Microsoft Sentinel varlık türleri başvurusu
Bu belge, Microsoft Sentinel ve Microsoft birleşik güvenlik operasyonları platformundaki varlıklar ve varlık türleriyle ilgili iki bilgi kümesi içerir.
- Varlık türleri ve tanımlayıcılar tablosu, uyarılarda ve olaylarda tanımlanabilen farklı varlık türlerini gösterir ve bunları izlemenize ve araştırmanıza olanak sağlar. Tabloda ayrıca her varlık türü için bir varlığı tanımlamak için kullanılabilecek farklı tanımlayıcılar gösterilir.
- Varlık şeması bölümü, genel olarak varlıklar ve özellikle her varlık türü için veri yapısını ve şemasını gösterir.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Varlık türleri ve tanımlayıcıları
Aşağıdaki tabloda, Microsoft Sentinel tarafından tanınabilen varlık türleri ve her varlık türü için tanımlayıcı olarak kullanılabilecek öznitelikler gösterilmektedir.
Microsoft Sentinel, analiz kurallarında varlık eşlemesi tarafından oluşturulan uyarılardaki ve olaylardaki varlıkları tanır. Ayrıca, diğer kaynaklardan alınan uyarılarda zaten tanımlanmış varlıkları tanır.
Şu anda Microsoft Sentinel'de varlık eşlemesi oluştururken belirli bir varlık için en fazla üç tanımlayıcı kullanabilirsiniz. Yalnızca güçlü tanımlayıcılar bir varlığı benzersiz olarak tanımlamak için yeterlidir, ancak zayıf tanımlayıcılar bunu yalnızca diğer tanımlayıcılarla birlikte yapabilir. Güçlü ve zayıf tanımlayıcılar hakkında daha fazla bilgi edinin. Microsoft Sentinel'de varlık eşlemeleri oluşturulurken bu tablodaki tanımlayıcıların çoğu kullanılamaz (dipnotlara bakın).
| Varlık türü | Identifiers | Güçlü tanımlayıcılar | Zayıf tanımlayıcılar |
|---|---|---|---|
| Firma | Veri Akışı Adı FullName * NTDomain DnsDomain UPNSuffix Sıd AadTenantId AadUserId PUID IsDomainJoinEd DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sıd ** Sid+Konak ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Veri Akışı Adı |
| ANABİLGİSAYAR | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoinEd |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | Adres AddressScope |
Adres ** Address+AddressScope ** |
|
| URL | Url | Url (mutlak URL ise) ** | Url (göreli URL ise) ** |
| Azure kaynağı (AzureResource) |
ResourceId | ResourceId | |
| Bulut uygulaması (CloudApplication) |
AppId Veri Akışı Adı InstanceName |
AppId Veri Akışı Adı AppId+InstanceName Name+InstanceName |
|
| DNS çözümlemesi (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Dosya | Dizin Veri Akışı Adı |
Dizin+Ad | |
| Dosya karması (FileHash) |
Algoritma Değer |
Algoritma+Değer | |
| Kötü amaçlı yazılım | Veri Akışı Adı Kategori |
Ad+Kategori | |
| İşlem | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Ana Bilgisayar+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ DosyaHash |
ProcessId+CreationTimeUtc+ CommandLine (Konak yok) ProcessId+CreationTimeUtc+ ImageFile (Konak yok) |
| Kayıt defteri anahtarı (RegistryKey) |
Hive Tuş |
Hive+Key | |
| Kayıt defteri değeri (RegistryValue) |
Veri Akışı Adı Değer ValueType |
Key+Name | Ad (Anahtar yok) |
| Güvenlik grubu (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Posta Kutusu | MailboxPrimaryAddress DisplayName Yukarı ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Posta kümesi (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Tehditler Sorgu QueryTime MailCount IsVolumeAnomaly Kaynak ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
| Posta iletisi (MailMessage) |
Alıcı Url'ler Tehditler Gönderen P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * AlındıTarihi NetworkMessageId InternetMessageId Konu BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Dil* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
| Gönderim e-postası (Gönderim Postası) |
NetworkMessageId Zaman damgası Alıcı Gönderen SenderIp Konu ReportType SubmissionId GönderimTarihi Submitter |
SubmissionId+NetworkMessageId+ Alıcı+Gönderici |
|
| Sentinel varlıkları | Varlıklar | Varlıklar |
Tablo dipnotları:
- * Bu tanımlayıcılar varlık eşlemesinde kullanılabilecek tanımlayıcılar listesinde görünür, ancak kesin olarak ifade etmek gerekirse varlık şemasının bir parçası değildir.
- ** Bu tanımlayıcılar yalnızca belirli koşullar altında güçlü kabul edilir. Aşağıdaki varlık şemaları bölümünde ilgili varlığın listesi altında, uygulanan koşulları görmek için yıldız işaretlerinin bağlantılarını izleyin.
- Italikleştirilmiş tanımlayıcı adları (yıldız işareti olmadan) iç varlıkları temsil eder; bu da bir varlık türünün öznitelik olarak diğer varlık türlerine sahip olabileceği anlamına gelir (aşağıdaki varlık şemaları bölümüne bakın). İç varlığın kendi şemasını görmek için tanımlayıcının bağlantısını izleyin.
Varlık türü şemaları
Aşağıdaki bölüm, her varlık türünün tam şemalarına daha ayrıntılı bir bakış içerir. Bu şemaların çoğunun diğer varlık türlerine bağlantılar içerdiğini fark edeceksiniz. Örneğin, bir kullanıcı hesabının özniteliklerinden biri tanımlandığı konak olduğundan, Hesap şeması Konak varlık türüne bir bağlantı içerir. Bu öznitelik olarak varlıklar "iç varlıklar" olarak bilinir ve varlık eşlemesi için tanımlayıcı olarak kullanılamazlar, ancak varlık sayfalarında ve araştırma grafiğinde varlıkların tam bir resmini vermede çok yararlıdırlar.
Not
Tür sütunundaki değeri izleyen soru işareti, alanın null atanabilir olduğunu gösterir.
Varlık türü şemalarının listesi
- Firma
- ANABİLGİSAYAR
- IP
- Kötü amaçlı yazılım
- Dosya
- İşlem
- Bulut uygulaması
- DNS çözümlemesi
- Azure kaynağı
- Dosya karması
- Kayıt defteri anahtarı
- Kayıt defteri değeri
- Güvenlik grubu
- URL
- IoT cihazı
- Posta Kutusu
- Posta kümesi
- Posta iletisi
- Gönderim e-postası
- Sentinel varlıkları
Firma
Varlık adı: Hesap
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'account' |
| Ad | String | Hesabın adı. Bu alan, etki alanı eklenmeden yalnızca adı tutmalıdır. |
| FullName | -- | Varlık eşlemesinin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın parçası değildir. |
| NTDomain | String | Uyarı biçiminde görünen NETBIOS etki alanı adı: etki alanı\kullanıcıadı. Örnekler: Finans, NT AUTHORITY |
| DnsDomain | String | Tam etki alanı DNS adı. Örnekler: finance.contoso.com |
| UPNSuffix | String | Hesabın kullanıcı asıl adı soneki. Çoğu durumda UPN Soneki aynı zamanda etki alanı adıdır. Örnekler: contoso.com |
| ANABİLGİSAYAR | Varlık (Konak) | Hesabı içeren ana bilgisayar (yerel bir hesapsa). |
| Sıd | String | Hesabın güvenlik tanımlayıcısı. |
| AadTenantId | Guıd? | Biliniyorsa Microsoft Entra kiracı kimliği. |
| AadUserId | Guıd? | Biliniyorsa, Microsoft Entra hesabı nesne kimliği. |
| PUID | Guıd? | Biliniyorsa Microsoft Entra Passport Kullanıcı Kimliği. |
| IsDomainJoinEd | Bool? | Hesabın bir etki alanı hesabı olup olmadığını gösterir. |
| DisplayName | -- | Varlık eşlemesinin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın parçası değildir. |
| ObjectGuid | Guıd? | objectGUID özniteliği, Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir. |
| CloudAppAccountId | String | CloudApp sağlayıcısından gelen uyarılardaki AccountID. Diğer Microsoft ürünlerinde desteklenmeyen üçüncü taraf uygulamalarındaki hesap kimliklerini ifade eder. |
| IsAnonymized | Bool? | Kullanıcı adının anonimleştirilmiş olup olmadığını gösterir. isteğe bağlı. Varsayılan değer: false. |
| Akış | Akış | Belirli hesapla ilgili bulma günlüklerinin kaynağı. isteğe bağlı. |
Bir hesap varlığının tanımlayıcıları
- Name + UPNSuffix
- AadUserId
- Sıd
** Hesap aşağıdaki Notta listelenen yerleşik hesaplardan biri olmadığı sürece bu tanımlayıcı güçlüdür. - Sid + Konak
** Hesap aşağıdaki Not'ta listelenen yerleşik hesaplardan biri olduğunda, bu tanımlayıcıyı güçlü bir tanımlayıcı yapmak için Konak bileşeni gereklidir. - Ad + NTDomain
** NtDomain yerleşik bir etki alanı/çalışma grubu olmadığından ve konak adından farklı olduğundan, hesap bir etki alanı hesabı olduğunda bu birleşim güçlü bir tanımlayıcıdır. Bu durumda bu, Konak bileşeni olmadan bile güçlü bir tanımlayıcıdır. - Ad + NTDomain + Ana Bilgisayar
** Hesap yerel bir hesap olduğunda güçlü bir tanımlayıcı oluşturmak için Konak bileşeni gereklidir; bu da NTDomain'in yerleşik bir etki alanı/çalışma grubu olduğu anlamına gelir. - Ad + DnsDomain
- PUID
- ObjectGuid
Hesap varlığının zayıf tanımlayıcıları
- Veri Akışı Adı
Not
Hesap varlığı Ad tanımlayıcısı kullanılarak tanımlanırsa ve belirli bir varlığın Ad değeri aşağıdaki genel, yaygın olarak yerleşik hesap adlarından biriyse, bu varlık uyarısından bırakılır.
- YÖNETİCİ
- YÖNETİCİ
- SİSTEM
- KÖK
- ANONİM
- KİMLİĞİ DOĞRULANMIŞ KULLANICI
- AĞ
- NULL
- YEREL SİSTEM
- YEREL SİSTEM
- AĞ HİZMETİ
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Ana Bilgisayar
Varlık adı: Konak
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'host' |
| IpInterfaces | Liste<Varlığı (Ip)> | Konak makinedeki tüm IP arabirimlerinin listesi. |
| DnsDomain | String | Bu konağın ait olduğu DNS etki alanı. Biliniyorsa, etki alanının tam DNS sonekini içermelidir. |
| NTDomain | String | Bu konağın ait olduğu NT etki alanı. |
| Ana Bilgisayar Adı | String | Etki alanı soneki olmayan konak adı. |
| NetBiosName | String | Ana bilgisayar adı (Windows 2000 öncesi). |
| IoTDevice | Varlık (IoT Cihazı) | IoT Cihazı varlığı (bu konak bir IoT Cihazını temsil ediyorsa). |
| AzureID | String | Biliniyorsa VM'nin Azure kaynak kimliği. |
| OMSAgentID | String | Konakta OMS aracısı yüklüyse OMS aracı kimliği. |
| OSFamily | Sabit listesi mi? | Aşağıdaki değerlerden biri: |
| OSVersion | String | İşletim sisteminin serbest metin gösterimi. Bu alan, OSFamily'den daha ayrıntılı olan belirli sürümleri veya OSFamily numaralandırması tarafından desteklenmeyen gelecekteki değerleri tutmak için kullanılır. |
| IsDomainJoinEd | Boole | Bu konağın bir etki alanına ait olup olmadığını gösterir. |
Konak varlığının tanımlayıcıları
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Konak varlığının zayıf tanımlayıcıları
- HostName
- NetBiosName
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
IP
Varlık adı: IP
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'ip' |
| Adres | String | Dize olarak IP adresi, örneğin. 127.0.0.1 (IPv4 veya IPv6'da). |
| AddressScope | String | Özel, genel olmayan IP adresleri için ana bilgisayar, alt ağ veya özel ağın adı. Genel IP adresleri için null veya boş (varsayılan). |
| Konum | GeoLocation | IP varlığına bağlı coğrafi konum bağlamı. Daha fazla bilgi için bkz . Microsoft Sentinel'deki varlıkları REST API aracılığıyla coğrafi konum verileriyle zenginleştirme (Genel önizleme). |
| Akış | Akış | Belirli IP ile ilgili bulma günlüklerinin kaynağı. isteğe bağlı. |
BIR IP varlığının güçlü tanımlayıcıları
- Adres
** IP adresi genel bir adres olduğunda tek başına adres benzersiz, güçlü bir tanımlayıcıdır. - Adres + AddressScope
** Özel/iç, genel olmayan IP adresleri için, addressScope bileşeni bunu güçlü bir identifer yapmak için gereklidir.
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Kötü amaçlı yazılım
Varlık adı: Kötü amaçlı yazılım
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'kötü amaçlı yazılım' |
| Ad | String | (algılama?) satıcısı tarafından atanan kötü amaçlı yazılım adı, örneğin Win32/Toga!rfn. |
| Kategori | String | Örneğin, (algılama?) satıcısı tarafından atanan kötü amaçlı yazılım kategorisi. Trojan. |
| Dosyalar | Liste<Varlığı (Dosya)> | Kötü amaçlı yazılımın bulunduğu bağlı dosya varlıklarının listesi. Dosya varlıklarını satır içinde veya başvuru olarak içerebilir. Yapı hakkında daha fazla bilgi için Dosya varlığına bakın. |
| İşlemler | Liste<Varlığı (İşlem)> | Kötü amaçlı yazılımın bulunduğu bağlantılı işlem varlıklarının listesi. Bu genellikle uyarı dosyasız etkinlikte tetiklendiğinde kullanılır. Yapı hakkında daha fazla bilgi için bkz. İşlem varlığı. |
Kötü amaçlı yazılım varlığının güçlü tanımlayıcıları
- Ad + Kategori
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Dosya
Varlık adı: Dosya
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'file' |
| Dizin | String | Dosyanın bulunduğu tam yol. |
| Ad | String | Yolu olmayan dosya adı (bazı uyarılar yol içermeyebilir). |
| AlternateDataStreamName | String | NTFS dosya sistemindeki dosya akışı adı (ana akış için null). |
| ANABİLGİSAYAR | Varlık (Konak) | Dosyanın depolandığı konak. |
| HostUrl | Varlık (URL) | Dosyanın indirildiği URL (Web İşareti). |
| WindowsSecurityZoneType | WindowsSecurityZone | URL'nin ait olduğu Windows Güvenliği Bölgesi (Web İşareti). |
| ReferrerUrl | Varlık (URL) | Dosya indirme HTTP isteğinin başvuran URL'si (Web İşareti). |
| SizeInBytes | Uzun? | Dosyanın bayt cinsinden boyutu. |
| FileHashes | Liste<Varlığı (FileHash)> | Bu dosyayla ilişkili dosya karmaları. |
Bir dosya varlığının tanımlayıcıları
- Ad + Dizin
- Ad + DosyaHash
- Ad + Dizin + DosyaHash
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
İşlem
Varlık adı: İşlem
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'process' |
| ProcessId | String | İşlem kimliği. |
| Komut Satırı | String | İşlemi oluşturmak için kullanılan komut satırı. |
| ElevationToken | Sabit listesi mi? | İşlemle ilişkili yükseltme belirteci. Olası değerler: |
| CreationTimeUtc | DateTime mı? | İşlemin çalışmaya başladığı zaman. |
| ImageFile | Varlık (Dosya) | Dosya varlığını satır içi veya başvuru olarak içerebilir. Yapı hakkında daha fazla bilgi için Dosya varlığına bakın. |
| Firma | Varlık (Hesap) | İşlemleri çalıştıran hesap. Hesap varlığını satır içinde veya başvuru olarak içerebilir. Yapı hakkında daha fazla bilgi için Bkz. Hesap varlığı. |
| ParentProcess | Varlık (İşlem) | Üst işlem varlığı. Yalnızca PID gibi kısmi veriler içerebilir. |
| ANABİLGİSAYAR | Varlık (Konak) | İşlemin üzerinde çalıştığı konak. |
| LogonSession | Varlık (HostLogonSession) | İşlemin çalıştığı oturum. |
İşlem varlığının tanımlayıcıları
- Host + ProcessId + CreationTimeUtc
- Ana Bilgisayar + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
İşlem varlığının zayıf tanımlayıcıları
- ProcessId + CreationTimeUtc + CommandLine (konak yok)
- ProcessId + CreationTimeUtc + ImageFile (konak yok)
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Bulut uygulaması
Varlık adı: CloudApplication
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'cloud-application' |
| AppId | Int | Kaldırıl -mış; yerine SaasId alanını kullanın. Uygulamanın teknik tanımlayıcısı. Olası değerler, bulut uygulaması tanımlayıcıları listesinde tanımlanan değerlerdir. İsteğe bağlı değer. InstanceId içermemelidir. |
| SaasId | Int | Kullanım dışı bırakılan AppId alanının yerini alır. Uygulamanın teknik tanımlayıcısı. Olası değerler, bulut uygulaması tanımlayıcıları listesinde tanımlanan değerlerdir. İsteğe bağlı değer. InstanceId içermemelidir. |
| Ad | String | İlgili bulut uygulamasının adı. İsteğe bağlı değer. |
| InstanceName | String | Bulut uygulamasının kullanıcı tanımlı örnek adı. Genellikle bir müşterinin sahip olduğu aynı türdeki çeşitli uygulamaları ayırt etmek için kullanılır. |
| InstanceId | Int | Uygulamanın belirli oturumunun tanımlayıcısı. Bu, sıfır tabanlı çalışan bir sayıdır. İsteğe bağlı değer. |
| Risk | AppRisk mi? | Uygulamaları risk puanına göre filtrelemenize olanak tanır, böylece yalnızca yüksek riskli uygulamaları gözden geçirme gibi ayrıntılara odaklanabilirsiniz. Düşük, Orta, Yüksek veya Bilinmiyor gibi olası değerler. |
| Akış | Akış | Belirli bir bulut uygulamasıyla ilgili bulma günlüklerinin kaynağı. isteğe bağlı. |
Bulut uygulaması varlığının güçlü tanımlayıcıları
- AppId (InstanceName olmadan)
- Ad (InstanceName olmadan)
- AppId + InstanceName
- Ad + InstanceName
Bulut uygulaması tanımlayıcılarının listesi
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
DNS çözümleme
Varlık adı: DNS
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'dns' |
| DomainName | String | Uyarıyla ilişkili DNS kaydının adı. |
| IpAddress | Liste<Varlığı (IP)> | Çözümlenen IP adreslerine karşılık gelen varlıklar. |
| DnsServerIp | Varlık (IP) | İsteği çözümleyerek DNS sunucusunu temsil eden bir varlık. |
| HostIpAddress | Varlık (IP) | DNS isteği istemcisini temsil eden varlık. |
DNS varlığının güçlü tanımlayıcıları
- DomainName + DnsServerIp HostIpAddress +
DNS varlığının zayıf tanımlayıcıları
- DomainName + HostIpAddress
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Azure kaynağı
Varlık adı: AzureResource
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'azure-resource' |
| ResourceId | String | Kaynağın Azure kaynak kimliği. Zorunlu. |
| SubscriptionId | String | Kaynağın abonelik kimliği. |
| ActiveContacts | ActiveContact Listele<> | Kaynakla ilişkilendirilmiş etkin kişiler. |
| ResourceType | String | Kaynağın türü. |
| ResourceName | String | Kaynağın adı. |
Azure kaynak varlığının güçlü tanımlayıcıları
- ResourceId
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Dosya karması
Varlık adı: FileHash
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'filehash' |
| Algoritma | Sabit listesi | Karma algoritma türü. Zorunlu. Olası değerler: |
| Value | String | Karma değeri. Zorunlu. |
Dosya karması varlığının güçlü tanımlayıcıları
- Algoritma + Değer
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Kayıt defteri anahtarı
Varlık adı: RegistryKey
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'registry-key' |
| Hive | Sabit listesi mi? | Aşağıdaki değerlerden biri: |
| Anahtar | String | Kayıt defteri anahtarı yolu. |
Kayıt defteri anahtarı varlığının tanımlayıcıları
- Hive + Anahtar
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Kayıt defteri değeri
Varlık adı: RegistryValue
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'registry-value' |
| ANABİLGİSAYAR | Varlık (Konak) | Kayıt defterinin ait olduğu konak. |
| Anahtar | Entity (RegistryKey) | Kayıt defteri anahtarı varlığı. |
| Ad | String | Kayıt defteri değer adı. |
| Value | String | Değer verilerinin dize biçimli gösterimi. |
| ValueType | Sabit listesi mi? | Aşağıdaki değerlerden biri: Değerler Microsoft.Win32.RegistryValueKind sabit listesiyle uyumlu olmalıdır. |
Kayıt defteri değer varlığının güçlü tanımlayıcıları
- Tuş + Ad
Kayıt defteri değer varlığının zayıf tanımlayıcıları
- Ad (Anahtar olmadan)
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Güvenlik grubu
Varlık adı: SecurityGroup
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'security-group' |
| DistinguishedName | String | Grup ayırt edici adı. |
| SID | String | Grubun güvenlik tanımlayıcısını (SID) belirten tek değerli bir öznitelik. |
| ObjectGuid | Guıd? | Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir öznitelik. |
Güvenlik grubu varlığının güçlü tanımlayıcıları
- DistinguishedName
- SID
- ObjectGuid
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
URL
Varlık adı: Url
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'url' |
| Url | Uri | Varlığın işaret olduğu tam URL. Zorunlu. |
URL varlığının güçlü tanımlayıcıları
- Url (** URL mutlak bir URL olduğunda bu tanımlayıcı güçlüdür.)
URL varlığının zayıf tanımlayıcıları
- Url (** URL göreli bir URL olduğunda bu tanımlayıcı zayıftır.)
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
IoT cihazı
Varlık adı: IoTDevice
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'iotdevice' |
| IoTHub | Varlık (AzureResource) | Cihazın ait olduğu IoT Hub'ını temsil eden AzureResource varlığı. |
| DeviceId | String | IoT Hub bağlamında cihazın kimliği. Zorunlu. |
| DeviceName | String | Cihazın kolay adı. |
| Sahipleri | Liste<Dizesi> | Cihazın sahipleri. |
| IoTSecurityAgentId | Guıd? | Cihazda çalışan IoT için Defender aracısının kimliği. |
| DeviceType | String | Cihazın türü ('sıcaklık sensörü', 'dondurucu', 'rüzgar türbini' vb.). |
| DeviceTypeId | String | Cihaz türünün kendisi bir görünen ad olduğundan ve karşılaştırmalarda güvenilir olmadığından her cihaz türünü cihaz türü şemasına göre tanımlamak için benzersiz bir kimlik. Olası değerler: Sınıflandırılmamış = 0 Çeşitli = 1 Ağ Cihazı = 2 Yazıcı = 3 Ses ve Video = 4 Medya ve Gözetim = 5 İletişim = 7 Akıllı Alet = 9 İş istasyonu = 10 Sunucu = 11 Mobil = 12 Akıllı Tesis = 13 Endüstriyel = 14 operasyonel ekipman = 15 |
| Kaynak | String | Cihaz varlığının kaynağı (Microsoft/Vendor). |
| SourceRef | Varlık (Url) | Cihazın yönetildiği kaynak öğeye url başvurusu. |
| Üretici | String | Cihazın üreticisi. |
| Model | String | Cihazın modeli. |
| OperatingSystem | String | Cihazın çalıştırılan işletim sistemi. |
| IpAddress | Varlık (IP) | Cihazın geçerli IP adresi. |
| MacAddress | String | Cihazın MAC adresi. |
| Nics | Varlık (Nic) | Cihazdaki geçerli NIC'ler. |
| Protokoller | Liste<Dizesi> | Cihazın desteklediği protokollerin listesi. |
| SerialNumber | String | Cihazın seri numarası. |
| Tesis | String | Cihazın site konumu. |
| Bölge | String | Bir site içindeki cihazın bölge konumu. |
| Sensör | String | Cihazı izleyen algılayıcı. |
| Önem | Sabit listesi mi? | Aşağıdaki değerlerden biri: |
| PurdueLayer | String | Cihazın Purdue Katmanı. |
| IsProgramming | Bool? | Cihazın programlama cihazı olarak sınıflandırılıp sınıflandırılmadığını gösterir. |
| IsAuthorized | Bool? | Cihazın yetkili cihaz olarak sınıflandırılıp sınıflandırılmadığını gösterir. |
| IsScanner | Bool? | Cihazın tarayıcı cihazı olarak sınıflandırılıp sınıflandırılmadığını gösterir. |
| DevicePageLink | Varlık (Url) | IoT için Defender portalında cihaz sayfasının URL'si. |
| DeviceSubType | String | Cihaz alt türünün adı. |
IoT cihaz varlığının güçlü tanımlayıcıları
- IoTHub + DeviceId
IoT cihaz varlığının zayıf tanımlayıcıları
- DeviceId (IoTHub olmadan)
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Mailbox
Varlık adı: Posta Kutusu
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'posta kutusu' |
| MailboxPrimaryAddress | String | Posta kutusunun birincil adresi. |
| DisplayName | String | Posta kutusunun görünen adı. |
| Yukarı | String | Posta kutusu UPN'dir. |
| AadId | String | Posta kutusunun kullanıcının Azure AD tanımlayıcısı. |
| RiskLevel | RiskLevel? | Bu posta kutusunun risk düzeyi. Olası değerler: |
| ExternalDirectoryObjectId | Guıd? | Posta kutusunun AzureAD tanımlayıcısı. Account varlığındaki AadUserId değerine benzer, ancak bu özellik Office tarafındaki posta kutusu nesnesine özgüdür. |
Posta kutusu varlığının tanımlayıcıları
- MailboxPrimaryAddress
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Posta kümesi
Varlık adı: MailCluster
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'mail-cluster' |
| NetworkMessageIds | IList<Dizesi> | Posta kümesinin parçası olan posta iletisi kimlikleri. |
| CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus dize gösterimine göre posta iletilerinin sayısı. |
| CountByThreatType | IDictionary<String,Int> | ThreatType dize gösterimine göre posta iletilerinin sayısı. |
| CountByProtectionStatus | Sözlük<Dizesi,uzun> | Koruma durum dizesi gösterimine göre posta iletilerinin sayısı. |
| CountByDeliveryLocation | Sözlük<Dizesi,uzun> | Teslim konumu dizesi gösterimine göre posta iletilerinin sayısı. |
| Tehditler | IList<Dizesi> | Posta kümesinin parçası olan posta iletilerinin tehditleri. |
| Sorgu | String | Posta kümesinin iletilerini tanımlamak için kullanılan sorgu. |
| QueryTime | DateTime mı? | Sorgu süresi. |
| MailCount | Int? | Posta kümesinin parçası olan posta iletilerinin sayısı. |
| IsVolumeAnomaly | Bool? | Posta kümesinin birim anomalisi posta kümesi olup olmadığını gösterir. |
| Kaynak | String | Posta kümesinin kaynağı (varsayılan değerdir O365 ATP). |
Posta kümesi varlığının güçlü tanımlayıcıları
- Sorgu + Kaynak
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Mail message
Varlık adı: MailMessage
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'mail-message' |
| Dosyalar | IList<Varlığı (Dosya)> | Bu posta iletisinin eklerinin Dosya varlıkları. |
| Alıcı | String | Bu posta iletisinin alıcısı. Birden çok alıcı söz konusu olduğunda, posta iletisi kopyalanır ve her kopyanın bir alıcısı vardır. |
| Url'ler | IList<Dizesi> | Bu posta iletisinde yer alan URL'ler. |
| Tehditler | IList<Dizesi> | Bu posta iletisinde yer alan tehditler. |
| Gönderen | String | Gönderenin e-posta adresi. |
| SenderIP | String | Gönderenin IP adresi. |
| AlındıTarihi | DateTime | Bu iletinin alınma tarihi. |
| NetworkMessageId | Guıd? | Bu posta iletisinin ağ iletisi kimliği. |
| InternetMessageId | String | Bu posta iletisinin internet ileti kimliği. |
| Konu | String | Bu posta iletisinin konusu. |
| AntispamDirection | Sabit listesi mi? | Bu posta iletisinin yönü. Olası değerler: |
| DeliveryAction | Sabit listesi mi? | Bu posta iletisinin teslim eylemi. Olası değerler: |
| DeliveryLocation | Sabit listesi mi? | Bu posta iletisinin teslim konumu. Olası değerler: |
| CampaignId | String | Bu posta iletisinin bulunduğu kampanyanın tanımlayıcısı. |
| SuspiciousRecipients | IList<Dizesi> | Şüpheli olarak algılanan alıcıların listesi. |
| forwardedRecipients | IList<Dizesi> | İletilen postadaki tüm alıcıların listesi. |
| İletme Türü | IList<Dizesi> | Postanın SMTP, ETR vb. iletme türü. |
Posta iletisi varlığının tanımlayıcıları
- NetworkMessageId + Alıcı
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Gönderim e-postası
Varlık adı: SubmissionMail
| Alan | Tür | Açıklama |
|---|---|---|
| Tür | String | 'SubmissionMail' |
| SubmissionId | Guıd? | Gönderim Kimliği. |
| GönderimTarihi | DateTime mı? | Bu gönderim için Bildirilen Tarih saati. |
| Submitter | String | Gönderen e-posta adresi. |
| NetworkMessageId | Guıd? | Gönderimin ait olduğu e-postanın ağ iletisi kimliği. |
| Zaman damgası | DateTime mı? | İleti alındığında zaman damgası (Posta). |
| Alıcı | String | Postanın alıcısı. |
| Gönderen | String | Postanın göndereni. |
| SenderIp | String | Gönderenin IP'sini. |
| Konu | String | Posta gönderme konusu. |
| ReportType | String | Verilen örneğin gönderim türü. Olası değerler Gereksiz, Kimlik Avı, Kötü Amaçlı Yazılım veya NotJunk'tır. |
Bir SubmissionMail varlığının güçlü tanımlayıcıları
- SubmissionId, Submitter, NetworkMessageId, Recipient
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Sentinel varlıkları
| Alan | Tür | Açıklama |
|---|---|---|
| Varlıklar | String | Uyarıda tanımlanan varlıkların listesi. Bu liste, SecurityAlert şemasındaki varlıklar sütunudur (belgelere bakın). |
Varlık türü şemaları | listesine dön Varlık tanımlayıcıları tablosuna geri dön
Bulut uygulaması tanımlayıcıları
Aşağıdaki liste, bilinen bulut uygulamaları için tanımlayıcıları tanımlar. Uygulama Kimliği değeri, bulut uygulaması varlık tanımlayıcısı olarak kullanılır.
| Uygulama Kimliği | Veri Akışı Adı |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Yazılımı |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Hizmetleri |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | İş günü |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive İş |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Yaşam Döngüsü |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Kurumsal |
| 25988 | Google Docs |
| 26055 | Microsoft 365 yönetim merkezi |
| 26060 | OPSWAT Dişlileri |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra Kimlik |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS Proxy Öykünücüsü |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Sonraki adımlar
Bu belgede Microsoft Sentinel'de varlık yapısı, tanımlayıcılar ve şema hakkında bilgi edindiyseniz.
Varlıklar ve varlık eşlemesi hakkında daha fazla bilgi edinin.