共用方式為


Microsoft Sentinel 實體類型參考

本檔包含兩組資訊,這些資訊涉及 Defender 入口網站中Microsoft Sentinel 中 Azure 入口網站 和 Microsoft Sentinel 中的實體和實體類型。

  • [實體類型和標識符] 數據表會顯示可在警示和事件中識別的不同實體類型,讓您追蹤和調查它們。 數據表也會針對每個實體類型顯示可用來識別實體的不同標識碼。
  • [實體架構]段會顯示一般實體的數據結構和架構,以及特定每個實體類型的數據結構和架構。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

實體類型和標識碼

下表顯示可由 Microsoft Sentinel 辨識的實體類型,以及可用來作為每個實體類型標識碼的屬性

Microsoft Sentinel 可辨識警示和事件中的實體,這些實體是由分析規則中的實體對應建立。 它也會辨識已從其他來源擷取的警示中識別的實體。

在 Sentinel 中建立實體對應時,您目前最多可以使用指定實體 Microsoft的三個識別碼。 僅強標識符 就足以唯一識別實體,而 弱式標識碼 只能與其他標識碼結合。 深入了解 強式和弱式標識碼。 在 sentinel Microsoft 中建立實體對應時,此數據表中大部分但並非所有標識碼都可以使用(請參閱腳注)。

實體類型 識別碼 強標識碼 弱式識別碼
帳戶 名稱
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name+UPNSuffix
AADUserId
Sid **
Sid+Host **
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid
名稱
主機 DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined
HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID
HostName
NetBiosName
IP 位址
AddressScope
位址 **
Address+AddressScope **
URL Url URL (如果絕對 URL) ** URL (如果相對 URL) **
Azure 資源
(AzureResource)
ResourceId ResourceId
雲端應用程式
(CloudApplication)
AppId
名稱
InstanceName
AppId
名稱
AppId+InstanceName
Name+InstanceName
DNS 解析
(DNS)
DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
檔案 Directory
名稱
Directory+Name
檔案雜湊
(FileHash)
演算法
演算法+值
惡意程式碼 名稱
類別
Name+Category
處理 ProcessId
CommandLine
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Host+ParentProcessId+
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash
ProcessId+CreationTimeUtc+
   CommandLine (無主機)
ProcessId+CreationTimeUtc+
   ImageFile (無主機)
登錄機碼
(RegistryKey)
Hive
機碼
Hive+Key
登錄值
(RegistryValue)
名稱

ValueType
Key+Name 名稱(無索引鍵)
安全性群組
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
信箱 MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel
MailboxPrimaryAddress
郵件叢集
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
威脅
Query
QueryTime
MailCount
IsVolumeAnomaly
來源
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query+Source
郵件訊息
(MailMessage)
收件者
URL
威脅
Sender
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
主體
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
語言*
ThreatDetectionMethods *
NetworkMessageId+Recipient
提交郵件
( 提交信件 )
NetworkMessageId
時間戳記
收件者
Sender
SenderIp
主體
ReportType
SubmissionId
SubmissionDate
[傳送者]
SubmissionId+NetworkMessageId+
   Recipient+Submitter
Sentinel 實體 實體 實體

表格腳註:

  • * 這些識別碼會出現在可用於實體對應的標識符清單中,但嚴格來說,它們不是實體架構的一部分。
  • ** 這些識別碼只有在特定條件下才會被視為強式。 遵循星號的連結,以查看套用的條件,在下方的實體架構一節中 相關實體的清單下
  • 斜體標識元名稱 (不含星號)代表內部實體,這表示一個實體類型可以有其他實體類型做為屬性(請參閱 下面的實體架構一節)。 請遵循識別碼的連結來查看內部實體自己的架構。
  • 架構中可能有其他實體,這是一般架構,除了Microsoft Sentinel 之外,還支援許多專案。 本文只列出Microsoft Sentinel 中可用的實體。

實體類型架構

下一節包含更深入地查看每個實體類型的完整架構。 您會發現其中許多架構包含其他實體類型的連結。 例如,帳戶架構包含主機實體類型的連結,因為使用者帳戶的一個屬性是其定義的主機。 這些實體即屬性稱為「內部實體」,因此無法做為實體對應的標識碼,但它們在提供實體頁面和調查圖表上實體的完整圖片時非常有用。

注意

[類型] 資料行中值後面的問號表示字段可為 Null。

實體類型架構清單

客戶​​

實體名稱:帳戶

欄位 類型 描述
型別 String 'account'
名稱 String 帳戶的名稱。 此欄位應該只保留名稱,而不會新增任何網域。
FullName -- 不是架構的一部分,隨附於舊版實體對應的回溯相容性。
NTDomain String NETBIOS 功能變數名稱會以警示格式顯示,也就是 domain\username。 範例:財務、NT AUTHORITY
DnsDomain String 完整網域 DNS 名稱。 範例:finance.contoso.com
UPNSuffix String 帳戶的用戶主體名稱後綴。 在許多情況下,UPN 後綴也是功能變數名稱。 範例:contoso.com
主機 實體(主機 包含帳戶的主機,如果是本機帳戶。
Sid String 帳戶的安全性標識碼。
AadTenantId Guid? 如果已知,Microsoft Entra 租使用者標識符。
AadUserId Guid? 如果已知,Microsoft Entra 帳戶對象標識碼。
PUID Guid? 如果已知,Microsoft Entra Passport 用戶標識碼。
IsDomainJoined 布林? 指出帳戶是否為網域帳戶。
DisplayName -- 不是架構的一部分,隨附於舊版實體對應的回溯相容性。
ObjectGuid Guid? objectGUID 屬性是單一值屬性,這是 Active Directory 指派之物件的唯一標識符。
CloudAppAccountId String CloudApp 提供者警示中的 AccountID。 是指其他Microsoft產品不支援的第三方應用程式中的帳戶標識碼。
IsAnonymized 布林? 指出用戶名稱是否匿名。 選擇性。 預設值: false
串流 串流 與特定帳戶相關的探索記錄來源。 選擇性。

帳戶實體的強標識碼

  • 名稱 + UPNSuffix
  • AadUserId
  • Sid
    ** 只要帳戶不是下列附注所列的其中一個內建帳戶,此標識符就很強。
  • Sid + 主機
    ** 當帳戶是下列附注所列的其中一個內建帳戶時,需要主機組件,才能讓此標識符成為強標識符。
  • 名稱 + NTDomain
    ** 當帳戶是網域帳戶時,這個組合是強標識符,因為 NTDomain 不是內建網域/工作組,而且與主機名不同。 在此情況下,即使沒有主機組件,這是強標識符。
  • 名稱 + NTDomain + 主機
    ** 當帳戶是本機帳戶時,主機組件必須建立強標識碼,這表示 NTDomain 是內建網域/工作組。
  • 名稱 + DnsDomain
  • PUID
  • ObjectGuid

帳戶實體的弱式標識碼

  • 名稱

注意

如果使用名稱標識碼定義 Account 實體,而特定實體的 Name 值是下列其中一個泛型、通常內建的帳戶名稱,則該實體將會從警示中卸除。

  • ADMIN
  • 管理員
  • 系統
  • ANONYMOUS
  • AUTHENTICATED USER
  • NETWORK
  • NULL
  • LOCAL SYSTEM
  • LOCALSYSTEM
  • NETWORK SERVICE

回到實體類型架構 | 清單 回到實體標識符數據表

Host

實體名稱:主機

欄位 類型 描述
型別 String 'host'
IpInterfaces 清單<實體 (Ip)> 主電腦上所有IP介面的清單。
DnsDomain String 此主機所屬的 DNS 網域。 如果已知,應該包含網域的完整 DNS 後綴。
NTDomain String 此主機所屬的NT網域。
HostName String 沒有網域後綴的主機名。
NetBiosName String 主機名 (Windows 2000 之前)。
IoTDevice 實體 (IoT 裝置 IoT 裝置實體(如果此主機代表IoT裝置)。
AzureID String 如果已知,VM 的 Azure 資源識別符。
OMSAgentID String 如果主機已安裝 OMS 代理程式,則為 OMS 代理程式識別碼。
OSFamily 列舉? 下列其中一個值:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
  • OSVersion String 操作系統的任意文字表示法。
    此欄位旨在保留比 OSFamily 更精細的特定版本,或 OSFamily 列舉不支援的未來值。
    IsDomainJoined Bool 指出此主機是否屬於網域。

    主機實體的強標識碼

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    主機實體的弱式標識碼

    • HostName
    • NetBiosName

    回到實體類型架構 | 清單 回到實體標識符數據表

    IP

    實體名稱:IP

    欄位 類型 描述
    型別 String 'ip'
    地址 String 例如,以字串表示的IP位址。 127.0.0.1 (在 IPv4 或 IPv6 中)。
    AddressScope String 私人、非全域 IP 位址的主機、子網或專用網名稱。 全域 IP 位址的 Null 或空白 (預設值)。
    地點 地理位置 附加至IP實體的地理位置內容。

    如需詳細資訊,另請參閱透過 REST API 在 Microsoft Sentinel 中以地理位置資料擴充實體 (公開預覽版)
    串流 串流 與特定IP相關的探索記錄來源。 選擇性。

    IP 實體的強標識碼

    • 地址
      ** 當 IP 位址是全域位址時,僅位址是唯一的強標識符。
    • Address + AddressScope
      ** 對於私人/內部、非全域 IP 位址,需要 AddressScope 元件才能將此設為強標識符。

    回到實體類型架構 | 清單 回到實體標識符數據表

    惡意程式碼

    實體名稱:惡意代碼

    欄位 類型 描述
    型別 String 'malware'
    名稱 String 由 (偵測)廠商指派的惡意代碼名稱,例如 Win32/Toga!rfn
    類別 String 例如,由 (detection)) 廠商指派的惡意代碼類別。 木馬。
    檔案 列出<實體 (檔案)> 找到惡意代碼的連結檔案實體清單。 可以包含內嵌或參考的檔案實體。
    如需結構的詳細資訊,請參閱檔案實體。
    程序 列出<實體 (行程)> 找到惡意代碼的連結進程實體清單。 這通常會在無檔案活動上觸發警示時使用。
    如需結構的詳細資訊,請參閱處理實體。

    惡意代碼實體的強標識碼

    • 名稱 + 類別

    回到實體類型架構 | 清單 回到實體標識符數據表

    檔案

    實體名稱:檔案

    欄位 類型 描述
    型別 String 'file'
    目錄 String 檔案的完整路徑。
    名稱 String 沒有路徑的檔名(某些警示可能不包含路徑)。
    AlternateDataStreamName String NTFS 檔系統中的檔名(主要數據流的 Null)。
    主機 實體(主機 檔案儲存所在的主機。
    HostUrl 實體 (URL 從下載檔案的 URL
    記)。
    WindowsSecurityZoneType WindowsSecurityZone #DA3E34954937D4F8A875566485A6C19E0 URL 所屬的區域
    記)。
    ReferrerUrl 實體 (URL 檔案的查閱者 URL 下載 HTTP 要求
    記)。
    SizeInBytes 長? 檔案的大小 (以位元組為單位)。
    FileHashes 清單<實體 (FileHash)> 與此檔案相關聯的檔案哈希。

    檔案實體的強標識碼

    • 名稱 + 目錄
    • 名稱 + FileHash
    • Name + Directory + FileHash

    回到實體類型架構 | 清單 回到實體標識符數據表

    處理

    實體名稱:進程

    欄位 類型 描述
    型別 String 'process'
    ProcessId String 進程標識碼。
    CommandLine String 用來建立進程的命令行。
    ElevationToken 列舉? 與進程相關聯的提高許可權令牌。
    可能的值:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? 進程開始執行的時間。
    ImageFile 實體(檔案 可以包含檔案實體內嵌或作為參考。
    如需結構的詳細資訊,請參閱檔案實體。
    帳戶 實體(帳戶 執行進程的帳戶。
    可以包含帳戶實體內嵌或作為參考。
    如需結構的詳細資訊,請參閱帳戶實體。
    ParentProcess 實體 (行程 父進程實體。
    可以包含部分數據,例如,只有 PID。
    主機 實體(主機 進程執行所在的主機。
    LogonSession 實體 (HostLogonSession) 進程執行所在的會話。

    進程實體的強標識碼

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    進程實體的弱式標識碼

    • ProcessId + CreationTimeUtc + CommandLine (且無主機)
    • ProcessId + CreationTimeUtc + ImageFile (且沒有主機)

    回到實體類型架構 | 清單 回到實體標識符數據表

    雲端應用程式

    實體名稱:CloudApplication

    欄位 類型 描述
    型別 String 'cloud-application'
    AppId int 荒廢的;請改用SaasId欄位。 應用程式的技術識別碼。 可能的值為雲端應用程式識別碼清單中定義的值。 值選擇性。 不應該包含 InstanceId。
    SaasId int 取代已被取代的AppId欄位。 應用程式的技術識別碼。 可能的值為雲端應用程式識別碼清單中定義的值。 值選擇性。 不應該包含 InstanceId。
    名稱 String 相關雲端應用程式的名稱。 值選擇性。
    InstanceName String 雲端應用程式的使用者定義實例名稱。 它通常用來區分客戶擁有之相同類型的數個應用程式。
    InstanceId int 應用程式之特定會話的標識碼。 這是以零起始的執行數位。 值選擇性。
    風險 AppRisk? 可讓您依風險分數篩選應用程式,以便專注在只檢閱高風險的應用程式。 可能的值,例如低、中、高或未知。
    串流 串流 與特定雲端應用程式相關的探索記錄來源。 選擇性。

    雲端應用程式實體的強標識符

    • AppId (不含 InstanceName)
    • 名稱(不含 InstanceName)
    • AppId + InstanceName
    • Name + InstanceName

    雲端應用程式識別碼清單

    回到實體類型架構 | 清單 回到實體標識符數據表

    DNS 解析

    實體名稱:DNS

    欄位 類型 描述
    型別 String 'dns'
    DomainName String 與警示相關聯的 DNS 記錄名稱。
    IpAddress 列出<實體 (IP)> 對應至已解析IP位址的實體。
    DnsServerIp 實體 (IP 表示解析要求的 DNS 伺服器實體。
    HostIpAddress 實體 (IP 代表 DNS 要求客戶端的實體。

    DNS 實體的強標識碼

    • DomainName + DnsServerIp + HostIpAddress

    DNS 實體的弱式識別碼

    • DomainName + HostIpAddress

    回到實體類型架構 | 清單 回到實體標識符數據表

    Azure 資源

    實體名稱:AzureResource

    欄位 類型 描述
    型別 String 'azure-resource'
    ResourceId String 資源的 Azure 資源識別碼。 必要。
    SubscriptionId String 資源的訂用帳戶識別碼。
    ActiveContacts 列出<ActiveContact> 與資源相關聯的使用中聯繫人。
    ResourceType String 資源的類型。
    ResourceName String 資源名稱。

    Azure 資源實體的強標識碼

    • ResourceId

    回到實體類型架構 | 清單 回到實體標識符數據表

    檔案雜湊

    實體名稱:FileHash

    欄位 類型 描述
    型別 String 'filehash'
    演算法 列舉 哈希演算法類型。 必要。 可能的值:
  • Unknown
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • ReplTest1 String 哈希值。 必要。

    檔案哈希實體的強標識碼

    • 演演算法 + 值

    回到實體類型架構 | 清單 回到實體標識符數據表

    登錄機碼

    實體名稱:RegistryKey

    欄位 類型 描述
    型別 String 'registry-key'
    Hive 列舉? 下列其中一個值:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • 索引鍵 String 登錄機碼路徑。

    登錄機碼實體的強標識碼

    • Hive + 金鑰

    回到實體類型架構 | 清單 回到實體標識符數據表

    登錄值

    實體名稱:RegistryValue

    欄位 類型 描述
    型別 String 'registry-value'
    主機 實體(主機 登錄所屬的主機。
    索引鍵 Entity (RegistryKey 登錄機碼實體。
    名稱 String 登錄值名稱。
    ReplTest1 String 值數據的字串格式表示。
    ValueType 列舉? 下列其中一個值:
  • String
  • 二進位
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Unknown
    值應該符合 Microsoft.Win32.RegistryValueKind 列舉。
  • 登錄值實體的強標識碼

    • 索引鍵 + 名稱

    登錄值實體的弱式標識碼

    • 名稱 (不含索引鍵)

    回到實體類型架構 | 清單 回到實體標識符數據表

    安全性群組

    實體名稱:SecurityGroup

    欄位 類型 描述
    型別 String 'security-group'
    DistinguishedName String 群組辨別名稱。
    SID String 單一值屬性,指定群組的安全性標識碼 (SID)。
    ObjectGuid Guid? 單一值屬性,這是 Active Directory 所指派之物件的唯一標識碼。

    安全組實體的強標識碼

    • DistinguishedName
    • SID
    • ObjectGuid

    回到實體類型架構 | 清單 回到實體標識符數據表

    URL

    實體名稱:URL

    欄位 類型 描述
    型別 String 'url'
    Url URI 實體指向的完整 URL。 必要。

    URL 實體的強標識碼

    • URL (** URL 為絕對 URL 時,此標識碼為強項。

    URL 實體的弱式標識碼

    • URL (** 當 URL 是相對 URL 時,此標識碼很弱。

    回到實體類型架構 | 清單 回到實體標識符數據表

    IoT 裝置

    實體名稱:IoTDevice

    欄位 類型 描述
    型別 String 'iotdevice'
    IoTHub 實體 (AzureResource 代表裝置所屬 IoT 中樞 的 AzureResource 實體。
    DeviceId String IoT 中樞 內容中的裝置識別碼。 必要。
    DeviceName String 裝置的易記名稱。
    擁有者 列出<字串> 裝置的擁有者。
    IoTSecurityAgentId Guid? 在裝置上執行的適用於IoT的Defender代理程式的標識碼。
    DeviceType String 裝置的類型(『溫度感測器』、『冰櫃』、『風力渦輪機』等)。
    DeviceTypeId String 根據裝置類型架構識別每個裝置類型的唯一標識符,因為裝置類型本身是顯示名稱,而且比較不可靠。

    可能的值:
    未分類 = 0
    其他 = 1
    網路裝置 = 2
    印表機 = 3
    音訊和視訊 = 4
    媒體和監視 = 5
    通訊 = 7
    智慧型設備 = 9
    工作站 = 10
    伺服器 = 11
    Mobile = 12
    Smart Facility = 13
    工業 = 14
    操作設備 = 15
    來源 String 裝置實體的來源 (Microsoft/Vendor)。
    SourceRef 實體(URL 裝置受控來源專案的 URL 參考。
    製造商 String 裝置的製造商。
    模型 String 裝置的模型。
    OperatingSystem String 裝置正在執行的作業系統。
    IpAddress 實體 (IP 裝置的目前IP位址。
    MacAddress String 裝置的 MAC 位址。
    Nics 實體 (Nic) 裝置上的目前 NIC。
    通訊協定 列出<字串> 裝置支援的通訊協定清單。
    SerialNumber String 裝置的序號。
    站台 String 裝置的月臺位置。
    區域 String 月臺內裝置的區域位置。
    Sensor String 監視裝置的感測器。
    重要性 列舉? 下列其中一個值:
  • Normal
  • PurdueLayer String 裝置的 Purdue 層。
    IsProgramming 布林? 指出裝置是否分類為程式設計裝置。
    IsAuthorized 布林? 指出裝置是否分類為已授權裝置。
    IsScanner 布林? 指出裝置是否分類為掃描儀裝置。
    DevicePageLink 實體(URL 適用於 IoT 的 Defender 入口網站中裝置頁面的 URL。
    DeviceSubType String 裝置子類型的名稱。

    IoT 裝置實體的強標識碼

    • IoTHub + DeviceId

    IoT 裝置實體的弱式標識碼

    • DeviceId (不含 IoTHub)

    回到實體類型架構 | 清單 回到實體標識符數據表

    信箱

    實體名稱:信箱

    欄位 類型 描述
    型別 String 'mailbox'
    MailboxPrimaryAddress String 信箱的主要位址。
    DisplayName String 信箱的顯示名稱。
    Upn String 信箱的UPN。
    AadId String 使用者的 Azure AD 識別碼。
    RiskLevel RiskLevel? 此信箱的風險層級。 可能的值:
  • ExternalDirectoryObjectId Guid? 信箱的 AzureAD 識別符。 類似於 Account 實體中的 AadUserId,但此屬性專屬於 Office 端的信箱物件。

    信箱實體的強標識碼

    • MailboxPrimaryAddress

    回到實體類型架構 | 清單 回到實體標識符數據表

    郵件叢集

    實體名稱:MailCluster

    欄位 類型 描述
    型別 String 'mail-cluster'
    NetworkMessageIds IList<字串> 屬於郵件叢集一部分的郵件訊息標識碼。
    CountByDeliveryStatus IDictionary<String,Int> DeliveryStatus 字串表示法的郵件訊息計數。
    CountByThreatType IDictionary<String,Int> 依 ThreatType 字串表示法的郵件訊息計數。
    CountByProtectionStatus IDictionary<String,long> 依保護狀態字串表示法的郵件訊息計數。
    CountByDeliveryLocation IDictionary<String,long> 依傳遞位置字串表示方式的郵件訊息計數。
    威脅 IList<字串> 屬於郵件叢集一部分的郵件訊息威脅。
    查詢 String 用來識別郵件叢集訊息的查詢。
    QueryTime DateTime? 查詢時間。
    MailCount Int? 屬於郵件叢集一部分的郵件訊息數目。
    IsVolumeAnomaly 布林? 指出郵件叢集是否為磁碟區異常郵件叢集。
    來源 String 郵件叢集的來源 (預設值為 O365 ATP)。

    郵件叢集實體的強標識碼

    • 查詢 + 來源

    回到實體類型架構 | 清單 回到實體標識符數據表

    郵件訊息

    實體名稱:MailMessage

    欄位 類型 描述
    型別 String 'mail-message'
    檔案 IList<實體 (檔案)> 此郵件附件的檔案實體。
    收件者 String 此郵件郵件的收件者。 在多個收件者的情況下,會複製郵件訊息,而且每個復本都有一個收件者。
    URL IList<字串> 此郵件訊息中包含的 URL。
    威脅 IList<字串> 此郵件訊息中包含的威脅。
    Sender String 寄件者的電子郵件位址。
    SenderIP String 寄件者的IP位址。
    ReceivedDate Datetime 此訊息的接收日期。
    NetworkMessageId Guid? 此郵件訊息的網路訊息識別碼。
    InternetMessageId String 此郵件訊息的因特網訊息標識碼。
    主體 String 此郵件郵件的主旨。
    AntispamDirection 列舉? 此郵件訊息的方向性。 可能的值:
  • Unknown
  • 連入
  • 輸出
  • 內部組織(內部)
  • DeliveryAction 列舉? 此郵件訊息的傳遞動作。 可能的值:
  • Unknown
  • DeliveredAsSpam
  • 已送達
  • 封鎖
  • Replaced
  • DeliveryLocation 列舉? 此郵件訊息的傳遞位置。 可能的值:
  • Unknown
  • 收件匣
  • JunkFolder
  • DeletedFolder
  • 隔離
  • 外部
  • 失敗
  • Dropped
  • 已轉送
  • CampaignId String 此郵件訊息所在的營銷活動識別碼。
    SuspiciousRecipients IList<字串> 偵測到為可疑的收件者清單。
    ForwardedRecipients IList<字串> 轉寄郵件上所有收件者的清單。
    ForwardingType IList<字串> 郵件的轉寄類型,例如 SMTP、ETR 等。

    郵件訊息實體的強標識碼

    • NetworkMessageId + Recipient

    回到實體類型架構 | 清單 回到實體標識符數據表

    提交郵件

    實體名稱:SubmissionMail

    欄位 類型 描述
    型別 String 'SubmissionMail'
    SubmissionId Guid? 提交標識碼。
    SubmissionDate DateTime? 回報此提交的日期時間。
    [傳送者] String 送出者電子郵件位址。
    NetworkMessageId Guid? 提交所屬電子郵件的網路訊息標識碼。
    Timestamp DateTime? 收到郵件時的時間戳(郵件)。
    收件者 String 郵件的收件者。
    Sender String 郵件的寄件者。
    SenderIp String 寄件人的IP。
    主體 String 提交郵件的主旨。
    ReportType String 指定實例的提交類型。 可能的值為垃圾郵件、網路釣魚、惡意代碼或 NotJunk。

    SubmissionMail 實體的強標識符

    • SubmissionId、Submitter、NetworkMessageId、Recipient

    回到實體類型架構 | 清單 回到實體標識符數據表

    Sentinel 實體

    欄位 類型 描述
    實體 String 警示中識別的實體清單。 此清單是 SecurityAlert 架構中的實體 資料行(請參閱檔)。

    回到實體類型架構 | 清單 回到實體標識符數據表

    雲端應用程式識別碼

    下列清單會定義已知雲端應用程式的標識碼。 [應用程式識別符] 值會當做 雲端應用程式 實體標識碼使用。

    應用程式識別碼 名稱
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 適用於雲端應用程式的 Microsoft Defender
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion 生命週期
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft 商務用 Skype
    25988 Google Docs
    26055 Microsoft 365 系統管理中心
    26060 OPSWAT 齒輪
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft德爾夫
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy 模擬器
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    下一步

    在本檔中,您已瞭解 Sentinel Microsoft 中的實體結構、標識碼和架構。

    深入瞭解 實體實體對應