Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce document contient deux ensembles d’informations concernant les entités et les types d’entités dans Microsoft Sentinel dans le portail Azure et Microsoft Sentinel dans le portail Defender.
- Le tableau Des types et des identificateurs d’entité affiche les différents types d’entités qui peuvent être identifiés dans les alertes et les incidents, ce qui vous permet de suivre et d’examiner ces entités. Le tableau présente également, pour chaque type d’entité, les différents identificateurs qui peuvent être utilisés pour identifier une entité.
- La section Schéma d’entité montre la structure de données et le schéma des entités en général et pour chaque type d’entité en particulier.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Retireing Microsoft Sentinel’s Azure portal for greater security.
Types d'entités et identificateurs
Le tableau suivant présente les types d’entités qui peuvent être reconnus par Microsoft Sentinel, ainsi que les attributs pouvant être utilisés comme identifiants pour chaque type d’entité.
Microsoft Sentinel reconnaît les entités dans les alertes et incidents créés par la cartographie d’entités dans les règles d’analytique. Il reconnaît également les entités déjà identifiées dans les alertes ingérées à partir d’autres sources.
Vous pouvez utiliser jusqu’à trois identificateurs pour une entité donnée lors de la création d’un mappage d’entité dans Microsoft Sentinel. Les identifiants forts seuls suffisent à identifier de manière unique une entité, tandis que les identifiants faibles ne peuvent le faire qu’en combinaison avec d’autres identifiants. En savoir plus sur les identificateurs forts et faibles. La plupart des identificateurs de cette table ne peuvent pas tous être utilisés lors de la création de mappages d’entités dans Microsoft Sentinel (voir les notes de bas de page).
| Type d'entité | Identifiers | Identifiants forts | Identifiants faibles |
|---|---|---|---|
| Account | Name Nom complet * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Affichename * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Nom+Hôte+NTDomain ** Nom+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName Nom complet * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Type d’entité | Identifiers | Identifiants forts | Identifiants faibles |
| IP | Address AddressScope |
Adresse mondiale : Adresse** Adresse privée : Adresse+AdresseChampine** |
Adresse privée : Adresse** |
| URL | Url | URL (si l’URL absolue)** | URL (si l’URL relative)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
Application cloud (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
Résolution DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
Hachage de fichier (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| Type d’entité | Identifiers | Identifiants forts | Identifiants faibles |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Animateur+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+Fichier d’image+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (aucun Hôte) ProcessId+CreationTimeUtc+ Fichier image (sans hôte) |
|
Clé du registre (RegistryKey) |
Hive Key |
Hive+Key | |
|
Valeur du registre (RegistryValue) |
Name Value ValueType |
Key+Name | Name (aucun Clé) |
|
Groupe de sécurité (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Type d’entité | Identifiers | Identifiants forts | Identifiants faibles |
|
Groupe de courrier (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Message postal (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1EnvoyeurNomAffichage * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject CorpsEmpreintesBin1 * CorpsEmpreintesBin2 * CorpsEmpreintesBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Langue* MéthodesDeDétection de MenacesT* |
NetworkMessageId+Recipient | |
|
Courrier de soumission (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Entités sentinelles | Entities | Entities |
Notes de tableau :
- * Ces identificateurs apparaissent dans la liste des identificateurs qui peuvent être utilisés dans le mappage d’entités, mais à proprement parler, ils ne font pas partie du schéma d’entité.
- ** Ces identificateurs sont considérés comme forts uniquement dans certaines conditions. Suivez les liens des astérisques pour voir les conditions qui s’appliquent, dans la liste de l’entité appropriée dans la section schémas d’entité ci-dessous.
- Les noms d’identificateur italique (sans astérisque) représentent des entités internes, ce qui signifie qu’un type d’entité peut avoir d’autres types d’entités en tant qu’attributs (voir la section schémas d’entité ci-dessous). Suivez le lien de l’identificateur pour voir le schéma de l’entité interne.
- D’autres entités peuvent être présentes dans le schéma, qui est un schéma général qui prend en charge de nombreuses choses en plus de Microsoft Sentinel. Seules les entités disponibles dans Microsoft Sentinel sont répertoriées dans cet article.
Schémas des types d'entités
La section suivante contient une présentation plus détaillée des schémas complets de chaque type d'entité. Vous remarquerez que beaucoup de ces schémas comportent des liens vers d’autres types d’entités. Par exemple, le schéma Compte comporte un lien vers le type d’entité Hôte, car l’un des attributs d’un compte d’utilisateur correspond à l’hôte sur lequel il est défini. Ces entités comme attributs sont appelées « entités internes », elles ne peuvent pas être utilisées en tant qu’identificateurs pour le mappage des entités, mais elles offrent une image complète des entités sur les pages de celles-ci et sur le graphique d’investigation.
Note
Un point d’interrogation après la valeur dans la colonne Type indique que le champ est annulable.
Liste des schémas des types d’entités
- Account
- Host
- IP
- Malware
- File
- Process
- Application cloud
- Résolution DNS
- Ressource Azure
- Hachage de fichier
- Clé de Registre
- Valeur de Registre
- Groupe de sécurité
- URL
- Appareil IoT
- Mailbox
- Groupe de courrier
- Message postal
- Courrier de soumission
- Entités sentinelles
Account
Nom de l’entité : compte
| Field | Type | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | Nom du compte. Ce champ ne doit contenir que le nom, sans domaine. |
| FullName | -- | Non partie du schéma, inclus pour la compatibilité descendante avec l’ancienne version du mappage d’entité. |
| NTDomain | String | Nom de domaine NETBIOS tel qu’il apparaît dans le format d’alerte : domaine\nom d’utilisateur. Exemples : Finance, AUTORITÉ DU TERRITOIRE DU TERRITOIRE |
| DnsDomain | String | Nom DNS de domaine complet. Exemples : finance.contoso.com |
| UPNSuffix | String | Suffixe du nom de l'utilisateur principal du compte. Dans de nombreux cas, le suffixe UPN est également le nom de domaine. Exemples : contoso.com |
| Host | Entité (hôte) | Hôte sur lequel figure le compte, s’il s’agit d’un compte local. |
| Sid | String | Identificateur de sécurité du compte. |
| AadTenantId | Guid? | ID du tenant Microsoft Entra, si connu. |
| AadUserId | Guid? | ID d’objet du compte Microsoft Entra, si connu. |
| PUID | Guid? | ID d’utilisateur Microsoft Entra Passport, si connu. |
| IsDomainJoined | Bool? | Indique si le compte est un compte de domaine. |
| DisplayName | -- | Non partie du schéma, inclus pour la compatibilité descendante avec l’ancienne version du mappage d’entité. |
| ObjectGuid | Guid? | L'attribut objectGUID est un attribut à valeur unique qui constitue l'identificateur unique de l'objet, attribué par Active Directory. |
| CloudAppAccountId | String | AccountID dans les alertes du fournisseur CloudApp. Fait référence aux ID de compte dans les applications tierces qui ne sont pas prises en charge dans d’autres produits Microsoft. |
| IsAnonymized | Bool? | Indique si le nom d’utilisateur est anonymisé. Optional. Valeur par défaut : false. |
| Stream | Stream | Source des journaux de détection liés au compte spécifique. Optional. |
Identificateurs forts d’une entité de compte
- Nom + UPNSuffix
- AadUserId
-
Sid
** Cet identifiant est fort tant que le compte ne fait pas partie des comptes intégrés listés dans la note ci-dessous. -
Sid + Hôte
** Lorsque le compte fait partie des comptes intégrés listés dans la Note ci-dessous, le composant Host est nécessaire pour rendre cet identifiant fort. -
Nom + NTDomain
** Cette combinaison est un identificateur fort lorsque le compte est un compte de domaine, car NTDomain n’est pas un domaine/groupe de travail intégré et est différent du nom d’hôte. Dans ce cas, il s’agit d’un identificateur fort, même sans le composant Hôte. -
Nom + NTDomain + Hôte
** Le composant Hôte est nécessaire pour créer un identificateur fort lorsque le compte est un compte local, ce qui signifie que NTDomain est un domaine/groupe de travail intégré. - Nom + DnsDomaine
- PUID
- ObjectGuid
Identificateurs faibles d’une entité de compte
- Name
Note
Si l’entité du compte est définie à l’aide de l’identifiant Nom , et que la valeur du Nom d’une entité particulière est l’un des noms de compte génériques et couramment intégrés suivants, alors cette entité sera supprimée de son alerte.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- UTILISATEUR AUTHENTIFIÉ
- NETWORK
- NULL
- SYSTÈME LOCAL
- LOCALSYSTEM
- SERVICE RÉSEAU
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Host
Nom de l’entité : Hôte
| Field | Type | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | Entité de liste<(IP)> | Liste de toutes les interfaces IP sur l’ordinateur hôte. |
| DnsDomain | String | Domaine DNS auquel cet hôte appartient. Doit contenir le suffixe DNS complet du domaine, s'il est connu. |
| NTDomain | String | Domaine NT auquel cet hôte appartient. |
| HostName | String | Nom d'hôte sans suffixe de domaine. |
| NetBiosName | String | Nom d'hôte (antérieur à Windows 2000). |
| IoTDevice | Entité (Appareil IoT) | Entité Appareil IoT (si cet hôte représente un appareil IoT). |
| AzureID | String | ID de ressource Azure de la machine virtuelle, s'il est connu. |
| OMSAgentID | String | ID de l'agent OMS, si celui-ci est installé sur l'hôte. |
| OSFamily | Enum? | Une des valeurs suivantes : |
| OSVersion | String | Représentation en texte libre du système d'exploitation. Ce champ est destiné à contenir des versions spécifiques plus précises qu'avec OSFamily, ou des valeurs futures non prises en charge par l'énumération OSFamily. |
| IsDomainJoined | Bool | Indique si cet hôte appartient à un domaine. |
Identificateurs forts d’une entité hôte
- Nom d’hôte + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificateurs faibles d’une entité hôte
- HostName
- NetBiosName
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
IP
Nom de l’entité : IP
| Field | Type | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | Adresse IP sous forme de chaîne (dans IPv4 ou IPv6). Exemples : 20.112.250.1332603:1030:b:3::152 |
| AddressScope | String | Nom de l’hôte, du sous-réseau ou du réseau privé pour les adresses IP privées et non globales. Nul ou vide pour les adresses IP globales (par défaut). Exemples : /27255.255.255.128 |
| Location | GeoLocation | Contexte de géolocalisation joint à l'entité IP. Pour plus d’informations, consultez également Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via l’API REST (préversion publique). |
| Stream | Stream | Source des journaux de détection liés à l’adresse IP spécifique. Optional. |
Identificateurs forts d’une entité IP
-
Address
Lorsque l’adresse IP est une adresse globale, l’identificateur d’adresse lui-même est un identificateur unique et fort. -
Adresse + AdresseScope
Pour les adresses IP privées/internes et non globales, le composant AddressScope est nécessaire pour en faire un identificateur fort.
Identificateurs faibles d’une entité IP
-
Address
L’identificateur d’adresse lui-même est un identificateur faible lorsque l’adresse IP est une adresse IP privée/interne non globale.
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Malware
Nom de l’entité : Programmes malveillants
| Field | Type | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | Nom du programme malveillant attribué par le fournisseur (de détection ?), tel que Win32/Toga!rfn. |
| Category | String | Catégorie du programme malveillant attribué par le fournisseur (de détection ?), par exemple. Trojan. |
| Files | Entité de liste<(fichier)> | Liste des entités Fichier liées sur lesquelles le programme malveillant a été trouvé. Les entités Fichier peuvent être incluses ou fournies en tant que référence. Voir l’entité Fichier pour plus de détails sur la structure. |
| Processes | Entité de liste<(processus)> | Liste des entités Processus liées sur lesquelles le programme malveillant a été trouvé. Souvent utilisée lorsque l'alerte est déclenchée sur une activité sans fichier. Voir l’entité Processus pour plus de détails sur la structure. |
Identificateurs forts d’une entité de programme malveillant
- Nom + catégorie
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
File
Nom de l’entité : Fichier
| Field | Type | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | Chemin d'accès complet au fichier. |
| Name | String | Nom du fichier, sans chemin d'accès (certaines alertes peuvent ne pas inclure de chemin d'accès). |
| AlternateDataStreamName | String | Nom du flux de fichiers dans le système de fichiers NTFS (nul pour le flux principal). |
| Host | Entité (hôte) | Hôte sur lequel le fichier a été stocké. |
| HostUrl | Entity (URL) | URL à partir de laquelle le fichier a été téléchargé (Marque du web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zone de sécurité Windows à laquelle appartient l’URL (Marque du web). |
| ReferrerUrl | Entity (URL) | URL référente de la requête HTTP de téléchargement de fichier (Marque du web). |
| SizeInBytes | Long? | Taille du fichier en octets. |
| FileHashes | Entité de liste<(FileHash)> | Hachages associés à ce fichier. |
Identificateurs forts d’une entité de fichier
- Nom + Répertoire
- Nom + FileHash
- Nom + Répertoire + FileHash
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Process
Nom de l’entité : processus
| Field | Type | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | ID de processus. |
| CommandLine | String | Ligne de commande utilisée pour créer le processus. |
| ElevationToken | Enum? | Jeton d'élévation associé au processus. Valeurs possibles : |
| CreationTimeUtc | DateTime? | Moment auquel le processus a démarré. |
| ImageFile | Entité (fichier) | L'entité Fichier peut être incluse ou fournie en tant que référence. Voir l’entité Fichier pour plus de détails sur la structure. |
| Account | Entité (Compte) | Compte exécutant les processus. L'entité Compte peut être incluse ou fournie en tant que référence. Voir l’entité du compte pour plus de détails sur la structure. |
| ParentProcess | Entité (Processus) | Entité du processus parent. Peut contenir des données partielles, par exemple, le PID uniquement. |
| Host | Entité (hôte) | Hôte sur lequel le processus a été exécuté. |
| LogonSession | Entité (HostLogonSession) | Session dans laquelle le processus a été exécuté. |
Identificateurs forts d’une entité de processus
- Host + ProcessId + CreationTimeUtc
- Hôte + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUTC + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificateurs faibles d’une entité de processus
- ProcessId + CreationTimeUtc + CommandLine (et non Host)
- ProcessId + CreationTimeUtc + Fichier Image (et sans hôte)
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Application cloud
Nom de l’entité : CloudApplication
| Field | Type | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | Déconseillé. Utilisez plutôt le champ SaasId. Identificateur technique de l'application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur optionnelle. Ne doit pas contenir InstanceId. |
| SaasId | Int | Remplace le champ AppId déconseillé. Identificateur technique de l'application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur optionnelle. Ne doit pas contenir InstanceId. |
| Name | String | Nom de l'application cloud associée. Valeur optionnelle. |
| InstanceName | String | Nom de l'instance tel que défini par l'utilisateur de l'application cloud. Souvent utilisé pour distinguer les différentes applications du même type d'un client. |
| InstanceId | Int | Identificateur de la session spécifique de l’application. Il s’agit d’un nombre en cours d’exécution de base zéro. Valeur optionnelle. |
| Risk | AppRisk? | Permet de filtrer les applications par score de risque, et donc par exemple de se concentrer uniquement sur les applications très risquées. Valeurs possibles telles que Low, Medium, High ou Unknown. |
| Stream | Stream | Source des journaux de détection liés à l’application cloud spécifique. Optional. |
Identificateurs forts d’une entité d’application cloud
- AppId (sans InstanceName)
- Nom (sans Nom_instance)
- AppId + Nom d’instance
- Nom + Instance Name
Liste des identificateurs d’application cloud
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Résolution DNS
Nom de l’entité : DNS
| Field | Type | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | Nom de l'enregistrement DNS associé à l'alerte. |
| IpAddress | Entité de liste<(IP)> | Entités correspondant aux adresses IP résolues. |
| DnsServerIp | Entité (IP) | Entité représentant le serveur DNS qui résout la requête. |
| HostIpAddress | Entité (IP) | Entité représentant le client de la requête DNS. |
Identificateurs forts d’une entité DNS
- DomainName + DnsServerIp HostIpAddress +
Identificateurs faibles d’une entité DNS
- Nom de domaine + AdresseIp
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Ressource Azure
Nom de l’entité : AzureResource
| Field | Type | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | ID de ressource Azure de la ressource. Mandatory. |
| SubscriptionId | String | ID d’abonnement de la ressource. |
| ActiveContacts | Répertorier<ActiveContact> | Contacts actifs associés à la ressource. |
| ResourceType | String | Type de la ressource. |
| ResourceName | String | Nom de la ressource. |
Identificateurs forts d’une entité de ressource Azure
- ResourceId
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Hachage de fichier
Nom de l’entité : FileHash
| Field | Type | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | Type d'algorithme de hachage. Mandatory. Valeurs possibles : |
| Value | String | Valeur de hachage. Mandatory. |
Identificateurs forts d’une entité de hachage de fichier
- Algorithme + valeur
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Clé du Registre
Nom de l’entité : RegistryKey
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | Une des valeurs suivantes : |
| Key | String | Chemin de la clé de Registre. |
Identificateurs forts d’une entité de clé de Registre
- Hive + Clé
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Valeur de Registre
Nom de l’entité : RegistryValue
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Entité (hôte) | Hôte auquel appartient le Registre. |
| Key | Entité (RegistryKey) | Entité Clé de Registre. |
| Name | String | Nom de la valeur de Registre. |
| Value | String | Représentation sous forme de chaîne des données de la valeur. |
| ValueType | Enum? | Une des valeurs suivantes : Les valeurs doivent être conformes à l'énumération Microsoft.Win32.RegistryValueKind. |
Identificateurs forts d’une entité de valeur de Registre
- Clé + Nom
Identificateurs faibles d’une entité de valeur de Registre
- Name (sans Key)
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Groupe de sécurité
Nom de l’entité : SecurityGroup
| Field | Type | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | Nom distinctif du groupe. |
| SID | String | Attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe. |
| ObjectGuid | Guid? | Attribut à valeur unique qui constitue l’identificateur unique de l’objet, attribué par Active Directory. |
Identificateurs forts d’une entité de groupe de sécurité
- DistinguishedName
- SID
- ObjectGuid
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
URL
Nom de l’entité : URL
| Field | Type | Description |
|---|---|---|
| Type | String | 'url' |
| Url | Uri | URL complète vers laquelle pointe l'entité. Mandatory. |
Identificateurs forts d’une entité URL
- URL (** Cet identifiant est fort lorsque l’URL est absolue.)
Identificateurs faibles d’une entité URL
- Url (** Cet identificateur est faible lorsque l’URL est une URL relative.)
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Appareil IoT
Nom de l’entité : IoTDevice
| Field | Type | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | Entité AzureResource représentant l'instance IoT Hub à laquelle appartient l'appareil. |
| DeviceId | String | ID de l'appareil dans le contexte d'IoT Hub. Mandatory. |
| DeviceName | String | Nom convivial de l'appareil. |
| Owners | Chaîne de liste<> | Propriétaires du périphérique. |
| IoTSecurityAgentId | Guid? | ID de l’agent Defender pour IoT s’exécutant sur l’appareil. |
| DeviceType | String | Type d'appareil (« capteur de température », « congélateur », « éolienne », etc.). |
| DeviceTypeId | String | ID unique permettant d’identifier chaque type de périphérique en fonction du schéma de type de périphérique, car le type de périphérique lui-même est un nom d’affichage et n’est pas fiable dans les comparaisons. Valeurs possibles : Non classé = 0 Divers = 1 Périphérique réseau = 2 Imprimante = 3 Audio et vidéo = 4 Média et surveillance = 5 Communication = 7 Appliance intelligente = 9 Station de travail = 10 Serveur = 11 Mobile = 12 Installation intelligente = 13 Industriel = 14 Équipement opérationnel = 15 |
| Source | String | Source (Microsoft/Fournisseur) de l'entité d'appareil. |
| SourceRef | Entité (URL) | Référence URL à l'élément source où l'appareil est géré. |
| Manufacturer | String | Fabricant de l’appareil |
| Model | String | Modèle de l’appareil |
| OperatingSystem | String | Système d'exploitation que l'appareil utilise. |
| IpAddress | Entité (IP) | Adresse IP actuelle de l'appareil. |
| MacAddress | String | Adresse MAC de l’appareil. |
| Nics | Entité (Nic) | Cartes réseau actuelles sur le périphérique. |
| Protocols | Chaîne de liste<> | Liste des protocoles pris en charge par l'appareil. |
| SerialNumber | String | Numéro de série de l’appareil. |
| Site | String | Emplacement du site du périphérique. |
| Zone | String | Emplacement de la zone du périphérique au sein d’un site. |
| Sensor | String | Capteur qui surveille le périphérique. |
| Importance | Enum? | Une des valeurs suivantes : |
| PurdueLayer | String | Couche Purdue du périphérique. |
| IsProgramming | Bool? | Indique si le périphérique est classé comme appareil de programmation. |
| IsAuthorized | Bool? | Indique si le périphérique est classé comme périphérique autorisé. |
| IsScanner | Bool? | Indique si l’appareil est classé comme appareil de scanneur. |
| DevicePageLink | Entité (URL) | URL de la page du périphérique dans le portail Defender pour IoT. |
| DeviceSubType | String | Nom du sous-type du périphérique. |
Identificateurs forts d’une entité d’appareil IoT
- IoTHub + DeviceId
Identificateurs faibles d’une entité d’appareil IoT
- DeviceId (sans IoTHub)
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Mailbox
Nom de l’entité : Boîte aux lettres
| Field | Type | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | Adresse principale de la boîte aux lettres. |
| DisplayName | String | Nom d'affichage de la boîte aux lettres. |
| Upn | String | UPN de la boîte aux lettres. |
| AadId | String | Identificateur Azure AD de la boîte aux lettres de l’utilisateur. |
| RiskLevel | RiskLevel (entier) | Niveau de risque associé à cette boîte aux lettres. Valeurs possibles : |
| ExternalDirectoryObjectId | Guid? | Identificateur AzureAD de la boîte aux lettres. Semblable à AadUserId pour l'entité Compte, mais cette propriété est spécifique à l'objet de boîte aux lettres du côté Office. |
Identificateurs forts d’une entité de boîte aux lettres
- MailboxPrimaryAddress
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Cluster de messagerie
Nom de l’entité : MailCluster
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | Chaîne IList<> | ID des messages électroniques appartenant au cluster de courrier. |
| CountByDeliveryStatus | Chaîne IDictionary,Int<> | Nombre de messages électroniques par représentation sous forme de chaîne DeliveryStatus. |
| CountByThreatType | Chaîne IDictionary,Int<> | Nombre de messages électroniques par représentation sous forme de chaîne ThreatType. |
| CountByProtectionStatus | Chaîne IDictionary,long<> | Nombre de messages électroniques par représentation sous forme de chaîne d’état de protection. |
| CountByDeliveryLocation | Chaîne IDictionary,long<> | Nombre de messages électroniques par représentation sous forme de chaîne d’emplacement de la livraison. |
| Threats | Chaîne IList<> | Menaces associées aux messages électroniques appartenant au cluster de courrier. |
| Query | String | Requête utilisée pour identifier les messages du cluster de courrier. |
| QueryTime | DateTime? | Date/heure de la requête. |
| MailCount | Int? | Nombre de messages électroniques appartenant au cluster de courrier. |
| IsVolumeAnomaly | Bool? | Indique si le cluster de courrier est un cluster de courrier d’anomalie de volume. |
| Source | String | Source du cluster de courrier (la valeur par défaut est O365 ATP). |
Identificateurs forts d’une entité de cluster de courrier
- Requête + source
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Courrier électronique
Nom de l’entité : MailMessage
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | Entité IList<(fichier)> | Entités Fichier des pièces jointes de ce message électronique. |
| Recipient | String | Destinataire de ce message électronique. Lorsqu'il y a plusieurs destinataires, le message est copié et chaque copie possède un destinataire. |
| Urls | Chaîne IList<> | URL contenues dans ce message électronique. |
| Threats | Chaîne IList<> | Menaces contenues dans ce message électronique. |
| Sender | String | Adresse e-mail de l’expéditeur. |
| SenderIP | String | Adresse IP de l'expéditeur. |
| ReceivedDate | DateTime | Date de réception de ce message. |
| NetworkMessageId | Guid? | ID de message réseau de ce message électronique. |
| InternetMessageId | String | ID de message Internet de ce message électronique. |
| Subject | String | Objet de ce message électronique. |
| AntispamDirection | Enum? | Directionnalité de ce message électronique. Valeurs possibles : |
| DeliveryAction | Enum? | Action de remise de ce message électronique. Valeurs possibles : |
| DeliveryLocation | Enum? | Emplacement de remise de ce message électronique. Valeurs possibles : |
| CampaignId | String | Identificateur de la campagne dans laquelle ce message électronique est présent. |
| SuspiciousRecipients | Chaîne IList<> | Liste des destinataires détectés comme suspects. |
| ForwardedRecipients | Chaîne IList<> | Liste de tous les destinataires sur le courrier transféré. |
| ForwardingType | Chaîne IList<> | Type de transfert du courrier, tel que SMTP, ETR, etc. |
Identificateurs forts d’une entité de message électronique
- NetworkMessageId + Destinataire
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
E-mail de soumission
Nom de l’entité : SubmissionMail
| Field | Type | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | ID de l'envoi. |
| SubmissionDate | DateTime? | Date et heure indiquées pour cet envoi. |
| Submitter | String | Adresse e-mail de l'expéditeur. |
| NetworkMessageId | Guid? | ID de message réseau de l'e-mail auquel l'envoi appartient. |
| Timestamp | DateTime? | Horodatage de réception du message (courrier). |
| Recipient | String | Destinataire du courrier. |
| Sender | String | Expéditeur du courrier. |
| SenderIp | String | Adresse IP de l'expéditeur. |
| Subject | String | Objet du courrier envoyé. |
| ReportType | String | Type d'envoi pour l'instance donnée Les valeurs possibles sont Junk, Phish, Malware ou NotJunk. |
Identificateurs forts d’une entité SubmissionMail
- SubmitId, Submitter, NetworkMessageId, Recipient
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Entités sentinelles
| Field | Type | Description |
|---|---|---|
| Entities | String | Liste des entités identifiées dans l’alerte. Cette liste correspond à la colonne entités du schéma SecurityAlert (voir documentation). |
Retour à la liste des schémas | de type d’entitéRetour à la table des identificateurs d’entité
Identificateurs des applications cloud
La liste suivante définit les identificateurs des applications cloud connues. La valeur de l’ID d’application est utilisée comme identifiant d’entité d’application cloud .
| App ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Pierres angulaires sur demande |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Services en ligne Microsoft |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive Entreprise |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps (Protection pour Applications Cloud de Microsoft) |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Cycle de vie Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Entreprise |
| 25988 | Google Docs |
| 26055 | Centre d’administration Microsoft 365 |
| 26060 | Engrenages OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID (système d'identification de Microsoft) |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace par Facebook |
| 28373 | Émulateur de proxy CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Étapes suivantes
Ce document vous a permis de vous familiariser avec la structure, les identificateurs et les schémas des entités dans Microsoft Sentinel.
En savoir plus sur les entités et la cartographie des entités.