Referens för Microsoft Sentinel-entitetstyper
Det här dokumentet innehåller två uppsättningar med information om entiteter och entitetstyper i Microsoft Sentinel i Azure Portal och Microsoft Sentinel i Defender-portalen.
- Tabellen Entitetstyper och identifierare visar de olika typerna av entiteter som kan identifieras i aviseringar och incidenter, så att du kan spåra och undersöka dem. Tabellen visar också, för varje entitetstyp, de olika identifierare som kan användas för att identifiera en entitet.
- Avsnittet Entitetsschema visar datastrukturen och schemat för entiteter i allmänhet och för varje entitetstyp i synnerhet.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Entitetstyper och identifierare
I följande tabell visas de entitetstyper som kan identifieras av Microsoft Sentinel och de attribut som kan användas som identifierare för varje entitetstyp .
Microsoft Sentinel identifierar entiteter i aviseringar och incidenter som skapas av entitetsmappning i analysregler. Den identifierar även entiteter som redan har identifierats i aviseringar som matas in från andra källor.
Du kan för närvarande använda upp till tre identifierare för en viss entitet när du skapar en entitetsmappning i Microsoft Sentinel. Enbart starka identifierare räcker för att unikt identifiera en entitet, medan svaga identifierare endast kan göra det i kombination med andra identifierare. Läs mer om starka och svaga identifierare. De flesta men inte alla identifierare i den här tabellen kan användas när du skapar entitetsmappningar i Microsoft Sentinel (se fotnoter).
| Entitetstyp | Identifiers | Starka identifierare | Svaga identifierare |
|---|---|---|---|
| Konto | Name FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Namn+UPNSuffix AADUserId Sid ** Sid+Host ** Name+Host+NTDomain ** Namn+NTDomain ** Namn+DnsDomain PUID ObjectGuid |
Name |
| Värd | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | Adress AddressScope |
Adress ** Adress+AdressScope ** |
|
| URL | URL | Url (om absolut URL) ** | Url (om relativ URL) ** |
| Azure-resurs (AzureResource) |
ResourceId | ResourceId | |
| Molnprogram (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
| DNS-matchning (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Arkiv | Katalog Name |
Katalog+namn | |
| Filhash (FileHash) |
Algoritm Värde |
Algoritm+värde | |
| Skadlig kod | Name Kategori |
Namn+kategori | |
| Bearbeta | ProcessId Kommandorad ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Kommandorad (ingen värd) ProcessId+CreationTimeUtc+ ImageFile (ingen värd) |
| Registernyckel (RegistryKey) |
Hive Key |
Hive+Key | |
| Registervärde (RegistryValue) |
Name Värde Värdetyp |
Nyckel+namn | Namn (ingen nyckel) |
| Säkerhetsgrupp (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Postlåda | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| E-postkluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Hot Fråga QueryTime E-postkonto IsVolumeAnomaly Källa ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Fråga+källa | |
| E-postmeddelande (MailMessage) |
Mottagare Url:ar Hot Avsändare P1Sender * P1SenderDisplayName * P1SenderDomain * AvsändareIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Ämne BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Språk* ThreatDetectionMethods * |
NetworkMessageId+Mottagare | |
| Skicka e-post (SubmissionMail) |
NetworkMessageId Tidsstämpel Mottagare Avsändare AvsändareIp Ämne ReportType SubmissionId SubmissionDate Inlämnare |
SubmissionId+NetworkMessageId+ Mottagare+inskickare |
|
| Sentinel-entiteter | Entiteter | Entiteter |
Fotnoter för tabell:
- * Dessa identifierare visas i listan över identifierare som kan användas i entitetsmappning, men strikt sett är de inte en del av entitetsschemat.
- ** Dessa identifierare anses vara starka endast under vissa förhållanden. Följ asteriskers länkar för att se de villkor som gäller under den relevanta entitetens lista i avsnittet entitetsscheman nedan.
- Kursiviserade identifierarnamn (utan asterisk) representerar interna entiteter, vilket innebär att en entitetstyp kan ha andra entitetstyper som attribut (se avsnittet entitetsscheman nedan). Följ identifierarens länk för att se den interna entitetens eget schema.
Scheman för entitetstyp
Följande avsnitt innehåller en mer djupgående titt på de fullständiga schemana för varje entitetstyp. Du kommer att märka att många av dessa scheman innehåller länkar till andra entitetstyper. Till exempel innehåller kontoschemat en länk till entitetstypen Värd, eftersom ett attribut för ett användarkonto är den värd som det definieras på. Dessa entiteter som attribut kallas "interna entiteter", och de kan inte användas som identifierare för entitetsmappning, men de är mycket användbara för att ge en fullständig bild av entiteter på entitetssidor och undersökningsdiagrammet.
Kommentar
Ett frågetecken som följer värdet i kolumnen Typ anger att fältet är null.
Lista över entitetstypscheman
- Konto
- Värd
- IP
- Skadlig kod
- Arkiv
- Bearbeta
- Molnprogram
- DNS-matchning
- Azure-resurs
- Filhash
- Registernyckel
- Registervärde
- Säkerhetsgrupp
- URL
- IoT-enhet
- Postlåda
- E-postkluster
- E-postmeddelande
- Skicka e-post
- Sentinel-entiteter
Konto
Entitetsnamn: Konto
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "konto" |
| Namn | String | Namnet på kontot. Det här fältet ska endast innehålla namnet utan att någon domän har lagts till i det. |
| FullName | -- | Ingår inte i schemat för bakåtkompatibilitet med gammal version av entitetsmappning. |
| NTDomain | String | NETBIOS-domännamnet som det visas i aviseringsformatet – domän\användarnamn. Exempel: Ekonomi, NT AUTHORITY |
| DnsDomain | String | Det fullständigt kvalificerade DNS-domännamnet för domänen. Exempel: finance.contoso.com |
| UPNSuffix | String | Suffixet för användarens huvudnamn för kontot. I många fall är UPN-suffixet också domännamnet. Exempel: contoso.com |
| Värd | Entitet (värd) | Värden som innehåller kontot, om det är ett lokalt konto. |
| Sid | String | Kontots säkerhetsidentifierare. |
| AadTenantId | GUID? | Microsoft Entra-klientorganisations-ID, om det är känt. |
| AadUserId | GUID? | Objekt-ID:t för Microsoft Entra-kontot, om det är känt. |
| PUID | GUID? | Microsoft Entra Passport-användar-ID, om det är känt. |
| IsDomainJoined | Bool? | Anger om kontot är ett domänkonto. |
| DisplayName | -- | Ingår inte i schemat för bakåtkompatibilitet med gammal version av entitetsmappning. |
| ObjectGuid | GUID? | Attributet objectGUID är ett attribut med ett enda värde som är den unika identifieraren för objektet som tilldelats av Active Directory. |
| CloudAppAccountId | String | AccountID i aviseringar från CloudApp-providern. Refererar till konto-ID:er i appar från tredje part som inte stöds i andra Microsoft-produkter. |
| IsAnonymized | Bool? | Anger om användarnamnet är anonymiserat. Valfritt. Standardvärde: false. |
| Ström | Stream | Källan för identifieringsloggar som är relaterade till det specifika kontot. Valfritt. |
Starka identifierare för en kontoentitet
- Namn + UPNSuffix
- AadUserId
- Sid
** Den här identifieraren är stark så länge kontot inte är ett av de inbyggda konton som anges i anteckningen nedan. - Sid + Värd
** När kontot är ett av de inbyggda konton som anges i anteckningen nedan måste värdkomponenten göra den här identifieraren stark. - Namn + NTDomain
** Den här kombinationen är en stark identifierare när kontot är ett domänkonto, eftersom NTDomain inte är en inbyggd domän/arbetsgrupp och skiljer sig från värdnamnet. I det här fallet är detta en stark identifierare även utan värdkomponenten. - Namn + NTDomain + Värd
** Värdkomponenten är nödvändig för att skapa en stark identifierare när kontot är ett lokalt konto, vilket innebär att NTDomain är en inbyggd domän/arbetsgrupp. - Namn + DnsDomain
- PUID
- ObjectGuid
Svaga identifierare för en kontoentitet
- Name
Kommentar
Om entiteten Konto definieras med hjälp av namnidentifieraren och värdet Namn för en viss entitet är ett av följande allmänna, ofta inbyggda kontonamn, tas den entiteten bort från aviseringen.
- ADMIN
- ADMINISTRATÖR
- System
- ROT
- Anonym
- Autentiserad användare
- Nätverk
- NULL
- Lokalt system
- LOCALSYSTEM
- NÄTVERKSTJÄNST
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Host
Entitetsnamn: Värd
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "värd" |
| IpInterfaces | Lista<entitet (IP)> | Lista över alla IP-gränssnitt på värddatorn. |
| DnsDomain | String | DEN DNS-domän som den här värden tillhör. Ska innehålla det fullständiga DNS-suffixet för domänen, om det är känt. |
| NTDomain | String | Den NT-domän som den här värden tillhör. |
| HostName | String | Värdnamnet utan domänsuffixet. |
| NetBiosName | String | Värdnamnet (före Windows 2000). |
| IoTDevice | Entitet (IoT-enhet) | Entiteten IoT-enhet (om den här värden representerar en IoT-enhet). |
| AzureID | String | Azure-resurs-ID för den virtuella datorn, om det är känt. |
| OMSAgentID | String | OMS-agent-ID:t om värden har OMS-agenten installerad. |
| OSFamily | Räkna upp? | Något av följande värden: |
| OSVersion | String | En fritextrepresentation av operativsystemet. Det här fältet är avsett att innehålla specifika versioner som är mer detaljerade än OSFamily, eller framtida värden som inte stöds av OSFamily-uppräkning. |
| IsDomainJoined | Bool | Anger om den här värden tillhör en domän. |
Starka identifierare för en värdentitet
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Svaga identifierare för en värdentitet
- HostName
- NetBiosName
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
IP
Entitetsnamn: IP
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "ip" |
| Address | String | IP-adressen som sträng, till exempel. 127.0.0.1 (antingen i IPv4 eller IPv6). |
| AddressScope | String | Namnet på värden, undernätet eller det privata nätverket för privata, icke-globala IP-adresser. Null eller tomt för globala IP-adresser (standard). |
| Plats | GeoLocation | Den geo-platskontext som är kopplad till IP-entiteten. Mer information finns även i Berika entiteter i Microsoft Sentinel med geoplatsdata via REST API (offentlig förhandsversion). |
| Ström | Stream | Källan för identifieringsloggar som är relaterade till den specifika IP-adressen. Valfritt. |
Starka identifierare för en IP-entitet
- Address
** Enbart adress är en unik, stark identifierare när IP-adressen är en global adress. - Adress + AdressScope
** För privata/interna, icke-globala IP-adresser krävs AddressScope-komponenten för att göra detta till en stark identifer.
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Skadlig kod
Entitetsnamn: Skadlig kod
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "skadlig kod" |
| Namn | String | Namnet på skadlig kod som tilldelats av leverantören (identifiering?), till exempel Win32/Toga!rfn. |
| Kategori | String | Kategorin för skadlig kod som tilldelats av (identifiering?) leverantören, till exempel. Trojan. |
| Filer | Listentitet<(fil)> | Lista över länkade filentiteter där den skadliga koden hittades. Kan innehålla filentiteter infogade eller som referens. Mer information om strukturen finns i Filentiteten. |
| Processer | Lista<entitet (process)> | Lista över länkade processentiteter där den skadliga koden hittades. Detta används ofta när aviseringen utlöses för fillös aktivitet. Mer information om struktur finns i Processentiteten. |
Starka identifierare för en entitet för skadlig kod
- Namn + kategori
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Fil
Entitetsnamn: Fil
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "file" |
| Katalog | String | Hela sökvägen till filen. |
| Namn | String | Filnamnet utan sökvägen (vissa aviseringar kanske inte innehåller sökvägen). |
| AlternateDataStreamName | String | Filströmsnamnet i NTFS-filsystemet (null för huvudströmmen). |
| Värd | Entitet (värd) | Värden som filen lagrades på. |
| HostUrl | Entitet (URL) | URL där filen laddades ned från (Webbplatsens märke). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows-säkerhet zon som URL:en tillhör (Webbplatsens märke). |
| ReferrerUrl | Entitet (URL) | Referens-URL för filen laddar ned HTTP-begäran (Webbplatsens märke). |
| SizeInBytes | Lång? | Filstorleken i byte. |
| FileHashes | Listentitet<(FileHash)> | Fil-hashvärden som är associerade med den här filen. |
Starka identifierare för en filentitet
- Namn + katalog
- Namn + FileHash
- Namn + Katalog + FileHash
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Process
Entitetsnamn: Process
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "process" |
| ProcessId | String | Process-ID:t. |
| Kommandorad | String | Kommandoraden som används för att skapa processen. |
| ElevationToken | Räkna upp? | Den utökade token som är associerad med processen. Möjliga värden: |
| CreationTimeUtc | DateTime? | Tiden då processen började köras. |
| ImageFile | Entitet (fil) | Kan innehålla filentiteten infogad eller som referens. Mer information om strukturen finns i Filentiteten. |
| Konto | Entitet (konto) | Kontot som kör processerna. Kan innehålla kontoentiteten infogad eller som referens. Mer information om struktur finns i kontoentiteten . |
| ParentProcess | Entitet (process) | Den överordnade processentiteten. Kan innehålla partiella data, till exempel endast PID. |
| Värd | Entitet (värd) | Värden som processen kördes på. |
| Inloggning | Entitet (HostLogonSession) | Sessionen där processen kördes. |
Starka identifierare för en processentitet
- Värd + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Värd + ProcessId + CreationTimeUtc + ImageFile
- Värd + ProcessId + CreationTimeUtc + ImageFile.FileHash
Svaga identifierare för en processentitet
- ProcessId + CreationTimeUtc + CommandLine (och ingen värd)
- ProcessId + CreationTimeUtc + ImageFile (och ingen värd)
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Molnprogram
Entitetsnamn: CloudApplication
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "cloud-application" |
| AppId | Int | Deprecated; använd SaasId-fältet i stället. Programmets tekniska identifierare. Möjliga värden är de som definieras i listan över molnprogramidentifierare. Valfritt värde. Får inte innehålla InstanceId. |
| SaasId | Int | Ersätter inaktuellt AppId-fält. Programmets tekniska identifierare. Möjliga värden är de som definieras i listan över molnprogramidentifierare. Valfritt värde. Får inte innehålla InstanceId. |
| Namn | String | Namnet på det relaterade molnprogrammet. Valfritt värde. |
| InstanceName | String | Molnprogrammets användardefinierade instansnamn. Det används ofta för att skilja mellan flera program av samma typ som en kund har. |
| InstanceId | Int | Identifieraren för den specifika sessionen i programmet. Det här är ett nollbaserat löpande tal. Valfritt värde. |
| Risk | AppRisk? | Gör att du kan filtrera appar efter riskpoäng så att du kan fokusera på att till exempel bara granska appar med hög risk. Möjliga värden som Låg, Medel, Hög eller Okänd. |
| Ström | Stream | Källan till identifieringsloggar som är relaterade till den specifika molnappen. Valfritt. |
Starka identifierare för en molnprogramentitet
- AppId (utan InstanceName)
- Namn (utan InstanceName)
- AppId + InstanceName
- Namn + InstanceName
Lista över molnprogramidentifierare
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
DNS-upplösning
Entitetsnamn: DNS
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "dns" |
| DomainName | String | Namnet på DNS-posten som är associerad med aviseringen. |
| IpAddress | Lista<entitet (IP)> | Entiteter som motsvarar de lösta IP-adresserna. |
| DnsServerIp | Entitet (IP) | En entitet som representerar DNS-servern som matchar begäran. |
| HostIpAddress | Entitet (IP) | En entitet som representerar DNS-begärandeklienten. |
Starka identifierare för en DNS-entitet
- DomainName + DnsServerIp + HostIpAddress
Svaga identifierare för en DNS-entitet
- DomainName + HostIpAddress
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Azure-resurs
Entitetsnamn: AzureResource
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "azure-resource" |
| ResourceId | String | Resursens Azure-resurs-ID. Obligatorisk. |
| SubscriptionId | String | Resursens prenumerations-ID. |
| ActiveContacts | Lista<ActiveContact> | Aktiva kontakter som är associerade med resursen. |
| ResourceType | String | Resurstypen. |
| ResourceName | String | Namnet på resursen. |
Starka identifierare för en Azure-resursentitet
- ResourceId
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Filhash-värde
Entitetsnamn: FileHash
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "filehash" |
| Algoritm | Enum | Hash-algoritmtypen. Obligatorisk. Möjliga värden: |
| Värde | String | Hash-värdet. Obligatorisk. |
Starka identifierare för en filhashentitet
- Algoritm + värde
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Registernyckel
Entitetsnamn: RegistryKey
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "registernyckel" |
| Hive | Räkna upp? | Ett av följande värden: |
| Tangent | String | Sökvägen till registernyckeln. |
Starka identifierare för en registernyckelentitet
- Hive + Key
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Registervärde
Entitetsnamn: RegistryValue
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "registervärde" |
| Värd | Entitet (värd) | Värden som registret tillhör. |
| Tangent | Entitet (RegistryKey) | Entiteten registernyckel. |
| Namn | String | Registervärdenamnet. |
| Värde | String | Strängformaterad representation av värdedata. |
| ValueType | Räkna upp? | Ett av följande värden: Värden bör överensstämma med Uppräkning av Microsoft.Win32.RegistryValueKind. |
Starka identifierare för en registervärdesentitet
- Nyckel + namn
Svaga identifierare för en registervärdesentitet
- Namn (utan nyckel)
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Säkerhetsgrupp
Entitetsnamn: SecurityGroup
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "säkerhetsgrupp" |
| DistinguishedName | String | Gruppens unika namn. |
| SID | String | Ett attribut med ett enda värde som anger säkerhetsidentifieraren (SID) för gruppen. |
| ObjectGuid | GUID? | Ett attribut med ett enda värde som är den unika identifieraren för objektet som tilldelats av Active Directory. |
Starka identifierare för en säkerhetsgruppsentitet
- DistinguishedName
- SID
- ObjectGuid
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
webbadress
Entitetsnamn: URL
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "url" |
| URL | Uri | En fullständig URL som entiteten pekar på. Obligatorisk. |
Starka identifierare för en URL-entitet
- Url (** Den här identifieraren är stark när URL:en är en absolut URL.)
Svaga identifierare för en URL-entitet
- Url (** Den här identifieraren är svag när URL:en är en relativ URL.)
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
IoT-enhet
Entitetsnamn: IoTDevice
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "iotdevice" |
| IoTHub | Entitet (AzureResource) | AzureResource-entiteten som representerar den IoT Hub som enheten tillhör. |
| DeviceId | String | Enhetens ID i kontexten för IoT Hub. Obligatorisk. |
| DeviceName | String | Enhetens eget namn. |
| Ägare | Liststräng<> | Enhetens ägare. |
| IoTSecurityAgentId | GUID? | ID:t för Defender for IoT-agenten som körs på enheten. |
| DeviceType | String | Enhetens typ (temperatursensor, frys, vindkraftverk osv.). |
| DeviceTypeId | String | Ett unikt ID för att identifiera varje enhetstyp enligt schemat för enhetstyp, eftersom själva enhetstypen är ett visningsnamn och inte tillförlitligt i jämförelser. Möjliga värden: Oklassificerad = 0 Diverse = 1 Nätverksenhet = 2 Skrivare = 3 Ljud och video = 4 Media och övervakning = 5 Kommunikation = 7 Smart installation = 9 Arbetsstation = 10 Server = 11 Mobil = 12 Smart anläggning = 13 Industri = 14 Driftutrustning = 15 |
| Source | String | Enhetens entitets källa (Microsoft/Leverantör). |
| SourceRef | Entitet (URL) | En URL-referens till källobjektet där enheten hanteras. |
| Tillverkare | String | Enhetens tillverkare. |
| Modell | String | Enhetens modell. |
| OperatingSystem | String | Operativsystemet som enheten körs på. |
| IpAddress | Entitet (IP) | Enhetens aktuella IP-adress. |
| MacAddress | String | Enhetens MAC-adress. |
| Nätverkskort | Entitet (Nic) | De aktuella nätverkskorten på enheten. |
| Protokoll | Liststräng<> | En lista över protokoll som enheten stöder. |
| SerialNumber | String | Enhetens serienummer. |
| Plats | String | Platsen för enheten. |
| Zon | String | Enhetens zonplats på en plats. |
| Sensor | String | Sensorn övervakar enheten. |
| Betydelse | Räkna upp? | Ett av följande värden: |
| PurdueLayer | String | Enhetens Purdue-lager. |
| IsProgramming | Bool? | Anger om enheten klassificeras som programmeringsenhet. |
| Har behörighet | Bool? | Anger om enheten klassificeras som auktoriserad enhet. |
| IsScanner | Bool? | Anger om enheten klassificeras som en skannerenhet. |
| DevicePageLink | Entitet (URL) | En URL till enhetssidan i Defender för IoT-portalen. |
| DeviceSubType | String | Namnet på enhetens undertyp. |
Starka identifierare för en IoT-enhetsentitet
- IoTHub + DeviceId
Svaga identifierare för en IoT-enhetsentitet
- DeviceId (utan IoTHub)
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Mailbox
Entitetsnamn: Postlåda
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "postlåda" |
| MailboxPrimaryAddress | String | Postlådans primära adress. |
| DisplayName | String | Postlådans visningsnamn. |
| Upn | String | Postlådans UPN. |
| AadId | String | Användarens Azure AD-identifierare för postlådan. |
| RiskNivå | RiskLevel? | Risknivån för den här postlådan. Möjliga värden: |
| ExternalDirectoryObjectId | GUID? | AzureAD-identifieraren för postlådan. Liknar AadUserId i kontoentiteten, men den här egenskapen är specifik för postlådeobjekt på Office-sidan. |
Starka identifierare för en postlådeentitet
- MailboxPrimaryAddress
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
E-postkluster
Entitetsnamn: MailCluster
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "e-postkluster" |
| NetworkMessageIds | IList-sträng<> | E-postmeddelande-ID:t som ingår i e-postklustret. |
| CountByDeliveryStatus | IDictionary<String,Int> | Antal e-postmeddelanden per DeliveryStatus-strängrepresentation. |
| CountByThreatType | IDictionary<String,Int> | Antal e-postmeddelanden efter ThreatType-strängrepresentation. |
| CountByProtectionStatus | IDictionary<String,long> | Antal e-postmeddelanden efter skyddsstatussträngsrepresentation. |
| CountByDeliveryLocation | IDictionary<String,long> | Antal e-postmeddelanden efter leveransplatssträngsrepresentation. |
| Hot | IList-sträng<> | Hoten från e-postmeddelanden som ingår i e-postklustret. |
| Fråga | String | Frågan som användes för att identifiera meddelandena i e-postklustret. |
| QueryTime | DateTime? | Frågetiden. |
| E-postkonto | Int? | Antalet e-postmeddelanden som ingår i e-postklustret. |
| IsVolumeAnomaly | Bool? | Anger om e-postklustret är ett volymavvikelsekluster. |
| Source | String | Källan till e-postklustret (standardvärdet är O365 ATP). |
Starka identifierare för en e-postklusterentitet
- Fråga + källa
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Mail message
Entitetsnamn: MailMessage
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "e-postmeddelande" |
| Filer | IList-entitet<(fil)> | Filentiteterna för det här e-postmeddelandets bifogade filer. |
| Mottagare | String | Mottagaren av det här e-postmeddelandet. När det gäller flera mottagare kopieras e-postmeddelandet och varje kopia har en mottagare. |
| Url:ar | IList-sträng<> | URL:erna som finns i det här e-postmeddelandet. |
| Hot | IList-sträng<> | Hoten i det här e-postmeddelandet. |
| Avsändare | String | Avsändarens e-postadress. |
| AvsändareIP | String | Avsändarens IP-adress. |
| ReceivedDate | Datum/tid | Det mottagna datumet för det här meddelandet. |
| NetworkMessageId | GUID? | Nätverksmeddelande-ID:t för det här e-postmeddelandet. |
| InternetMessageId | String | Internetmeddelande-ID för det här e-postmeddelandet. |
| Ämne | String | Ämnet för det här e-postmeddelandet. |
| AntispamDirection | Räkna upp? | Det här e-postmeddelandets riktning. Möjliga värden: |
| DeliveryAction | Räkna upp? | Leveransåtgärden för det här e-postmeddelandet. Möjliga värden: |
| DeliveryLocation | Räkna upp? | Leveransplatsen för det här e-postmeddelandet. Möjliga värden: |
| CampaignId | String | Identifieraren för den kampanj där det här e-postmeddelandet finns. |
| SuspiciousRecipients | IList-sträng<> | Listan över mottagare som identifierades som misstänkta. |
| ForwardedRecipients | IList-sträng<> | Listan över alla mottagare i det vidarebefordrade e-postmeddelandet. |
| VidarebefordranTyp | IList-sträng<> | Vidarebefordringstypen för e-postmeddelandet, till exempel SMTP, ETR osv. |
Starka identifierare för en e-postmeddelandetitet
- NetworkMessageId + Mottagare
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Skicka e-post
Entitetsnamn: SubmissionMail
| Fält | Type | Beskrivning |
|---|---|---|
| Typ | String | "SubmissionMail" |
| SubmissionId | GUID? | Sändnings-ID:t. |
| SubmissionDate | DateTime? | Rapporterad datumtid för den här insändningen. |
| Inlämnare | String | Skickarens e-postadress. |
| NetworkMessageId | GUID? | Nätverksmeddelande-ID för e-post som sändningen tillhör. |
| Tidsstämpel | DateTime? | Tidsstämpeln när meddelandet tas emot (e-post). |
| Mottagare | String | Mottagaren av e-postmeddelandet. |
| Avsändare | String | Avsändaren av e-postmeddelandet. |
| AvsändareIp | String | Avsändarens IP-adress. |
| Ämne | String | Ämnet för inskickat e-postmeddelande. |
| ReportType | String | Sändningstypen för den angivna instansen. Möjliga värden är Skräp, Phish, Skadlig kod eller NotJunk. |
Starka identifierare för en SubmissionMail-entitet
- SubmissionId, Submitter, NetworkMessageId, Mottagare
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Sentinel-entiteter
| Fält | Type | Beskrivning |
|---|---|---|
| Entiteter | String | En lista över de entiteter som identifieras i aviseringen. Den här listan är kolumnen entiteter från SecurityAlert-schemat (se dokumentationen). |
Tillbaka till listan över entitetstypscheman | Tillbaka till entitetsidentifierartabellen
Molnprogramidentifierare
I följande lista definieras identifierare för kända molnprogram. App-ID-värdet används som en molnprogramentitetsidentifierare.
| Program-ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Arbetsdag |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive för företag |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Microsoft 365 administrationscenter |
| 26060 | OPSWAT-kugghjul |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS-proxyemulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HögQ |
| 35395 | Microsoft Dynamics Talent |
Nästa steg
I det här dokumentet har du lärt dig om entitetsstruktur, identifierare och schema i Microsoft Sentinel.
Läs mer om entiteter och entitetsmappning.