你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 实体类型引用

本文档包含两组有关 defender 门户中Microsoft Sentinel 中Microsoft Sentinel Azure 门户 中的实体和实体类型的信息集,以及Microsoft Sentinel。

  • 实体类型和标识符表显示了可在警报和事件中识别的各种类型的实体,允许你跟踪和调查它们。 该表还显示了每个实体类型中可用于标识实体的标识符。
  • 实体架构部分显示了一般实体的数据结构和架构,以及每种实体类型的数据结构和架构。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

实体类型和标识符

下表显示了可由 Microsoft Sentinel 识别的“实体类型”,以及可用作每个实体类型的标识符的属性。

Microsoft Sentinel 识别由分析规则中的实体映射创建的警报和事件中的实体。 它还识别从其他来源引入的警报中已标识的实体。

在 Microsoft Sentinel 中创建实体映射时,当前最多可以为给定实体使用三个标识符。 强标识符自身足以单独地标识实体,而弱标识符只有在与其他标识符结合使用时才能表标识实体。 详细了解强标识符和弱标识符。 在 Microsoft Sentinel 中创建实体映射时,可以使用此表中的大多数但并非所有标识符(请参阅脚注)。

实体类型 标识符 强标识符 弱标识符
帐户 名称
全名 *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
显示名称 *
ObjectGuid
名称 + UPN 后缀
AADUserId
Sid **
Sid+Host **
名称+主机+NT 域 **
名称 + NT 域 **
名称 + DNS 域
PUID
ObjectGuid
名称
主机 DnsDomain
NTDomain
HostName
全名 *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
主机名+NT 域
主机名+DNS 域
NetBios 名称+NT 域
NetBios 名称+DNS 域
AzureID
OMSAgentID
HostName
NetBiosName
IP 地址
地址范围
地址 **
地址+地址范围 **
URL URL URL(如果是绝对 URL)** URL(如果是相对 URL)**
Azure 资源
(AzureResource)
ResourceId ResourceId
云应用程序
(CloudApplication)
AppId
名称
InstanceName
AppId
名称
应用 Id+实例名称
名称+实例名称
DNS 解析
(DNS)
DomainName 域名+DNS 服务器 Ip+主机 IP 地址 域名+主机 IP 地址
文件 目录
名称
目录+名称
文件哈希
(FileHash)
算法
算法+值
恶意软件 名称
类别
名称+类别
处理 ProcessId
CommandLine
ElevationToken
CreationTimeUtc
主机+进程 ID + 创建时间 UTC
主机+父进程 ID+
   创建时间 UTC+命令行
主机+进程 ID+
   创建时间 UTC+图像文件
主机+进程 ID+
   创建时间 UTC+图像文件+
   FileHash
进程 ID+创建时间 UTC+
   命令行(非主机)
进程 ID+创建时间 UTC+
   图像文件(非主机)
注册表项
(RegistryKey)
配置单元
密钥
Hive+项
注册表值
(RegistryValue)
名称
“值”
ValueType
+名称 名称(非项)
安全组
(SecurityGroup)
识别名
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
邮箱 MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
邮件群集
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
威胁
查询
QueryTime
MailCount
IsVolumeAnomaly
Source
群集源标识符 *
群集源类型 *
群集查询开始时间 *
群集查询结束时间 *
群集组 *
查询+源
邮件消息
(MailMessage)
Recipient
Url
威胁
发送方
P1发送方 *
P1发送方显示名称 *
P1发送方域 *
SenderIP
P2发送方 *
P2发送方显示名称 *
P2发送方域 *
ReceivedDate
NetworkMessageId
InternetMessageId
主题
正文指纹 Bin 1 *
正文指纹 Bin 2 *
正文指纹 Bin 3 *
正文指纹 Bin 4 *
正文指纹 Bin 5 *
AntispamDirection
DeliveryAction
DeliveryLocation
语言 *
威胁检测方式 *
网络信息 ID+收件人
提交邮件
(SubmissionMail)
NetworkMessageId
时间戳
Recipient
发送方
SenderIp
使用者
ReportType
SubmissionId
SubmissionDate
“提交者”
提交 ID+网络信息 ID+
   收件人+提交者
Sentinel 实体 实体 实体

表格脚注:

  • * 这些标识符显示在可在实体映射中使用的标识符列表中,但严格地说,它们不是实体架构的一部分。
  • ** 这些标识符仅在某些条件下才能被视为强标识符。 单击下文实体架构段落中的相关实体列表下的星号链接查看适用条件。
  • 斜体标识符名称(无星号)表示内部实体,即实体类型可以将其他实体类型当做属性(请参阅下文的实体架构部分)。 单击标识符链接查看内部实体的架构。
  • 架构中可能存在其他实体,该架构是一种常规架构,除了 Microsoft Sentinel 之外,还支持许多操作。 本文仅列出了Microsoft Sentinel 中可用的实体。

实体类型架构

以下部分更深入地介绍了每种实体类型的完整架构。 你会看到其中许多架构包含指向其他实体类型的链接。 例如,帐户架构包含指向主机实体类型的链接,因为用户帐户的某一属性代表定义帐户的主机。 这些作为属性的实体被称为“内部实体”,不能用作实体映射的标识符,但对完整理解实体页和调查关系图上的实体非常有用。

注意

“类型”列中的值后面的问号指示该字段可为空。

实体类型架构列表

帐户

实体名称:帐户

字段 类型​​ 说明
类型 字符串 “帐户”
Name String 帐户的名称。 此字段应仅包含名称,且未添加任何域。
FullName -- 并非架构的一部分,是为了与向后兼容旧版本的实体映射而包括在内。
NT 域 字符串 以警报格式显示的 NETBIOS 域名——域\用户名。 示例:财务、NT 机构
DNS 域 字符串 完全限定域 DNS 名。 示例:finance.contoso.com
UPN 后缀 字符串 帐户的用户主体名称后缀。 在许多情况下,UPN 后缀也是域名。 示例:contoso.com
主机 实体(主机 包含帐户的主机(如果该帐户是本地帐户)。
Sid 字符串 帐户安全标识符。
AAD 租户 ID Guid? Microsoft Entra 租户 ID(如果已知)。
AAD 用户 ID Guid? Microsoft Entra 帐户对象 ID(如果已知)。
PUID Guid? Microsoft Entra Passport 用户 ID(如果已知)。
域是否加入 Bool? 指示是否为域帐户。
DisplayName -- 并非架构的一部分,是为了与向后兼容旧版本的实体映射而包括在内。
对象 GUID Guid? ObjectGUID 特性是一个单值属性,它是对象的唯一标识符,由 Active Directory 分配。
云应用程序帐户 ID 字符串 云应用提供商警报中的帐户 ID。 意指其他 Microsoft 产品不支持的第三方应用中的帐户 ID。
是否匿名 Bool? 指示用户名是否匿名。 可选。 默认值:false
Stream 与特定帐户相关的发现日志来源。 可选。

帐户实体的强标识符

  • 名称 + UPN 后缀
  • AAD 用户 ID
  • Sid
    ** 只要帐户不是下文注释列出的内置帐户之一,此标识符就是强标识符。
  • Sid+主机
    ** 当帐户是下文注释列出的内置帐户之一时,需要有主机组件才能让此标识符成为强标识符。
  • 名称 + NT 域
    ** 当帐户是域帐户时,此组合为强标识符,因为 NT 域不是内置域/工作组,且与主机名不同。 在这种情况下,即使没有主机组件,此标识符也是强标识符。
  • 名称+NT 域+主机
    ** 当帐户是本地帐户时,必须有主机组件才能创建强标识符,因为 NT 域是内置域/工作组。
  • 名称+DNS 域
  • PUID
  • 对象 GUID

帐户实体的弱标识符

  • 名称

注意

如果“Account”实体是使用“Name”标识符定义的,并且特定实体的“Name”值是以下通用的常见内置帐户名称之一,则将从其警报中删除该实体。

  • ADMIN
  • 管理员
  • SYSTEM
  • ROOT
  • ANONYMOUS
  • AUTHENTICATED USER
  • NETWORK
  • Null
  • LOCAL SYSTEM
  • LOCALSYSTEM
  • 网络服务

返回实体类型架构列表 | 返回实体标识符表

主机

实体名称:主机

字段 类型​​ 说明
类型 字符串 “主机”
IP 接口 <实体 (IP)>列表 主机上所有 IP 接口的列表。
DNS 域 字符串 此主机所属的 DNS 域。 应该包含域的完整 DNS 后缀(如果已知)。
NT 域 字符串 此主机所属的 NT 域。
HostName 字符串 不带域后缀的主机名。
NetBios 名称 字符串 主机名(Windows 2000 以前版本)。
物联网设备 实体(物联网设备 IoT 设备实体(如果此主机表示 IoT 设备)。
AzureID 字符串 VM 的 Azure 资源 ID (如果已知)。
OMS 代理 ID 字符串 OMS 代理 ID(如果主机安装了 OMS 代理)。
OS 家族 Enum? 以下值之一:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OS 版本 字符串 操作系统的自由文本表示形式。
    此字段旨在保存特定版本,该版本比 OSFamily 更细化,或者是 OSFamily 枚举不支持的未来值。
    域是否加入 Bool 指示主机是否属于域。

    主机实体的强标识符

    • 主机名+NT 域
    • 主机名+DNS 域
    • NetBios 名+NT 域
    • NetBios 名+DNS 域
    • AzureID
    • OMS 代理 ID
    • 物联网设备

    主机实体的弱标识符

    • HostName
    • NetBiosName

    返回实体类型架构列表 | 返回实体标识符表

    IP

    实体名称:IP

    字段 类型​​ 说明
    类型 字符串 “ip”
    Address 字符串 例如,IP 地址作为字符串。 127.0.0.1(在 IPv4 或 IPv6 中)。
    地址范围 字符串 专用非全局 IP 地址的主机、子网或专用网络的名称。 全局 IP 地址 Null 或为空(默认值)。
    位置 GeoLocation 附加到 IP 实体的地理位置上下文。

    有关详细信息,另请参阅通过 REST API 用地理位置数据扩充 Microsoft Sentinel 中的实体(公共预览版)
    Stream 与特定 IP 相关的发现日志来源。 可选。

    IP 实体的强标识符

    • Address
      ** 当 IP 地址是全局地址时,单独的地址就是唯一的强标识符。
    • 地址+地址范围
      ** 对于专用/内部非全局 IP 地址,需要 AddressScope 组件才能将此标识符设为强标识符。

    返回实体类型架构列表 | 返回实体标识符表

    恶意软件

    实体名称:恶意软件

    字段 类型​​ 说明
    类型 字符串 “恶意软件”
    Name 字符串 (检测?)供应商分配的恶意软件名称,例如 Win32/Toga!rfn
    类别 字符串 例如(检测)供应商分配的恶意软件类别。 特洛伊木马。
    文件 <实体(文件)>列表 在其中找到了恶意软件的链接文件实体的列表。 可以内联或作为引用包含文件实体。
    有关结构的更多详细信息,请参阅文件实体。
    进程 <实体(进程)>列表 发现恶意软件的链接进程实体的列表。 当警报在无文件活动中触发时,通常会使用它。
    有关结构的更多详细信息,请参阅进程实体。

    恶意软件实体的强标识符

    • 名称+类别

    返回实体类型架构列表 | 返回实体标识符表

    文件

    实体名称:文件

    字段 类型​​ 说明
    类型 字符串 “文件”
    Directory 字符串 文件的完整路径。
    Name String 不带路径的文件名(某些警报可能不包括路径)。
    交换数据流名称 字符串 NTFS 文件系统中的文件流名称(主流为 null)。
    主机 实体(主机 存储文件的主机。
    主机 URL 实体 (URL) 从其中下载文件的 URL
    Web 标记)。
    Windows 安全区域类型 Windows 安全区域 URL 所属的 Windows 安全区域
    Web 标记)。
    引用 URL 实体 (URL) 文件下载 HTTP 请求的引用 URL
    Web 标记)。
    字节大小 长? 以字节为单位的文件的大小。
    文件哈希 <实体(文件哈希)>列表 与此文件关联的文件哈希。

    文件实体的强标识符

    • 名称+目录
    • 名称+文件哈希
    • 名称+目录+文件哈希

    返回实体类型架构列表 | 返回实体标识符表

    进程

    实体名称:进程

    字段 类型​​ 说明
    类型 字符串 “进程”
    ProcessId 字符串 进程 ID。
    CommandLine 字符串 用于创建进程的命令行。
    提升令牌 Enum? 与进程关联的提升标记。
    可能的值:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? 进程开始运行的时间。
    图像文件 实体(文件 可以内联或作为引用包含文件实体。
    有关结构的更多详细信息,请参阅文件实体。
    客户 实体(帐户 运行进程的帐户。
    可以内联或作为参考包含帐户实体。
    有关结构的更多详细信息,请参阅帐户实体。
    父进程 实体(进程 父进程实体。
    可以包含部分数据,例如只有 PID。
    主机 实体(主机 运行进程的主机。
    登录会话 实体 (HostLogonSession) 运行进程的会话。

    进程实体的强标识符

    • 主机+进程 ID+创建时间 UTC
    • 主机 + 父进程 ID+创建时间 UTC+命令行
    • 主机+进程 ID+创建时间 UTC+图像文件
    • 主机+进程 ID+创建时间 UTC+图像文件.文件哈希

    进程实体的弱标识符

    • ProcessId + CreationTimeUtc + CommandLine(无主机)
    • 进程 ID+创建时间 UTC+图像文件(且非主机)

    返回实体类型架构列表 | 返回实体标识符表

    云应用程序

    实体名称:CloudApplication

    字段 类型​​ 说明
    类型 字符串 “云应用程序”
    AppId int 废弃;请改用 SaasId 字段。 应用程序的技术标识符。 可用值在云应用程序标识符列表中。 可选值。 不应包含实例 ID。
    SaasId Int 替换已弃用的 AppId 字段。 应用程序的技术标识符。 可用值在云应用程序标识符列表中。 可选值。 不应包含实例 ID。
    Name String 相关云应用程序的名称。 可选值。
    InstanceName 字符串 云应用程序的用户定义实例名称。 它通常用于区分客户拥有的多个相同类型的应用程序。
    InstanceId Int 应用程序特定会话的标识符。 这是一个从零开始的运行数。 可选值。
    风险 应用风险? 让你可按风险评分筛选应用,这样你就可以专注于仅查看高风险应用。 可能的值有低、中、高或未知。
    Stream 与特定云应用程序相关的发现日志来源。 可选。

    云应用程序实体的强标识符

    • 应用 ID(无实例名称)
    • 名称(无实例名称)
    • 应用 ID+实例名称
    • 名称+实例名称

    云应用程序标识符列表

    返回实体类型架构列表 | 返回实体标识符表

    DNS 解析

    实体名称:DNS

    字段 类型​​ 说明
    类型 字符串 “dns”
    DomainName 字符串 与警报关联的 DNS 记录的名称。
    IpAddress <实体 (IP)>列表 与解析的 IP 地址相对应的实体。
    DNS 服务器 IP 实体 (IP) 表示 DNS 服务器解析请求的实体。
    主机 IP 地址 实体 (IP) 表示 DNS 请求客户端的实体。

    DNS 实体的强标识符

    • 域名+DNS 服务器 IP + 主机 IP 地址

    DNS 实体的弱标识符

    • 域名+主机 IP 地址

    返回实体类型架构列表 | 返回实体标识符表

    Azure 资源

    实体名称:AzureResource

    字段 类型​​ 说明
    类型 字符串 “azure-resource”
    ResourceId String 资源的 Azure 资源 ID。 必需。
    SubscriptionId 字符串 资源的订阅 ID。
    当前联系人 <当前联系人>列表 与资源相关的当前联系人。
    ResourceType 字符串 资源类型。
    资源名称 字符串 资源的名称。

    Azure 资源实体的强标识符

    • ResourceId

    返回实体类型架构列表 | 返回实体标识符表

    文件哈希

    实体名称:FileHash

    字段 类型​​ 说明
    类型 字符串 “filehash”
    算法 枚举 哈希算法类型。 必需。 可能的值:
  • 未知
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • 字符串 哈希值。 必需。

    文件哈希实体的强标识符

    • 算法+值

    返回实体类型架构列表 | 返回实体标识符表

    注册表项

    实体名称:RegistryKey

    字段 类型​​ 说明
    类型 字符串 “注册表项”
    Hive Enum? 以下值之一:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • 字符串 注册表项路径。

    注册表项实体的强标识符

    • Hive+项

    返回实体类型架构列表 | 返回实体标识符表

    注册表值

    实体名称:RegistryValue

    字段 类型​​ 说明
    类型 字符串 “注册表值”
    主机 实体(主机 注册表所属的主机。
    实体(注册表项 注册表项实体。
    Name String 注册表值名称。
    字符串 值数据的字符串格式表示形式。
    ValueType Enum? 以下值之一:
  • String
  • 二进制
  • DWord
  • 四字
  • MultiString
  • ExpandString
  • 未知
    值应符合 Microsoft.Win32.RegistryValueKind 枚举。
  • 注册表值实体的强标识符

    • +名称

    注册表值实体的弱标识符

    • 名称(无项)

    返回实体类型架构列表 | 返回实体标识符表

    安全组

    实体名称:SecurityGroup

    字段 类型​​ 说明
    类型 字符串 “security-group”
    识别名 字符串 组可分辨名称。
    SID 字符串 单值属性,指定组的安全标识符(SID)。
    对象 GUID Guid? 单值属性,对象的唯一标识符,由 Active Directory 分配。

    安全组实体的强标识符

    • 识别名
    • SID
    • 对象 GUID

    返回实体类型架构列表 | 返回实体标识符表

    URL

    实体名称:URL

    字段 类型​​ 说明
    类型 字符串 “url”
    URL Uri 实体指向的完整 URL。 必需。

    URL 实体的强标识符

    • URL(** 当 URL 是绝对 URL 时为强标识符。)

    URL 实体的弱标识符

    • URL(** 当 URL 是相对 URL 时为弱标识符。)

    返回实体类型架构列表 | 返回实体标识符表

    IoT 设备

    实体名称:IoTDevice

    字段 类型​​ 说明
    类型 字符串 “iotdevice”
    物联网中心 实体(Azure 资源 表示设备所属的 IoT 中心的 AzureResource 实体。
    DeviceId 字符串 IoT 中心中设备的 ID。 必需。
    设备名称 字符串 设备的友好名称。
    所有者 列出<字符串> 设备所有者。
    物联网安全代理 ID Guid? 设备上运行的 Defender for IoT 代理程序的 ID。
    DeviceType 字符串 设备的类型(“温度传感器”、“冷冻机”、“风力涡轮机”等)。
    设备类型 ID 字符串 根据设备类型架构标识各设备类型的唯一 ID,因为设备类型本身是显示名称,在比较时不可靠。

    可能的值:
    未分类=0
    其他=1
    网络设备=2
    打印机=3
    音频和视频=4
    媒体和监控=5
    通信=7
    智能设备=9
    工作站=10
    服务器=11
    移动=12
    智能设施=13
    工业=14
    操作设备=15
    Source 字符串 设备实体的源(Microsoft/供应商)。
    来源编号 实体 (URL) 对设备管理的源项的 URL 引用。
    制造商 字符串 设备制造商。
    Model 字符串 设备型号。
    OperatingSystem 字符串 设备正在运行的操作系统。
    IpAddress 实体 (IP) 设备的当前 IP 地址。
    Mac 地址 字符串 设备的 MAC 地址。
    Nics 实体 (Nic) 设备上的当前 NIC。
    协议 列出<字符串> 设备支持的协议的列表。
    SerialNumber 字符串 设备的序列号。
    站点 字符串 设备的站点位置。
    区域 字符串 设备在站点中的区域位置。
    传感器 字符串 监视设备的传感器。
    重要性 Enum? 以下值之一:
  • 正文
  • Purdue 层 字符串 设备的 Purdue 层。
    是否编程 Bool? 指示设备是否被归类为编程设备。
    是否授权 Bool? 指示设备是否被归类为授权设备。
    是否扫描仪 Bool? 指示设备是否被归类为扫描设备。
    设备页面链接 实体 (URL) URL,指向 Defender for IoT 门户中的设备页面。
    设备子类型 字符串 设备子类型的名称。

    物联网设备实体的强标识符

    • 物联网中心+设备 ID

    物联网设备实体的弱标识符

    • DeviceId(无 IoTHub)

    返回实体类型架构列表 | 返回实体标识符表

    邮箱

    实体名称:邮箱

    字段 类型​​ 说明
    类型 字符串 “mailbox”
    邮箱主要地址 字符串 邮箱的主要地址。
    DisplayName 字符串 邮箱的显示名称。
    Upn 字符串 邮箱的 UPN。
    AadId 字符串 用户的邮箱 Azure AD 标识符。
    风险等级 风险等级? 此邮箱的风险级别。 可能的值:
  • 外部目录对象 ID Guid? 邮箱的 AzureAD 标识符。 与 Account 实体中的 AadUserId 类似,但此属性特定于 Office 端的邮箱对象。

    邮箱实体的强标识符

    • 邮箱主要地址

    返回实体类型架构列表 | 返回实体标识符表

    邮件群集

    实体名称:MailCluster

    字段 类型​​ 说明
    类型 字符串 “mail-cluster”
    网络信息 ID 列出<字符串> 邮件 ID 是邮件群集的一部分。
    按传递状态计 IDictionary<String,Int> 通过 DeliveryStatus 字符串表示形式的邮件计数。
    按威胁类型计 IDictionary<String,Int> 通过 ThreatType 字符串表示形式的邮件计数。
    按保护状态计 IDictionary<String,long> 通过保护状态字符串的表示形式计数邮件信息。
    按传递位置计 IDictionary<String,long> 通过传递位置字符串的表示形式计数邮件信息。
    威胁 列出<字符串> 作为邮件群集一部分的邮件的威胁。
    查询 String 用于标识邮件群集的消息的查询。
    查询时间 DateTime? 查询时间。
    邮件计数 Int? 作为邮件群集一部分的邮件数量。
    容量是否异常 Bool? 指示邮件群集的容量是否异常。
    Source 字符串 邮件群集的源(默认为 O365 ATP)。

    邮件群集实体的强标识符

    • 查询+源

    返回实体类型架构列表 | 返回实体标识符表

    邮件消息

    实体名称:MailMessage

    字段 类型​​ 说明
    类型 字符串 “mail-message”
    文件 <实体(文件)>列表 此邮件消息附件的文件实体。
    收件人 字符串 此邮件消息的收件人。 对于多个收件人,会复制邮件,每个副本都有一个收件人。
    Urls 列出<字符串> 此邮件消息中包含的 URL。
    威胁 列出<字符串> 此邮件消息中包含的威胁。
    发送方 字符串 发件人的电子邮件地址。
    发送方 IP 字符串 发件人的 IP 地址。
    接收日期 DateTime 此消息的接收日期。
    网络信息 ID Guid? 此邮件消息的网络消息 ID。
    内部信息 ID 字符串 此邮件消息的 internet 消息 ID。
    主题 字符串 此邮件消息的主题。
    反垃圾邮件方向 Enum? 此邮件消息的方向性。 可能的值:
  • 未知
  • 入站
  • 出站
  • Intraorg(内部)
  • 传递动作 Enum? 此邮件消息的传递操作。 可能的值:
  • 未知
  • DeliveredAsSpam
  • 已交货
  • 已阻止
  • 已替换
  • 传递位置 Enum? 此邮件消息的传递位置。 可能的值:
  • 未知
  • Inbox
  • JunkFolder
  • DeletedFolder
  • 隔离
  • 外部
  • 失败
  • Dropped
  • Forwarded
  • 活动 ID 字符串 邮件所在活动的标识符。
    可疑收件人 列出<字符串> 被检测为可疑收件人的列表。
    转发收件人 列出<字符串> 转发邮件上所有收件人的列表。
    转发类型 列出<字符串> 邮件的转发类型,如 SMTP、ETR 等。

    邮件消息实体的强标识符

    • 网络信息 ID+收件人

    返回实体类型架构列表 | 返回实体标识符表

    提交邮件

    实体名称:SubmissionMail

    字段 类型​​ 说明
    类型 字符串 “SubmissionMail”
    提交 ID Guid? 提交 ID。
    提交日期 DateTime? 此提交的报告日期时间。
    “提交者” 字符串 提交者的电子邮件地址。
    网络信息 ID Guid? 提交所属的邮件的网络消息 ID。
    Timestamp DateTime? 接收到(邮件)消息时的时间戳。
    收件人 字符串 邮件的收件人。
    发送方 字符串 邮件的发送人。
    发送方 IP 字符串 发件人的 IP。
    主题 字符串 提交邮件的主题。
    ReportType 字符串 给定实例的提交类型。 可能的值有 Junk、Phish、Malware 或 NotJunk。

    提交邮件实体的强标识符

    • 提交 ID、提交方、网络信息 ID、收件人

    返回实体类型架构列表 | 返回实体标识符表

    Sentinel 实体

    字段 类型​​ 说明
    实体 String 警报中标识的实体的列表。 此列表是 SecurityAlert 架构中的“实体”列(参阅文档)。

    返回实体类型架构列表 | 返回实体标识符表

    云应用程序标识符

    以下列表定义了已知的云应用程序的标识符。 应用 ID 值用作云应用程序实体标识符。

    应用 ID 名称
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive 软件
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft Office SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk 合成生命周期
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 Microsoft 365 管理中心
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    后续步骤

    本文档介绍了 Microsoft Sentinel 中的实体结构、标识符和架构。

    详细了解实体实体映射