades e identificadores
A tabela a seguir mostra os tipos de entidade que podem ser reconhecidos pelo Microsoft Sentinel e os atributos que podem ser usados como identificadores para cada tipo de entidade.
O Microsoft Sentinel reconhece entidades em alertas e incidentes criados pelo mapeamento de entidades em regras de análise. Também reconhece entidades já identificadas em alertas ingeridos de outras fontes.
Atualmente, você pode usar até três identificadores para uma determinada entidade ao criar um mapeamento de entidade no Microsoft Sentinel. Identificadores fortes por si só são suficientes para identificar exclusivamente uma entidade, enquanto identificadores fracos só podem fazê-lo em combinação com outros identificadores. Saiba mais sobre identificadores fortes e fracos. A maioria, mas não todos, os identificadores nesta tabela podem ser usados ao criar mapeamentos de entidade no Microsoft Sentinel (consulte notas de rodapé).
Tipo de entidade | Identifiers | Identificadores fortes | Identificadores fracos |
---|---|---|---|
Conta | Nome Nome Completo * NTDomain DnsDomínio UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Nome+UPNSuffix AADUserId Sid ** Sid+Host ** Nome+Host+NTDomain ** Nome+NTDomain ** Nome+DnsDomain PUID ObjectGuid |
Nome |
Anfitrião | DnsDomínio NTDomain Nome do Anfitrião Nome Completo * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
Nome do Host+NTDomain Nome do Host+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Nome do Anfitrião NetBiosName |
IP | Endereço EndereçoEscopo |
Endereço ** Endereço+EndereçoEscopo ** |
|
URL | Url | Url (se URL absoluto) ** | Url (se URL relativa) ** |
Recurso do Azure (AzureResource) |
ResourceId | ResourceId | |
Aplicação na nuvem (CloudApplication) |
AppId Nome InstanceName |
AppId Nome AppId+InstanceName Nome+Nome da Instância |
|
Resolução DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
Ficheiro | Diretório Nome |
Diretório+Nome | |
Hash de ficheiro (FileHash) |
Algoritmo Value |
Algoritmo+Valor | |
Malware | Nome Categoria |
Nome+Categoria | |
Processo | ProcessId Linha de comando ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (sem host) ProcessId+CreationTimeUtc+ ImageFile (sem host) |
Chave do registo (RegistryKey) |
Ramo de registo Key |
Colmeia+Chave | |
Valor de registo (RegistryValue) |
Nome Valor ValueType |
Chave+Nome | Nome (sem chave) |
Grupo de segurança (Grupo de Segurança) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
Caixa de Correio | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
Cluster de correio (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Ameaças Query QueryTime MailCount IsVolumeAnomalia Origem ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * Grupo de Clusters * |
Consulta+Origem | |
Mensagem de correio (Mensagem de e-mail) |
Destinatário Urls Ameaças Remetente P1Remetente * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * Data de Recebimento NetworkMessageId InternetMessageId Assunto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction EntregaLocalização Idioma* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
E-mail de submissão (Envio) |
NetworkMessageId Carimbo de Data/Hora Destinatário Remetente SenderIp Assunto Tipo de relatório SubmissionId Data de Submissão Transmitente |
SubmissionId+NetworkMessageId+ Destinatário+Transmitente |
|
Entidades sentinela | Entidades | Entidades |
Notas de rodapé da tabela:
- * Esses identificadores aparecem na lista de identificadores que podem ser usados no mapeamento de entidades, mas estritamente falando eles não fazem parte do esquema de entidade.
- ** Estes identificadores são considerados fortes apenas sob certas condições. Siga os links dos asteriscos para ver as condições que se aplicam, na listagem da entidade relevante na seção de esquemas de entidade abaixo.
- Os nomes de identificadores em itálico (sem um asterisco) representam entidades internas, o que significa que um tipo de entidade pode ter outros tipos de entidade como atributos (consulte a seção Esquemas de entidade abaixo). Siga o link do identificador para ver o esquema da própria entidade interna.
- Outras entidades podem estar presentes no esquema, que é um esquema geral que suporta muitas coisas além do Microsoft Sentinel. Somente as entidades disponíveis no Microsoft Sentinel estão listadas neste artigo.
Esquemas de tipo de entidade
A seção a seguir contém uma visão mais aprofundada dos esquemas completos de cada tipo de entidade. Você notará que muitos desses esquemas incluem links para outros tipos de entidade. Por exemplo, o esquema Account inclui um link para o tipo de entidade Host, uma vez que um atributo de uma conta de usuário é o host no qual ela está definida. Essas entidades como atributos são conhecidas como "entidades internas" e não podem ser usadas como identificadores para mapeamento de entidades, mas são muito úteis para fornecer uma imagem completa das entidades nas páginas de entidades e no gráfico de investigação.
Nota
Um ponto de interrogação após o valor na coluna Tipo indica que o campo é anulável.
Lista de esquemas de tipo de entidade
- Conta
- Anfitrião
- IP
- Malware
- Ficheiro
- Processo
- Aplicação na nuvem
- Resolução DNS
- Recurso do Azure
- Hash de ficheiro
- Chave do registo
- Valor de registo
- Grupo de segurança
- URL
- Dispositivo IoT
- Caixa de Correio
- Cluster de correio
- Mensagem de correio
- E-mail de submissão
- Entidades sentinela
Account
Nome da entidade: Conta
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'conta' |
Nome | Cadeia (de carateres) | O nome da conta. Este campo deve conter apenas o nome, sem qualquer domínio adicionado a ele. |
FullName | -- | Não faz parte do esquema, incluído para compatibilidade com versões anteriores da versão antiga do mapeamento de entidades. |
NTDomain | String | O nome de domínio NETBIOS tal como aparece no formato de alerta — domínio\nome de utilizador. Exemplos: Finanças, NT AUTHORITY |
DnsDomínio | String | O nome DNS de domínio totalmente qualificado. Exemplos: finance.contoso.com |
UPNSuffix | String | O sufixo do nome principal do usuário para a conta. Em muitos casos, o Sufixo UPN é também o nome de domínio. Exemplos: contoso.com |
Anfitrião | Entidade (Host) | O host que contém a conta, se for uma conta local. |
Sid | String | O identificador de segurança da conta. |
AadTenantId | Guid? | A ID de locatário do Microsoft Entra, se conhecida. |
AadUserId | Guid? | A ID do objeto da conta do Microsoft Entra, se conhecida. |
PUID | Guid? | O ID de usuário do Microsoft Entra Passport, se conhecido. |
IsDomainJoined | Bool? | Indica se a conta é uma conta de domínio. |
DisplayName | -- | Não faz parte do esquema, incluído para compatibilidade com versões anteriores da versão antiga do mapeamento de entidades. |
ObjectGuid | Guid? | O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory. |
CloudAppAccountId | String | O AccountID em alertas do provedor CloudApp. Refere-se a IDs de conta em aplicativos de terceiros que não são suportados em outros produtos da Microsoft. |
IsAnonymized | Bool? | Indica se o nome de usuário é anonimizado. Opcional. Valor predefinido: false . |
Transmissão | Fluxo | A origem dos logs de descoberta relacionados à conta específica. Opcional. |
Identificadores fortes de uma entidade de conta
- Nome + UPNSuffix
- AadUserId
- Sid
** Este identificador é forte desde que a conta não seja uma das contas incorporadas listadas na Nota abaixo. - Sid + Anfitrião
** Quando a conta é uma das contas internas listadas na Nota abaixo, o componente Host é necessário para tornar esse identificador forte. - Nome + NTDomain
** Esta combinação é um identificador forte quando a conta é uma conta de domínio, uma vez que NTDomain não é um domínio/grupo de trabalho interno e é diferente do nome do host. Nesse caso, esse é um identificador forte, mesmo sem o componente Host. - Nome + NTDomain + Host
** O componente Host é necessário para criar um identificador forte quando a conta é uma conta local, o que significa que o NTDomain é um domínio/grupo de trabalho interno. - Nome + DnsDomain
- PUID
- ObjectGuid
Identificadores fracos de uma entidade de conta
- Nome
Nota
Se a entidade Account for definida usando o identificador Name e o valor Name de uma entidade específica for um dos seguintes nomes de conta genéricos e comumente internos, essa entidade será descartada de seu alerta.
- ADMINISTRAÇÃO
- ADMINISTRADOR
- SISTEMA
- RAIZ
- ANÔNIMO
- UTILIZADOR AUTENTICADO
- REDE
- NULL
- SISTEMA LOCAL
- LOCALSYSTEM
- SERVIÇO DE REDE
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Host
Nome da entidade: Host
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'anfitrião' |
IpInterfaces | Listar<entidade (Ip)> | Lista de todas as interfaces IP na máquina host. |
DnsDomínio | String | O domínio DNS ao qual este host pertence. Deve conter o sufixo DNS completo para o domínio, se conhecido. |
NTDomain | String | O domínio NT ao qual esse host pertence. |
Nome do host | String | O nome do host sem o sufixo de domínio. |
NetBiosName | String | O nome do host (anterior ao Windows 2000). |
IoTDevice | Entidade (dispositivo IoT) | A entidade Dispositivo IoT (se este host representar um Dispositivo IoT). |
AzureID | String | A ID de recurso do Azure da VM, se conhecida. |
OMSAgentID | String | O ID do agente do OMS, se o host tiver o agente do OMS instalado. |
OSFamily | Enum? | Um dos seguintes valores: |
OSVersion | String | Uma representação de texto livre do sistema operacional. Este campo destina-se a conter versões específicas que são mais refinadas do que OSFamily, ou valores futuros não suportados pela enumeração OSFamily. |
IsDomainJoined | Bool | Indica se esse host pertence a um domínio. |
Identificadores fortes de uma entidade host
- Nome do host + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificadores fracos de uma entidade host
- Nome do Anfitrião
- NetBiosName
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
IP
Nome da entidade: IP
Campo | Tipo | Description |
---|---|---|
Tipo | String | «PI» |
Endereço | String | O endereço IP como string, por exemplo. 127.0.0.1 (em IPv4 ou IPv6). |
EndereçoEscopo | String | Nome do host, sub-rede ou rede privada para endereços IP privados não globais. Nulo ou vazio para endereços IP globais (padrão). |
Location | GeoLocation | O contexto de geolocalização anexado à entidade IP. Para obter mais informações, consulte também Enriquecer entidades no Microsoft Sentinel com dados de geolocalização por meio da API REST (visualização pública). |
Transmissão | Fluxo | A origem dos logs de descoberta relacionados ao IP específico. Opcional. |
Identificadores fortes de uma entidade IP
- Endereço
** O endereço por si só é um identificador único e forte quando o endereço IP é um endereço global. - Endereço + AddressScope
** Para endereços IP privados/internos, não globais, o componente AddressScope é necessário para torná-lo um identificador forte.
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Malware
Nome da entidade: Malware
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'malware' |
Nome | Cadeia (de carateres) | O nome do malware atribuído pelo fornecedor (deteção?), como Win32/Toga!rfn . |
Categoria | String | A categoria de malware atribuída pelo fornecedor (deteção?), por exemplo. Cavalo de Troia. |
Ficheiros | Listar<entidade (arquivo)> | Lista de entidades de arquivo vinculadas nas quais o malware foi encontrado. Pode conter as entidades File embutidas ou como referência. Consulte a entidade File para obter mais detalhes sobre a estrutura. |
Processos | Listar<entidade (processo)> | Lista de entidades de processo vinculadas nas quais o malware foi encontrado. Isso geralmente seria usado quando o alerta era acionado em atividade sem arquivo. Consulte a entidade Processo para obter mais detalhes sobre a estrutura. |
Identificadores fortes de uma entidade de malware
- Nome + Categoria
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Ficheiro
Nome da entidade: Arquivo
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'ficheiro' |
Diretório | String | O caminho completo para o ficheiro. |
Nome | Cadeia (de carateres) | O nome do arquivo sem o caminho (alguns alertas podem não incluir caminho). |
AlternateDataStreamName | String | O nome do fluxo de arquivos no sistema de arquivos NTFS (nulo para o fluxo principal). |
Anfitrião | Entidade (Host) | O host no qual o arquivo foi armazenado. |
HostUrl | Entidade (URL) | URL de onde o arquivo foi baixado (Marca da Web). |
WindowsSecurityZoneType | WindowsSecurityZone | Zona de Segurança do Windows à qual o URL pertence (Marca da Web). |
ReferrerUrl | Entidade (URL) | URL de referência da solicitação HTTP de download do arquivo (Marca da Web). |
SizeInBytes | Longo? | O tamanho de ficheiro em bytes. |
Hashes de arquivo | Listar<entidade (FileHash)> | Os hashes de ficheiro associados a este ficheiro. |
Identificadores fortes de uma entidade de arquivo
- Nome + Diretório
- Nome + FileHash
- Nome + Diretório + FileHash
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Processo
Nome da entidade: Processo
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'Processo' |
ProcessId | String | O ID do processo. |
Linha de comando | String | A linha de comando usada para criar o processo. |
ElevationToken | Enum? | O token de elevação associado ao processo. Valores possíveis: |
CreationTimeUtc | DateTime? | A hora em que o processo começou a correr. |
Arquivo de imagem | Entidade (Ficheiro) | Pode conter a entidade File embutida ou como referência. Consulte a entidade File para obter mais detalhes sobre a estrutura. |
Conta | Entidade (Conta) | A conta que executa os processos. Pode conter a entidade Conta embutida ou como referência. Consulte a entidade Conta para obter mais detalhes sobre a estrutura. |
ParentProcess | Entidade (Processo) | A entidade de processo pai. Pode conter dados parciais, por exemplo, apenas o PID. |
Anfitrião | Entidade (Host) | O host no qual o processo estava sendo executado. |
LogonSession | Entidade (HostLogonSession) | A sessão em que o processo estava a decorrer. |
Identificadores fortes de uma entidade de processo
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificadores fracos de uma entidade de processo
- ProcessId + CreationTimeUtc + CommandLine (e sem host)
- ProcessId + CreationTimeUtc + ImageFile (e sem host)
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Aplicação na cloud
Nome da entidade: CloudApplication
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'Aplicação na nuvem' |
AppId | Int | Preterido; use o campo SaasId em vez disso. O identificador técnico da aplicação. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos em nuvem. Valor opcional. Não deve conter InstanceId. |
SaasId | Int | Substitui o campo AppId preterido. O identificador técnico da aplicação. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos em nuvem. Valor opcional. Não deve conter InstanceId. |
Nome | Cadeia (de carateres) | O nome do aplicativo de nuvem relacionado. Valor opcional. |
Nome da instância | String | O nome da instância definida pelo usuário do aplicativo de nuvem. É frequentemente utilizado para distinguir entre várias aplicações do mesmo tipo que um cliente. |
InstanceId | Int | O identificador da sessão específica do aplicativo. Este é um número de execução baseado em zero. Valor opcional. |
Risco | AppRisk? | Permite filtrar aplicativos por pontuação de risco para que você possa se concentrar, por exemplo, em revisar apenas aplicativos de alto risco. Valores possíveis como Baixo, Médio, Alto ou Desconhecido. |
Transmissão | Fluxo | A origem dos logs de descoberta relacionados ao aplicativo de nuvem específico. Opcional. |
Identificadores fortes de uma entidade de aplicativo em nuvem
- AppId (sem InstanceName)
- Nome (sem InstanceName)
- AppId + InstanceName
- Nome + Nome da Instância
Lista de identificadores de aplicativos na nuvem
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Resolução de DNS
Nome da entidade: DNS
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'DNS' |
Nome de Domínio | String | O nome do registro DNS associado ao alerta. |
Endereço IP | Listar<entidade (IP)> | Entidades correspondentes aos endereços IP resolvidos. |
DnsServerIp | Entidade (PI) | Uma entidade que representa o servidor DNS que está resolvendo a solicitação. |
HostIpAddress | Entidade (PI) | Uma entidade que representa o cliente de solicitação DNS. |
Identificadores fortes de uma entidade DNS
- DomainName + DnsServerIp + HostIpAddress
Identificadores fracos de uma entidade DNS
- DomainName + HostIpAddress
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Recurso do Azure
Nome da entidade: AzureResource
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'azure-resource' |
ResourceId | String | A ID do recurso do Azure. Obrigatório. |
SubscriptionId | String | A ID de assinatura do recurso. |
Contatos Ativos | Listar<ActiveContact> | Contatos ativos associados ao recurso. |
ResourceType | String | O tipo do recurso. |
ResourceName | String | O nome do recurso. |
Identificadores fortes de uma entidade de recurso do Azure
- ResourceId
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Hash de ficheiro
Nome da entidade: FileHash
Campo | Tipo | Description |
---|---|---|
Tipo | String | “filehash” |
Algoritmo | Enumeração | O tipo de algoritmo hash. Obrigatório. Valores possíveis: |
Valor | String | O valor hash. Obrigatório. |
Identificadores fortes de uma entidade de hash de arquivo
- Algoritmo + Valor
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Chave do registo
Nome da entidade: RegistryKey
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'chave de registo' |
Hive | Enum? | Um dos seguintes valores: |
Chave | String | O caminho da chave do Registro. |
Identificadores fortes de uma entidade de chave do Registro
- Colmeia + Chave
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Valor de registo
Nome da entidade: RegistryValue
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'valor do registo' |
Anfitrião | Entidade (Host) | O host ao qual o registro pertence. |
Chave | Entidade (RegistryKey) | A entidade da chave do Registro. |
Nome | Cadeia (de carateres) | O nome do valor do Registro. |
Valor | String | Representação formatada em cadeia de caracteres dos dados do valor. |
Tipo de Valor | Enum? | Um dos seguintes valores: Os valores devem estar em conformidade com a enumeração Microsoft.Win32.RegistryValueKind. |
Identificadores fortes de uma entidade de valor do Registro
- Chave + Nome
Identificadores fracos de uma entidade de valor do Registro
- Nome (sem chave)
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Grupo de segurança
Nome da entidade: SecurityGroup
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'Grupo de segurança' |
DistinguishedName | String | O nome distinto do grupo. |
SID | String | Um atributo de valor único que especifica o identificador de segurança (SID) do grupo. |
ObjectGuid | Guid? | Um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory. |
Identificadores fortes de uma entidade de grupo de segurança
- DistinguishedName
- SID
- ObjectGuid
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
URL
Nome da entidade: Url
Campo | Tipo | Description |
---|---|---|
Type | String | 'URL' |
Url | URI | Um URL completo para o qual a entidade aponta. Obrigatório. |
Identificadores fortes de uma entidade URL
- Url (** Este identificador é forte quando o URL é um URL absoluto.)
Identificadores fracos de uma entidade URL
- Url (** Este identificador é fraco quando o URL é um URL relativo.)
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Dispositivo IoT
Nome da entidade: IoTDevice
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'iotdevice' |
IoTHub | Entidade (AzureResource) | A entidade AzureResource que representa o Hub IoT ao qual o dispositivo pertence. |
DeviceId | String | A ID do dispositivo no contexto do Hub IoT. Obrigatório. |
Nome do dispositivo | String | O nome amigável do dispositivo. |
Proprietários | Cadeia de caracteres da lista<> | Os proprietários do dispositivo. |
IoTSecurityAgentId | Guid? | A ID do agente do Defender for IoT em execução no dispositivo. |
Tipo de dispositivo | String | O tipo de dispositivo («sensor de temperatura», «congelador», «turbina eólica», etc.). |
DeviceTypeId | String | Um ID exclusivo para identificar cada tipo de dispositivo de acordo com o esquema de tipo de dispositivo, já que o próprio tipo de dispositivo é um nome de exibição e não é confiável em comparações. Valores possíveis: Não classificado = 0 Diversos = 1 Dispositivo de rede = 2 Impressora = 3 Áudio e Vídeo = 4 Meios de comunicação e vigilância = 5 Comunicação = 7 Aparelho inteligente = 9 Estação de trabalho = 10 Servidor = 11 Telemóvel = 12 Instalação inteligente = 13 Industrial = 14 Equipamento Operacional = 15 |
Source | String | A origem (Microsoft/Vendor) da entidade do dispositivo. |
FonteRef | Entidade (url) | Uma referência de URL para o item de origem onde o dispositivo é gerenciado. |
Fabricante | String | O fabricante do dispositivo. |
Modelo | String | O modelo do dispositivo. |
Sistema Operacional | String | O sistema operacional que o dispositivo está executando. |
Endereço IP | Entidade (PI) | O endereço IP atual do dispositivo. |
MacEndereço | String | O endereço MAC do dispositivo. |
Nics | Entidade (Nic) | As NICs atuais no dispositivo. |
Protocolos | Cadeia de caracteres da lista<> | Uma lista de protocolos suportados pelo dispositivo. |
Número de série | String | O número de série do dispositivo. |
Sítio | String | A localização do site do dispositivo. |
Zona | String | A localização da zona do dispositivo dentro de um site. |
Sensor | String | O sensor de monitoramento do dispositivo. |
Importância | Enum? | Um dos seguintes valores: |
PurdueLayer | String | A camada Purdue do dispositivo. |
IsProgramming | Bool? | Indica se o dispositivo classificado como dispositivo de programação. |
IsAuthorized | Bool? | Indica se o dispositivo foi classificado como dispositivo autorizado. |
IsScanner | Bool? | Indica se o dispositivo foi classificado como um dispositivo de scanner. |
DevicePageLink | Entidade (url) | Um URL para a página do dispositivo no portal do Defender for IoT. |
Subtipo de dispositivo | String | O nome do subtipo de dispositivo. |
Identificadores fortes de uma entidade de dispositivo IoT
- IoTHub + DeviceId
Identificadores fracos de uma entidade de dispositivo IoT
- DeviceId (sem IoTHub)
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Mailbox
Nome da entidade: Caixa de correio
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'caixa de correio' |
MailboxPrimaryAddress | String | O endereço principal da caixa de correio. |
DisplayName | String | O nome para exibição da caixa de correio. |
Upn | String | UPN da caixa de correio. |
AadId | String | O identificador do Azure AD da caixa de correio do usuário. |
Nível de Risco | Nível de Risco? | O nível de risco desta caixa de correio. Valores possíveis: |
ExternalDirectoryObjectId | Guid? | O identificador AzureAD da caixa de correio. Semelhante a AadUserId na entidade Account, mas essa propriedade é específica para o objeto de caixa de correio no lado do Office. |
Identificadores fortes de uma entidade de caixa de correio
- MailboxPrimaryAddress
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Cluster de correio
Nome da entidade: MailCluster
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'Cluster de e-mail' |
NetworkMessageIds | String IList<> | As IDs de mensagem de email que fazem parte do cluster de email. |
CountByDeliveryStatus | IDictionary<String,Int> | Contagem de mensagens de email por representação de cadeia de caracteres DeliveryStatus. |
CountByThreatType | IDictionary<String,Int> | Contagem de mensagens de email por representação de cadeia de caracteres ThreatType. |
CountByProtectionStatus | IDictionary<String, longa> | Contagem de mensagens de email por representação de cadeia de caracteres de status de proteção. |
CountByDeliveryLocalização | IDictionary<String, longa> | Contagem de mensagens de email por representação de cadeia de caracteres de local de entrega. |
Ameaças | String IList<> | As ameaças de mensagens de email que fazem parte do cluster de email. |
Consulta | String | A consulta que foi usada para identificar as mensagens do cluster de email. |
QueryTime | DateTime? | O tempo de consulta. |
MailCount | Int? | O número de mensagens de email que fazem parte do cluster de email. |
IsVolumeAnomalia | Bool? | Indica se o cluster de email é um cluster de email com anomalia de volume. |
Source | String | A origem do cluster de email (o padrão é O365 ATP ). |
Identificadores fortes de uma entidade de cluster de email
- Consulta + Origem
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Mail message
Nome da entidade: MailMessage
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'mensagem de e-mail' |
Ficheiros | Entidade IList<(Ficheiro)> | As entidades File dos anexos desta mensagem de email. |
Destinatário | String | O destinatário desta mensagem de email. No caso de vários destinatários, a mensagem de correio é copiada e cada cópia tem um destinatário. |
Urls | String IList<> | Os URLs contidos nesta mensagem de email. |
Ameaças | String IList<> | As ameaças contidas nesta mensagem de email. |
Remetente | String | O endereço de e-mail do remetente. |
SenderIP | String | O endereço IP do remetente. |
Data de Recebimento | DateTime | A data de recebimento desta mensagem. |
NetworkMessageId | Guid? | O ID da mensagem de rede desta mensagem de email. |
InternetMessageId | String | O ID da mensagem de Internet desta mensagem de correio. |
Assunto | String | O assunto desta mensagem de email. |
AntispamDirection | Enum? | A direcionalidade desta mensagem de email. Valores possíveis: |
DeliveryAction | Enum? | A ação de entrega desta mensagem de email. Valores possíveis: |
EntregaLocalização | Enum? | O local de entrega desta mensagem de email. Valores possíveis: |
CampaignId | String | O identificador da campanha na qual esta mensagem de correio está presente. |
Destinatários suspeitos | String IList<> | A lista de destinatários que foram detetados como suspeitos. |
Destinatários Encaminhados | String IList<> | A lista de todos os destinatários no e-mail encaminhado. |
Tipo de encaminhamento | String IList<> | O tipo de encaminhamento do e-mail, como SMTP, ETR, etc. |
Identificadores fortes de uma entidade de mensagem de email
- NetworkMessageId + Destinatário
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
E-mail de submissão
Nome da entidade: SubmissionMail
Campo | Tipo | Description |
---|---|---|
Tipo | String | 'SubmissionMail' |
SubmissionId | Guid? | O ID de envio. |
Data de Submissão | DateTime? | Data informada Hora para este envio. |
Transmitente | String | O endereço de e-mail do transmitente. |
NetworkMessageId | Guid? | O ID da mensagem de rede do e-mail ao qual o envio pertence. |
Carimbo de data/hora | DateTime? | O carimbo de data/hora quando a mensagem é recebida (Mail). |
Destinatário | String | O destinatário do e-mail. |
Remetente | String | O remetente do e-mail. |
SenderIp | String | O IP do remetente. |
Assunto | String | O assunto do correio de submissão. |
Tipo de relatório | String | O tipo de envio para a instância dada. Os valores possíveis são Junk, Phish, Malware ou NotJunk. |
Identificadores fortes de uma entidade SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Destinatário
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Entidades sentinela
Campo | Tipo | Description |
---|---|---|
Entidades | String | Uma lista das entidades identificadas no alerta. Esta lista é a coluna de entidades do esquema SecurityAlert (consulte a documentação). |
Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade
Identificadores de aplicativos na nuvem
A lista a seguir define identificadores para aplicativos de nuvem conhecidos. O valor da ID do aplicativo é usado como um identificador de entidade de aplicativo na nuvem.
ID da Aplicação | Nome |
---|---|
10026 | DocuSign |
10395 | Anaplan |
10489 | Box |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | Cornerstone OnDemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft Online Services |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive para Empresas |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud Apps |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Ciclo de vida do Autodesk Fusion |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype para Empresas |
25988 | Documentos Google |
26055 | Centro de administração do Microsoft 365 |
26060 | Engrenagens OPSWAT |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google Drive |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Workplace by Facebook |
28373 | Emulador de proxy CAS |
28375 | Microsoft Teams |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Talentos do Microsoft Dynamics |
Próximos passos
Neste documento, você aprendeu sobre estrutura de entidade, identificadores e esquema no Microsoft Sentinel.
Saiba mais sobre entidades e mapeamento de entidades.