Partilhar via


Referência de tipos de entidade do Microsoft Sentinel

Este documento contém dois conjuntos de informações sobre entidades e tipos de entidades no Microsoft Sentinel no portal do Azure e no Microsoft Sentinel no portal do Defender.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Tipos de entidades e identificadores

A tabela a seguir mostra os tipos de entidade que podem ser reconhecidos pelo Microsoft Sentinel e os atributos que podem ser usados como identificadores para cada tipo de entidade.

O Microsoft Sentinel reconhece entidades em alertas e incidentes criados pelo mapeamento de entidades em regras de análise. Também reconhece entidades já identificadas em alertas ingeridos de outras fontes.

Atualmente, você pode usar até três identificadores para uma determinada entidade ao criar um mapeamento de entidade no Microsoft Sentinel. Identificadores fortes por si só são suficientes para identificar exclusivamente uma entidade, enquanto identificadores fracos só podem fazê-lo em combinação com outros identificadores. Saiba mais sobre identificadores fortes e fracos. A maioria, mas não todos, os identificadores nesta tabela podem ser usados ao criar mapeamentos de entidade no Microsoft Sentinel (consulte notas de rodapé).

Tipo de entidade Identifiers Identificadores fortes Identificadores fracos
Conta Nome
Nome Completo *
NTDomain
DnsDomínio
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Nome+UPNSuffix
AADUserId
Sid **
Sid+Host **
Nome+Host+NTDomain **
Nome+NTDomain **
Nome+DnsDomain
PUID
ObjectGuid
Nome
Anfitrião DnsDomínio
NTDomain
Nome do Anfitrião
Nome Completo *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
Nome do Host+NTDomain
Nome do Host+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
Nome do Anfitrião
NetBiosName
IP Endereço
EndereçoEscopo
Endereço **
Endereço+EndereçoEscopo **
URL Url Url (se URL absoluto) ** Url (se URL relativa) **
Recurso do Azure
(AzureResource)
ResourceId ResourceId
Aplicação na nuvem
(CloudApplication)
AppId
Nome
InstanceName
AppId
Nome
AppId+InstanceName
Nome+Nome da Instância
Resolução DNS
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
Ficheiro Diretório
Nome
Diretório+Nome
Hash de ficheiro
(FileHash)
Algoritmo
Value
Algoritmo+Valor
Malware Nome
Categoria
Nome+Categoria
Processo ProcessId
Linha de comando
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash
ProcessId+CreationTimeUtc+
   CommandLine (sem host)
ProcessId+CreationTimeUtc+
   ImageFile (sem host)
Chave do registo
(RegistryKey)
Ramo de registo
Key
Colmeia+Chave
Valor de registo
(RegistryValue)
Nome
Valor
ValueType
Chave+Nome Nome (sem chave)
Grupo de segurança
(Grupo de Segurança)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Caixa de Correio MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
Cluster de correio
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Ameaças
Query
QueryTime
MailCount
IsVolumeAnomalia
Origem
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
Grupo de Clusters *
Consulta+Origem
Mensagem de correio
(Mensagem de e-mail)
Destinatário
Urls
Ameaças
Remetente
P1Remetente *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
Data de Recebimento
NetworkMessageId
InternetMessageId
Assunto
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
EntregaLocalização
Idioma*
ThreatDetectionMethods *
NetworkMessageId+Recipient
E-mail de submissão
(Envio)
NetworkMessageId
Carimbo de Data/Hora
Destinatário
Remetente
SenderIp
Assunto
Tipo de relatório
SubmissionId
Data de Submissão
Transmitente
SubmissionId+NetworkMessageId+
   Destinatário+Transmitente
Entidades sentinela Entidades Entidades

Notas de rodapé da tabela:

  • * Esses identificadores aparecem na lista de identificadores que podem ser usados no mapeamento de entidades, mas estritamente falando eles não fazem parte do esquema de entidade.
  • ** Estes identificadores são considerados fortes apenas sob certas condições. Siga os links dos asteriscos para ver as condições que se aplicam, na listagem da entidade relevante na seção de esquemas de entidade abaixo.
  • Os nomes de identificadores em itálico (sem um asterisco) representam entidades internas, o que significa que um tipo de entidade pode ter outros tipos de entidade como atributos (consulte a seção Esquemas de entidade abaixo). Siga o link do identificador para ver o esquema da própria entidade interna.
  • Outras entidades podem estar presentes no esquema, que é um esquema geral que suporta muitas coisas além do Microsoft Sentinel. Somente as entidades disponíveis no Microsoft Sentinel estão listadas neste artigo.

Esquemas de tipo de entidade

A seção a seguir contém uma visão mais aprofundada dos esquemas completos de cada tipo de entidade. Você notará que muitos desses esquemas incluem links para outros tipos de entidade. Por exemplo, o esquema Account inclui um link para o tipo de entidade Host, uma vez que um atributo de uma conta de usuário é o host no qual ela está definida. Essas entidades como atributos são conhecidas como "entidades internas" e não podem ser usadas como identificadores para mapeamento de entidades, mas são muito úteis para fornecer uma imagem completa das entidades nas páginas de entidades e no gráfico de investigação.

Nota

Um ponto de interrogação após o valor na coluna Tipo indica que o campo é anulável.

Lista de esquemas de tipo de entidade

Account

Nome da entidade: Conta

Campo Tipo Description
Tipo String 'conta'
Nome Cadeia (de carateres) O nome da conta. Este campo deve conter apenas o nome, sem qualquer domínio adicionado a ele.
FullName -- Não faz parte do esquema, incluído para compatibilidade com versões anteriores da versão antiga do mapeamento de entidades.
NTDomain String O nome de domínio NETBIOS tal como aparece no formato de alerta — domínio\nome de utilizador. Exemplos: Finanças, NT AUTHORITY
DnsDomínio String O nome DNS de domínio totalmente qualificado. Exemplos: finance.contoso.com
UPNSuffix String O sufixo do nome principal do usuário para a conta. Em muitos casos, o Sufixo UPN é também o nome de domínio. Exemplos: contoso.com
Anfitrião Entidade (Host) O host que contém a conta, se for uma conta local.
Sid String O identificador de segurança da conta.
AadTenantId Guid? A ID de locatário do Microsoft Entra, se conhecida.
AadUserId Guid? A ID do objeto da conta do Microsoft Entra, se conhecida.
PUID Guid? O ID de usuário do Microsoft Entra Passport, se conhecido.
IsDomainJoined Bool? Indica se a conta é uma conta de domínio.
DisplayName -- Não faz parte do esquema, incluído para compatibilidade com versões anteriores da versão antiga do mapeamento de entidades.
ObjectGuid Guid? O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory.
CloudAppAccountId String O AccountID em alertas do provedor CloudApp. Refere-se a IDs de conta em aplicativos de terceiros que não são suportados em outros produtos da Microsoft.
IsAnonymized Bool? Indica se o nome de usuário é anonimizado. Opcional. Valor predefinido: false.
Transmissão Fluxo A origem dos logs de descoberta relacionados à conta específica. Opcional.

Identificadores fortes de uma entidade de conta

  • Nome + UPNSuffix
  • AadUserId
  • Sid
    ** Este identificador é forte desde que a conta não seja uma das contas incorporadas listadas na Nota abaixo.
  • Sid + Anfitrião
    ** Quando a conta é uma das contas internas listadas na Nota abaixo, o componente Host é necessário para tornar esse identificador forte.
  • Nome + NTDomain
    ** Esta combinação é um identificador forte quando a conta é uma conta de domínio, uma vez que NTDomain não é um domínio/grupo de trabalho interno e é diferente do nome do host. Nesse caso, esse é um identificador forte, mesmo sem o componente Host.
  • Nome + NTDomain + Host
    ** O componente Host é necessário para criar um identificador forte quando a conta é uma conta local, o que significa que o NTDomain é um domínio/grupo de trabalho interno.
  • Nome + DnsDomain
  • PUID
  • ObjectGuid

Identificadores fracos de uma entidade de conta

  • Nome

Nota

Se a entidade Account for definida usando o identificador Name e o valor Name de uma entidade específica for um dos seguintes nomes de conta genéricos e comumente internos, essa entidade será descartada de seu alerta.

  • ADMINISTRAÇÃO
  • ADMINISTRADOR
  • SISTEMA
  • RAIZ
  • ANÔNIMO
  • UTILIZADOR AUTENTICADO
  • REDE
  • NULL
  • SISTEMA LOCAL
  • LOCALSYSTEM
  • SERVIÇO DE REDE

Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

Host

Nome da entidade: Host

Campo Tipo Description
Tipo String 'anfitrião'
IpInterfaces Listar<entidade (Ip)> Lista de todas as interfaces IP na máquina host.
DnsDomínio String O domínio DNS ao qual este host pertence. Deve conter o sufixo DNS completo para o domínio, se conhecido.
NTDomain String O domínio NT ao qual esse host pertence.
Nome do host String O nome do host sem o sufixo de domínio.
NetBiosName String O nome do host (anterior ao Windows 2000).
IoTDevice Entidade (dispositivo IoT) A entidade Dispositivo IoT (se este host representar um Dispositivo IoT).
AzureID String A ID de recurso do Azure da VM, se conhecida.
OMSAgentID String O ID do agente do OMS, se o host tiver o agente do OMS instalado.
OSFamily Enum? Um dos seguintes valores:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String Uma representação de texto livre do sistema operacional.
    Este campo destina-se a conter versões específicas que são mais refinadas do que OSFamily, ou valores futuros não suportados pela enumeração OSFamily.
    IsDomainJoined Bool Indica se esse host pertence a um domínio.

    Identificadores fortes de uma entidade host

    • Nome do host + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Identificadores fracos de uma entidade host

    • Nome do Anfitrião
    • NetBiosName

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    IP

    Nome da entidade: IP

    Campo Tipo Description
    Tipo String «PI»
    Endereço String O endereço IP como string, por exemplo. 127.0.0.1 (em IPv4 ou IPv6).
    EndereçoEscopo String Nome do host, sub-rede ou rede privada para endereços IP privados não globais. Nulo ou vazio para endereços IP globais (padrão).
    Location GeoLocation O contexto de geolocalização anexado à entidade IP.

    Para obter mais informações, consulte também Enriquecer entidades no Microsoft Sentinel com dados de geolocalização por meio da API REST (visualização pública).
    Transmissão Fluxo A origem dos logs de descoberta relacionados ao IP específico. Opcional.

    Identificadores fortes de uma entidade IP

    • Endereço
      ** O endereço por si só é um identificador único e forte quando o endereço IP é um endereço global.
    • Endereço + AddressScope
      ** Para endereços IP privados/internos, não globais, o componente AddressScope é necessário para torná-lo um identificador forte.

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Malware

    Nome da entidade: Malware

    Campo Tipo Description
    Tipo String 'malware'
    Nome Cadeia (de carateres) O nome do malware atribuído pelo fornecedor (deteção?), como Win32/Toga!rfn.
    Categoria String A categoria de malware atribuída pelo fornecedor (deteção?), por exemplo. Cavalo de Troia.
    Ficheiros Listar<entidade (arquivo)> Lista de entidades de arquivo vinculadas nas quais o malware foi encontrado. Pode conter as entidades File embutidas ou como referência.
    Consulte a entidade File para obter mais detalhes sobre a estrutura.
    Processos Listar<entidade (processo)> Lista de entidades de processo vinculadas nas quais o malware foi encontrado. Isso geralmente seria usado quando o alerta era acionado em atividade sem arquivo.
    Consulte a entidade Processo para obter mais detalhes sobre a estrutura.

    Identificadores fortes de uma entidade de malware

    • Nome + Categoria

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Ficheiro

    Nome da entidade: Arquivo

    Campo Tipo Description
    Tipo String 'ficheiro'
    Diretório String O caminho completo para o ficheiro.
    Nome Cadeia (de carateres) O nome do arquivo sem o caminho (alguns alertas podem não incluir caminho).
    AlternateDataStreamName String O nome do fluxo de arquivos no sistema de arquivos NTFS (nulo para o fluxo principal).
    Anfitrião Entidade (Host) O host no qual o arquivo foi armazenado.
    HostUrl Entidade (URL) URL de onde o arquivo foi baixado
    (Marca da Web).
    WindowsSecurityZoneType WindowsSecurityZone Zona de Segurança do Windows à qual o URL pertence
    (Marca da Web).
    ReferrerUrl Entidade (URL) URL de referência da solicitação HTTP de download do arquivo
    (Marca da Web).
    SizeInBytes Longo? O tamanho de ficheiro em bytes.
    Hashes de arquivo Listar<entidade (FileHash)> Os hashes de ficheiro associados a este ficheiro.

    Identificadores fortes de uma entidade de arquivo

    • Nome + Diretório
    • Nome + FileHash
    • Nome + Diretório + FileHash

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Processo

    Nome da entidade: Processo

    Campo Tipo Description
    Tipo String 'Processo'
    ProcessId String O ID do processo.
    Linha de comando String A linha de comando usada para criar o processo.
    ElevationToken Enum? O token de elevação associado ao processo.
    Valores possíveis:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? A hora em que o processo começou a correr.
    Arquivo de imagem Entidade (Ficheiro) Pode conter a entidade File embutida ou como referência.
    Consulte a entidade File para obter mais detalhes sobre a estrutura.
    Conta Entidade (Conta) A conta que executa os processos.
    Pode conter a entidade Conta embutida ou como referência.
    Consulte a entidade Conta para obter mais detalhes sobre a estrutura.
    ParentProcess Entidade (Processo) A entidade de processo pai.
    Pode conter dados parciais, por exemplo, apenas o PID.
    Anfitrião Entidade (Host) O host no qual o processo estava sendo executado.
    LogonSession Entidade (HostLogonSession) A sessão em que o processo estava a decorrer.

    Identificadores fortes de uma entidade de processo

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Identificadores fracos de uma entidade de processo

    • ProcessId + CreationTimeUtc + CommandLine (e sem host)
    • ProcessId + CreationTimeUtc + ImageFile (e sem host)

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Aplicação na cloud

    Nome da entidade: CloudApplication

    Campo Tipo Description
    Tipo String 'Aplicação na nuvem'
    AppId Int Preterido; use o campo SaasId em vez disso. O identificador técnico da aplicação. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos em nuvem. Valor opcional. Não deve conter InstanceId.
    SaasId Int Substitui o campo AppId preterido. O identificador técnico da aplicação. Os valores possíveis são aqueles definidos na lista de identificadores de aplicativos em nuvem. Valor opcional. Não deve conter InstanceId.
    Nome Cadeia (de carateres) O nome do aplicativo de nuvem relacionado. Valor opcional.
    Nome da instância String O nome da instância definida pelo usuário do aplicativo de nuvem. É frequentemente utilizado para distinguir entre várias aplicações do mesmo tipo que um cliente.
    InstanceId Int O identificador da sessão específica do aplicativo. Este é um número de execução baseado em zero. Valor opcional.
    Risco AppRisk? Permite filtrar aplicativos por pontuação de risco para que você possa se concentrar, por exemplo, em revisar apenas aplicativos de alto risco. Valores possíveis como Baixo, Médio, Alto ou Desconhecido.
    Transmissão Fluxo A origem dos logs de descoberta relacionados ao aplicativo de nuvem específico. Opcional.

    Identificadores fortes de uma entidade de aplicativo em nuvem

    • AppId (sem InstanceName)
    • Nome (sem InstanceName)
    • AppId + InstanceName
    • Nome + Nome da Instância

    Lista de identificadores de aplicativos na nuvem

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Resolução de DNS

    Nome da entidade: DNS

    Campo Tipo Description
    Tipo String 'DNS'
    Nome de Domínio String O nome do registro DNS associado ao alerta.
    Endereço IP Listar<entidade (IP)> Entidades correspondentes aos endereços IP resolvidos.
    DnsServerIp Entidade (PI) Uma entidade que representa o servidor DNS que está resolvendo a solicitação.
    HostIpAddress Entidade (PI) Uma entidade que representa o cliente de solicitação DNS.

    Identificadores fortes de uma entidade DNS

    • DomainName + DnsServerIp + HostIpAddress

    Identificadores fracos de uma entidade DNS

    • DomainName + HostIpAddress

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Recurso do Azure

    Nome da entidade: AzureResource

    Campo Tipo Description
    Tipo String 'azure-resource'
    ResourceId String A ID do recurso do Azure. Obrigatório.
    SubscriptionId String A ID de assinatura do recurso.
    Contatos Ativos Listar<ActiveContact> Contatos ativos associados ao recurso.
    ResourceType String O tipo do recurso.
    ResourceName String O nome do recurso.

    Identificadores fortes de uma entidade de recurso do Azure

    • ResourceId

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Hash de ficheiro

    Nome da entidade: FileHash

    Campo Tipo Description
    Tipo String “filehash”
    Algoritmo Enumeração O tipo de algoritmo hash. Obrigatório. Valores possíveis:
  • Desconhecido
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Valor String O valor hash. Obrigatório.

    Identificadores fortes de uma entidade de hash de arquivo

    • Algoritmo + Valor

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Chave do registo

    Nome da entidade: RegistryKey

    Campo Tipo Description
    Tipo String 'chave de registo'
    Hive Enum? Um dos seguintes valores:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Chave String O caminho da chave do Registro.

    Identificadores fortes de uma entidade de chave do Registro

    • Colmeia + Chave

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Valor de registo

    Nome da entidade: RegistryValue

    Campo Tipo Description
    Tipo String 'valor do registo'
    Anfitrião Entidade (Host) O host ao qual o registro pertence.
    Chave Entidade (RegistryKey) A entidade da chave do Registro.
    Nome Cadeia (de carateres) O nome do valor do Registro.
    Valor String Representação formatada em cadeia de caracteres dos dados do valor.
    Tipo de Valor Enum? Um dos seguintes valores:
  • String
  • Binário
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Nenhuma
  • Desconhecido
    Os valores devem estar em conformidade com a enumeração Microsoft.Win32.RegistryValueKind.
  • Identificadores fortes de uma entidade de valor do Registro

    • Chave + Nome

    Identificadores fracos de uma entidade de valor do Registro

    • Nome (sem chave)

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Grupo de segurança

    Nome da entidade: SecurityGroup

    Campo Tipo Description
    Tipo String 'Grupo de segurança'
    DistinguishedName String O nome distinto do grupo.
    SID String Um atributo de valor único que especifica o identificador de segurança (SID) do grupo.
    ObjectGuid Guid? Um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo Ative Directory.

    Identificadores fortes de uma entidade de grupo de segurança

    • DistinguishedName
    • SID
    • ObjectGuid

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    URL

    Nome da entidade: Url

    Campo Tipo Description
    Type String 'URL'
    Url URI Um URL completo para o qual a entidade aponta. Obrigatório.

    Identificadores fortes de uma entidade URL

    • Url (** Este identificador é forte quando o URL é um URL absoluto.)

    Identificadores fracos de uma entidade URL

    • Url (** Este identificador é fraco quando o URL é um URL relativo.)

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Dispositivo IoT

    Nome da entidade: IoTDevice

    Campo Tipo Description
    Tipo String 'iotdevice'
    IoTHub Entidade (AzureResource) A entidade AzureResource que representa o Hub IoT ao qual o dispositivo pertence.
    DeviceId String A ID do dispositivo no contexto do Hub IoT. Obrigatório.
    Nome do dispositivo String O nome amigável do dispositivo.
    Proprietários Cadeia de caracteres da lista<> Os proprietários do dispositivo.
    IoTSecurityAgentId Guid? A ID do agente do Defender for IoT em execução no dispositivo.
    Tipo de dispositivo String O tipo de dispositivo («sensor de temperatura», «congelador», «turbina eólica», etc.).
    DeviceTypeId String Um ID exclusivo para identificar cada tipo de dispositivo de acordo com o esquema de tipo de dispositivo, já que o próprio tipo de dispositivo é um nome de exibição e não é confiável em comparações.

    Valores possíveis:
    Não classificado = 0
    Diversos = 1
    Dispositivo de rede = 2
    Impressora = 3
    Áudio e Vídeo = 4
    Meios de comunicação e vigilância = 5
    Comunicação = 7
    Aparelho inteligente = 9
    Estação de trabalho = 10
    Servidor = 11
    Telemóvel = 12
    Instalação inteligente = 13
    Industrial = 14
    Equipamento Operacional = 15
    Source String A origem (Microsoft/Vendor) da entidade do dispositivo.
    FonteRef Entidade (url) Uma referência de URL para o item de origem onde o dispositivo é gerenciado.
    Fabricante String O fabricante do dispositivo.
    Modelo String O modelo do dispositivo.
    Sistema Operacional String O sistema operacional que o dispositivo está executando.
    Endereço IP Entidade (PI) O endereço IP atual do dispositivo.
    MacEndereço String O endereço MAC do dispositivo.
    Nics Entidade (Nic) As NICs atuais no dispositivo.
    Protocolos Cadeia de caracteres da lista<> Uma lista de protocolos suportados pelo dispositivo.
    Número de série String O número de série do dispositivo.
    Sítio String A localização do site do dispositivo.
    Zona String A localização da zona do dispositivo dentro de um site.
    Sensor String O sensor de monitoramento do dispositivo.
    Importância Enum? Um dos seguintes valores:
  • Baixo
  • Normal
  • Alto
  • PurdueLayer String A camada Purdue do dispositivo.
    IsProgramming Bool? Indica se o dispositivo classificado como dispositivo de programação.
    IsAuthorized Bool? Indica se o dispositivo foi classificado como dispositivo autorizado.
    IsScanner Bool? Indica se o dispositivo foi classificado como um dispositivo de scanner.
    DevicePageLink Entidade (url) Um URL para a página do dispositivo no portal do Defender for IoT.
    Subtipo de dispositivo String O nome do subtipo de dispositivo.

    Identificadores fortes de uma entidade de dispositivo IoT

    • IoTHub + DeviceId

    Identificadores fracos de uma entidade de dispositivo IoT

    • DeviceId (sem IoTHub)

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Mailbox

    Nome da entidade: Caixa de correio

    Campo Tipo Description
    Tipo String 'caixa de correio'
    MailboxPrimaryAddress String O endereço principal da caixa de correio.
    DisplayName String O nome para exibição da caixa de correio.
    Upn String UPN da caixa de correio.
    AadId String O identificador do Azure AD da caixa de correio do usuário.
    Nível de Risco Nível de Risco? O nível de risco desta caixa de correio. Valores possíveis:
  • Nenhuma
  • Baixo
  • Médio
  • Alto
  • ExternalDirectoryObjectId Guid? O identificador AzureAD da caixa de correio. Semelhante a AadUserId na entidade Account, mas essa propriedade é específica para o objeto de caixa de correio no lado do Office.

    Identificadores fortes de uma entidade de caixa de correio

    • MailboxPrimaryAddress

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Cluster de correio

    Nome da entidade: MailCluster

    Campo Tipo Description
    Tipo String 'Cluster de e-mail'
    NetworkMessageIds String IList<> As IDs de mensagem de email que fazem parte do cluster de email.
    CountByDeliveryStatus IDictionary<String,Int> Contagem de mensagens de email por representação de cadeia de caracteres DeliveryStatus.
    CountByThreatType IDictionary<String,Int> Contagem de mensagens de email por representação de cadeia de caracteres ThreatType.
    CountByProtectionStatus IDictionary<String, longa> Contagem de mensagens de email por representação de cadeia de caracteres de status de proteção.
    CountByDeliveryLocalização IDictionary<String, longa> Contagem de mensagens de email por representação de cadeia de caracteres de local de entrega.
    Ameaças String IList<> As ameaças de mensagens de email que fazem parte do cluster de email.
    Consulta String A consulta que foi usada para identificar as mensagens do cluster de email.
    QueryTime DateTime? O tempo de consulta.
    MailCount Int? O número de mensagens de email que fazem parte do cluster de email.
    IsVolumeAnomalia Bool? Indica se o cluster de email é um cluster de email com anomalia de volume.
    Source String A origem do cluster de email (o padrão é O365 ATP).

    Identificadores fortes de uma entidade de cluster de email

    • Consulta + Origem

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Mail message

    Nome da entidade: MailMessage

    Campo Tipo Description
    Tipo String 'mensagem de e-mail'
    Ficheiros Entidade IList<(Ficheiro)> As entidades File dos anexos desta mensagem de email.
    Destinatário String O destinatário desta mensagem de email. No caso de vários destinatários, a mensagem de correio é copiada e cada cópia tem um destinatário.
    Urls String IList<> Os URLs contidos nesta mensagem de email.
    Ameaças String IList<> As ameaças contidas nesta mensagem de email.
    Remetente String O endereço de e-mail do remetente.
    SenderIP String O endereço IP do remetente.
    Data de Recebimento DateTime A data de recebimento desta mensagem.
    NetworkMessageId Guid? O ID da mensagem de rede desta mensagem de email.
    InternetMessageId String O ID da mensagem de Internet desta mensagem de correio.
    Assunto String O assunto desta mensagem de email.
    AntispamDirection Enum? A direcionalidade desta mensagem de email. Valores possíveis:
  • Desconhecido
  • Interna
  • De Saída
  • Intraorg (interna)
  • DeliveryAction Enum? A ação de entrega desta mensagem de email. Valores possíveis:
  • Desconhecido
  • DeliveredAsSpam
  • Entregues
  • Bloqueado
  • Replaced
  • EntregaLocalização Enum? O local de entrega desta mensagem de email. Valores possíveis:
  • Desconhecido
  • Caixa de entrada
  • Pasta de lixo
  • Pasta excluída
  • Quarentena
  • Externa
  • Com falhas
  • Caiu
  • Encaminhado
  • CampaignId String O identificador da campanha na qual esta mensagem de correio está presente.
    Destinatários suspeitos String IList<> A lista de destinatários que foram detetados como suspeitos.
    Destinatários Encaminhados String IList<> A lista de todos os destinatários no e-mail encaminhado.
    Tipo de encaminhamento String IList<> O tipo de encaminhamento do e-mail, como SMTP, ETR, etc.

    Identificadores fortes de uma entidade de mensagem de email

    • NetworkMessageId + Destinatário

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    E-mail de submissão

    Nome da entidade: SubmissionMail

    Campo Tipo Description
    Tipo String 'SubmissionMail'
    SubmissionId Guid? O ID de envio.
    Data de Submissão DateTime? Data informada Hora para este envio.
    Transmitente String O endereço de e-mail do transmitente.
    NetworkMessageId Guid? O ID da mensagem de rede do e-mail ao qual o envio pertence.
    Carimbo de data/hora DateTime? O carimbo de data/hora quando a mensagem é recebida (Mail).
    Destinatário String O destinatário do e-mail.
    Remetente String O remetente do e-mail.
    SenderIp String O IP do remetente.
    Assunto String O assunto do correio de submissão.
    Tipo de relatório String O tipo de envio para a instância dada. Os valores possíveis são Junk, Phish, Malware ou NotJunk.

    Identificadores fortes de uma entidade SubmissionMail

    • SubmissionId, Submitter, NetworkMessageId, Destinatário

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Entidades sentinela

    Campo Tipo Description
    Entidades String Uma lista das entidades identificadas no alerta. Esta lista é a coluna de entidades do esquema SecurityAlert (consulte a documentação).

    Voltar à lista de esquemas | de tipo de entidade Voltar à tabela de identificadores de entidade

    Identificadores de aplicativos na nuvem

    A lista a seguir define identificadores para aplicativos de nuvem conhecidos. O valor da ID do aplicativo é usado como um identificador de entidade de aplicativo na nuvem.

    ID da Aplicação Nome
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive para Empresas
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Ciclo de vida do Autodesk Fusion
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype para Empresas
    25988 Documentos Google
    26055 Centro de administração do Microsoft 365
    26060 Engrenagens OPSWAT
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 Emulador de proxy CAS
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Talentos do Microsoft Dynamics

    Próximos passos

    Neste documento, você aprendeu sobre estrutura de entidade, identificadores e esquema no Microsoft Sentinel.

    Saiba mais sobre entidades e mapeamento de entidades.