Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument enthält zwei Informationssätze zu Entitäten und Entitätstypen in Microsoft Sentinel im Azure-Portal und Microsoft Sentinel im Defender-Portal.
- Die Tabelle "Entitätstypen und Bezeichner" zeigt die verschiedenen Typen von Entitäten an, die in Warnungen und Vorfällen identifiziert werden können, sodass Sie sie nachverfolgen und untersuchen können. Die Tabelle zeigt auch für jeden Entitätstyp die verschiedenen Bezeichner, mit denen eine Entität identifiziert werden kann.
- Der Abschnitt Entitätenschema zeigt die Datenstruktur und das Schema für Entitäten im Allgemeinen und für jeden Entitätstyp im Besonderen.
Important
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Entitätstypen und Bezeichner
Die folgende Tabelle zeigt die Entitätstypen , die von Microsoft Sentinel erkannt werden können, sowie die Attribute , die als Identifikatoren für jeden Entitätstyp verwendet werden können.
Microsoft Sentinel erkennt Entitäten in Warnungen und Vorfällen, die durch Entitätszuordnung in Analyseregeln erzeugt werden. Es erkennt auch Entitäten, die bereits in Warnungen identifiziert wurden, die aus anderen Quellen aufgenommen wurden.
Sie können derzeit bis zu drei Bezeichner für eine bestimmte Entität verwenden, wenn Sie eine Entitätszuordnung in Microsoft Sentinel erstellen. Starke Identifikatoren allein reichen aus, um eine Entität eindeutig zu identifizieren, während schwache Identifikatoren dies nur in Kombination mit anderen Identifikatoren tun können. Erfahren Sie mehr über starke und schwache Bezeichner. Die meisten, aber nicht alle Bezeichner in dieser Tabelle können beim Erstellen von Entitätszuordnungen in Microsoft Sentinel verwendet werden (siehe Fußnoten).
| Entitätstyp | Identifiers | Starke Kennzeichen | Schwache Kennzeichen |
|---|---|---|---|
| Account | Name FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name und NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Art der Entität | Identifiers | Starke Kennzeichen | Schwache Kennzeichen |
| IP | Address AddressScope |
Globale Adresse: Adresse** Private Adresse: Adresse+AdressScope** |
Private Adresse: Adresse** |
| URL | Url | URL (wenn absolute URL)** | URL (wenn relative URL)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
Cloud-Anwendung (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
DNS-Auflösung (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
Datei-Hash (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| Art der Entität | Identifiers | Starke Kennzeichen | Schwache Kennzeichen |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Moderator+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (ohne Host) ProcessId+CreationTimeUtc+ ImageFile (kein Host) |
|
Registrierungsschlüssel (RegistryKey) |
Hive Key |
Hive+Key | |
|
Registrierungswert (RegistryValue) |
Name Value ValueType |
Key+Name | Name (ohne Key) |
|
Sicherheitsgruppe (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Art der Entität | Identifiers | Starke Kennzeichen | Schwache Kennzeichen |
|
Mail-Cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Mailnachricht (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Sprache* Bedrohungserkennungsmethoden * |
NetworkMessageId+Recipient | |
|
Einreichungspost (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Sentinel-Entitäten | Entities | Entities |
Fußnoten zur Tabelle:
- * Diese Bezeichner werden in der Liste der Bezeichner angezeigt, die in der Entitätszuordnung verwendet werden können, aber streng genommen sind sie nicht Teil des Entitätsschemas.
- ** Diese Bezeichner gelten nur unter bestimmten Bedingungen als starke Bezeichner. Folgen Sie den Links des Sternchens, um die bedingungen anzuzeigen, die gelten, unter dem Eintrag der relevanten Entität im Abschnitt "Entitätsschemas" weiter unten.
- Kursiv formatierte Bezeichnernamen (ohne Sternchen) stellen interne Entitäten dar, was bedeutet, dass ein Entitätstyp andere Entitätstypen als Attribute aufweisen kann (siehe abschnitt "Entitätsschemas"). Folgen Sie dem Link des Bezeichners, um das eigene Schema der internen Entität anzuzeigen.
- Andere Entitäten können im Schema vorhanden sein, bei dem es sich um ein allgemeines Schema handelt, das neben Microsoft Sentinel viele Dinge unterstützt. In diesem Artikel sind nur die entitäten aufgeführt, die in Microsoft Sentinel verfügbar sind.
Entitätstypschemas
Im folgenden Abschnitt finden Sie eine ausführlichere Beschreibung der vollständigen Schemas für jeden Entitätstyp. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten. Das Kontoschema enthält beispielsweise einen Link zum Hostentitätstyp, da ein Attribut eines Benutzerkontos der Host ist, auf dem es definiert ist. Diese als Attribute verwendeten Entitäten werden als „interne Entitäten“ bezeichnet und können nicht als Bezeichner für die Entitätszuordnung verwendet werden. Sie sind jedoch sehr nützlich, um ein umfassendes Bild der Entitäten auf Entitätsseiten und im Untersuchungsdiagramm zu erhalten.
Note
Ein Fragezeichen nach dem Wert in der Typ-Spalte zeigt an, dass das Feld nullierbar ist.
Liste der Entitätstypschemas
- Account
- Host
- IP
- Malware
- File
- Process
- Cloud-Anwendung
- DNS-Auflösung
- Azure-Ressource
- Datei-Hash
- Registrierungsschlüssel
- Registrierungswert
- Sicherheitsgruppe
- URL
- IoT-Gerät
- Mailbox
- Mail-Cluster
- Mailnachricht
- Einreichungspost
- Sentinel-Entitäten
Account
Entitätsname: Konto
| Field | Type | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird. |
| FullName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung. |
| NTDomain | String | Der NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird (domäne\benutzername). Beispiele: Finanzen, NT AUTHORITY |
| DnsDomain | String | Der vollqualifizierte DNS-Domänenname. Beispiele: finance.contoso.com |
| UPNSuffix | String | Das Suffix des Benutzerprinzipalnamens für das Konto. In vielen Fällen ist das UPN-Suffix auch der Domänenname. Beispiele: contoso.com |
| Host | Entität (Wirt) | Der Host, der das Konto enthält, wenn es sich um ein lokales Konto handelt |
| Sid | String | Die Sicherheits-ID des Kontos |
| AadTenantId | Guid? | Die Microsoft Entra-Mandanten-ID, falls bekannt. |
| AadUserId | Guid? | Die Objekt-ID des Microsoft Entra-Kontos, falls bekannt. |
| PUID | Guid? | Die Benutzer-ID des Microsoft Entra-Passports, falls bekannt. |
| IsDomainJoined | Bool? | Gibt an, ob es sich bei dem Konto um ein Domänenkonto handelt |
| DisplayName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung. |
| ObjectGuid | Guid? | Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird. |
| CloudAppAccountId | String | Die AccountID in Warnungen vom CloudApp-Anbieter. Bezieht sich auf Konto-IDs in Drittanbieter-Apps, die in anderen Microsoft-Produkten nicht unterstützt werden. |
| IsAnonymized | Bool? | Gibt an, ob der Benutzername anonymisiert ist. Optional. Standardwert. false. |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit dem jeweiligen Konto Optional. |
Starke Bezeichner einer Kontoentität
- Name + UPNSuffix
- AadUserId
-
Sid
** Diese Kennung ist stark, solange das Konto nicht zu den eingebauten Konten gehört, die in der untenstehenden Notiz aufgeführt sind. -
Sid + Host
** Wenn das Konto eines der in der untenstehenden Notiz aufgeführten eingebauten Konten ist, ist die Host-Komponente erforderlich, um diese Kennung stark zu machen. -
Name + NTDomain
** Diese Kombination ist ein starker Bezeichner, wenn das Konto ein Domänenkonto ist, da NTDomain keine integrierte Domäne bzw. Arbeitsgruppe ist und sich vom Hostnamen unterscheidet. In diesem Fall handelt es sich auch ohne die Hostkomponente um einen starken Bezeichner. -
Name + NTDomain + Host
** Die Hostkomponente ist erforderlich, um einen starken Bezeichner zu erstellen, wenn das Konto ein lokales Konto ist. Das bedeutet, dass die NTDomain eine integrierte Domäne bzw. Arbeitsgruppe ist. - Name + DnsDomain
- PUID
- ObjectGuid
Schwache Bezeichner einer Kontoentität
- Name
Note
Wenn die Konto-Entität mit der Namenskennung definiert ist und der Name-Wert einer bestimmten Entität einer der folgenden generischen, häufig eingebauten Kontonamen ist, wird diese Entität aus ihrer Warnung gestrichen.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- AUTHENTIFIZIERTER NUTZER
- NETWORK
- NULL
- LOKALES SYSTEM
- LOCALSYSTEM
- NETZWERKDIENST
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Host
Entitätsname: Host
| Field | Type | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | Listen-Entity<(IP)> | Liste aller IP-Schnittstellen auf dem Hostcomputer |
| DnsDomain | String | Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt. |
| NTDomain | String | Die DNS-Domäne, zu der dieser Host gehört. |
| HostName | String | Der Hostname ohne das Domänensuffix. |
| NetBiosName | String | Der Hostname (vor Windows 2000). |
| IoTDevice | Entität (IoT-Gerät) | Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt). |
| AzureID | String | Die Azure-Ressourcen-ID der VM, falls bekannt. |
| OMSAgentID | String | Die OMS-Agent-ID, wenn der OMS-Agent auf dem Host installiert ist. |
| OSFamily | Enum? | Einer der folgenden Werte: |
| OSVersion | String | Eine Freitextdarstellung des Betriebssystems. Dieses Feld soll bestimmte Versionen enthalten, die präziser als OSFamily sind, oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden. |
| IsDomainJoined | Bool | Gibt an, ob dieser Host zu einer Domäne gehört |
Starke Bezeichner einer Hostentität
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Schwache Bezeichner einer Hostentität
- HostName
- NetBiosName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IP
Entitätsname: IP
| Field | Type | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | Die IP-Adresse als Zeichenfolge (entweder in IPv4 oder IPv6). Beispiele: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | String | Der Name des Hosts, Subnetzes oder privaten Netzwerks für private, nicht globale IP-Adressen. NULL oder leer für globale IP-Adressen (Standard). Beispiele: /27255.255.255.128 |
| Location | GeoLocation | Der an die IP-Entität angefügte Geostandortkontext. Weitere Informationen finden Sie unter " Anreichern von Entitäten in Microsoft Sentinel mit Geolocation-Daten über DIE REST-API (öffentliche Vorschau)". |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen IP-Adresse Optional. |
Starke Bezeichner einer IP-Entität
-
Address
Wenn es sich bei der IP-Adresse um eine globale Adresse handelt, ist der Adressbezeichner selbst ein eindeutiger, starker Bezeichner. -
Adresse + AddressScope
Für private/interne, nicht globale IP-Adressen ist die AddressScope-Komponente erforderlich, um dies zu einem starken Bezeichner zu machen.
Schwache IDs einer IP-Entität
-
Address
Der Adressbezeichner selbst ist ein schwacher Bezeichner, wenn die IP-Adresse eine private/interne, nicht globale IP-Adresse ist.
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Malware
Entitätsname: Schadsoftware
| Field | Type | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | Der vom Anbieter (detection?) zugewiesene Schadsoftwarename, z. B. Win32/Toga!rfn. |
| Category | String | Die vom Anbieter (detection?) zugewiesene Schadsoftwarekategorie, z. B. Trojan. |
| Files | Listen-Entität<(Datei)> | Liste der verknüpften Dateientitäten, für die die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten. Siehe die Dateientität für weitere Details zur Struktur. |
| Processes | Listen-Entity<(Prozess)> | Liste der verknüpften Prozessentitäten, für die die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird. Weitere Details zur Struktur finden Sie unter der Process-Entität. |
Starke Bezeichner einer Schadsoftwareentität
- Name + Kategorie
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
File
Entitätsname: Datei
| Field | Type | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | Der vollständige Pfad zur Datei. |
| Name | String | Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad). |
| AlternateDataStreamName | String | Der Dateidatenstromname im NTFS-Dateisystem (NULL für den Hauptdatenstrom). |
| Host | Entität (Wirt) | Der Host, auf dem die Datei gespeichert wurde. |
| HostUrl | Entität (URL) | URL, von der die Datei heruntergeladen wurde (Marke des Webs). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows-Sicherheitszone, zu der die URL gehört (Marke des Webs). |
| ReferrerUrl | Entität (URL) | Referrer-URL der HTTP-Anforderung zum Herunterladen der Datei (Marke des Webs). |
| SizeInBytes | Long? | Die Größe der Datei in Bytes. |
| FileHashes | Listenentität<(FileHash)> | Die Dateihashes, die dieser Datei zugeordnet sind. |
Starke Bezeichner einer Dateientität
- Name + Verzeichnis
- Name + DateiHash
- Name + Verzeichnis + FileHash
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Process
Entitätsname: Prozess
| Field | Type | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | Die Prozess-ID. |
| CommandLine | String | Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird. |
| ElevationToken | Enum? | Das dem Prozess zugeordnete Erhöhungstoken. Mögliche Werte: |
| CreationTimeUtc | DateTime? | Die Zeit, zu der die Ausführung des Prozesses gestartet wurde. |
| ImageFile | Entity (Datei) | Kann die Dateientität inline oder als Verweis enthalten. Siehe die Dateientität für weitere Details zur Struktur. |
| Account | Einheit (Konto) | Das Konto, mit dem die Prozesse ausgeführt werden. Kann die Account-Entität inline oder als Verweis enthalten. Weitere Details zur Struktur finden Sie unter der Account Entity. |
| ParentProcess | Entität (Prozess) | Die übergeordnete Prozessentität. Kann Teildaten enthalten, z. B. nur die PID |
| Host | Entität (Wirt) | Der Host, auf dem der Prozess ausgeführt wurde. |
| LogonSession | Entität (HostLogonSession) | Die Sitzung, in der der Prozess ausgeführt wurde. |
Starke Bezeichner einer Prozessentität
- Host + ProcessId + CreationTimeUtc
- Gastgeber + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Schwache Bezeichner einer Prozessentität
- ProcessID und CreationTimeUtc und CommandLine (und kein Host)
- ProcessId + CreationTimeUtc + ImageFile (und kein Host)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloudanwendung
Entitätsname: CloudApplication
| Field | Type | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | Veraltet, verwenden Sie stattdessen das Feld „SaasId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Wert optional. Er sollte nicht InstanceId enthalten. |
| SaasId | Int | Ersetzt das veraltete Feld „AppId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Wert optional. Er sollte nicht InstanceId enthalten. |
| Name | String | Der Name der verwandten Cloudanwendung. Wert optional. |
| InstanceName | String | Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet. |
| InstanceId | Int | Der Bezeichner der spezifischen Sitzung der Anwendung. Es handelt sich um eine nullbasierte laufende Zahl. Wert optional. |
| Risk | AppRisk? | Damit können Sie Apps nach Risikobewertung filtern, sodass Sie sich z.B. auf die Überprüfung von Apps mit hohem Risiko konzentrieren können. Werte wie „Low“, „Medium“, „High“ oder „Unknown“ sind möglich. |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen Cloud-App Optional. |
Starke Bezeichner einer Cloudanwendungsentität
- AppId (ohne InstanceName)
- Name (ohne InstanceName)
- AppId + InstanceName
- Name + InstanzName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
DNS-Auflösung
Entitätsname: DNS
| Field | Type | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | Der Name des DNS-Eintrags, der der Warnung zugeordnet ist. |
| IpAddress | Listen-Entity<(IP)> | Entitäten, die den aufgelösten IP-Adressen entsprechen. |
| DnsServerIp | Entity (IP) | Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst. |
| HostIpAddress | Entity (IP) | Eine Entität, die den DNS-Anforderungsclient darstellt. |
Starke Bezeichner einer DNS-Entität
- DomainName + DnsServerIp + HostIpAddress
Schwache Bezeichner einer DNS-Entität
- DomainName + HostIpAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Azure-Ressource
Entitätsname: AzureResource
| Field | Type | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | Die Azure-Ressourcen-ID der Ressource. Mandatory. |
| SubscriptionId | String | Die Abonnement-ID der Ressource. |
| ActiveContacts | Liste<ActiveContact> | Aktive Kontakte, die der Ressource zugeordnet sind |
| ResourceType | String | Der Typ der Ressource. |
| ResourceName | String | Der Name der Ressource. |
Starke Bezeichner einer Azure-Ressourcenentität
- ResourceId
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Datei-Hash
Entitätsname: FileHash
| Field | Type | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | Der Hashalgorithmustyp. Mandatory. Mögliche Werte: |
| Value | String | Der Hashwert. Mandatory. |
Starke Bezeichner einer Dateihashentität
- Algorithmus + Wert
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registrierungsschlüssel
Entitätsname: RegistryKey
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | Einer der folgenden Werte: |
| Key | String | Der Registrierungsschlüsselpfad. |
Starke Bezeichner einer Registrierungsschlüsselentität
- Struktur + Schlüssel
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registrierungswert
Entitätsname: RegistryValue
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Entität (Wirt) | Der Host, zu dem die Registrierung gehört |
| Key | Einheit (RegistryKey) | Die Registrierungsschlüsselentität. |
| Name | String | Der Name des Registrierungswerts. |
| Value | String | Als Zeichenfolge formatierte Darstellung der Wertdaten. |
| ValueType | Enum? | Einer der folgenden Werte: Werte sollten der Microsoft. Win32.RegistryValueKind-Enumeration entsprechen. |
Starke Bezeichner einer Registrierungswertentität
- Schlüssel + Name
Schwache Bezeichner einer Registrierungswertentität
- Name (ohne Schlüssel)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Sicherheitsgruppe
Entitätsname: SecurityGroup
| Field | Type | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | Der Distinguished Name (DN) der Gruppe. |
| SID | String | Ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt |
| ObjectGuid | Guid? | Ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird |
Starke Bezeichner einer Sicherheitsgruppenentität
- DistinguishedName
- SID
- ObjectGuid
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
URL
Entitätsname: URL
| Field | Type | Description |
|---|---|---|
| Type | String | 'url' |
| Url | Uri | Eine vollständige URL, auf die die Entität verweist. Mandatory. |
Starke Bezeichner einer URL-Entität
- URL (** Diese Kennung ist stark, wenn die URL eine absolute URL ist.)
Schwache Bezeichner einer URL-Entität
- Url (** Dieser Bezeichner ist schwach, wenn die URL eine relative URL ist.)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IoT-Gerät
Entitätsname: IoTDevice
| Field | Type | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entität (AzureResource) | Die AzureResource-Entität, die den IoT Hub darstellt, zu dem das Gerät gehört. |
| DeviceId | String | Die ID des Geräts im Kontext des IoT Hub. Mandatory. |
| DeviceName | String | Der Anzeigename des Geräts. |
| Owners | Listenzeichenfolge<> | Die Besitzer des Geräts |
| IoTSecurityAgentId | Guid? | Die ID des Defender für IoT-Agents , der auf dem Gerät ausgeführt wird. |
| DeviceType | String | Der Typ des Geräts („Temperatursensor“, „Kühlung“, „Windrad“ usw.). |
| DeviceTypeId | String | Eine eindeutige ID, um jeden Gerätetyp gemäß dem Gerätetypschema zu identifizieren, da der Gerätetyp selbst ein Anzeigename ist und in Vergleichen nicht zuverlässig ist Mögliche Werte: Nicht klassifiziert = 0 Sonstiges = 1 Netzwerkgerät = 2 Drucker = 3 Audio und Video = 4 Medien und Überwachung = 5 Kommunikation = 7 Smart Appliance = 9 Arbeitsstation = 10 Server = 11 Mobil = 12 Smart Facility = 13 Industrie = 14 Betriebsausrüstung = 15 |
| Source | String | Die Quelle (Microsoft/Hersteller) der Geräteentität. |
| SourceRef | Entity (URL) | Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird. |
| Manufacturer | String | Der Hersteller des Geräts. |
| Model | String | Das Gerätemodell. |
| OperatingSystem | String | Das Betriebssystem, das das Gerät ausführt. |
| IpAddress | Entity (IP) | Die aktuelle IP-Adresse des Geräts. |
| MacAddress | String | Die MAC-Adresse des Geräts. |
| Nics | Entität (Nic) | Die aktuellen NICs auf dem Gerät |
| Protocols | Listenzeichenfolge<> | Eine Liste der Protokolle, die vom Gerät unterstützt werden. |
| SerialNumber | String | Die Seriennummer des Geräts. |
| Site | String | Der Standort des Geräts |
| Zone | String | Die Zone des Geräts innerhalb eines Standorts |
| Sensor | String | Der Sensor, der das Gerät überwacht |
| Importance | Enum? | Einer der folgenden Werte: |
| PurdueLayer | String | Die Purdue-Schicht des Geräts |
| IsProgramming | Bool? | Gibt an, ob das Gerät als Programmiergerät klassifiziert wurde |
| IsAuthorized | Bool? | Gibt an, ob das Gerät als autorisiertes Gerät klassifiziert wurde |
| IsScanner | Bool? | Gibt an, ob das Gerät als Scannergerät klassifiziert wurde |
| DevicePageLink | Entity (URL) | Eine URL zur Geräteseite im Defender for IoT-Portal |
| DeviceSubType | String | Der Name des Geräteuntertyps |
Starke Bezeichner einer IoT-Geräteentität
- IoTHub + DeviceId
Schwache Bezeichner einer IoT-Geräteentität
- DeviceId -ID (ohne IoTHub)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Mailbox
Entitätsname: Postfach
| Field | Type | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | Die primäre Adresse des Postfachs. |
| DisplayName | String | Der Anzeigename des Postfachs. |
| Upn | String | Der UPN des Postfachs. |
| AadId | String | Der Azure AD-Bezeichner des Postfachs des Benutzers |
| RiskLevel | RiskLevel (Integer) | Die Risikostufe dieses Postfachs. Mögliche Werte: |
| ExternalDirectoryObjectId | Guid? | Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität. Diese Eigenschaft ist jedoch für das Postfachobjekt auf der Office-Seite spezifisch. |
Starke Bezeichner einer Postfachentität
- MailboxPrimaryAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
E-Mail-Cluster
Entitätsname: MailCluster
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | IList-Zeichenfolge<> | Die E-Mail-Nachrichten-IDs, die Teil des Nachrichtenclusters sind. |
| CountByDeliveryStatus | IDictionary<string, Int> | Anzahl von E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung. |
| CountByThreatType | IDictionary<string, Int> | Anzahl von E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung. |
| CountByProtectionStatus | IDictionary<String, lang> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Protection“ |
| CountByDeliveryLocation | IDictionary<String, lang> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Delivery“ |
| Threats | IList-Zeichenfolge<> | Die Bedrohungen von E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| Query | String | Die Abfrage, mit der die Nachrichten des Nachrichtenclusters identifiziert wurden. |
| QueryTime | DateTime? | Die Abfragezeit. |
| MailCount | Int? | Die Anzahl der E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| IsVolumeAnomaly | Bool? | Gibt an, ob es sich um einen E-Mail-Cluster mit Volumenanomalie handelt |
| Source | String | Die Quelle des E-Mail-Clusters (Standardwert: O365 ATP) |
Starke Bezeichner einer E-Mail-Clusterentität
- Abfrage + Quelle
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
E-Mail-Nachricht
Entitätsname: MailMessage
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | IList<Entity (Datei)> | Die Dateientitäten der Anlagen dieser E-Mail-Nachricht. |
| Recipient | String | Der Empfänger dieser E-Mail-Nachricht. Im Fall mehrerer Empfänger wird die E-Mail-Nachricht kopiert, und jede Kopie weist einen Empfänger auf. |
| Urls | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen URLs. |
| Threats | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen. |
| Sender | String | Die E-Mail-Adresse des Absenders. |
| SenderIP | String | Die IP-Adresse des Absenders. |
| ReceivedDate | DateTime | Das Empfangsdatum dieser Nachricht. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID dieser E-Mail-Nachricht. |
| InternetMessageId | String | Die Internetnachrichten-ID dieser E-Mail-Nachricht. |
| Subject | String | Der Betreff dieser E-Mail-Nachricht. |
| AntispamDirection | Enum? | Die Direktionalität dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryAction | Enum? | Die Übermittlungsaktion dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryLocation | Enum? | Die Übermittlungsort dieser E-Mail-Nachricht. Mögliche Werte: |
| CampaignId | String | Der Bezeichner der Kampagne, in der diese E-Mail-Nachricht vorhanden ist. |
| SuspiciousRecipients | IList-Zeichenfolge<> | Die Liste der Empfänger, die als verdächtig erkannt wurden |
| ForwardedRecipients | IList-Zeichenfolge<> | Die Liste aller Empfänger in der weitergeleiteten E-Mail |
| ForwardingType | IList-Zeichenfolge<> | Der Weiterleitungstyp der E-Mail, z. B. SMTP, ETR usw. |
Starke Bezeichner einer E-Mail-Nachrichtenentität
- NetworkMessageId + Empfänger
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Übermittlungs-E-Mail
Entitätsname: SubmissionMail
| Field | Type | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | Die Übermittlungs-ID. |
| SubmissionDate | DateTime? | Gemeldetes Datum und die Uhrzeit dieser Übermittlung. |
| Submitter | String | Die E-Mail-Adresse des Übermittlers. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört. |
| Timestamp | DateTime? | Der Zeitstempel für den Nachrichtempfang (E-Mail). |
| Recipient | String | Der Empfänger der E-Mail. |
| Sender | String | Der Absender der E-Mail. |
| SenderIp | String | Die IP-Adresse des Absenders. |
| Subject | String | Der Betreff der Übermittlungs-E-Mail. |
| ReportType | String | Der Übermittlungstyp für die angegebene Instanz. Mögliche Werte sind „Junk“, „Phish“, „Malware“ oder „NotJunk“. |
Starke Bezeichner einer SubmissionMail-Entität
- SubmissionId, Submitter, NetworkMessageId, Empfänger
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Sentinel-Entitäten
| Field | Type | Description |
|---|---|---|
| Entities | String | Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste ist die Spalte Entitäten aus dem SecurityAlert-Schema (siehe Dokumentation). |
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloudanwendungsbezeichner
In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. Der Anwendungs-ID-Wert wird als Cloud-Anwendungs-Entitätsidentifikator verwendet.
| App ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive für Unternehmen |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender für Cloud-Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lebenszyklus |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype für Unternehmen |
| 25988 | Google Docs |
| 26055 | Microsoft 365 Admin Center |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra-ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Arbeitsplatz von Facebook |
| 28373 | CAS-Proxy-Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Nächste Schritte
In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.
Erfahren Sie mehr über Entitäten und Entitätsabbildung.