Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот документ содержит два набора сведений о сущностях и типах сущностей в Microsoft Sentinel в портал Azure и Microsoft Sentinel на портале Defender.
- В таблице Типы и идентификаторы сущностей показаны различные типы сущностей , которые можно определить в оповещениях и инцидентах, что позволяет отслеживать и исследовать их. В таблице также показаны для каждого типа сущности различные идентификаторы, которые можно использовать для идентификации сущности.
- В разделе Схема сущностей показаны структура данных и схема для сущностей в целом и для каждого типа сущностей в частности.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Типы и идентификаторы сущностей
В следующей таблице показаны типы сущностей, которые могут распознаваться Microsoft Sentinel, а также атрибуты, которые можно использовать в качестве идентификаторов для каждого типа сущности.
Microsoft Sentinel распознает сущности в оповещениях и инцидентах, созданных сопоставлением сущностей в правилах аналитики. Он также распознает сущности, уже идентифицированные в оповещениях, полученных из других источников.
В настоящее время при создании сопоставления сущностей в Microsoft Sentinel можно использовать до трех идентификаторов для данной сущности. Только надежных идентификаторов достаточно для уникальной идентификации сущности, тогда как слабые идентификаторы могут делать это только в сочетании с другими идентификаторами. Дополнительные сведения о надежных и слабых идентификаторах. Большинство, но не все идентификаторы в этой таблице можно использовать при создании сопоставлений сущностей в Microsoft Sentinel (см. сноски).
| Тип сущности | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
|---|---|---|---|
| Учетная запись | Имя Fullname* NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Имя |
| Узел | DnsDomain NTDomain HostName Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Тип сущности | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
| IP | Address AddressScope |
Глобальный адрес: Адрес** Частный адрес: Address+AddressScope** |
Частный адрес: Адрес** |
| URL | Url | URL-адрес (если абсолютный URL-адрес)** | URL-адрес (если относительный URL-адрес)** |
|
Ресурс Azure (AzureResource) |
ResourceId | ResourceId | |
|
Облачное приложение (CloudApplication) |
Appid Имя Instancename |
Appid Имя AppId+InstanceName Имя+имя_экземпляра |
|
|
Разрешение DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Каталог Имя |
Каталог+имя | |
|
Хэш файла (FileHash) |
Algorithm Значение |
Алгоритм+значение | |
| Вредоносная программа | Имя Категория |
Имя и категория | |
| Тип сущности | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
| Процесс | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Узла+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (без узла) ProcessId+CreationTimeUtc+ ImageFile (без узла) |
|
Раздел реестра (RegistryKey) |
Hive Key |
Hive+key | |
|
Значение реестра (RegistryValue) |
Имя Значение Valuetype |
Ключ+имя | Имя (без ключа) |
|
Группа безопасности (Группа безопасности) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Почтовых ящиков | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Тип сущности | Идентификаторы | Надежные идентификаторы | Слабые идентификаторы |
|
Почтовый кластер (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Запрос QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Запрос и источник | |
|
Почтовое сообщение (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Язык* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Отправка почты (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Оператор |
SubmissionId+NetworkMessageId+ Получатель и отправитель |
|
| сущности Sentinel | Entities | Entities |
Табличные сноски:
- * Эти идентификаторы отображаются в списке идентификаторов, которые можно использовать в сопоставлении сущностей, но строго говоря, они не являются частью схемы сущности.
- ** Эти идентификаторы считаются надежными только при определенных условиях. Перейдите по ссылкам звездочек, чтобы просмотреть применимые условия в списке соответствующей сущности в разделе схемы сущностей ниже.
- Курсивные имена идентификаторов (без звездочки) представляют внутренние сущности, что означает, что один тип сущностей может иметь другие типы сущностей в качестве атрибутов (см. раздел схемы сущностей ниже). Перейдите по ссылке идентификатора, чтобы увидеть собственную схему внутренней сущности.
- В схеме могут присутствовать другие сущности, которые являются общей схемой, которая поддерживает многое, кроме Microsoft Sentinel. В этой статье перечислены только те сущности, которые доступны в Microsoft Sentinel.
Схемы типов сущностей
В следующем разделе содержатся более подробные сведения о полных схемах каждого типа сущностей. Вы заметите, что многие из этих схем содержат ссылки на другие типы сущностей. Например, схема учетной записи включает ссылку на тип сущности Узла, так как одним из атрибутов учетной записи пользователя является узел, на котором она определена. Эти сущности как атрибуты называются "внутренними сущностями", и их нельзя использовать в качестве идентификаторов для сопоставления сущностей, но они очень полезны для получения полной картины сущностей на страницах сущностей и в графе исследования.
Примечание.
Вопросительный знак после значения в столбце Тип указывает, что поле допускает значение NULL.
Список схем типов сущностей
- Account
- Host
- Протокол IP
- Вредоносная программа
- Файл
- Процесс
- Облачное приложение
- Разрешение DNS
- Ресурс Azure
- Хэш файла
- Раздел реестра
- Значение реестра
- Группа безопасности.
- URL-адрес
- Устройство Интернета вещей
- Mailbox
- Почтовый кластер
- Почтовое сообщение
- Отправка почты
- сущности Sentinel
Учетная запись
Имя сущности: Учетная запись
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "account" |
| Название | String | Имя учетной записи. Это поле должно содержать только префикс имени участника-пользователя (UPN) без добавления к нему домена. Примере: Для имени user@contoso.comучастника-пользователя это поле содержит только user. |
| FullName | -- | Не является частью схемы, включенной для обратной совместимости со старой версией сопоставления сущностей. |
| NTDomain | String | Доменное имя NETBIOS в формате оповещения — домен\имя пользователя. Примеры: Finance, NT AUTHORITY |
| DnsDomain | String | Полное DNS-имя домена. Пример: finance.contoso.com |
| UPNSuffix | String | Суффикс имени участника-пользователя для учетной записи. Во многих случаях суффикс имени участника-пользователя также является доменным именем. Пример: contoso.com |
| Host | Сущность (узел) | Узел, содержащий учетную запись, если это локальная учетная запись. |
| Sid | String | Идентификатор безопасности учетной записи. |
| AadTenantId | Guid? | Идентификатор клиента Microsoft Entra, если он известен. |
| AadUserId | Guid? | Идентификатор объекта учетной записи Microsoft Entra, если он известен. |
| PUID | Guid? | Идентификатор пользователя Microsoft Entra Passport, если он известен. |
| IsDomainJoined | Bool? | Указывает, является ли учетная запись учетной записью домена. |
| DisplayName | -- | Не является частью схемы, включенной для обратной совместимости со старой версией сопоставления сущностей. |
| ObjectGuid | Guid? | Атрибут objectGUID — это атрибут с одним значением, который является уникальным идентификатором объекта, назначаемого Active Directory. |
| CloudAppAccountId | String | Идентификатор учетной записи в оповещениях от поставщика CloudApp. Относится к идентификаторам учетных записей в сторонних приложениях, которые не поддерживаются в других продуктах Майкрософт. |
| IsAnonymized | Bool? | Указывает, является ли имя пользователя анонимным. Необязательный параметр. Значение по умолчанию: false. |
| Stream | Поток | Источник журналов обнаружения, связанных с конкретной учетной записью. Необязательный параметр. |
Важно!
С 1 июля 2026 г. поле Имя будет постоянно содержать только префикс имени участника-пользователя для всех учетных записей. Ранее он иногда мог содержать полное имя участника-пользователя. Если у вас есть правила автоматизации, сборники схем или запросы, которые сравнивают имя с полным значением имени участника-пользователя (например user@contoso.com, ), обновите их, чтобы восстановить полное значение из Name + UPNSuffix (или соответствующее поле домена) или использовать вместо них другие доступные данные.
Надежные идентификаторы сущности учетной записи
- Name + UPNSuffix
- AadUserId
-
Sid
** Этот идентификатор является надежным, если учетная запись не является одной из встроенных учетных записей, перечисленных в примечании ниже. -
Sid + Host
** Если учетная запись является одной из встроенных учетных записей, перечисленных в примечании ниже, компонент Host требуется, чтобы сделать этот идентификатор надежным. -
Name +NTDomain
** Это сочетание является строгим идентификатором, если учетная запись является учетной записью домена, так как NTDomain не является встроенным доменом или рабочей группой и отличается от имени узла. В этом случае это надежный идентификатор даже без компонента Host. -
Name + NTDomain + Host
** Компонент узла необходим для создания надежного идентификатора, если учетная запись является локальной учетной записью, то есть NTDomain является встроенным доменом или рабочей группой. - Name + DnsDomain
- PUID
- ObjectGuid
Слабые идентификаторы сущности учетной записи
- Имя
Примечание.
Если сущность Account определена с помощью идентификатора name , а значение Name определенной сущности является одним из следующих универсальных, обычно встроенных имен учетных записей, эта сущность будет удалена из оповещения.
- АДМИНИСТРАТОРА
- АДМИНИСТРАТОРА
- SYSTEM
- КОРНЕВОЙ
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Узел
Имя сущности: Узел
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "host" |
| IpInterfaces | List<Entity (IP)> | Список всех IP-интерфейсов на хост-компьютере. |
| DnsDomain | String | Домен DNS, к которому принадлежит этот узел. Должен содержать полный DNS-суффикс для домена, если он известен. |
| NTDomain | String | Домен NT, которому принадлежит этот узел. |
| Узла | String | Имя узла без суффикса домена. |
| NetBiosName | String | Имя узла (до Windows 2000). |
| IoTDevice | Сущность (устройство Интернета вещей) | Сущность Устройства Интернета вещей (если этот узел представляет устройство Интернета вещей). |
| AzureID | String | Идентификатор ресурса Azure виртуальной машины, если он известен. |
| OMSAgentID | String | Идентификатор агента OMS, если на узле установлен агент OMS. |
| OSFamily | Перечисления? | Одно из указанных ниже значений: |
| OSVersion | String | Свободное текстовое представление операционной системы. Это поле предназначено для хранения определенных версий, более детализированных, чем OSFamily, или будущих значений, не поддерживаемых перечислением OSFamily. |
| IsDomainJoined | Логический | Указывает, принадлежит ли этот узел домену. |
Надежные идентификаторы сущности узла
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Слабые идентификаторы сущности узла
- HostName
- NetBiosName
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
IP
Имя сущности: IP-адрес
| Поле | Тип | Описание |
|---|---|---|
| Type | String | 'ip' |
| Address | String | IP-адрес в виде строки (в IPv4 или IPv6). Примеры: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | String | Имя узла, подсети или частной сети для частных, не глобальных IP-адресов. Значение NULL или пустое значение для глобальных IP-адресов (по умолчанию). Примеры: /27255.255.255.128 |
| Location | географическое положение | Контекст географического расположения, подключенный к ip-сущности. Дополнительные сведения см. в статье Обогащение сущностей в Microsoft Sentinel с данными о географическом расположении с помощью REST API (общедоступная предварительная версия). |
| Stream | Поток | Источник журналов обнаружения, связанных с конкретным IP-адресом. Необязательный параметр. |
Надежные идентификаторы сущности IP
-
Address
Если IP-адрес является глобальным, идентификатор адреса сам по себе является уникальным надежным идентификатором. -
Address + AddressScope
Для частных или внутренних, не глобальных IP-адресов требуется компонент AddressScope, чтобы сделать этот надежный идентификатор.
Слабые идентификаторы сущности IP
-
Address
Идентификатор адреса сам по себе является слабым, если IP-адрес является частным или внутренним, не глобальным IP-адресом.
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Вредоносная программа
Имя сущности: Вредоносная программа
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "вредоносная программа" |
| Название | String | Имя вредоносной программы, присвоенное поставщиком (обнаружение?), например Win32/Toga!rfn. |
| Категория | String | Категория вредоносных программ, назначенная поставщиком (обнаружение?), например. Троян. |
| Файлы | Перечисление<сущности (файл)> | Список связанных сущностей файлов, в которых обнаружена вредоносная программа. Может содержать встроенные сущности File или в качестве ссылки. Дополнительные сведения о структуре см. в сущности File . |
| Процессы | Сущность списка<(процесс)> | Список связанных сущностей процесса, на которых обнаружена вредоносная программа. Это часто используется, когда оповещение активируется при бесфайл-ном действии. Дополнительные сведения о структуре см. в разделе Сущность Process . |
Надежные идентификаторы сущности вредоносных программ
- Имя и категория
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
File
Имя сущности: Файл
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "файл" |
| Directory | String | Полный путь к файлу. |
| Название | String | Имя файла без пути (некоторые оповещения могут не включать путь). |
| AlternateDataStreamName | String | Имя файлового потока в файловой системе NTFS (null для основного потока). |
| Host | Сущность (узел) | Узел, на котором хранился файл. |
| HostUrl | Сущность (URL-адрес) | URL-адрес, из которого был скачан файл (Метка в Интернете). |
| WindowsSecurityZoneType | WindowsSecurityZone | Безопасность Windows зона, к которой принадлежит URL-адрес (Метка в Интернете). |
| ReferrerUrl | Сущность (URL-адрес) | URL-адрес ссылки http-запроса на скачивание файла (Метка в Интернете). |
| SizeInBytes | Длинные? | Размер файла в байтах. |
| FileHashes | Сущность списка<(FileHash)> | Хэши файлов, связанные с этим файлом. |
Надежные идентификаторы сущности файла
- Имя и каталог
- Name + FileHash
- Name + Directory + FileHash
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Процесс
Имя сущности: Process
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "process" |
| ProcessId | String | Идентификатор процесса. |
| CommandLine | String | Командная строка, используемая для создания процесса. |
| ElevationToken | Перечисления? | Маркер повышения прав, связанный с процессом. Возможные значения: |
| CreationTimeUtc | Datetime? | Время запуска процесса. |
| ImageFile | Сущность (файл) | Может содержать встроенную сущность File или в качестве ссылки. Дополнительные сведения о структуре см. в сущности File . |
| Account | Сущность (учетная запись) | Учетная запись, выполняющая процессы. Может содержать сущность Account встроенной или в качестве ссылки. Дополнительные сведения о структуре см. в сущности account . |
| ParentProcess | Сущность (процесс) | Родительский объект процесса. Может содержать частичные данные, например только PID. |
| Host | Сущность (узел) | Узел, на котором выполнялся процесс. |
| ВходSession | Сущность (HostLogonSession) | Сеанс, в котором выполнялся процесс. |
Надежные идентификаторы сущности процесса
- Host + ProcessId + CreationTimeUtc
- Узла + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Слабые идентификаторы сущности процесса
- ProcessId + CreationTimeUtc + CommandLine (без узла)
- ProcessId + CreationTimeUtc + ImageFile (без узла)
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Облачное приложение
Имя сущности: CloudApplication
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "cloud-application" |
| Appid | Целое | Устаревшие; вместо этого используйте поле SaasId. Технический идентификатор приложения. Возможные значения определяются в списке идентификаторов облачных приложений. Значение необязательно. Не должен содержать InstanceId. |
| SaasId | Целое | Заменяет устаревшее поле AppId. Технический идентификатор приложения. Возможные значения определяются в списке идентификаторов облачных приложений. Значение необязательно. Не должен содержать InstanceId. |
| Название | String | Имя связанного облачного приложения. Значение необязательно. |
| Instancename | String | Определяемое пользователем имя экземпляра облачного приложения. Он часто используется для различения нескольких приложений одного типа, что и у клиента. |
| InstanceId | Целое | Идентификатор определенного сеанса приложения. Это отсчитываемый от нуля номер выполнения. Значение необязательно. |
| Риск | AppRisk? | Позволяет фильтровать приложения по оценке риска, чтобы можно было сосредоточиться, например, на просмотре только приложений с высоким риском. Возможные значения, такие как Низкий, Средний, Высокий или Неизвестный. |
| Stream | Поток | Источник журналов обнаружения, связанных с конкретным облачным приложением. Необязательный параметр. |
Надежные идентификаторы сущности облачного приложения
- AppId (без instanceName)
- Name (без instanceName)
- AppId + InstanceName
- Имя+ имя_экземпляра
Список идентификаторов облачных приложений
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Разрешение DNS
Имя сущности: DNS
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "dns" |
| DomainName | String | Имя записи DNS, связанной с оповещением. |
| Ipaddress | Перечисление<сущности (IP-адрес)> | Сущности, соответствующие разрешенным IP-адресам. |
| DnsServerIp | Сущность (IP- адрес) | Сущность, представляющая DNS-сервер, разрешающий запрос. |
| HostIpAddress | Сущность (IP- адрес) | Сущность, представляющая клиент DNS-запроса. |
Надежные идентификаторы сущности DNS
- DomainName + DnsServerIp + HostIpAddress
Слабые идентификаторы сущности DNS
- DomainName + HostIpAddress
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Ресурс Azure
Имя сущности: AzureResource
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "azure-resource" |
| ResourceId | String | Идентификатор ресурса Azure. Обязательным. |
| SubscriptionId | String | Идентификатор подписки ресурса. |
| ActiveContacts | Перечисление<ActiveContact> | Активные контакты, связанные с ресурсом. |
| ResourceType | String | Тип ресурса. |
| ResourceName | String | Имя ресурса. |
Надежные идентификаторы сущности ресурса Azure
- ResourceId
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Хэш файла
Имя сущности: FileHash
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "filehash" |
| Algorithm | Перечисление | Тип хэш-алгоритма. Обязательным. Возможные значения: |
| Значение | String | Хэш-значение. Обязательным. |
Надежные идентификаторы сущности хэша файла
- Алгоритм + значение
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Раздел реестра
Имя сущности: RegistryKey
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "раздел реестра" |
| Hive | Перечисления? | Одно из указанных ниже значений: |
| Ключ | String | Путь к разделу реестра. |
Надежные идентификаторы сущности раздела реестра
- Hive + ключ
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Значение реестра
Имя сущности: RegistryValue
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "registry-value" |
| Host | Сущность (узел) | Узел, к которому принадлежит реестр. |
| Ключ | Entity (RegistryKey) | Сущность раздела реестра. |
| Название | String | Имя значения реестра. |
| Значение | String | Строковое представление данных значения. |
| Valuetype | Перечисления? | Одно из указанных ниже значений: Значения должны соответствовать перечислению Microsoft.Win32.RegistryValueKind. |
Надежные идентификаторы сущности значения реестра
- Ключ + имя
Слабые идентификаторы сущности значения реестра
- Имя (без ключа)
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Группа безопасности
Имя сущности: SecurityGroup
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "группа безопасности" |
| DistinguishedName | String | Различающееся имя группы. |
| SID | String | Атрибут с одним значением, указывающий идентификатор безопасности (SID) группы. |
| ObjectGuid | Guid? | Атрибут с одним значением, который является уникальным идентификатором объекта, присвоенного Active Directory. |
Надежные идентификаторы сущности группы безопасности
- DistinguishedName
- SID
- ObjectGuid
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
URL-адрес
Имя сущности: URL-адрес
| Поле | Тип | Описание |
|---|---|---|
| Тип | String | 'url' |
| Url | Uri | Полный URL-адрес, на который указывает сущность. Обязательным. |
Надежные идентификаторы сущности URL-адреса
- URL-адрес (** Этот идентификатор является надежным, если URL-адрес является абсолютным URL-адресом).)
Слабые идентификаторы сущности URL-адреса
- URL-адрес (** Этот идентификатор является слабым, если URL-адрес является относительным).)
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Устройство Интернета вещей
Имя сущности: IoTDevice
| Поле | Тип | Описание |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Сущность (AzureResource) | Сущность AzureResource, представляющая Центр Интернета вещей принадлежит устройство. |
| DeviceId | String | Идентификатор устройства в контексте Центр Интернета вещей. Обязательным. |
| DeviceName | String | Понятное имя устройства. |
| Владельцы | Строка списка<> | Владельцы устройства. |
| IoTSecurityAgentId | Guid? | Идентификатор агента Defender для Интернета вещей , запущенного на устройстве. |
| DeviceType | String | Тип устройства ("датчик температуры", "морозильник", "ветровая турбина" и т. д.). |
| DeviceTypeId | String | Уникальный идентификатор для идентификации каждого типа устройства в соответствии со схемой типа устройства, так как сам тип устройства является отображаемым именем и не является надежным при сравнении. Возможные значения: Неклассифицировано = 0 Прочее = 1 Сетевое устройство = 2 Принтер = 3 Аудио и видео = 4 Средства массовой информации и наблюдение = 5 Связь = 7 Интеллектуальное устройство = 9 Рабочая станция = 10 Сервер = 11 Mobile = 12 Smart Facility = 13 Промышленный = 14 Операционное оборудование = 15 |
| Source | String | Источник (Майкрософт или поставщик) сущности устройства. |
| SourceRef | Сущность (URL-адрес) | URL-адрес ссылки на исходный элемент, которым управляет устройство. |
| Производитель | String | Производитель устройства. |
| Model | String | Модель устройства. |
| OperatingSystem | String | Операционная система, на котором работает устройство. |
| Ipaddress | Сущность (IP- адрес) | Текущий IP-адрес устройства. |
| MacAddress | String | MAC-адрес устройства. |
| Nic | Сущность (сетевая карта) | Текущие сетевые карты на устройстве. |
| Протоколы | Строка списка<> | Список протоколов, поддерживаемых устройством. |
| SerialNumber | String | Серийный номер устройства. |
| Site | String | Расположение сайта устройства. |
| Zone | String | Расположение зоны устройства в пределах сайта. |
| Датчик | String | Датчик, отслеживая устройство. |
| Importance | Перечисления? | Одно из указанных ниже значений: |
| PurdueLayer | String | Слой Purdue устройства. |
| IsProgramming | Bool? | Указывает, классифицируется ли устройство как устройство программирования. |
| Isauthorized | Bool? | Указывает, классифицируется ли устройство как авторизованное устройство. |
| IsScanner | Bool? | Указывает, классифицируется ли устройство как устройство сканера. |
| DevicePageLink | Сущность (URL-адрес) | URL-адрес страницы устройства на портале Defender для Интернета вещей. |
| DeviceSubType | String | Имя подтипа устройства. |
Надежные идентификаторы сущности устройства Интернета вещей
- IoTHub + DeviceId
Слабые идентификаторы сущности устройства Интернета вещей
- DeviceId (без IoTHub)
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Mailbox
Имя сущности: Почтовый ящик
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "mailbox" |
| MailboxPrimaryAddress | String | Основной адрес почтового ящика. |
| DisplayName | String | Отображаемое имя почтового ящика. |
| Upn | String | Имя участника-пользователя почтового ящика. |
| AadId | String | Идентификатор Azure AD почтового ящика пользователя. |
| RiskLevel | RiskLevel (целое число) | Уровень риска этого почтового ящика. Возможные значения: |
| ExternalDirectoryObjectId | Guid? | Идентификатор azureAD почтового ящика. Аналогично AadUserId в сущности Account, но это свойство предназначено для объекта почтового ящика на стороне Office. |
Надежные идентификаторы сущности почтового ящика
- MailboxPrimaryAddress
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Почтовый кластер
Имя сущности: MailCluster
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "mail-cluster" |
| NetworkMessageIds | Строка IList<> | Идентификаторы почтовых сообщений, которые являются частью почтового кластера. |
| CountByDeliveryStatus | IDictionary<String, Int> | Количество почтовых сообщений по строковом представлению DeliveryStatus. |
| CountByThreatType | IDictionary<String, Int> | Количество почтовых сообщений по представлению строки ThreatType. |
| CountByProtectionStatus | IDictionary<String, long> | Количество почтовых сообщений по представлению строки состояния защиты. |
| CountByDeliveryLocation | IDictionary<String, long> | Количество почтовых сообщений по представлению строки расположения доставки. |
| Threats | Строка IList<> | Угрозы почтовых сообщений, входящих в почтовый кластер. |
| Query | String | Запрос, используемый для идентификации сообщений почтового кластера. |
| QueryTime | Datetime? | Время запроса. |
| MailCount | Int? | Количество почтовых сообщений, входящих в почтовый кластер. |
| IsVolumeAnomaly | Bool? | Указывает, является ли почтовый кластер кластером с аномалиями томов. |
| Source | String | Источник почтового кластера (по умолчанию — O365 ATP). |
Надежные идентификаторы сущности кластера почты
- Запрос и источник
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Почтовое сообщение
Имя сущности: MailMessage
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "mail-message" |
| Файлы | Сущность IList<(файл)> | Сущности Файлов во вложениях этого почтового сообщения. |
| Получатель | String | Получатель этого почтового сообщения. В случае нескольких получателей почтовое сообщение копируется, и каждая копия имеет одного получателя. |
| Urls | Строка IList<> | URL-адреса, содержащиеся в этом почтовом сообщении. |
| Threats | Строка IList<> | Угрозы, содержащиеся в этом почтовом сообщении. |
| Sender | String | Электронный адрес отправителя. |
| SenderIP | String | IP-адрес отправителя. |
| ReceivedDate | DateTime | Дата получения этого сообщения. |
| NetworkMessageId | Guid? | Идентификатор сетевого сообщения. |
| InternetMessageId | String | Идентификатор сообщения в Интернете для этого почтового сообщения. |
| Тема | String | Тема этого почтового сообщения. |
| AntispamDirection | Перечисления? | Направление этого почтового сообщения. Возможные значения: |
| DeliveryAction | Перечисления? | Действие доставки этого почтового сообщения. Возможные значения: |
| DeliveryLocation | Перечисления? | Расположение доставки этого почтового сообщения. Возможные значения: |
| CampaignId | String | Идентификатор кампании, в которой присутствует это почтовое сообщение. |
| Подозрительныеrecipients | Строка IList<> | Список получателей, которые были обнаружены как подозрительные. |
| ForwardedRecipients | Строка IList<> | Список всех получателей пересылаемой почты. |
| ForwardingType | Строка IList<> | Тип пересылки почты, например SMTP, ETR и т. д. |
Надежные идентификаторы сущности почтового сообщения
- NetworkMessageId + Recipient
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Отправка почты
Имя сущности: SubmissionMail
| Поле | Тип | Описание |
|---|---|---|
| Type | String | "SubmissionMail" |
| SubmissionId | Guid? | Идентификатор отправки. |
| SubmissionDate | Datetime? | Дата отправки. |
| Оператор | String | Адрес электронной почты отправителя. |
| NetworkMessageId | Guid? | Идентификатор сетевого сообщения электронной почты, к которому относится отправка. |
| Timestamp | Datetime? | Метка времени получения сообщения (Почта). |
| Получатель | String | Получатель сообщения. |
| Sender | String | Отправитель сообщения. |
| SenderIp | String | IP-адрес отправителя. |
| Тема | String | Тема отправки почты. |
| ReportType | String | Тип отправки для данного экземпляра. Возможные значения: Нежелательная, Фишинговая, Вредоносная программа или NotJunk. |
Надежные идентификаторы сущности SubmissionMail
- SubmissionId, Submissioner, NetworkMessageId, Recipient
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
сущности Sentinel
| Поле | Тип | Описание |
|---|---|---|
| Entities | String | Список сущностей, определенных в оповещении. Этот список представляет собой столбец сущностей из схемы SecurityAlert (см. документацию). |
Вернуться к списку схем типов сущностей | Вернуться к таблице идентификаторов сущностей
Идентификаторы облачных приложений
Следующий список определяет идентификаторы для известных облачных приложений. Значение идентификатора приложения используется в качестве идентификатора сущности облачного приложения .
| ИД приложения; | Имя |
|---|---|
| 10026 | Docusign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Веб-службы Amazon |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Согласен |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive для бизнеса |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Облачная платформа Google |
| 22930 | Gmail |
| 23004 | Жизненный цикл Autodesk Fusion |
| 23043 | Slack |
| 23233 | Веб-сайт Microsoft Office Online |
| 25275 | Microsoft Skype для бизнеса |
| 25988 | Документация Google |
| 26055 | Центр администрирования Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Диск |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | Эмулятор прокси-сервера CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | Высокий уровень |
| 35395 | Microsoft Dynamics Talent |
Дальнейшие действия
В этом документе вы узнали о структуре сущностей, идентификаторах и схеме в Microsoft Sentinel.
Дополнительные сведения о сущностях и сопоставлении сущностей.