Справочник по правилам автоматизации Microsoft Sentinel
В этой статье содержатся справочные сведения о настройке правил автоматизации и поддерживаемых условиях и свойствах.
Дополнительные сведения о правилах автоматизации см. в статье Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.
Инструкции по созданию, управлению и использованию правил автоматизации см. в статье "Создание и использование правил автоматизации Microsoft Sentinel" для управления ответами.
Поддерживаемые свойства сущности
Следующие сущности и свойства сущностей можно использовать в качестве условий для правил автоматизации:
В этой таблице показаны свойства сущности, поддерживаемые в API правил автоматизации. Это свойства сущности, значения которых можно задать в качестве условий для активации правила автоматизации.
Полный список поддерживаемых свойств, включающих свойства инцидента, см. в документации по API правил автоматизации.
| Имя (в API) | Тип | Описание |
|---|---|---|
| AccountAadTenantId | строка | Идентификатор клиента Microsoft Entra ID учетной записи |
| AccountAadUserId | строка | Идентификатор пользователя Идентификатора учетной записи Майкрософт |
| AccountName | строка | Имя учетной записи |
| AccountNTDomain | строка | Доменное имя учетной записи NetBIOS |
| AccountPUID | строка | Идентификатор пользователя Microsoft Entra ID Passport |
| AccountSid | строка | Идентификатор безопасности учетной записи |
| AccountObjectGuid | строка | Уникальный идентификатор объекта учетной записи |
| AccountUPNSuffix | строка | Суффикс имени субъекта-пользователя учетной записи |
| AzureResourceResourceId | строка | Идентификатор ресурса Azure |
| AzureResourceSubscriptionId | строка | Идентификатор подписки ресурса Azure |
| CloudApplicationAppId | строка | Идентификатор облачного приложения |
| CloudApplicationAppName | строка | Имя облачного приложения |
| DNSDomainName | строка | Доменное имя записи DNS |
| FileDirectory | строка | Полный путь к каталогу файлов |
| FileName | строка | Имя файла без пути |
| FileHashValue | строка | Хэш-значение файла |
| HostAzureID | строка | Идентификатор ресурса Azure узла |
| HostName | строка | Имя узла без домена |
| HostNetBiosName | строка | Имя узла NetBIOS |
| HostNTDomain | строка | Домен NT узла |
| HostOSVersion | строка | Операционная система узла |
| IoTDeviceId | строка | Идентификатор устройства Интернета вещей |
| IoTDeviceName | строка | Имя устройства Интернета вещей |
| IoTDeviceType | строка | Тип устройства Интернета вещей |
| IoTDeviceVendor | строка | Поставщик устройств Интернета вещей |
| IoTDeviceModel | строка | Модель устройства Интернета вещей |
| IoTDeviceOperatingSystem | строка | Операционная система устройства Интернета вещей |
| IPAddress | строка | IP-адрес |
| MailboxDisplayName | строка | Отображаемое имя почтового ящика |
| MailboxPrimaryAddress | строка | Основной адрес почтового ящика |
| MailboxUPN | строка | Имя субъекта-пользователя почтового ящика |
| MailMessageDeliveryAction | строка | Действие доставки сообщений почты |
| MailMessageDeliveryLocation | строка | Расположение доставки сообщений почты |
| MailMessageRecipient | строка | Получатель почтового сообщения |
| MailMessageSenderIP | строка | IP-адрес отправителя сообщения электронной почты |
| MailMessageSubject | строка | Тема сообщения электронной почты |
| MailMessageP1Sender | строка | Отправитель почтового сообщения P1 (делегированный отправитель) |
| MailMessageP2Sender | строка | Отправитель почтового сообщения P2 (исходный отправитель) |
| Вредоносные программыCategory | строка | Категория вредоносных программ |
| Имя вредоносных программ | строка | Имя вредоносных программ |
| ProcessCommandLine | строка | Командная строка выполнения процесса |
| ProcessId | строка | Идентификатор процесса |
| RegistryKey | строка | Путь к разделу реестра |
| RegistryValueData | строка | Значение раздела реестра в строковом формате представления |
| URL | строка | URL-адрес |