Referens för Microsoft Sentinel-automatiseringsregler
Den här artikeln innehåller referensinformation om konfigurationen av automatiseringsregler och de villkor och egenskaper som stöds.
Mer information om automatiseringsregler finns i Automatisera hotsvar i Microsoft Sentinel med automatiseringsregler.
Anvisningar om hur du skapar, hanterar och använder automatiseringsregler finns i Skapa och använda Microsoft Sentinel-automatiseringsregler för att hantera svar.
Entitetsegenskaper som stöds
Följande entiteter och entitetsegenskaper kan användas som villkor för automatiseringsregler:
Den här tabellen visar de entitetsegenskaper som stöds i API:et för automatiseringsregler. Det här är entitetsegenskaperna vars värden du kan ange som villkor för att utlösa en automatiseringsregel.
Den fullständiga listan över egenskaper som stöds, som innehåller incidentegenskaper, finns i Egenskaper för Egenskaper för Automation-regelegenskap som stöds i dokumentationen för API för Automation-regler.
| Namn (i API) | Typ | Beskrivning |
|---|---|---|
| AccountAadTenantId | sträng | Kontoklient-ID för Microsoft Entra-ID |
| AccountAadUserId | sträng | Kontot Microsoft Entra ID användar-ID |
| AccountName | sträng | Kontonamnet |
| AccountNTDomain | sträng | Kontots NetBIOS-domännamn |
| AccountPUID | sträng | Kontot Microsoft Entra ID Passport-användar-ID |
| AccountSid | sträng | Kontosäkerhetsidentifieraren |
| AccountObjectGuid | sträng | Unik identifierare för kontoobjekt |
| AccountUPNSuffix | sträng | Suffixet för kontots huvudnamn |
| AzureResourceResourceId | sträng | Azure-resurs-ID |
| AzureResourceSubscriptionId | sträng | Azure-resursprenumerations-ID |
| CloudApplicationAppId | sträng | Molnprogramidentifieraren |
| CloudApplicationAppName | sträng | Namnet på molnprogrammet |
| DNSDomainName | sträng | Dns-postens domännamn |
| FileDirectory | sträng | Den fullständiga sökvägen till filkatalogen |
| FileName | sträng | Filnamnet utan sökväg |
| FileHashValue | sträng | Filhashvärdet |
| VärdAzureID | sträng | Värdresurs-ID för Azure |
| HostName | sträng | Värdnamnet utan domän |
| HostNetBiosName | sträng | Värdens NetBIOS-namn |
| HostNTDomain | sträng | NT-värddomänen |
| HostOSVersion | sträng | Värdoperativsystemet |
| IoTDeviceId | sträng | IoT-enhets-ID |
| IoTDeviceName | sträng | IoT-enhetsnamnet |
| IoTDeviceType | sträng | IoT-enhetstypen |
| IoTDeviceVendor | sträng | IoT-enhetsleverantören |
| IoTDeviceModel | sträng | IoT-enhetsmodellen |
| IoTDeviceOperatingSystem | sträng | IoT-enhetens operativsystem |
| IPAddress | sträng | IP-adressen |
| MailboxDisplayName | sträng | Visningsnamnet för postlådan |
| MailboxPrimaryAddress | sträng | Postlådans primära adress |
| MailboxUPN | sträng | Användarens huvudnamn för postlådan |
| MailMessageDeliveryAction | sträng | Åtgärden för leverans av e-postmeddelande |
| MailMessageDeliveryLocation | sträng | Leveransplatsen för e-postmeddelandet |
| MailMessageRecipient | sträng | Mottagaren av e-postmeddelandet |
| MailMessageSenderIP | sträng | IP-adressen för e-postmeddelandets avsändare |
| MailMessageSubject | sträng | E-postmeddelandets ämne |
| MailMessageP1Sender | sträng | E-postmeddelandets P1-avsändare (delegerad avsändare) |
| MailMessageP2Sender | sträng | E-postmeddelandets P2-avsändare (ursprunglig avsändare) |
| MalwareCategory | sträng | Kategorin skadlig kod |
| MalwareName | sträng | Namnet på skadlig kod |
| ProcessCommandLine | sträng | Kommandoraden för processkörning |
| ProcessId | sträng | Process-ID:t |
| RegistryKey | sträng | Sökvägen till registernyckeln |
| RegistryValueData | sträng | Registernyckelvärdet i strängformaterad representation |
| URL | sträng | URL:en |