Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este documento contiene dos conjuntos de información sobre entidades y tipos de entidad en Microsoft Sentinel en Azure Portal y Microsoft Sentinel en el portal de Defender.
- La tabla Entity types and identifiers (Tipos de entidad e identificadores) muestra los diferentes tipos de entidades que se pueden identificar en alertas e incidentes, lo que le permite realizar un seguimiento e investigarlos. La tabla también muestra, para cada tipo de entidad, los distintos identificadores que se pueden usar para identificar una entidad.
- La sección de esquema de entidades muestra la estructura de datos y el esquema de las entidades en general y de cada tipo de entidad en particular.
Important
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte It's Time to Move: Retireing Microsoft Sentinel's Azure Portal para obtener una mayor seguridad.
Tipos de entidad e identificadores
La siguiente tabla muestra los tipos de entidades que Microsoft Sentinel puede reconocer y los atributos que pueden usarse como identificadores para cada tipo de entidad.
Microsoft Sentinel reconoce entidades en alertas e incidentes creados por el mapeo de entidades en las reglas de analítica. También reconoce las entidades ya identificadas en las alertas ingeridas de otros orígenes.
Actualmente puede usar hasta tres identificadores para una entidad determinada al crear una asignación de entidades en Microsoft Sentinel. Los identificadores fuertes por sí solos son suficientes para identificar de forma única a una entidad, mientras que los identificadores débiles solo pueden hacerlo en combinación con otros identificadores. Obtenga más información sobre los identificadores seguros y débiles. La mayoría de los identificadores de esta tabla se pueden usar, pero no todos, al crear asignaciones de entidades en Microsoft Sentinel (consulte notas al pie de página).
| Tipo de entidad | Identifiers | Identificadores fuertes | Identificadores débiles |
|---|---|---|---|
| Account | Name Nombre completo * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Nombre de visualización * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Nombre+Host+NTDomain ** Nombre+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName Nombre completo * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Tipo de entidad | Identifiers | Identificadores fuertes | Identificadores débiles |
| IP | Address AddressScope |
Dirección global: Dirección** Dirección privada: Dirección+ÁmbitoDireccione** |
Dirección privada: Dirección** |
| URL | Url | Dirección URL (si la dirección URL absoluta)** | Dirección URL (si la dirección URL relativa)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
Aplicación en la nube (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
Resolución DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
Hash de archivo (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| Tipo de entidad | Identifiers | Identificadores fuertes | Identificadores débiles |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Presentador+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+Archivo de Imagen+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (sin host) ProcessId+CreationTimeUtc+ Archivo de imagen (sin anfitrión) |
|
Clave del registro (RegistryKey) |
Hive Key |
Hive+Key | |
|
Valor del registro (RegistryValue) |
Name Value ValueType |
Key+Name | Name (sin Key) |
|
Grupo de seguridad (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Tipo de entidad | Identifiers | Identificadores fuertes | Identificadores débiles |
|
Clúster de correo (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Mensaje de correo (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderNombreDeVisualización * P1SenderDomain * SenderIP P2Sender * P2SenderNombreDePantallaMuestra * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject CuerpoDactilarBin1 * CuerpoDactilarBin2 * CuerpoDactilarBin3 * CuerpoDactilar4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Idioma* Métodos de Detección de Amenazas * |
NetworkMessageId+Recipient | |
|
Correo de envío (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Entidades centinela | Entities | Entities |
Notas de la tabla:
- * Estos identificadores aparecen en la lista de identificadores que se pueden usar en la asignación de entidades, pero estrictamente hablando, no forman parte del esquema de la entidad.
- ** Estos identificadores solo se consideran seguros en determinadas condiciones. Siga los vínculos de los asteriscos para ver las condiciones que se aplican, en la lista de la entidad pertinente en la sección esquemas de entidad siguiente.
- Los nombres de identificador en cursiva (sin asterisco) representan entidades internas, lo que significa que un tipo de entidad puede tener otros tipos de entidad como atributos (consulte la sección esquemas de entidad a continuación). Siga el vínculo del identificador para ver el propio esquema de la entidad interna.
- Otras entidades pueden estar presentes en el esquema, que es un esquema general que admite muchas cosas además de Microsoft Sentinel. En este artículo solo se enumeran las entidades disponibles en Microsoft Sentinel.
Esquemas de tipo de entidad
La siguiente sección contiene una vista más detallada de los esquemas completos de cada tipo de entidad. Observará que muchos de estos esquemas incluyen vínculos a otros tipos de entidad. Por ejemplo, el esquema de cuenta incluye un vínculo al tipo de entidad Host, ya que un atributo de una cuenta de usuario es el host en el que se define. Estas entidades como atributos se conocen como "entidades internas" y no se pueden usar como identificadores para la asignación de entidades, aunque son muy útiles para proporcionar una imagen completa de las entidades en las páginas de entidad y el gráfico de investigación.
Note
Un signo de interrogación que sigue al valor en la columna de Tipo indica que el campo es anulable.
Lista de esquemas de tipo de entidad
- Account
- Host
- IP
- Malware
- File
- Process
- Aplicación en la nube
- Resolución DNS
- Recurso de Azure
- Hash de archivo
- Clave del registro
- Valor del Registro
- Grupo de seguridad
- URL
- Dispositivo IoT
- Mailbox
- Clúster de correo
- Mensaje de correo
- Correo de envío
- Entidades centinela
Account
Nombre de entidad: Cuenta
| Field | Type | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | Nombre de la cuenta. Este campo solo debe contener el nombre sin ningún dominio agregado. |
| FullName | -- | No forma parte del esquema, incluido para la compatibilidad con versiones anteriores de la asignación de entidades. |
| NTDomain | String | El nombre de dominio NETBIOS tal como aparece en el formato de alerta: domain\username. Ejemplos: Finanzas, AUTORIDAD DEL TERRITORIO DEL NORTE |
| DnsDomain | String | Nombre DNS del dominio completo. Ejemplos: finance.contoso.com |
| UPNSuffix | String | Sufijo de nombre principal de usuario para la cuenta. En muchos casos, el sufijo UPN también es el nombre de dominio. Ejemplos: contoso.com |
| Host | Entidad (anfitrión) | Host que contiene la cuenta, si es una cuenta local. |
| Sid | String | Identificador de seguridad de la cuenta. |
| AadTenantId | Guid? | Identificador de inquilino de Microsoft Entra, si se conoce. |
| AadUserId | Guid? | Identificador de objeto de cuenta de Microsoft Entra, si se conoce. |
| PUID | Guid? | Identificador de usuario de Microsoft Entra Passport, si se conoce. |
| IsDomainJoined | Bool? | Indica si la cuenta es una cuenta de dominio. |
| DisplayName | -- | No forma parte del esquema, incluido para la compatibilidad con versiones anteriores de la asignación de entidades. |
| ObjectGuid | Guid? | El atributo objectGUID es un atributo de un solo valor y es el identificador único del objeto, asignado por Active Directory. |
| CloudAppAccountId | String | El AccountID en las alertas del proveedor de CloudApp. Hace referencia a los identificadores de cuenta en aplicaciones de terceros que no se admiten en otros productos de Microsoft. |
| IsAnonymized | Bool? | Indica si el nombre de usuario se anonimiza. Optional. Valor predeterminado: false. |
| Stream | Stream | El origen de los registros de detección relacionados con la cuenta específica. Optional. |
Identificadores seguros de una entidad Cuenta
- Nombre + UPNSuffix
- AadUserId
-
Sid
** Este identificador es fuerte siempre que la cuenta no sea una de las cuentas integradas que aparecen en la Nota a continuación. -
Sid + Host
** Cuando la cuenta es una de las cuentas integradas que aparecen en la Nota a continuación, el componente Host es necesario para que este identificador sea fuerte. -
Nombre + NTDomain
** Esta combinación es un identificador seguro cuando la cuenta es una cuenta de dominio, ya que NTDomain no es un dominio o grupo de trabajo integrado y es diferente del nombre de host. En este caso, se trata de un identificador seguro incluso sin el componente Host. -
Nombre + NTDomain + Host
** El componente Host es necesario para crear un identificador seguro cuando la cuenta es una cuenta local, lo que significa que NTDomain es un dominio o grupo de trabajo integrado. - Nombre + DnsDomain
- PUID
- ObjectGuid
Identificadores no seguros de una entidad de cuenta
- Name
Note
Si la entidad de la cuenta se define usando el identificador de Nombre , y el valor de Nombre de una entidad particular es uno de los siguientes nombres genéricos y comúnmente integrados, entonces esa entidad será eliminada de su alerta.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- USUARIO AUTENTICADO
- NETWORK
- NULL
- SISTEMA LOCAL
- LOCALSYSTEM
- SERVICIO DE RED
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Host
Nombre de entidad: Host
| Field | Type | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | Entidad de Lista<(IP)> | Lista de todas las interfaces IP en la máquina host. |
| DnsDomain | String | Dominio DNS al que pertenece este host. Debe contener el sufijo DNS completo del dominio, si se conoce. |
| NTDomain | String | Dominio NT al que pertenece este host. |
| HostName | String | Nombre del host sin el sufijo de dominio. |
| NetBiosName | String | Nombre del host (antes de Windows 2000). |
| IoTDevice | Entidad (dispositivo IoT) | Entidad del dispositivo IoT (si este host representa un dispositivo IoT). |
| AzureID | String | Id. del recurso de Azure de la VM, si se conoce. |
| OMSAgentID | String | Id. del agente de OMS, si el host tiene instalado el agente de OMS. |
| OSFamily | Enum? | Uno de los siguientes valores: |
| OSVersion | String | Representación de texto libre del sistema operativo. Este campo está pensado para contener versiones específicas que son más detalladas que OSFamily o valores futuros que la enumeración OSFamily no admite. |
| IsDomainJoined | Bool | Determina si este host pertenece a un dominio. |
Identificadores seguros de una entidad Host
- Nombre de Host + NTDomain
- Nombre de Host + Dominio Dns
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificadores no seguros de una entidad de host
- HostName
- NetBiosName
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
IP
Nombre de entidad: IP
| Field | Type | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | Dirección IP como cadena (ya sea en IPv4 o IPv6). Ejemplos: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | String | Nombre del host, subred o red privada para direcciones IP privadas y no globales. Null o vacío para las direcciones IP globales (valor predeterminado). Ejemplos: /27255.255.255.128 |
| Location | GeoLocation | Contexto de ubicación geográfica asociado a la entidad IP. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización a través de la API REST (versión preliminar pública). |
| Stream | Stream | Origen de los registros de detección relacionados con la dirección IP específica. Optional. |
Identificadores seguros de una entidad IP
-
Address
Cuando la dirección IP es una dirección global, el identificador de dirección por sí mismo es un identificador seguro único. -
Dirección + Ámbito de Dirección
En el caso de las direcciones IP privadas o internas y no globales, se requiere el componente AddressScope para que sea un identificador seguro.
Identificadores débiles de una entidad IP
-
Address
El identificador de dirección por sí mismo es un identificador débil cuando la dirección IP es una dirección IP privada o interna no global.
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Malware
Nombre de entidad: Malware
| Field | Type | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | Nombre de malware asignado por el proveedor (¿detection?), como Win32/Toga!rfn. |
| Category | String | La categoría de malware asignada por el proveedor (¿detection?), por ejemplo. Trojan. |
| Files | Entidad de lista<(archivo)> | Lista de entidades de archivo vinculadas en las que se encontró el malware. Puede contener las entidades Archivo en línea o como referencia. Consulta la entidad Archivo para más detalles sobre la estructura. |
| Processes | Entidad de lista<(proceso)> | Lista de entidades Proceso vinculadas en las que se encontró el malware. Se suele usar cuando la alerta se desencadena en una actividad sin archivos. Consulta la entidad de Proceso para más detalles sobre la estructura. |
Identificadores seguros de una entidad Malware
- Nombre y categoría
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
File
Nombre de entidad: Archivo
| Field | Type | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | Ruta de acceso completa al archivo. |
| Name | String | Nombre de archivo sin la ruta de acceso (es posible que algunas alertas no incluyan la ruta de acceso). |
| AlternateDataStreamName | String | El nombre de la secuencia de archivos en el sistema de archivos NTFS (null para la secuencia principal). |
| Host | Entidad (anfitrión) | Host en el que se almacenó el archivo. |
| HostUrl | Entidad (URL) | Dirección URL desde la que se descargó el archivo (Marca de la Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zona de seguridad de Windows a la que pertenece la dirección URL (Marca de la Web). |
| ReferrerUrl | Entidad (URL) | Dirección URL de origen de referencia de la solicitud HTTP de descarga del archivo (Marca de la Web). |
| SizeInBytes | Long? | Tamaño de archivo en bytes. |
| FileHashes | Entidad de lista<(FileHash)> | Hash de archivo asociados a este archivo. |
Identificadores seguros de una entidad Archivo
- Nombre y directorio
- Nombre + FileHash
- Nombre + Directorio + FileHash
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Process
Nombre de entidad: Proceso
| Field | Type | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | El id. de proceso. |
| CommandLine | String | Línea de comandos utilizada para crear el proceso. |
| ElevationToken | Enum? | Token de elevación asociado con el proceso. Valores posibles: |
| CreationTimeUtc | DateTime? | Hora en que se empezó a ejecutar el proceso. |
| ImageFile | Entidad (archivo) | Puede contener la entidad de archivo en línea o como referencia. Consulta la entidad Archivo para más detalles sobre la estructura. |
| Account | Entidad (Cuenta) | Cuenta que ejecuta los procesos. Puede contener la entidad Cuenta en línea o como referencia. Consulte la entidad de la cuenta para más detalles sobre la estructura. |
| ParentProcess | Entidad (proceso) | Entidad del proceso principal. Puede contener datos parciales, por ejemplo, solo el PID. |
| Host | Entidad (anfitrión) | Host en el que se estaba ejecutando el proceso. |
| LogonSession | Entidad (HostLogonSession) | Sesión en la que se estaba ejecutando el proceso. |
Identificadores seguros de una entidad Proceso
- Host + ProcessId + CreationTimeUtc
- Anfitrión + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + Archivo de imagen
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificadores no seguros de una entidad de proceso
- ProcessId + CreationTimeUtc + CommandLine (y ningún host)
- ProcessId + CreationTimeUtc + Archivo de imagen (y sin anfitrión)
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Aplicación en la nube
Nombre de entidad: CloudApplication
| Field | Type | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | Obsoleto; use el campo SaasId en su lugar. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId. |
| SaasId | Int | Reemplaza el campo AppId en desuso. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId. |
| Name | String | Nombre de la aplicación en la nube relacionada. Valor opcional. |
| InstanceName | String | Nombre de instancia definido por el usuario de la aplicación en la nube. A menudo se usa para distinguir entre varias aplicaciones del mismo tipo que tiene un cliente. |
| InstanceId | Int | Identificador de la sesión específica de la aplicación. Se trata de un número de ejecución basado en cero. Valor opcional. |
| Risk | AppRisk? | le permite filtrar las aplicaciones según su puntuación de riesgo, de modo que pueda centrarse, por ejemplo, en revisar únicamente las aplicaciones de mucho riesgo. Valores posibles como Bajo, Medio, Alto o Desconocido. |
| Stream | Stream | Origen de los registros de detección relacionados con la aplicación en la nube específica. Optional. |
Identificadores seguros de una entidad Aplicación en la nube
- AppId (sin InstanceName)
- Nombre (sin NombreDeInstancia)
- AppId + Nombre de la Instancia
- Nombre + NombreDeInstancia
Lista de identificadores de aplicación en la nube
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Resolución DNS
Nombre de entidad: DNS
| Field | Type | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | Nombre del registro DNS asociado a la alerta. |
| IpAddress | Entidad de Lista<(IP)> | Entidades correspondientes a las direcciones IP resueltas. |
| DnsServerIp | Entidad (IP) | Entidad que representa el servidor DNS que resuelve la solicitud. |
| HostIpAddress | Entidad (IP) | Entidad que representa el cliente de la solicitud DNS. |
Identificadores seguros de una entidad DNS
- DomainName + DnsServerIp + HostIpAddress
Identificadores no seguros de una entidad DNS
- Nombre de dominio + DirecciónIp
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Recurso de Azure
Nombre de entidad: AzureResource
| Field | Type | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | Id. de recurso de Azure del recurso. Mandatory. |
| SubscriptionId | String | Identificador de suscripción del recurso. |
| ActiveContacts | Enumerar<ActiveContact> | Contactos activos asociados al recurso. |
| ResourceType | String | Tipo de recurso. |
| ResourceName | String | Nombre del recurso. |
Identificadores seguros de una entidad Recurso de Azure
- ResourceId
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Hash de archivo
Nombre de entidad: FileHash
| Field | Type | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | Tipo de algoritmo hash. Mandatory. Valores posibles: |
| Value | String | El valor hash. Mandatory. |
Identificadores seguros de una entidad Hash de archivo
- Algoritmo y valor
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Clave del Registro
Nombre de entidad: RegistryKey
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | Uno de los siguientes valores: |
| Key | String | Ruta de acceso a la clave del Registro. |
Identificadores seguros de una entidad clave del Registro
- Colmena + Llave
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Valor del Registro
Nombre de entidad: RegistryValue
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Entidad (anfitrión) | Host al que pertenece el Registro. |
| Key | Entidad (RegistryKey) | Entidad de clave del Registro. |
| Name | String | Nombre del valor del Registro. |
| Value | String | Representación con formato de cadena de los datos del valor. |
| ValueType | Enum? | Uno de los siguientes valores: Los valores deben ajustarse a la enumeración Microsoft.Win32.RegistryValueKind. |
Identificadores seguros de una entidad valor del Registro
- Clave + Nombre
Identificadores no seguros de una entidad de valor del registro
- Name (sin Key)
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Grupo de seguridad
Nombre de entidad: SecurityGroup
| Field | Type | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | Nombre distintivo del grupo. |
| SID | String | Atributo de valor único que especifica el identificador de seguridad (SID) del grupo. |
| ObjectGuid | Guid? | Atributo de valor único que es el identificador único del objeto asignado por Active Directory. |
Identificadores seguros de una entidad grupo de seguridad
- DistinguishedName
- SID
- ObjectGuid
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
URL
Nombre de entidad: Dirección URL
| Field | Type | Description |
|---|---|---|
| Type | String | 'url' |
| Url | Uri | Dirección URL completa a la que apunta la entidad. Mandatory. |
Identificadores seguros de una entidad URL
- URL (** Este identificador es fuerte cuando la URL es absoluta.)
Identificadores no seguros de una entidad URL
- Dirección URL (** Este identificador es no seguro cuando la dirección URL es una dirección URL relativa)
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Dispositivo IoT
Nombre de entidad: IoTDevice
| Field | Type | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | Entidad AzureResource que representa la instancia de IoT Hub a la que pertenece el dispositivo. |
| DeviceId | String | Id. del dispositivo en el contexto de la instancia de IoT Hub. Mandatory. |
| DeviceName | String | Nombre descriptivo del dispositivo. |
| Owners | Lista<cadena> | Propietarios del dispositivo. |
| IoTSecurityAgentId | Guid? | Identificador del agente de Defender para IoT que se ejecuta en el dispositivo. |
| DeviceType | String | Tipo de dispositivo ("sensor de temperatura", "congelador", "aerogenerador", etc.). |
| DeviceTypeId | String | Un id. único para identificar cada tipo de dispositivo según el esquema de tipo de dispositivo, ya que el propio tipo de dispositivo es un nombre para mostrar y no es confiable en comparación. Valores posibles: Sin clasificar = 0 Varios = 1 Dispositivo de red = 2 Impresora = 3 Audio y vídeo = 4 Medios y vigilancia = 5 Comunicación = 7 Dispositivo inteligente = 9 Estación de trabajo = 10 Servidor = 11 Móvil = 12 Instalación inteligente = 13 Industrial = 14 Equipo operativo = 15 |
| Source | String | Origen (Microsoft/proveedor) de la entidad de dispositivo. |
| SourceRef | Entidad (URL) | Referencia de URL al elemento de origen donde se administra el dispositivo. |
| Manufacturer | String | Fabricante del dispositivo. |
| Model | String | Modelo del dispositivo. |
| OperatingSystem | String | Sistema operativo que ejecuta el dispositivo. |
| IpAddress | Entidad (IP) | Dirección IP actual del dispositivo. |
| MacAddress | String | La dirección MAC del dispositivo. |
| Nics | Entidad (Nic) | Las NIC actuales del dispositivo. |
| Protocols | Lista<cadena> | Lista de los protocolos que admite el dispositivo. |
| SerialNumber | String | El número de serie del dispositivo. |
| Site | String | Ubicación del sitio del dispositivo. |
| Zone | String | Ubicación de la zona del dispositivo dentro de un sitio. |
| Sensor | String | Sensor que supervisa el dispositivo. |
| Importance | Enum? | Uno de los siguientes valores: |
| PurdueLayer | String | Capa Purdue del dispositivo. |
| IsProgramming | Bool? | Indica si el dispositivo está clasificado como dispositivo de programación. |
| IsAuthorized | Bool? | Indica si el dispositivo está clasificado como dispositivo autorizado. |
| IsScanner | Bool? | Indica si el dispositivo está clasificado como un dispositivo de digitalización. |
| DevicePageLink | Entidad (URL) | Dirección URL de la página del dispositivo en el portal de Defender para IoT. |
| DeviceSubType | String | El nombre del sitio del dispositivo. |
Identificadores seguros de una entidad Dispositivo IoT
- IoTHub + DeviceId
Identificadores no seguros de una entidad de dispositivo IoT
- DeviceId (sin IoTHub)
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Mailbox
Nombre de entidad: Buzón de correo
| Field | Type | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | Dirección principal del buzón. |
| DisplayName | String | Nombre para mostrar del buzón. |
| Upn | String | UPN del buzón. |
| AadId | String | Identificador de Azure AD del buzón del usuario. |
| RiskLevel | Nivel de riesgo (entero) | Nivel de riesgo del buzón. Valores posibles: |
| ExternalDirectoryObjectId | Guid? | Identificador de AzureAD del buzón. Similar a AadUserId en la entidad Cuenta, pero esta propiedad es específica del objeto de buzón en Office. |
Identificadores seguros de una entidad Buzón
- MailboxPrimaryAddress
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Clúster de correo
Nombre de entidad: MailCluster
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | IList<cadena> | Identificadores de mensaje de correo que forman parte del clúster de correo. |
| CountByDeliveryStatus | IDictionary<cadena,entero> | Recuento de mensajes de correo por representación de cadena DeliveryStatus. |
| CountByThreatType | IDictionary<cadena,entero> | Recuento de mensajes de correo por representación de cadena ThreatType. |
| CountByProtectionStatus | IDictionary<cadena,larga> | Recuento de mensajes de correo por representación de cadena de estado de protección. |
| CountByDeliveryLocation | IDictionary<cadena,larga> | Recuento de mensajes de correo por representación de cadena de ubicación de entrega. |
| Threats | IList<cadena> | Amenazas de los mensajes de correo que forman parte del clúster de correo. |
| Query | String | Consulta que se usó para identificar los mensajes del clúster de correo. |
| QueryTime | DateTime? | Tiempo de la consulta. |
| MailCount | Int? | Número de mensajes de correo que forman parte del clúster de correo. |
| IsVolumeAnomaly | Bool? | Indica si el clúster de correo es un clúster de correo de anomalías de volumen. |
| Source | String | Origen del clúster de correo (el valor predeterminado es O365 ATP). |
Identificadores seguros de una entidad Clúster de correo
- Consulta y origen
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Mensaje de correo
Nombre de entidad: MailMessage
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | Entidad IList<(Archivo)> | Entidades Archivo de los datos adjuntos de este mensaje de correo. |
| Recipient | String | Destinatario de este mensaje de correo. En el caso de varios destinatarios, el mensaje de correo se copia y cada copia tiene un destinatario. |
| Urls | IList<cadena> | Direcciones URL includas en este mensaje de correo. |
| Threats | IList<cadena> | Amenazas incluidas en este mensaje de correo. |
| Sender | String | La dirección de correo electrónico del remitente. |
| SenderIP | String | Dirección IP del remitente. |
| ReceivedDate | DateTime | Fecha de recepción de este mensaje. |
| NetworkMessageId | Guid? | Id. de mensaje de red de este mensaje de correo. |
| InternetMessageId | String | Id. de mensaje de Internet de este mensaje de correo. |
| Subject | String | Asunto del mensaje de correo. |
| AntispamDirection | Enum? | Direccionalidad de este mensaje de correo. Valores posibles: |
| DeliveryAction | Enum? | Acción de entrega de este mensaje de correo. Valores posibles: |
| DeliveryLocation | Enum? | Ubicación de entrega de este mensaje de correo. Valores posibles: |
| CampaignId | String | Identificador de la campaña en la que está presente este mensaje de correo. |
| SuspiciousRecipients | IList<cadena> | La lista de destinatarios que se detectaron como sospechosos. |
| ForwardedRecipients | IList<cadena> | Lista de todos los destinatarios del correo reenviado. |
| ForwardingType | IList<cadena> | Tipo de reenvío del correo, como SMTP, ETR, etc. |
Identificadores seguros de una entidad Mensaje de correo
- NetworkMessageId + destinatario
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Correo de envío
Nombre de entidad: SubmissionMail
| Field | Type | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | Id. de envío. |
| SubmissionDate | DateTime? | Fecha y hora de notificación de este envío. |
| Submitter | String | Dirección de correo electrónico del remitente. |
| NetworkMessageId | Guid? | Id. del mensaje de red del correo electrónico al que pertenece el envío. |
| Timestamp | DateTime? | Marca de tiempo de recepción del mensaje (correo). |
| Recipient | String | Destinatario del correo. |
| Sender | String | Remitente del correo. |
| SenderIp | String | Dirección IP del remitente. |
| Subject | String | Asunto del correo de envío. |
| ReportType | String | Tipo de envío de la instancia especificada. Los valores posibles son No deseado, Cebo, Malware o Correo deseado. |
Identificadores seguros de una entidad SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Destinatario
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Entidades centinela
| Field | Type | Description |
|---|---|---|
| Entities | String | Una lista de las entidades identificadas en la alerta. Esta lista es la columna de entidades del esquema SecurityAlert (véase documentación). |
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Identificadores de aplicación en la nube
En la lista siguiente se definen los identificadores de las aplicaciones en la nube conocidas. El valor del ID de la aplicación se utiliza como identificador de entidad de aplicación en la nube .
| App ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Piedra angular de OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Servicios Online de Microsoft |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive para la Empresa |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender para aplicaciones en la nube |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Ciclo de vida de Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Empresarial |
| 25988 | Google Docs |
| 26055 | Centro de administración de Microsoft 365 |
| 26060 | Engranajes OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace por Facebook |
| 28373 | Emulador de proxy de CAS |
| 28375 | Equipos de Microsoft |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Pasos siguientes
En este documento ha obtenido información acerca de la estructura de la entidad, los identificadores y el esquema de Microsoft Sentinel.
Infórmate más sobre entidades y mapeo de entidades.