Informazioni di riferimento per i tipi di entità di Microsoft Sentinel
Questo documento contiene due set di informazioni relative a entità e tipi di entità in Microsoft Sentinel e alla piattaforma di operazioni di sicurezza unificata Microsoft.
- La tabella Tipi di entità e identificatori mostra i diversi tipi di entità che possono essere identificati negli avvisi e negli eventi imprevisti, consentendo di tenere traccia e analizzarli. La tabella mostra anche, per ogni tipo di entità, i diversi identificatori che possono essere usati per identificare un'entità.
- La sezione Entity Schema (Schema entità) mostra la struttura dei dati e lo schema per le entità in generale e per ogni tipo di entità in particolare.
Importante
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Tipi di entità e identificatori
La tabella seguente illustra i tipi di entità che possono essere riconosciuti da Microsoft Sentinel e gli attributi che possono essere usati come identificatori per ogni tipo di entità.
Microsoft Sentinel riconosce le entità negli avvisi e negli eventi imprevisti creati dal mapping delle entità nelle regole di analisi. Riconosce anche le entità già identificate negli avvisi inseriti da altre origini.
È attualmente possibile usare fino a tre identificatori per una determinata entità durante la creazione di un mapping di entità in Microsoft Sentinel. Gli identificatori sicuri da soli sono sufficienti per identificare in modo univoco un'entità, mentre gli identificatori deboli possono farlo solo in combinazione con altri identificatori. Altre informazioni sugli identificatori sicuri e deboli. La maggior parte, ma non tutti gli identificatori in questa tabella, possono essere usati durante la creazione di mapping di entità in Microsoft Sentinel (vedere le note a piè di pagina).
| Tipo di entità | Identificatori | Identificatori sicuri | Identificatori deboli |
|---|---|---|---|
| Conto | Nome FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Nome+UPNSuffix AADUserId Sid ** Sid+Host ** Nome+Host+NTDomain ** Nome+NTDomain ** Nome+DnsDomain PUID ObjectGuid |
Nome |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | Address AddressScope |
Indirizzo ** Address+AddressScope ** |
|
| URL | Url | URL (se URL assoluto) ** | URL (se URL relativo) ** |
| Risorsa di Azure (AzureResource) |
ResourceId | ResourceId | |
| Applicazione cloud (CloudApplication) |
AppId Nome InstanceName |
AppId Nome AppId+InstanceName Nome+NomeIstanza |
|
| Risoluzione DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| file | Directory Nome |
Directory+Nome | |
| Hash file (FileHash) |
Algoritmo Valore |
Algorithm+Value | |
| Malware | Nome Categoria |
Nome+Categoria | |
| Processo | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (nessun host) ProcessId+CreationTimeUtc+ ImageFile (nessun host) |
| Chiave del Registro di sistema (RegistryKey) |
Hive Key |
Hive+Key | |
| Valore del Registro di sistema (RegistryValue) |
Nome Valore ValueType |
Key+Name | Nome (nessuna chiave) |
| Gruppo di sicurezza (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Cassetta postale | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Cluster di posta (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Minacce Query QueryTime MailCount IsVolumeAnomaly Origine ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Origine | |
| Messaggio di posta (MailMessage) |
Destinatario URL Minacce Mittente P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Oggetto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Lingua* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
| Invio di messaggio di posta elettronica (SubmissionMail) |
NetworkMessageId Timestamp: Destinatario Mittente SenderIp Oggetto ReportType Id invio SubmissionDate Persona che invia la richiesta |
SubmissionId+NetworkMessageId+ Destinatario+Inviatore |
|
| Entità sentinel | Entità | Entità |
Note a piè di pagina della tabella:
- * Questi identificatori vengono visualizzati nell'elenco di identificatori che possono essere usati nel mapping di entità, ma in modo rigoroso non fanno parte dello schema dell'entità.
- ** Questi identificatori sono considerati sicuri solo in determinate condizioni. Seguire i collegamenti degli asterischi per visualizzare le condizioni che si applicano, nell'elenco dell'entità pertinente nella sezione schemi di entità seguente.
- I nomi degli identificatori corsivi (senza un asterisco) rappresentano entità interne, il che significa che un tipo di entità può avere altri tipi di entità come attributi (vedere la sezione schemi di entità di seguito). Seguire il collegamento dell'identificatore per visualizzare lo schema dell'entità interna.
Schemi dei tipi di entità
La sezione seguente contiene un'analisi più approfondita degli schemi completi di ogni tipo di entità. Si noterà che molti di questi schemi includono collegamenti ad altri tipi di entità. Ad esempio, lo schema Account include un collegamento al tipo di entità Host, poiché un attributo di un account utente è l'host su cui è definito. Questi attributi come entità sono noti come "entità interne" e non possono essere usati come identificatori per il mapping delle entità, ma sono molto utili per fornire un quadro completo delle entità nelle pagine delle entità e nel grafico di analisi.
Nota
Un punto interrogativo che segue il valore nella colonna Tipo indica che il campo è nullable.
Elenco di schemi dei tipi di entità
- Conto
- Host
- IP
- Malware
- file
- Processo
- Applicazione cloud
- Risoluzione DNS
- Risorsa di Azure
- Hash file
- Chiave del Registro di sistema
- Valore del Registro di sistema
- Gruppo di sicurezza
- URL
- Dispositivo IoT
- Cassetta postale
- Cluster di posta
- Messaggio di posta
- Invio di messaggio di posta elettronica
- Entità sentinel
Conto
Nome entità: Account
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'account' |
| Nome | string | Nome dell'account. Questo campo deve contenere solo il nome senza alcun dominio aggiunto. |
| FullName | -- | Non parte dello schema, inclusa per la compatibilità con le versioni precedenti del mapping di entità. |
| NTDomain | String | Il nome di dominio NETBIOS visualizzato nel formato di avviso, dominio\nome utente. Esempi: Finanza, NT AUTHORITY |
| DnsDomain | String | Nome DNS di dominio completo. Esempi: finance.contoso.com |
| UPNSuffix | String | Suffisso del nome dell'entità utente per l'account. In molti casi il suffisso UPN è anche il nome di dominio. Esempi: contoso.com |
| Host | Entità (host) | Host che contiene l'account, se si tratta di un account locale. |
| Sid | String | Identificatore di sicurezza dell'account. |
| AadTenantId | Guid? | ID tenant di Microsoft Entra, se noto. |
| AadUserId | Guid? | ID oggetto dell'account Microsoft Entra, se noto. |
| PUID | Guid? | ID utente di Microsoft Entra Passport, se noto. |
| IsDomainJoined | Bool? | Indica se l'account è un account di dominio. |
| DisplayName | -- | Non parte dello schema, inclusa per la compatibilità con le versioni precedenti del mapping di entità. |
| ObjectGuid | Guid? | L'attributo objectGUID è un attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
| CloudAppAccountId | String | AccountID negli avvisi del provider CloudApp. Fa riferimento agli ID account nelle app di terze parti non supportate in altri prodotti Microsoft. |
| IsAnonymized | Bool? | Indica se il nome utente è anonimizzato. Facoltativo. Valore predefinito: false |
| Stream | Stream | Origine dei log di individuazione correlati all'account specifico. Facoltativo. |
Identificatori sicuri di un'entità account
- Nome + UPNSuffix
- AadUserId
- Sid
** Questo identificatore è sicuro, purché l'account non sia uno degli account predefiniti elencati nella nota seguente. - Sid + Host
** Quando l'account è uno degli account predefiniti elencati nella nota seguente, il componente Host è necessario per rendere questo identificatore un elemento sicuro. - Nome + NTDomain
** Questa combinazione è un identificatore sicuro quando l'account è un account di dominio, poiché NTDomain non è un dominio/gruppo di lavoro predefinito ed è diverso dal nome host. In questo caso, si tratta di un identificatore sicuro anche senza il componente Host. - Nome + NTDomain + Host
** Il componente host è necessario per creare un identificatore sicuro quando l'account è un account locale, ovvero NTDomain è un dominio/gruppo di lavoro predefinito. - Nome + DnsDomain
- PUID
- ObjectGuid
Identificatori deboli di un'entità account
- Nome
Nota
Se l'entità Account viene definita usando l'identificatore Name e il valore Name di una determinata entità è uno dei nomi di account generici seguenti, comunemente predefiniti, l'entità verrà eliminata dal relativo avviso.
- AMMIN
- AMMINISTRATORE
- SYSTEM
- RADICE
- ANONYMOUS
- AUTHENTICATED USER
- RETE
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Host
Nome entità: Host
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'host' |
| IpInterfaces | Entità elenco<(ip)> | Elenco di tutte le interfacce IP nel computer host. |
| DnsDomain | String | Dominio DNS a cui appartiene l'host. Deve contenere il suffisso DNS completo per il dominio, se noto. |
| NTDomain | String | Dominio NT a cui appartiene l'host. |
| HostName | String | Nome host senza il suffisso di dominio. |
| NetBiosName | String | Nome host (pre-Windows 2000). |
| IoTDevice | Entità (dispositivo IoT) | Entità IoT Device (se questo host rappresenta un dispositivo IoT). |
| AzureID | String | ID risorsa di Azure della macchina virtuale, se noto. |
| OMSAgentID | String | ID agente OMS, se l'host ha installato l'agente OMS. |
| OSFamily | Enumerazione? | Uno dei valori seguenti: |
| OSVersion | String | Rappresentazione in formato testo libero del sistema operativo. Questo campo è destinato a contenere versioni specifiche che sono più granulari rispetto a OSFamily o valori futuri non supportati dall'enumerazione OSFamily. |
| IsDomainJoined | Bool | Indica se l'host appartiene a un dominio. |
Identificatori sicuri di un'entità host
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificatori deboli di un'entità host
- HostName
- NetBiosName
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
IP
Nome entità: IP
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'ip' |
| Indirizzo | String | Indirizzo IP come stringa, ad esempio. 127.0.0.1 (in IPv4 o IPv6). |
| AddressScope | String | Nome dell'host, della subnet o della rete privata per indirizzi IP privati e non globali. Null o vuoto per gli indirizzi IP globali (impostazione predefinita). |
| Location | Georilevazione | Contesto di posizione geografica collegato all'entità IP. Per altre informazioni, vedere anche Arricchire le entità in Microsoft Sentinel con dati di georilevazione tramite l'API REST (anteprima pubblica). |
| Stream | Stream | Origine dei log di individuazione correlati all'indirizzo IP specifico. Facoltativo. |
Identificatori sicuri di un'entità IP
- Indirizzo
** L'indirizzo da solo è un identificatore univoco e sicuro quando l'indirizzo IP è un indirizzo globale. - Address + AddressScope
** Per gli indirizzi IP privati/interni non globali, il componente AddressScope è necessario per rendere questo identificatore sicuro.
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Malware
Nome entità: Malware
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'malware' |
| Nome | string | Nome del malware assegnato dal fornitore (rilevamento?), ad esempio Win32/Toga!rfn. |
| Categoria | String | Categoria di malware assegnata dal fornitore (rilevamento?), ad esempio. Troiano. |
| File | Entità elenco<(file)> | Elenco di entità di file collegate in cui è stato trovato il malware. Può contenere le entità File inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità File . |
| Processi | Entità elenco<(processo)> | Elenco di entità di processo collegate in cui è stato trovato il malware. Questa operazione viene spesso usata quando l'avviso viene attivato per l'attività senza file. Per altri dettagli sulla struttura, vedere l'entità Processo . |
Identificatori sicuri di un'entità malware
- Nome e categoria
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
file
Nome entità: File
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'file' |
| Directory | String | Percorso completo del file. |
| Nome | string | Il nome del file senza il percorso (alcuni avvisi potrebbero non includere il percorso). |
| AlternateDataStreamName | String | Nome del flusso di file nel file system NTFS (null per il flusso principale). |
| Host | Entità (host) | Host in cui è stato archiviato il file. |
| HostUrl | Entità (URL) | URL da cui è stato scaricato il file (Contrassegno del Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Sicurezza di Windows Zona a cui appartiene l'URL (Contrassegno del Web). |
| ReferrerUrl | Entità (URL) | URL del referrer della richiesta HTTP di download del file (Contrassegno del Web). |
| SizeInBytes | Lungo? | Le dimensioni del file in byte. |
| FileHashes | Entità elenco<(FileHash)> | Hash del file associati a questo file. |
Identificatori sicuri di un'entità file
- Nome e directory
- Nome + FileHash
- Nome + Directory + FileHash
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Processo
Nome entità: Processo
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'process' |
| ProcessId | String | ID del processo. |
| CommandLine | String | Riga di comando usata per creare il processo. |
| ElevationToken | Enumerazione? | Token di elevazione dei privilegi associato al processo. Valori possibili: |
| CreationTimeUtc | DateTime? | Ora di avvio dell'esecuzione del processo. |
| ImageFile | Entità (file) | Può contenere l'entità File inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità File . |
| Conto | Entità (account) | Account che esegue i processi. Può contenere l'entità Account inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità Account . |
| ParentProcess | Entità (processo) | Entità processo padre. Può contenere dati parziali, ad esempio solo il PID. |
| Host | Entità (host) | Host in cui è in esecuzione il processo. |
| LogonSession | Entità (HostLogonSession) | Sessione in cui è stato eseguito il processo. |
Identificatori sicuri di un'entità di processo
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificatori deboli di un'entità di processo
- ProcessId + CreationTimeUtc + CommandLine (e nessun host)
- ProcessId + CreationTimeUtc + ImageFile (e nessun host)
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Applicazione cloud
Nome entità: CloudApplication
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'cloud-application' |
| AppId | Int | Deprecato; usare invece il campo SaasId. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco di identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId. |
| SaasId | Int | Sostituisce il campo AppId deprecato. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco di identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId. |
| Nome | string | Nome dell'applicazione cloud correlata. Valore facoltativo. |
| InstanceName | String | Nome dell'istanza definita dall'utente dell'applicazione cloud. Viene spesso usato per distinguere tra diverse applicazioni dello stesso tipo di cui dispone un cliente. |
| InstanceId | Int | Identificatore della sessione specifica dell'applicazione. Si tratta di un numero in esecuzione in base zero. Valore facoltativo. |
| Rischio | AppRisk? | consente di filtrare le app in base al punteggio di rischio, in modo che sia possibile concentrarsi, ad esempio, sull'esame delle sole app molto rischiose. Valori possibili, ad esempio Low, Medium, High o Unknown. |
| Stream | Stream | Origine dei log di individuazione correlati all'app cloud specifica. Facoltativo. |
Identificatori sicuri di un'entità applicazione cloud
- AppId (senza InstanceName)
- Nome (senza InstanceName)
- AppId + InstanceName
- Nome e NomeIstanza
Elenco degli identificatori dell'applicazione cloud
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Risoluzione DNS
Nome entità: DNS
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'dns' |
| DomainName | String | Nome del record DNS associato all'avviso. |
| IpAddress | Entità elenco<(IP)> | Entità corrispondenti agli indirizzi IP risolti. |
| DnsServerIp | Entità (IP) | Entità che rappresenta il server DNS che risolve la richiesta. |
| HostIpAddress | Entità (IP) | Entità che rappresenta il client di richiesta DNS. |
Identificatori sicuri di un'entità DNS
- DomainName + DnsServerIp + HostIpAddress
Identificatori deboli di un'entità DNS
- DomainName + HostIpAddress
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Risorsa di Azure
Nome entità: AzureResource
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'azure-resource' |
| ResourceId | String | ID risorsa di Azure della risorsa. Obbligatorio. |
| SubscriptionId | String | L'ID sottoscrizione della risorsa. |
| ActiveContacts | Elenco<ActiveContact> | Contatti attivi associati alla risorsa. |
| ResourceType | String | Tipo di risorsa. |
| ResourceName | String | Nome della risorsa. |
Identificatori sicuri di un'entità risorsa di Azure
- ResourceId
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Hash file
Nome entità: FileHash
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'filehash' |
| Algoritmo | Enum | Tipo di algoritmo hash. Obbligatorio. Valori possibili: |
| valore | String | Valore hash. Obbligatorio. |
Identificatori sicuri di un'entità hash di file
- Algoritmo e valore
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Chiave del Registro di sistema
Nome entità: RegistryKey
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'registry-key' |
| Hive | Enumerazione? | Uno dei valori seguenti: |
| Chiave | String | Percorso della chiave del Registro di sistema. |
Identificatori sicuri di un'entità chiave del Registro di sistema
- Hive + Key
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Valore del Registro di sistema
Nome entità: RegistryValue
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'registry-value' |
| Host | Entità (host) | Host a cui appartiene il Registro di sistema. |
| Chiave | Entità (RegistryKey) | Entità chiave del Registro di sistema. |
| Nome | string | Nome del valore del Registro di sistema. |
| valore | String | Rappresentazione in formato stringa dei dati del valore. |
| ValueType | Enumerazione? | Uno dei valori seguenti: I valori devono essere conformi all'enumerazione Microsoft.Win32.RegistryValueKind. |
Identificatori sicuri di un'entità valore del Registro di sistema
- Chiave e nome
Identificatori deboli di un'entità del valore del Registro di sistema
- Nome (senza chiave)
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Gruppo di sicurezza
Nome entità: SecurityGroup
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'security-group' |
| DistinguishedName | String | Nome distinto del gruppo. |
| SID | String | Attributo a valore singolo che specifica l'identificatore di sicurezza (SID) del gruppo. |
| ObjectGuid | Guid? | Attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
Identificatori sicuri di un'entità del gruppo di sicurezza
- DistinguishedName
- SID
- ObjectGuid
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
URL
Nome entità: URL
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'url' |
| Url | URI | URL completo a cui punta l'entità. Obbligatorio. |
Identificatori sicuri di un'entità URL
- URL (** Questo identificatore è sicuro quando l'URL è un URL assoluto).
Identificatori deboli di un'entità URL
- URL (** Questo identificatore è debole quando l'URL è un URL relativo.
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Dispositivo IoT
Nome entità: IoTDevice
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'iotdevice' |
| IoTHub | Entità (AzureResource) | Entità AzureResource che rappresenta il hub IoT a cui appartiene il dispositivo. |
| DeviceId | String | ID del dispositivo nel contesto del hub IoT. Obbligatorio. |
| DeviceName | String | Nome descrittivo del dispositivo. |
| Proprietari | List<String> | Proprietari del dispositivo. |
| IoTSecurityAgentId | Guid? | ID dell'agente Defender per IoT in esecuzione nel dispositivo. |
| DeviceType | String | Tipo del dispositivo ('sensore temperatura', 'freezer', 'turbina eolica' ecc.). |
| DeviceTypeId | String | ID univoco per identificare ogni tipo di dispositivo in base allo schema del tipo di dispositivo, perché il tipo di dispositivo stesso è un nome visualizzato e non affidabile nei confronti. Valori possibili: Non classificato = 0 Varie = 1 Dispositivo di rete = 2 Stampante = 3 Audio e video = 4 Media e sorveglianza = 5 Comunicazione = 7 Smart Appliance = 9 Workstation = 10 Server = 11 Mobile = 12 Smart Facility = 13 Industriale = 14 Apparecchiature operative = 15 |
| Origine | String | Origine (Microsoft/Vendor) dell'entità del dispositivo. |
| SourceRef | Entità (URL) | Riferimento URL all'elemento di origine in cui è gestito il dispositivo. |
| Produttore | String | Il produttore del dispositivo. |
| Modello | String | Modello del dispositivo. |
| OperatingSystem | String | Il sistema operativo in cui è in esecuzione il dispositivo. |
| IpAddress | Entità (IP) | Indirizzo IP corrente del dispositivo. |
| MacAddress | String | L'indirizzo MAC del dispositivo. |
| Schede di interfaccia di rete | Entità (Nic) | Schede di interfaccia di rete correnti nel dispositivo. |
| Protocolli | List<String> | Elenco di protocolli supportati dal dispositivo. |
| SerialNumber | String | Numero di serie del dispositivo. |
| Sito | String | Posizione del sito del dispositivo. |
| Zona | String | Posizione della zona del dispositivo all'interno di un sito. |
| Sensor | String | Il sensore che monitora il dispositivo. |
| Priorità | Enumerazione? | Uno dei valori seguenti: |
| PurdueLayer | String | Livello Purdue del dispositivo. |
| IsProgramming | Bool? | Indica se il dispositivo è classificato come dispositivo di programmazione. |
| Non autorizzato | Bool? | Indica se il dispositivo è classificato come dispositivo autorizzato. |
| IsScanner | Bool? | Indica se il dispositivo è classificato come dispositivo scanner. |
| DevicePageLink | Entità (URL) | URL della pagina del dispositivo nel portale di Defender per IoT. |
| DeviceSubType | String | Nome del sottotipo del dispositivo. |
Identificatori sicuri di un'entità dispositivo IoT
- IoTHub + DeviceId
Identificatori deboli di un'entità dispositivo IoT
- DeviceId (senza IoTHub)
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Cassetta postale
Nome entità: Cassetta postale
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'mailbox' |
| MailboxPrimaryAddress | String | Indirizzo primario della cassetta postale. |
| DisplayName | String | Nome visualizzato della cassetta postale. |
| Upn | String | UPN della cassetta postale. |
| AadId | String | Identificatore di Azure AD della cassetta postale dell'utente. |
| RiskLevel | RiskLevel? | Livello di rischio della cassetta postale. Valori possibili: |
| ExternalDirectoryObjectId | Guid? | Identificatore azureAD della cassetta postale. Analogamente a AadUserId nell'entità Account, ma questa proprietà è specifica dell'oggetto cassetta postale sul lato Office. |
Identificatori sicuri di un'entità cassetta postale
- MailboxPrimaryAddress
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Cluster di posta
Nome entità: MailCluster
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'mail-cluster' |
| NetworkMessageIds | Stringa IList<> | ID messaggio di posta elettronica che fanno parte del cluster di posta elettronica. |
| CountByDeliveryStatus | Stringa IDictionary<, Int> | Numero di messaggi di posta elettronica in base alla rappresentazione di stringa DeliveryStatus. |
| CountByThreatType | Stringa IDictionary<, Int> | Numero di messaggi di posta elettronica in base alla rappresentazione di stringa ThreatType. |
| CountByProtectionStatus | Stringa IDictionary<, long> | Numero di messaggi di posta elettronica in base alla rappresentazione della stringa di stato di protezione. |
| CountByDeliveryLocation | Stringa IDictionary<, long> | Numero di messaggi di posta elettronica in base alla rappresentazione della stringa del percorso di recapito. |
| Minacce | Stringa IList<> | Minacce dei messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
| Query | String | Query utilizzata per identificare i messaggi del cluster di posta elettronica. |
| QueryTime | DateTime? | Ora della query. |
| MailCount | Int? | Numero di messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
| IsVolumeAnomaly | Bool? | Indica se il cluster di posta elettronica è un cluster di posta elettronica anomalie del volume. |
| Origine | String | Origine del cluster di posta elettronica (il valore predefinito è O365 ATP). |
Identificatori sicuri di un'entità cluster di posta elettronica
- Query e origine
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Messaggio di posta
Nome entità: MailMessage
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'mail-message' |
| File | Entità IList<(file)> | Entità File degli allegati del messaggio di posta elettronica. |
| Destinatario | String | Destinatario del messaggio di posta elettronica. Nel caso di più destinatari, il messaggio di posta elettronica viene copiato e ogni copia ha un destinatario. |
| URL | Stringa IList<> | URL contenuti in questo messaggio di posta elettronica. |
| Minacce | Stringa IList<> | Minacce contenute in questo messaggio di posta elettronica. |
| Mittente | String | Indirizzo di posta elettronica del mittente. |
| SenderIP | String | Indirizzo IP del mittente. |
| ReceivedDate | Data/Ora | Data di ricezione del messaggio. |
| NetworkMessageId | Guid? | ID messaggio di rete del messaggio di posta elettronica. |
| InternetMessageId | String | ID messaggio Internet del messaggio di posta elettronica. |
| Argomento | String | Oggetto del messaggio di posta elettronica. |
| AntispamDirection | Enumerazione? | Direzione del messaggio di posta elettronica. Valori possibili: |
| DeliveryAction | Enumerazione? | Azione di recapito del messaggio di posta elettronica. Valori possibili: |
| DeliveryLocation | Enumerazione? | Posizione di recapito del messaggio di posta elettronica. Valori possibili: |
| CampaignId | String | Identificatore della campagna in cui è presente il messaggio di posta elettronica. |
| SuspiciousRecipients | Stringa IList<> | Elenco di destinatari rilevati come sospetti. |
| ForwardedRecipients | Stringa IList<> | Elenco di tutti i destinatari nella posta inoltrata. |
| ForwardingType | Stringa IList<> | Tipo di inoltro della posta, ad esempio SMTP, ETR e così via. |
Identificatori sicuri di un'entità messaggio di posta elettronica
- NetworkMessageId + Destinatario
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Invio di messaggio di posta elettronica
Nome entità: SubmissionMail
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | String | 'SubmissionMail' |
| Id invio | Guid? | ID invio. |
| SubmissionDate | DateTime? | Data segnalata per l'invio. |
| Persona che invia la richiesta | String | Indirizzo di posta elettronica del mittente. |
| NetworkMessageId | Guid? | ID messaggio di rete di posta elettronica a cui appartiene l'invio. |
| Timestamp: | DateTime? | Timestamp quando viene ricevuto il messaggio (Posta). |
| Destinatario | String | Destinatario del messaggio di posta elettronica. |
| Mittente | String | Mittente del messaggio di posta elettronica. |
| SenderIp | String | INDIRIZZO IP del mittente. |
| Argomento | String | Oggetto del messaggio di invio. |
| ReportType | String | Tipo di invio per l'istanza specificata. I valori possibili sono Junk, Phish, Malware o NotJunk. |
Identificatori sicuri di un'entità SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Recipient
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Entità sentinel
| Campo | Tipo | Descrizione |
|---|---|---|
| Entità | String | Elenco delle entità identificate nell'avviso. Questo elenco è la colonna delle entità dello schema SecurityAlert (vedere la documentazione). |
Torna all'elenco degli schemi dei tipi | di entità Torna alla tabella degli identificatori di entità
Identificatori dell'applicazione cloud
L'elenco seguente definisce gli identificatori per le applicazioni cloud note. Il valore id app viene usato come identificatore di entità dell'applicazione cloud.
| ID app | Nome |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Servizi online Microsoft |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Ciclo di vita di Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Interfaccia di amministrazione di Microsoft 365 |
| 26060 | Ingranaggi OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Area di lavoro da Facebook |
| 28373 | Emulatore proxy CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Passaggi successivi
In questo documento sono stati illustrati la struttura delle entità, gli identificatori e lo schema in Microsoft Sentinel.