Справочник по типам сущностей Microsoft Sentinel
Этот документ содержит два набора сведений о сущностях и типах сущностей в Microsoft Sentinel в портал Azure и Microsoft Sentinel на портале Defender.
- В таблице "Типы сущностей и идентификаторы " показаны различные типы сущностей , которые можно определить в оповещениях и инцидентах, что позволяет отслеживать и исследовать их. В таблице также показаны различные идентификаторы для каждого типа сущности, которые можно использовать для идентификации сущности.
- В разделе "Схема сущностей" показана структура данных и схема сущностей в целом и для каждого типа сущности, в частности.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Типы сущностей и идентификаторы
В следующей таблице показаны типы сущностей, которые можно распознать Microsoft Sentinel, и атрибуты , которые можно использовать в качестве идентификаторов для каждого типа сущности .
Microsoft Sentinel распознает сущности в оповещениях и инцидентах, созданных сопоставлением сущностей в правилах аналитики. Он также распознает сущности, уже идентифицированные в оповещениях, полученных из других источников.
В настоящее время при создании сопоставления сущностей в Microsoft Sentinel можно использовать до трех идентификаторов. Надежные идентификаторы достаточно для уникальной идентификации сущности, в то время как слабые идентификаторы могут сделать это только в сочетании с другими идентификаторами. Дополнительные сведения о сильных и слабых идентификаторах. Большинство, но не все идентификаторы в этой таблице можно использовать при создании сопоставлений сущностей в Microsoft Sentinel (см. сноски).
| Тип объекта | Identifiers | Надежные идентификаторы | Слабые идентификаторы |
|---|---|---|---|
| Учетная запись | Имя. FullName * NTDomain DnsDomain UPNSuffix Сергей AADTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Ид безопасности ** Sid+Host ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Имя. |
| Узел | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP-адрес | Адрес AddressScope |
Адрес ** Address+AddressScope ** |
|
| URL-адрес | URL | URL-адрес (если абсолютный URL-адрес ) ** | URL-адрес (если относительный URL-адрес ) ** |
| Ресурс Azure (AzureResource) |
ResourceId | ResourceId | |
| Облачное приложение (CloudApplication) |
AppId Имя. InstanceName |
AppId Имя. AppId+InstanceName Name+InstanceName |
|
| Разрешение DNS (DNS) |
DomainName | DomainName+DnsServerIp HostIpAddress+ | DomainName+HostIpAddress |
| Файл | Directory Имя. |
Directory+Name | |
| Хэш файлов (FileHash) |
Алгоритм Значение |
Алгоритм+значение | |
| Вредоносные программы | Имя. Категория |
Name+Category | |
| Обработать | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreateTimeUtc Host+ParentProcessId+ CreateTimeUtc+CommandLine Host+ProcessId+ CreateTimeUtc+ImageFile Host+ProcessId+ CreateTimeUtc+ImageFile+ FileHash |
ProcessId+CreateTimeUtc+ CommandLine (без узла) ProcessId+CreateTimeUtc+ ImageFile (без узла) |
| Раздел реестра (RegistryKey) |
Куст Ключ. |
Hive+Key | |
| Значение реестра (RegistryValue) |
Имя. Значение ValueType |
Key+Name | Имя (без ключа) |
| Группа безопасности (SecurityGroup) |
Различающееся имя. SID ObjectGuid |
Различающееся имя. SID ObjectGuid |
|
| Почтовый ящик | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Почтовый кластер (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Угрозы Query QueryTime MailCount IsVolumeAnomaly Исходный код ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
| Почтовое сообщение (MailMessage) |
Recipient URL-адреса Угрозы Отправитель P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Тема BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Язык* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
| Отправка почты (SubmissionMail) |
NetworkMessageId Метка времени Recipient Отправитель SenderIp Тема ReportType SubmissionId SubmissionDate Отправитель |
SubmissionId+NetworkMessageId+ Получатель и получатель |
|
| Сущности Sentinel | Сущности | Сущности |
Сноски таблицы:
- * Эти идентификаторы отображаются в списке идентификаторов, которые можно использовать в сопоставлении сущностей, но строго говоря, они не являются частью схемы сущности.
- ** Эти идентификаторы считаются строгими только в определенных условиях. Следуйте ссылкам звездочек, чтобы просмотреть условия, которые применяются, в списке соответствующих сущностей в разделе схем сущностей ниже.
- Курсивные имена идентификаторов (без звездочки) представляют внутренние сущности, что означает, что один тип сущности может иметь другие типы сущностей в качестве атрибутов (см . раздел схем сущностей ниже). Перейдите по ссылке идентификатора, чтобы просмотреть собственную схему внутренней сущности.
Схемы типов сущностей
В следующем разделе содержатся более подробные сведения о полных схемах каждого типа сущности. Вы заметите, что многие из этих схем включают ссылки на другие типы сущностей. Например, схема учетной записи содержит ссылку на тип сущности узла, так как один атрибут учетной записи пользователя является узлом, на котором он определен. Эти сущности как атрибуты называются "внутренними сущностями", и их нельзя использовать в качестве идентификаторов для сопоставления сущностей, но они очень полезны при предоставлении полной картины сущностей на страницах сущностей и графе исследования.
Примечание.
Вопросительный знак после значения в столбце Тип указывает, что это поле допускает значения NULL.
Список схем типов сущностей
- Учетная запись
- Узел
- IP-адрес
- Вредоносные программы
- Файл
- Обработать
- Облачное приложение
- Разрешение DNS
- Ресурс Azure
- Хэш файлов
- Раздел реестра
- Значение реестра
- Группа безопасности
- URL-адрес
- Устройство Интернета вещей
- Почтовый ящик
- Почтовый кластер
- Почтовое сообщение
- Отправка почты
- Сущности Sentinel
Учетная запись
Имя сущности: Account
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "account" |
| Имя | Строка | Имя учетной записи. Это поле должно содержать только имя, без домена. |
| FullName | -- | Не является частью схемы, добавлено для обратной совместимости со старой версией сопоставления сущностей. |
| NTDomain | Строка | Доменное имя NETBIOS, отображаемое в формате генерации оповещений— домен\имя пользователя. Примеры: Finance, NT AUTHORITY. |
| DnsDomain | Строка | Полное доменное DNS-имя. Пример: finance.contoso.com |
| UPNSuffix | Строка | Суффикс имени субъекта-пользователя для учетной записи. Во многих случаях Суффикс имени участника-пользователя также является доменным именем. Пример: contoso.com |
| Узел | Сущность (узел) | Узел, содержащий учетную запись, если это локальная учетная запись. |
| Ид безопасности | Строка | Идентификатор безопасности учетной записи. |
| AadTenantId | Guid? | Идентификатор клиента Microsoft Entra, если он известен. |
| AadUserId | Guid? | Идентификатор объекта учетной записи Microsoft Entra, если он известен. |
| PUID | Guid? | Идентификатор пользователя Microsoft Entra Passport, если он известен. |
| IsDomainJoined | Bool? | Указывает, является ли учетная запись учетной записью домена. |
| Отображаемое имя | -- | Не является частью схемы, добавлено для обратной совместимости со старой версией сопоставления сущностей. |
| ObjectGuid | Guid? | ObjectGUID — это атрибут с одним значением, который является уникальным идентификатором объекта, назначаемого Active Directory. |
| CloudAppAccountId | Строка | AccountID в оповещениях от поставщика CloudApp. Ссылается на идентификаторы учетных записей в сторонних приложениях, которые не поддерживаются в других продуктах Майкрософт. |
| IsAnonymized | Bool? | Указывает, является ли имя пользователя анонимным. Необязательно. Значение по умолчанию: false. |
| Поток | Stream | Источник журналов обнаружения, связанных с конкретной учетной записью. Необязательно. |
Надежные идентификаторы сущности учетной записи
- Name + UPNSuffix
- AadUserId
- Ид безопасности
** Этот идентификатор является сильным, если учетная запись не является одной из встроенных учетных записей, перечисленных в примечание ниже. - Sid + Host
** Если учетная запись является одной из встроенных учетных записей, перечисленных в примечании ниже, компонент узла требуется, чтобы сделать этот идентификатор сильным. - Name + NTDomain
** Это строгое сочетание, если учетная запись является учетной записью домена, так как NTDomain не является встроенным доменом или рабочей группой и отличается от имени узла. В этом случае это надежный идентификатор даже без компонента узла. - Name + NTDomain + Host
** Компонент узла необходим для создания строгого идентификатора, если учетная запись является локальной учетной записью, то есть NTDomain является встроенным доменом или рабочей группой. - Name + DnsDomain
- PUID
- ObjectGuid
Слабые идентификаторы сущности учетной записи
- Имя.
Примечание.
Если сущность учетной записи определена с помощью идентификатора имени, а значение имени конкретной сущности является одним из следующих универсальных, обычно встроенных имен учетных записей, то эта сущность будет удалена из предупреждения.
- АДМИНИСТРАТОР
- АДМИНИСТРАТОР
- SYSTEM
- ROOT
- ANONYMOUS
- AUTHENTICATED USER
- Сеть
- NULL
- ЛОКАЛЬНАЯ СИСТЕМА
- LOCALSYSTEM
- СЕТЕВАЯ СЛУЖБА
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Хост
Имя сущности: узел
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "host" |
| IpInterfaces | Перечисление<сущности (IP)> | Список всех IP-интерфейсов на хост-компьютере. |
| DnsDomain | Строка | Домен DNS, к которому принадлежит этот узел. Должен содержать полный DNS-суффикс для домена, если он известен. |
| NTDomain | Строка | Домен NT, к которому принадлежит этот узел. |
| HostName | Строка | Имя узла без суффикса домена. |
| NetBiosName | Строка | Имя узла (до выпуска Windows 2000). |
| IoTDevice | Сущность (устройство Интернета вещей) | Сущность устройства Интернета вещей (если этот узел представляет устройство Интернета вещей). |
| AzureID | Строка | Идентификатор ресурса виртуальной машины, если он известен. |
| OMSAgentID | Строка | Идентификатор агента OMS, если на узле установлен агент OMS. |
| OSFamily | Enum? | Одно из следующих значений: |
| OSVersion | Строка | Описание операционной системы в виде произвольного текста. Это поле предназначено для хранения конкретных версий, которые более детализированы, чем OSFamily, или для хранения будущих значений, не поддерживаемых текущим перечислением OSFamily. |
| IsDomainJoined | Bool | Указывает, принадлежит ли этот узел домену. |
Надежные идентификаторы сущности узла
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Слабые идентификаторы сущности узла
- HostName
- NetBiosName
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
IP-адрес
Имя сущности: IP
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Ip |
| Адрес | Строка | Например, IP-адрес в виде строки. 127.0.0.1 (в IPv4 или IPv6). |
| AddressScope | Строка | Имя узла, подсети или частной сети для частных, не глобальных IP-адресов. Значение NULL или пусто для глобальных IP-адресов (по умолчанию). |
| Местонахождение | Геолокация | Контекст географического расположения, связанный с сущностью IP. Дополнительные сведения см. также в разделе Дополнение сущностей в Microsoft Sentinel данными геолокации через REST API (общедоступная предварительная версия). |
| Поток | Stream | Источник журналов обнаружения, связанных с конкретным IP-адресом. Необязательно. |
Надежные идентификаторы сущности IP
- Адрес
** Только адрес является уникальным, строгим идентификатором, если IP-адрес является глобальным. - Address + AddressScope
** Для частных или внутренних, не глобальных IP-адресов компонент AddressScope необходим, чтобы сделать это сильным идентификатором.
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Вредоносная программа
Имя сущности: вредоносные программы
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "вредоносные программы" |
| Имя | Строка | Имя вредоносных программ, назначенное поставщиком (обнаружение?), например Win32/Toga!rfn. |
| Категория | Строка | Например, категория вредоносных программ, назначенная поставщиком (обнаружение?). Троянский. |
| Файлы | Перечисление<сущности (файл)> | Список связанных сущностей File, в которых обнаружена вредоносная программа. Может содержать встроенные сущности File или ссылки на них. Дополнительные сведения о структуре см. в сущности файла . |
| Процессы | Перечисление<сущности (процесс)> | Список связанных сущностей Process, в которых обнаружена вредоносная программа. Он часто будет использоваться при активации оповещения о бесфайловых действиях. Дополнительные сведения о структуре см. в сущности Process . |
Надежные идентификаторы сущности вредоносных программ
- Имя + категория
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Файлы
Имя сущности: файл
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "file" |
| Каталог | Строка | Полный путь к файлу. |
| Имя | Строка | Имя файла без пути (некоторые оповещения могут не содержать путь). |
| AlternateDataStreamName | Строка | Имя потока файлов в файловой системе NTFS (null для основного потока). |
| Узел | Сущность (узел) | Узел, на котором был сохранен файл. |
| HostUrl | Сущность (URL-адрес) | URL-адрес, из которого был скачан файл (Марк веб-сайта). |
| WindowsSecurityZoneType | WindowsSecurityZone | Безопасность Windows зона, к которой принадлежит URL-адрес (Марк веб-сайта). |
| ReferrerUrl | Сущность (URL-адрес) | URL-адрес ссылки на скачивание HTTP-запроса на скачивание файла (Марк веб-сайта). |
| SizeInBytes | Длинный? | Размер файла в байтах. |
| FileHashes | Перечисление<сущности (FileHash)> | Хэши, связанные с этим файлом. |
Надежные идентификаторы сущности файла
- Имя и каталог
- Name + FileHash
- Name + Directory + FileHash
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Обработка
Имя сущности: процесс
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "Процесс" |
| ProcessId | Строка | Идентификатор процесса. |
| CommandLine | Строка | Командная строка, используемая для создания процесса. |
| ElevationToken | Enum? | Маркер повышения привилегий, связанный с этим процессом. Возможные значения: |
| CreationTimeUtc | DateTime? | Время запуска процесса. |
| ImageFile | Сущность (файл) | Может содержать встроенную сущность File или ссылку на нее. Дополнительные сведения о структуре см. в сущности файла . |
| Учетная запись | Сущность (учетная запись) | Учетная запись, в которой выполняются процессы. Может содержать встроенную сущность Account или ссылку на нее. Дополнительные сведения о структуре см. в сущности учетной записи . |
| ParentProcess | Сущность (процесс) | Родительская сущность процесса. Может содержать частичные данные, например только piD. |
| Узел | Сущность (узел) | Узел, на котором выполнялся процесс. |
| Вход В систему | Entity (HostLogonSession) | Сеанс, в котором выполнялся процесс. |
Надежные идентификаторы сущности процесса
- Host + ProcessId + CreateTimeUtc
- Host + ParentProcessId + CreateTimeUtc + CommandLine
- Host + ProcessId + CreateTimeUtc + ImageFile
- Host + ProcessId + CreateTimeUtc + ImageFile.FileHash
Слабые идентификаторы сущности процесса
- ProcessId + CreationTimeUtc + CommandLine (без Host);
- ProcessId + CreateTimeUtc + ImageFile (и нет узла)
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Облачное приложение
Имя сущности: CloudApplication
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "cloud-application" |
| AppId | Int | Устаревшие; вместо этого используйте поле SaasId. Технический идентификатор приложения. Возможные значения — это значения, определенные в списке идентификаторов облачных приложений. Необязательное значение. Не должен содержать InstanceId. |
| SaasId | Int | Заменяет нерекомендуемое поле AppId. Технический идентификатор приложения. Возможные значения — это значения, определенные в списке идентификаторов облачных приложений. Необязательное значение. Не должен содержать InstanceId. |
| Имя | Строка | Имя связанного облачного приложения. Необязательное значение. |
| InstanceName | Строка | Определяемое пользователем имя экземпляра облачного приложения. Часто он используется для различения нескольких приложений одного типа у клиента. |
| InstanceId | Int | Идентификатор конкретного сеанса приложения. Это отсчитываемый от нуля номер. Необязательное значение. |
| Риск | AppRisk? | позволяет фильтровать приложения по оценке риска, например, сосредоточиться только на самых ненадежных приложениях. Возможные значения, такие как Low, Medium, High или Unknown. |
| Поток | Stream | Источник журналов обнаружения, связанных с конкретным облачным приложением. Необязательно. |
Надежные идентификаторы сущности облачного приложения
- AppId (без имени экземпляра)
- Имя (без имени экземпляра)
- AppId + InstanceName
- Имя и имя экземпляра
Список идентификаторов облачных приложений
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Разрешение DNS
Имя сущности: DNS
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "dns" |
| DomainName | Строка | Имя записи DNS, связанной с оповещением. |
| IpAddress | Перечисление<сущности (IP-адрес)> | Сущности, соответствующие разрешенным IP-адресам. |
| DnsServerIp | Entity (IP) | Сущность, представляющая DNS-сервер, который разрешает запрос. |
| HostIpAddress | Entity (IP) | Сущность, представляющая клиент запроса DNS. |
Надежные идентификаторы сущности DNS
- DomainName + DnsServerIp HostIpAddress +
Слабые идентификаторы сущности DNS
- DomainName + HostIpAddress
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Ресурс Azure
Имя сущности: AzureResource
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Ресурс Azure. |
| ResourceId | Строка | Идентификатор ресурса Azure. Обязательно. |
| SubscriptionId | Строка | Идентификатор подписки ресурса. |
| ActiveContacts | Список<ActiveContact> | Активные контакты, связанные с ресурсом. |
| ResourceType | Строка | Тип ресурса. |
| Имя ресурса | Строка | Имя ресурса. |
Надежные идентификаторы сущности ресурса Azure
- ResourceId
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Хэш файла
Имя сущности: FileHash
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Хэш файла. |
| Алгоритм | Перечисление | Тип алгоритма хэширования. Обязательно. Возможные значения: |
| Value | Строка | Хэш-значение. Обязательно. |
Надежные идентификаторы сущности хэша файлов
- Алгоритм + значение
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Раздел реестра
Имя сущности: RegistryKey
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "registry-key" |
| Hive | Enum? | Одно из следующих значений: |
| Ключ | Строка | Путь к разделу реестра. |
Надежные идентификаторы сущности раздела реестра
- Hive + Key
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Значение реестра
Имя сущности: RegistryValue
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | "registry-value" |
| Узел | Сущность (узел) | Узел, к которому принадлежит реестр. |
| Ключ | Entity (RegistryKey) | Сущность раздела реестра. |
| Имя | Строка | Имя значения реестра. |
| Value | Строка | Представление данных значения в формате строки. |
| ValueType | Enum? | Одно из следующих значений: Значения должны соответствовать перечислению Microsoft.Win32.RegistryValueKind. |
Надежные идентификаторы сущности значения реестра
- Ключ + имя
Слабые идентификаторы сущности значения реестра
- Name (без Key).
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Группа безопасности
Имя сущности: SecurityGroup
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Группа безопасности. |
| Различающееся имя | Строка | Различающееся имя группы. |
| SID | Строка | Атрибут с одним значением, указывающий идентификатор безопасности группы. |
| ObjectGuid | Guid? | Атрибут с одним значением, который является уникальным идентификатором объекта, назначенным Active Directory. |
Надежные идентификаторы сущности группы безопасности
- Различающееся имя
- SID
- ObjectGuid
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
URL
Имя сущности: URL-адрес
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | URL-адрес. |
| URL | URI-адрес | Полный URL-адрес, на который указывает сущность. Обязательно. |
Надежные идентификаторы сущности URL-адреса
- URL-адрес (** Этот идентификатор является строгим, если URL-адрес является абсолютным URL-адресом.)
Слабые идентификаторы сущности URL-адреса
- URL-адрес (** Этот идентификатор слаб, если URL-адрес является относительным URL-адресом.)
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Устройство Интернета вещей
Имя сущности: IoTDevice
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Устройство Интернета вещей. |
| IoTHub | Entity (AzureResource) | Сущность AzureResource, представляющая Центр Интернета вещей, к которому принадлежит устройство. |
| DeviceId | Строка | Идентификатор устройства в контексте Центра Интернета вещей. Обязательно. |
| DeviceName | Строка | Понятное имя устройства. |
| Владельцы | List<String> | Владельцы устройства. |
| IoTSecurityAgentId | Guid? | Идентификатор агента Defender для Интернета вещей, работающего на устройстве. |
| DeviceType | Строка | Тип устройства ( "temperature sensor", "freezer", "wind turbine" и т. д.). |
| DeviceTypeId | Строка | Уникальный идентификатор для идентификации каждого типа устройства в соответствии со схемой типа устройства, так как сам тип устройства является отображаемым именем и не является надежным в сравнениях. Возможные значения: Неклассифицировано = 0 Прочие значения = 1 Сетевое устройство = 2 Принтер = 3 Аудио и видео = 4 Медиа и наблюдение = 5 Связь = 7 Smart Appliance = 9 Рабочая станция = 10 Сервер = 11 Mobile = 12 Smart Facility = 13 Industrial = 14 Операционное оборудование = 15 |
| Источник | Строка | Источник сущности устройства (корпорация Майкрософт или другой поставщик). |
| SourceRef | Сущность (URL-адрес) | Ссылка (URL-адрес) на исходный элемент, используемый для управления устройством. |
| Производитель | Строка | Производитель устройства. |
| Модель | Строка | Модель устройства. |
| OperatingSystem | Строка | Операционная система, выполняемая на устройстве. |
| IpAddress | Entity (IP) | Текущий IP-адрес устройства. |
| MacAddress | Строка | MAC-адрес устройства. |
| Сетевые карты | Entity (Nic) | Текущие сетевые адаптеры на устройстве. |
| Протоколы | List<String> | Список протоколов, поддерживаемых устройством. |
| SerialNumber | Строка | Серийный номер устройства. |
| Сайт | Строка | Расположение сайта устройства. |
| Зона | Строка | Расположение зоны устройства на сайте. |
| Датчик | Строка | Датчик отслеживает устройство. |
| Важность | Enum? | Одно из следующих значений: |
| PurdueLayer | Строка | Слой Purdue устройства. |
| IsProgramming | Bool? | Указывает, классифицируется ли устройство как программирование. |
| IsAuthorized | Bool? | Указывает, классифицируется ли устройство как авторизованное устройство. |
| IsScanner | Bool? | Указывает, классифицируется ли устройство сканера. |
| DevicePageLink | Сущность (URL-адрес) | URL-адрес страницы устройства на портале Defender для Интернета вещей. |
| DeviceSubType | Строка | Имя подтипа устройства. |
Надежные идентификаторы сущности устройства Интернета вещей
- IoTHub + DeviceId
Слабые идентификаторы сущности устройства Интернета вещей
- DeviceId (без IoTHub);
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Mailbox
Имя сущности: почтовый ящик
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Почтовый ящик. |
| MailboxPrimaryAddress | Строка | Основной адрес почтового ящика. |
| Отображаемое имя | Строка | Отображаемое имя почтового ящика. |
| Upn | Строка | Имя участника-пользователя почтового ящика. |
| AadId | Строка | Идентификатор azure AD почтового ящика пользователя. |
| RiskLevel | RiskLevel? | Уровень риска этого почтового ящика. Возможные значения: |
| ExternalDirectoryObjectId | Guid? | Идентификатор AzureAD почтового ящика. Аналогичен AadUserId в сущности Account, но это свойство относится к объекту Mailbox на стороне Office. |
Надежные идентификаторы сущности почтового ящика
- MailboxPrimaryAddress
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Почтовый кластер
Имя сущности: MailCluster
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Почтовый кластер. |
| NetworkMessageIds | IList<String> | Идентификаторы почтовых сообщений, которые являются частью почтового кластера. |
| CountByDeliveryStatus | IDictionary<String,Int> | Число почтовых сообщений по строковому представлению DeliveryStatus. |
| CountByThreatType | IDictionary<String,Int> | Число почтовых сообщений по строковому представлению ThreatType. |
| CountByProtectionStatus | IDictionary<String,long> | Количество сообщений почты по строке состояния защиты. |
| CountByDeliveryLocation | IDictionary<String,long> | Количество сообщений почты по строке расположения доставки. |
| Угрозы | IList<String> | Угрозы для почтовых сообщений, которые являются частью почтового кластера. |
| Запрос | Строка | Запрос, который использовался для определения сообщений почтового кластера. |
| QueryTime | DateTime? | Время запроса. |
| MailCount | Int? | Число почтовых сообщений, которые являются частью почтового кластера. |
| IsVolumeAnomaly | Bool? | Указывает, является ли почтовый кластер кластером аномалий тома. |
| Источник | Строка | Источник почтового кластера (по умолчанию O365 ATP— ). |
Надежные идентификаторы сущности почтового кластера
- Запрос и источник
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Mail message
Имя сущности: MailMessage
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Почтовое сообщение. |
| Файлы | Сущность IList<(файл)> | Сущности File вложений этого почтового сообщения. |
| Получатель | Строка | Получатель этого почтового сообщения. В случае нескольких получателей почтовое сообщение копируется, и для каждой копии задается один получатель. |
| URL-адреса | IList<String> | URL-адреса, содержащиеся в этом почтовом сообщении. |
| Угрозы | IList<String> | Угрозы, содержащиеся в этом почтовом сообщении. |
| Отправитель | Строка | Электронный адрес отправителя. |
| SenderIP | Строка | IP-адрес отправителя. |
| ReceivedDate | Дата/время | Дата получения этого сообщения. |
| NetworkMessageId | Guid? | Идентификатор сообщения сети для этого почтового сообщения. |
| InternetMessageId | Строка | Идентификатор сообщения Интернета для этого почтового сообщения. |
| Тема | Строка | Тема этого почтового сообщения. |
| AntispamDirection | Enum? | Направление этого почтового сообщения. Возможные значения: |
| DeliveryAction | Enum? | Действие доставки этого почтового сообщения. Возможные значения: |
| DeliveryLocation | Enum? | Расположение доставки этого почтового сообщения. Возможные значения: |
| CampaignId | Строка | Идентификатор кампании, в которой присутствует это почтовое сообщение. |
| ПодозрительныеRecipients | IList<String> | Список получателей, которые были обнаружены как подозрительные. |
| ForwardedRecipients | IList<String> | Список всех получателей на пересылаемой почте. |
| ПереадресацияType | IList<String> | Тип пересылки почты, например SMTP, ETR и т. д. |
Надежные идентификаторы сущности сообщения электронной почты
- NetworkMessageId + Recipient
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Отправка почты
Имя сущности: SubmissionMail
| Поле | Тип | Описание |
|---|---|---|
| Тип | Строка | Отправка почты. |
| SubmissionId | Guid? | Идентификатор отправки. |
| ОтправкаDate | DateTime? | Указанные дата и время этой отправки. |
| отправитель; | Строка | Адрес электронной почты отправителя. |
| NetworkMessageId | Guid? | Идентификатор сообщения сети для сообщения электронной почты, к которому относится отправка. |
| Timestamp | DateTime? | Метка времени получения почтового сообщения. |
| Получатель | Строка | Получатель сообщения. |
| Отправитель | Строка | Отправитель сообщения. |
| Отправитель | Строка | IP-адрес отправителя. |
| Тема | Строка | Тема отправки сообщения. |
| ReportType | Строка | Тип отправки для заданного экземпляра. Возможные значения: "Нежелательная почта", "Фишинг", "Вредоносные программы" или "NotJunk". |
Надежные идентификаторы сущности SubmissionMail
- SubmissionId, Submissioner, NetworkMessageId, Recipient
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Сущности Sentinel
| Поле | Тип | Описание |
|---|---|---|
| Сущности | Строка | Список сущностей, определенных в оповещении. Этот список является столбцом сущностей из схемы SecurityAlert (см. документацию). |
Вернитесь к списку схем типов сущностей | обратно в таблицу идентификаторов сущностей
Идентификаторы облачных приложений
В следующем списке определены идентификаторы для известных облачных приложений. Значение идентификатора приложения используется в качестве идентификатора сущности облачного приложения.
| ИД приложения | Имя. |
|---|---|
| 10026 | DocuSign |
| 10 395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive для бизнеса |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender для облачных приложений |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype для бизнеса |
| 25988 | Документация Google |
| 26055 | Центр администрирования Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace от Facebook |
| 28373 | CAS Proxy Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Следующие шаги
Из этого документа вы узнали о структуре сущностей, идентификаторах и схеме в Microsoft Sentinel.
Узнайте больше о сущностях и их сопоставлении.