Referenční informace k typům entit Microsoft Sentinelu
Tento dokument obsahuje dvě sady informací o entitách a typech entit v Microsoft Sentinelu a jednotné platformě operací zabezpečení Microsoftu.
- Tabulka typů entit a identifikátorů zobrazuje různé typy entit , které je možné identifikovat v výstrahách a incidentech, což vám umožní sledovat a prošetřit je. Tabulka také ukazuje různé identifikátory, které lze použít k identifikaci entity pro každý typ entity.
- Část Schéma entity zobrazuje strukturu dat a schéma pro entity obecně a pro každý typ entity, zejména.
Důležité
Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Typy a identifikátory entit
Následující tabulka ukazuje typy entit, které může Microsoft Sentinel rozpoznat, a atributy, které se dají použít jako identifikátory pro každý typ entity.
Microsoft Sentinel rozpozná entity v upozorněních a incidentech vytvořených mapováním entit v analytických pravidlech. Rozpoznává také entity, které jsou již identifikovány v upozorněních přijatých z jiných zdrojů.
Při vytváření mapování entit v Microsoft Sentinelu můžete v současné době použít až tři identifikátory dané entity. Samotné silné identifikátory jsou dostatečné k jednoznačné identifikaci entity, zatímco slabé identifikátory to mohou provést pouze v kombinaci s jinými identifikátory. Přečtěte si další informace o silných a slabých identifikátorech. Většinu, ale ne všechny identifikátory v této tabulce lze použít při vytváření mapování entit v Microsoft Sentinelu (viz poznámky pod čarou).
| Typ entity | Identifiers | Silné identifikátory | Slabé identifikátory |
|---|---|---|---|
| Obchodní vztah | Název Celé jméno * NTDomain Doména Dns Přípona hlavního názvu uživatele (UPN) Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Název |
| Hostitel | Doména Dns NTDomain Název hostitele Celé jméno * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain Název hostitele + DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Název hostitele NetBiosName |
| IP | Adresa AddressScope |
Adresa ** Address+AddressScope ** |
|
| Adresa URL | URL | Adresa URL (pokud absolutní adresa URL ) ** | Adresa URL (pokud relativní adresa URL) ** |
| Prostředek Azure (AzureResource) |
ResourceId | ResourceId | |
| Cloudová aplikace (CloudApplication) |
AppId Název InstanceName |
AppId Název AppId+InstanceName Name+InstanceName |
|
| Překlad DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Soubor | Adresář Název |
Adresář a název | |
| Hodnota hash souboru (FileHash) |
Algoritmus Hodnota |
Algoritmus+hodnota | |
| Malware | Název Kategorie |
Name+Category | |
| Proces | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Příkazový řádek (bez hostitele) ProcessId+CreationTimeUtc+ ImageFile (bez hostitele) |
| Klíč registru (RegistryKey) |
Hive Key |
Hive+Key | |
| Hodnota registru (RegistryValue) |
Jméno Hodnota ValueType |
Klíč+název | Název (bez klíče) |
| Skupina zabezpečení (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Poštovní schránka | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Poštovní cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Hrozby Dotaz QueryTime MailCount IsVolumeAnomaly Zdroj ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Dotaz+zdroj | |
| E-mailová zpráva (MailMessage) |
Příjemce Adresy URL Hrozby Odesílatel P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Předmět BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Jazyk* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
| Odeslání e-mailu (Odesílaná pošta) |
NetworkMessageId Časové razítko Příjemce Odesílatel SenderIp Předmět Typ sestavy Id odeslání Datum odeslání Předkladatel |
SubmissionId+NetworkMessageId+ Příjemce a odesílejte |
|
| Entity služby Sentinel | Entity | Entity |
Poznámky pod čarou tabulky:
- * Tyto identifikátory se zobrazují v seznamu identifikátorů, které lze použít v mapování entit, ale přísně řečeno nejsou součástí schématu entity.
- ** Tyto identifikátory jsou považovány za silné pouze za určitých podmínek. Postupujte podle odkazů asterisků a podívejte se na podmínky, které platí, v části Schémata entit uvedené v příslušné entitě níže.
- Názvy identifikátorů kurzívou (bez hvězdičky) představují interní entity, což znamená, že jeden typ entity může mít jiné typy entit jako atributy (viz část Schémata entit níže). Pokud chcete zobrazit vlastní schéma interní entity, postupujte podle odkazu na identifikátor.
Schémata typů entit
Následující část obsahuje podrobnější přehled o úplných schématech jednotlivých typů entit. Všimněte si, že mnoho z těchto schémat obsahuje odkazy na jiné typy entit. Schéma účtu například obsahuje odkaz na typ entity Hostitel, protože jedním atributem uživatelského účtu je hostitel, na který je definovaný. Tyto entity jako atributy se označují jako interní entity a nedají se použít jako identifikátory pro mapování entit, ale jsou velmi užitečné při poskytování kompletního obrázku entit na stránkách entit a grafu šetření.
Poznámka:
Otazník za hodnotou ve sloupci Typ označuje, že pole má hodnotu null.
Seznam schémat typů entit
- Obchodní vztah
- Hostitel
- IP
- Malware
- Soubor
- Proces
- Cloudová aplikace
- Překlad DNS
- Prostředek Azure
- Hodnota hash souboru
- Klíč registru
- Hodnota registru
- Skupina zabezpečení
- Adresa URL
- Zařízení IoT
- Poštovní schránka
- Poštovní cluster
- E-mailová zpráva
- Odeslání e-mailu
- Entity služby Sentinel
Obchodní vztah
Název entity: Účet
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | "account" (účet) |
| Název | String | Název účtu. Toto pole by mělo obsahovat jenom název bez přidané domény. |
| FullName | -- | Součástí schématu není zpětnou kompatibilitu se starou verzí mapování entit. |
| NTDomain | String | Název domény NETBIOS, jak se zobrazí ve formátu upozornění – doména\uživatelské jméno. Příklady: Finance, NT AUTHORITY |
| Doména Dns | String | Plně kvalifikovaný název DNS domény. Příklady: finance.contoso.com |
| Přípona hlavního názvu uživatele (UPN) | String | Přípona hlavního názvu uživatele pro účet. V mnoha případech je přípona hlavního názvu uživatele (UPN) také názvem domény. Příklady: contoso.com |
| Hostitel | Entita (hostitel) | Hostitel, který obsahuje účet, pokud se jedná o místní účet. |
| Sid | String | Identifikátor zabezpečení účtu. |
| AadTenantId | Identifikátor guid? | ID tenanta Microsoft Entra, pokud je známo. |
| AadUserId | Identifikátor guid? | ID objektu účtu Microsoft Entra, pokud je známo. |
| PUID | Identifikátor guid? | ID uživatele Služby Microsoft Entra Passport, pokud je známo. |
| IsDomainJoined | Bool? | Určuje, jestli se jedná o účet domény. |
| DisplayName | -- | Součástí schématu není zpětnou kompatibilitu se starou verzí mapování entit. |
| ObjectGuid | Identifikátor guid? | Atribut objectGUID je atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeného službou Active Directory. |
| CloudAppAccountId | String | ID účtu v upozorněních od poskytovatele CloudApp. Odkazuje na ID účtů v aplikacích třetích stran, které nejsou podporovány v jiných produktech Microsoftu. |
| IsAnonymized | Bool? | Určuje, jestli je uživatelské jméno anonymizované. Nepovinné. Výchozí hodnota: false. |
| Stream | Stream | Zdroj protokolů zjišťování souvisejících s konkrétním účtem. Nepovinné. |
Silné identifikátory entity účtu
- Name + UPNSuffix
- AadUserId
- Sid
** Tento identifikátor je silný, pokud účet není jedním z předdefinovaných účtů uvedených v následující poznámce . - Sid + Hostitel
** Pokud je účet jedním z předdefinovaných účtů uvedených v poznámce níže, je nutné, aby byl tento identifikátor silný. - Name + NTDomain
** Tato kombinace je silný identifikátor, pokud je účtem domény, protože NTDomain není integrovanou doménou nebo pracovní skupinou a liší se od názvu hostitele. V tomto případě se jedná o silný identifikátor i bez komponenty Host. - Name + NTDomain + Host
** Součást Hostitel je nutná k vytvoření silného identifikátoru, pokud je účet místním účtem, což znamená, že NTDomain je integrovaná doména nebo pracovní skupina. - Name + DnsDomain
- PUID
- ObjectGuid
Slabé identifikátory entity účtu
- Název
Poznámka:
Pokud je entita Account definována pomocí identifikátoru Název a hodnota Název konkrétní entity je jedním z následujících obecných, běžně předdefinovaných názvů účtů, pak se tato entita z výstrahy zahodí.
- SPRÁVCE
- SPRÁVCE
- SYSTÉM
- KOŘEN
- ANONYMNÍ
- OVĚŘENÝ UŽIVATEL
- SÍŤ
- NULL
- MÍSTNÍ SYSTÉM
- LOCALSYSTEM
- SÍŤOVÁ SLUŽBA
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Hostitelský počítač
Název entity: Hostitel
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | "hostitel" |
| IpInterfaces | Entita seznamu<(IP)> | Seznam všech IP rozhraní na hostitelském počítači |
| Doména Dns | String | Doména DNS, do které tento hostitel patří. Pokud je to známo, měla by obsahovat úplnou příponu DNS pro doménu. |
| NTDomain | String | Doména NT, do které tento hostitel patří. |
| Název hostitele | String | Název hostitele bez přípony domény. |
| NetBiosName | String | Název hostitele (před Windows 2000). |
| IoTDevice | Entita (zařízení IoT) | Entita zařízení IoT (pokud tento hostitel představuje zařízení IoT). |
| AzureID | String | ID prostředku Azure virtuálního počítače, pokud je známo. |
| OMSAgentID | String | ID agenta OMS, pokud je na hostiteli nainstalovaný agent OMS. |
| OSFamily | Výčet? | Jedna z následujících hodnot: |
| OSVersion | String | Bezplatná textová reprezentace operačního systému. Toto pole má obsahovat konkrétní verze, které jsou jemněji odstupňované než OSFamily, nebo budoucí hodnoty, které nejsou podporovány výčtem OSFamily. |
| IsDomainJoined | Bool | Určuje, jestli tento hostitel patří do domény. |
Silné identifikátory hostitelské entity
- Název hostitele + NTDomain
- Název hostitele + Doména DNS
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Slabé identifikátory hostitelské entity
- Název hostitele
- NetBiosName
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
IP
Název entity: IP adresa
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Ip |
| Adresa | String | IP adresa jako řetězec, například. 127.0.0.1 (buď v IPv4, nebo IPv6). |
| AddressScope | String | Název hostitele, podsítě nebo privátní sítě pro privátní, ne globální IP adresy. Hodnota null nebo prázdná pro globální IP adresy (výchozí). |
| Místo | GeoLocation | Kontext geografického umístění připojený k entitě IP. Další informace najdete také v tématu Obohacení entit v Microsoft Sentinelu o data geografické polohy prostřednictvím rozhraní REST API (Public Preview). |
| Stream | Stream | Zdroj protokolů zjišťování souvisejících s konkrétní IP adresou. Nepovinné. |
Silné identifikátory entity IP
- Adresa
** Samotná adresa je jedinečný, silný identifikátor, pokud je IP adresa globální. - Address + AddressScope
** U privátních/interních, ne globálních IP adres je komponenta AddressScope nutná k vytvoření silného identifikátoru.
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Malware
Název entity: Malware
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Malware |
| Název | String | Název malwaru přiřazený dodavatelem (detekce?), například Win32/Toga!rfn. |
| Kategorie | String | Například kategorie malwaru přiřazená dodavatelem (detekce?). Trojský. |
| Soubory | Entita seznamu<(soubor)> | Seznam propojených entit souborů, na kterých byl malware nalezen. Může obsahovat vložené nebo referenční entity Souboru. Další podrobnosti o struktuře najdete v entitě Soubor . |
| Procesy | Entita seznamu<(proces)> | Seznam propojených entit procesu, na kterých byl malware nalezen. To by se často použilo, když se upozornění aktivovalo u aktivity bez souborů. Další podrobnosti o struktuře najdete v entitě Proces . |
Silné identifikátory entity malwaru
- Name + Category
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Soubor
Název entity: Soubor
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | "soubor" |
| Adresář | String | Úplná cesta k souboru. |
| Název | String | Název souboru bez cesty (některé výstrahy nemusí obsahovat cestu). |
| AlternateDataStreamName | String | Název datového proudu souboru v systému souborů NTFS (hodnota null pro hlavní datový proud) |
| Hostitel | Entita (hostitel) | Hostitel, na kterém byl soubor uložen. |
| Adresa hostUrl | Entita (ADRESA URL) | Adresa URL, ze které byl soubor stažen (Značka webu). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zabezpečení Windows zóny, do které adresa URL patří (Značka webu). |
| ReferrerUrl | Entita (ADRESA URL) | Adresa URL referreru požadavku HTTP pro stažení souboru (Značka webu). |
| SizeInBytes | Dlouhý? | Velikost souboru souboru v bajtech |
| FileHashes | Entita seznamu<(FileHash)> | Hodnoty hash souboru přidružené k tomuto souboru. |
Silné identifikátory entity souboru
- Name + Directory
- Name + FileHash
- Name + Directory + FileHash
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Zpracovat
Název entity: Proces
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Proces |
| Id procesu | String | ID procesu. |
| Příkazový řádek | String | Příkazový řádek použitý k vytvoření procesu. |
| ElevationToken | Výčet? | Token zvýšení oprávnění přidružený k procesu. Možné hodnoty: |
| CreationTimeUtc | DateTime? | Čas, kdy se proces spustil. |
| ImageFile | Entita (soubor) | Může obsahovat entitu Soubor vloženou nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Soubor . |
| Obchodní vztah | Entita (účet) | Účet, který spouští procesy. Může obsahovat entitu Klient vloženou nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Účet . |
| ParentProcess | Entita (proces) | Entita nadřazeného procesu. Může obsahovat částečná data, například pouze KÓD PID. |
| Hostitel | Entita (hostitel) | Hostitel, na kterém byl proces spuštěný. |
| Přihlášení | Entita (HostLogonSession) | Relace, ve které byl proces spuštěn. |
Silné identifikátory entity procesu
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Slabé identifikátory entity procesu
- ProcessId + CreationTimeUtc + CommandLine (a bez hostitele)
- ProcessId + CreationTimeUtc + ImageFile (a bez hostitele)
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Cloudová aplikace
Název entity: CloudApplication
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Cloud-application |
| AppId | Int | Zavrhovaný; místo toho použijte pole SaasId. Technický identifikátor aplikace. Možné hodnoty jsou ty, které jsou definovány v seznamu identifikátorů cloudových aplikací. Nepovinná hodnota. Neměla by obsahovat ID instance. |
| SaasId | Int | Nahradí zastaralé pole AppId. Technický identifikátor aplikace. Možné hodnoty jsou ty, které jsou definovány v seznamu identifikátorů cloudových aplikací. Nepovinná hodnota. Neměla by obsahovat ID instance. |
| Název | String | Název související cloudové aplikace. Nepovinná hodnota. |
| InstanceName | String | Uživatelem definovaný název instance cloudové aplikace. Často se používá k rozlišení mezi několika aplikacemi stejného typu, které má zákazník. |
| InstanceId | Int | Identifikátor konkrétní relace aplikace. Jedná se o spuštěné číslo založené na nule. Nepovinná hodnota. |
| Riziko | AppRisk? | Umožňuje filtrovat aplikace podle skóre rizika, abyste se mohli zaměřit například na kontrolu jenom vysoce rizikových aplikací. Možné hodnoty, jako je Nízký, Střední, Vysoký nebo Neznámý. |
| Stream | Stream | Zdroj protokolů zjišťování souvisejících s konkrétní cloudovou aplikací. Nepovinné. |
Silné identifikátory entity cloudové aplikace
- AppId (bez instanceName)
- Název (bez instanceName)
- AppId + InstanceName
- Name + InstanceName
Seznam identifikátorů cloudových aplikací
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Překlad DNS
Název entity: DNS
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Dns |
| DomainName | String | Název záznamu DNS přidruženého k upozornění. |
| IpAddress | Entita seznamu<(IP)> | Entity odpovídající přeložené IP adrese |
| DnsServerIp | Entita (IP) | Entita představující server DNS, který požadavek přeloží. |
| HostIpAddress | Entita (IP) | Entita představující klienta požadavku DNS. |
Silné identifikátory entity DNS
- DomainName + DnsServerIp + HostIpAddress
Slabé identifikátory entity DNS
- DomainName + HostIpAddress
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Prostředek Azure
Název entity: AzureResource
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Azure-resource |
| ResourceId | String | ID prostředku Azure Povinné. |
| SubscriptionId | String | ID předplatného prostředku. |
| ActiveContacts | List<ActiveContact> | Aktivní kontakty přidružené k prostředku |
| Typ prostředku | String | Typ prostředku. |
| ResourceName | String | Název prostředku. |
Silné identifikátory entity prostředků Azure
- ResourceId
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Hodnota hash souboru
Název entity: FileHash
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | 'filehash' |
| Algoritmus | Výčet | Typ hashovacího algoritmu. Povinné. Možné hodnoty: |
| Hodnota | String | Hodnota hash. Povinné. |
Silné identifikátory entity hash souboru
- Algoritmus + hodnota
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Klíč registru
Název entity: RegistryKey
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | "registry-key" |
| Hive | Výčet? | Jedna z následujících hodnot: |
| Klíč | String | Cesta ke klíči registru. |
Silné identifikátory entity klíče registru
- Hive + klíč
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Hodnota registru
Název entity: RegistryValue
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | 'registry-value' |
| Hostitel | Entita (hostitel) | Hostitel, ke kterému registr patří. |
| Klíč | Entita (RegistryKey) | Entita klíče registru. |
| Název | String | Název hodnoty registru. |
| Hodnota | String | Řetězcové znázornění dat hodnoty |
| ValueType | Výčet? | Jedna z následujících hodnot: Hodnoty by měly odpovídat výčtu Microsoft.Win32.RegistryValueKind. |
Silné identifikátory entity hodnoty registru
- Klíč + název
Slabé identifikátory entity hodnoty registru
- Název (bez klíče)
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Skupina zabezpečení
Název entity: SecurityGroup
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Skupina zabezpečení |
| DistinguishedName | String | Rozlišující název skupiny. |
| SID | String | Atribut s jednou hodnotou, který určuje identifikátor zabezpečení (SID) skupiny. |
| ObjectGuid | Identifikátor guid? | Atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeného službou Active Directory. |
Silné identifikátory entity skupiny zabezpečení
- DistinguishedName
- SID
- ObjectGuid
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Adresa URL
Název entity: Adresa URL
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Adresa URL |
| URL | Identifikátor URI | Úplná adresa URL, na které entita odkazuje. Povinné. |
Silné identifikátory entity adresy URL
- Adresa URL (** Tento identifikátor je silný, pokud je adresa URL absolutní adresou URL.)
Slabé identifikátory entity adresy URL
- Adresa URL (** Tento identifikátor je slabý, pokud je adresa URL relativní adresou URL.)
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Zařízení IoT
Název entity: IoTDevice
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Iotdevice |
| IoTHub | Entita (AzureResource) | Entita AzureResource představující IoT Hub, do které zařízení patří. |
| Id zařízení | String | ID zařízení v kontextu ioT Hubu. Povinné. |
| DeviceName | String | Popisný název zařízení. |
| Majitelé | List<String> | Vlastníci zařízení. |
| IoTSecurityAgentId | Identifikátor guid? | ID agenta Defender for IoT spuštěného na zařízení. |
| DeviceType | String | Typ zařízení ("senzor teploty", "mrazák", "větrná turbína" atd.). |
| DeviceTypeId | String | Jedinečné ID pro identifikaci jednotlivých typů zařízení podle schématu typu zařízení, protože samotný typ zařízení je zobrazovaný název a ve srovnání není spolehlivý. Možné hodnoty: Neotříděné = 0 Různé = 1 Síťové zařízení = 2 Tiskárna = 3 Zvuk a video = 4 Média a dohled = 5 Komunikace = 7 Inteligentní zařízení = 9 Pracovní stanice = 10 Server = 11 Mobilní zařízení = 12 Inteligentní zařízení = 13 Průmyslové = 14 Provozní vybavení = 15 |
| Source | String | Zdroj (Microsoft/Vendor) entity zařízení. |
| SourceRef | Entita (adresa URL) | Odkaz na adresu URL zdrojové položky, ve které je zařízení spravované. |
| Výrobce | String | Výrobce zařízení. |
| Model | String | Model zařízení. |
| Operační systém | String | Operační systém, na kterém je zařízení spuštěné. |
| IpAddress | Entita (IP) | Aktuální IP adresa zařízení. |
| MacAddress | String | Adresa MAC zařízení. |
| Síťové karty | Entita (nic) | Aktuální síťové karty v zařízení. |
| Protokoly | List<String> | Seznam protokolů, které zařízení podporuje. |
| Sériové číslo | String | Sériové číslo zařízení. |
| Pracoviště | String | Umístění webu zařízení. |
| Zóna | String | Umístění zóny zařízení v rámci webu. |
| Senzor | String | Senzor monitoruje zařízení. |
| Důležitost | Výčet? | Jedna z následujících hodnot: |
| PurdueLayer | String | Vrstva Purdue zařízení. |
| IsProgramming | Bool? | Určuje, jestli se zařízení klasifikuje jako programovací zařízení. |
| IsAuthorized | Bool? | Určuje, jestli se zařízení klasifikuje jako autorizované zařízení. |
| IsScanner | Bool? | Určuje, jestli se zařízení klasifikuje jako zařízení skeneru. |
| DevicePageLink | Entita (adresa URL) | Adresa URL stránky zařízení na portálu Defender for IoT |
| DeviceSubType | String | Název podtypu zařízení. |
Silné identifikátory entity zařízení IoT
- IoTHub + DeviceId
Slabé identifikátory entity zařízení IoT
- DeviceId (bez IoTHubu)
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Poštovní schránka
Název entity: Poštovní schránka
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Poštovní schránka |
| MailboxPrimaryAddress | String | Primární adresa poštovní schránky. |
| DisplayName | String | Zobrazovaný název poštovní schránky. |
| Upn | String | Hlavní název uživatele (UPN) poštovní schránky. |
| AadId | String | Identifikátor Azure AD poštovní schránky uživatele. |
| RiskLevel | RiskLevel? | Úroveň rizika této poštovní schránky. Možné hodnoty: |
| ExternalDirectoryObjectId | Identifikátor guid? | Identifikátor poštovní schránky AzureAD. Podobně jako AadUserId v entitě Účet, ale tato vlastnost je specifická pro objekt poštovní schránky na straně Office. |
Silné identifikátory entity poštovní schránky
- MailboxPrimaryAddress
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Poštovní cluster
Název entity: MailCluster
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | Poštovní cluster |
| NetworkMessageIds | Řetězec IList<> | ID poštovních zpráv, které jsou součástí poštovního clusteru. |
| CountByDeliveryStatus | IDictionary<String, Int> | Počet e-mailových zpráv podle reprezentace řetězce DeliveryStatus |
| CountByThreatType | IDictionary<String, Int> | Počet e-mailových zpráv podle reprezentace řetězce ThreatType |
| CountByProtectionStatus | IDictionary<String,long> | Počet e-mailových zpráv podle reprezentace stavového řetězce ochrany |
| CountByDeliveryLocation | IDictionary<String,long> | Počet e-mailových zpráv podle reprezentace řetězce umístění doručení |
| Hrozby | Řetězec IList<> | Hrozby poštovních zpráv, které jsou součástí poštovního clusteru. |
| Dotaz | String | Dotaz použitý k identifikaci zpráv poštovního clusteru. |
| QueryTime | DateTime? | Čas dotazu. |
| MailCount | Int? | Počet e-mailových zpráv, které jsou součástí poštovního clusteru. |
| IsVolumeAnomaly | Bool? | Určuje, jestli je poštovní cluster hromadnou anomálií. |
| Source | String | Zdroj poštovního clusteru (výchozí hodnota je O365 ATP). |
Silné identifikátory entity poštovního clusteru
- Dotaz + zdroj
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Mail message
Název entity: MailMessage
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | 'mail-message' |
| Soubory | Entita IList<(soubor)> | Entity Soubor příloh této e-mailové zprávy. |
| Příjemce | String | Příjemce této e-mailové zprávy. V případě více příjemců se e-mailová zpráva zkopíruje a každá kopie má jednoho příjemce. |
| Adresy URL | Řetězec IList<> | Adresy URL obsažené v této e-mailové zprávě. |
| Hrozby | Řetězec IList<> | Hrozby obsažené v této e-mailové zprávě. |
| Odesílatel | String | E-mailová adresa odesílatele. |
| SenderIP | String | IP adresa odesílatele. |
| ReceivedDate | DateTime | Datum přijetí této zprávy. |
| NetworkMessageId | Identifikátor guid? | ID síťové zprávy této e-mailové zprávy. |
| InternetMessageId | String | ID internetové zprávy této e-mailové zprávy. |
| Předmět | String | Předmět této e-mailové zprávy. |
| AntispamDirection | Výčet? | Směrovost této e-mailové zprávy. Možné hodnoty: |
| DeliveryAction | Výčet? | Akce doručení této e-mailové zprávy. Možné hodnoty: |
| DeliveryLocation | Výčet? | Umístění doručení této e-mailové zprávy. Možné hodnoty: |
| CampaignId | String | Identifikátor kampaně, ve které je tato e-mailová zpráva přítomna. |
| Podezřelérecipienty | Řetězec IList<> | Seznam příjemců, kteří byli zjištěni jako podezřelí. |
| ForwardedRecipients | Řetězec IList<> | Seznam všech příjemců přeposlané pošty. |
| ForwardingType | Řetězec IList<> | Typ přeposílání pošty, například SMTP, ETR atd. |
Silné identifikátory entity poštovní zprávy
- NetworkMessageId + Příjemce
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Odeslání e-mailu
Název entity: SubmissionMail
| Pole | Typ | Popis |
|---|---|---|
| Typ | String | "SubmissionMail" |
| Id odeslání | Identifikátor guid? | ID odeslání. |
| Datum odeslání | DateTime? | Nahlášený čas pro toto odeslání |
| Předkladatel | String | E-mailová adresa odesílatele. |
| NetworkMessageId | Identifikátor guid? | ID síťové zprávy e-mailu, do kterého odeslání patří. |
| Timestamp | DateTime? | Časové razítko při přijetí zprávy (Pošta). |
| Příjemce | String | Příjemce e-mailu. |
| Odesílatel | String | Odesílatel e-mailu. |
| SenderIp | String | IP adresa odesílatele. |
| Předmět | String | Předmět odeslání e-mailu. |
| Typ sestavy | String | Typ odeslání pro danou instanci. Možné hodnoty jsou Junk, Phish, Malware nebo NotJunk. |
Silné identifikátory entity SubmissionMail
- SubmitId, Submitter, NetworkMessageId, Recipient
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Entity služby Sentinel
| Pole | Typ | Popis |
|---|---|---|
| Entity | String | Seznam entit identifikovaných v upozornění Tento seznam je sloupec entit ze schématu SecurityAlert (viz dokumentace). |
Zpět na seznam schémat | typů entit Zpět na tabulku identifikátorů entit
Identifikátory cloudových aplikací
Následující seznam definuje identifikátory známých cloudových aplikací. Hodnota ID aplikace se používá jako identifikátor entity cloudové aplikace .
| ID aplikace | Název |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | DropBox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive pro firmy |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Slack |
| 23233 | systém Microsoft Office Online |
| 25275 | Microsoft Skype pro firmy |
| 25988 | Google Docs |
| 26055 | Centrum pro správu Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | systém Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace od Facebooku |
| 28373 | Emulátor proxy serveru CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Další kroky
V tomto dokumentu jste se dozvěděli o struktuře entit, identifikátorech a schématu v Microsoft Sentinelu.