你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Sentinel 自动化规则参考

项目
10/16/2024

本文包含有关自动化规则配置以及支持的条件和属性的参考信息。

若要了解有关自动化规则的详细信息，请参阅使用自动化规则在 Microsoft Sentinel 中自动执行威胁响应。

有关创建、管理和使用自动化规则的说明，请参阅创建和使用Microsoft Sentinel 自动化规则来管理响应。

支持的实体属性

以下实体和实体属性可用作自动化规则的条件：

属性说明
映射到实体

此表显示自动化规则 API 中支持的实体属性。这些实体属性的值可以设置为触发自动化规则的条件。

有关支持属性的完整列表（包括事件属性），请参阅自动化规则 API 文档中的自动化规则属性属性支持的属性。

名称（在 API 中）	类型	描述
AccountAadTenantId	string	帐户Microsoft Entra ID 租户 ID
AccountAadUserId	string	帐户Microsoft Entra ID 用户 ID
AccountName	string	帐户名称
AccountNTDomain	string	帐户 NetBIOS 域名
AccountPUID	string	帐户Microsoft Entra ID Passport 用户 ID
AccountSid	string	帐户安全标识符
AccountObjectGuid	string	帐户对象唯一标识符
AccountUPNSuffix	string	帐户用户主体名称后缀
AzureResourceResourceId	string	Azure 资源 ID
AzureResourceSubscriptionId	string	Azure 资源订阅 ID
CloudApplicationAppId	string	云应用程序标识符
CloudApplicationAppName	string	云应用程序名称
DNSDomainName	string	dns 记录域名
FileDirectory	string	文件目录完整路径
FileName	string	没有路径的文件名
FileHashValue	string	文件哈希值
HostAzureID	string	主机 Azure 资源 ID
HostName	string	不带域的主机名
HostNetBiosName	string	主机 NetBIOS 名称
HostNTDomain	string	主机 NT 域
HostOSVersion	string	主机操作系统
IoTDeviceId	string	IoT 设备 ID
IoTDeviceName	string	IoT 设备名称
IoTDeviceType	string	IoT 设备类型
IoTDeviceVendor	string	IoT 设备供应商
IoTDeviceModel	string	IoT 设备模型
IoTDeviceOperatingSystem	string	IoT 设备操作系统
IPAddress	string	IP 地址
MailboxDisplayName	string	邮箱显示名称
邮箱主要地址	string	邮箱主地址
MailboxUPN	string	邮箱用户主体名称
MailMessageDeliveryAction	string	邮件传递操作
MailMessageDeliveryLocation	string	邮件传递位置
MailMessageRecipient	string	邮件收件人
MailMessageSenderIP	string	邮件发件人 IP 地址
MailMessageSubject	string	邮件主题
MailMessageP1Sender	string	邮件 P1 发件人（委派发件人）
MailMessageP2Sender	string	邮件 P2 发件人（原始发件人）
MalwareCategory	string	恶意软件类别
MalwareName	string	恶意软件名称
ProcessCommandLine	string	进程执行命令行
ProcessId	string	进程 ID
RegistryKey	string	注册表项路径
RegistryValueData	string	字符串格式表示形式的注册表项值
URL	string	URL

下表显示了自动化规则 API 中支持的实体属性如何显示在自动化规则创建向导中的条件下拉列表中。它还显示了这些属性如何映射到 Microsoft Sentinel 安全警报中定义的实体及其标识符。

API 中的名称	UI 下拉列表中的名称	实体：V3 警报架构中的标识符
AccountAadTenantId	帐户租户 ID	帐户：AadTenantId
AccountAadUserId	帐户 AAD 用户 ID	帐户：AadUserId
AccountName	帐户名	帐户名:
AccountNTDomain	帐户 NT 域	帐户：NTDomain
AccountPUID	帐户 PUID	帐户：PUID
AccountSid	客户 SID	帐户：Sid
AccountObjectGuid	帐户对象 ID	帐户：ObjectGuid
AccountUPNSuffix	帐户 UPN 后缀	帐户：UPNSuffix
AzureResourceResourceId	Azure 资源 ID	AzureResource：ResourceId
AzureResourceSubscriptionId	Azure 资源订阅 ID	AzureResource：SubscriptionId
CloudApplicationAppId	云应用程序 ID	CloudApplication：AppId
CloudApplicationAppName	云应用程序名称	CloudApplication：名称
DNSDomainName	DNS 域名	DNS：DomainName
FileDirectory	文件目录	文件：目录
FileName	文件名	文件名：
FileHashValue	文件哈希	FileHash：值
HostAzureID	托管 Azure ID	主机：AzureID
HostName	主机名	主机：主机名
HostNetBiosName	主机 NetBIOS 名称	主机：NetBiosName
HostNTDomain	主机 NT 域	主机：NTDomain
HostOSVersion	主机操作系统	主机：OSVersion
IoTDeviceId	IoT 设备 ID	IoTDevice：DeviceId
IoTDeviceName	IoT 设备名称	IoTDevice：DeviceName
IoTDeviceType	IoT 设备类型	IoTDevice：DeviceType
IoTDeviceVendor	IoT 设备供应商	IoTDevice：制造商
IoTDeviceModel	IoT 设备模型	IoTDevice：模型
IoTDeviceOperatingSystem	IoT 设备操作系统	IoTDevice：OperatingSystem
IPAddress	IP 地址	IP 地址：
MailboxDisplayName	邮箱显示名称	邮箱：DisplayName
邮箱主要地址	邮箱主地址	邮箱：MailboxPrimaryAddress
MailboxUPN	邮箱 UPN	邮箱：Upn
MailMessageDeliveryAction	邮件传递操作	MailMessage：DeliveryAction
MailMessageDeliveryLocation	邮件传递位置	MailMessage：DeliveryLocation
MailMessageRecipient	邮件收件人	MailMessage：收件人
MailMessageSenderIP	邮件发件人 IP	MailMessage：SenderIP
MailMessageSubject	邮件主题	MailMessage：主题
MailMessageP1Sender	邮件 P1 发件人	MailMessage：P1Sender
MailMessageP2Sender	邮件 P2 发件人	MailMessage：P2Sender
MalwareCategory	恶意软件类别	恶意软件：类别
MalwareName	恶意软件名称	恶意软件：名称
ProcessCommandLine	处理命令行	进程：CommandLine
ProcessId	进程 ID	Process：ProcessId
RegistryKey	注册表项	RegistryKey：密钥
RegistryValueData	注册表值	RegistryValue：值
URL	URL	URL：URL

通过

Microsoft Sentinel 自动化规则参考

支持的实体属性

反馈

其他资源