Dokumentacja reguł automatyzacji usługi Microsoft Sentinel

Ten artykuł zawiera informacje referencyjne dotyczące konfiguracji reguł automatyzacji oraz obsługiwanych warunków i właściwości.

Aby dowiedzieć się więcej na temat reguł automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji.

Aby uzyskać instrukcje dotyczące tworzenia reguł automatyzacji, zarządzania nimi i używania ich, zobacz Tworzenie i używanie reguł automatyzacji usługi Microsoft Sentinel w celu zarządzania odpowiedzią.

Obsługiwane właściwości jednostki

Następujące jednostki i właściwości jednostki mogą służyć jako warunki dla reguł automatyzacji:

Opisy właściwości
Mapowanie na jednostki

W tej tabeli przedstawiono właściwości jednostki obsługiwane w interfejsie API reguł automatyzacji. Są to właściwości jednostki, których wartości można ustawić jako warunki wyzwalania reguły automatyzacji.

Aby uzyskać pełną listę obsługiwanych właściwości, w tym właściwości zdarzenia, zobacz właściwości właściwości reguły automatyzacji obsługiwane właściwości w dokumentacji interfejsu API reguł automatyzacji.

Nazwa (w interfejsie API)	Type	Opis
AccountAadTenantId	string	Identyfikator dzierżawy konta Microsoft Entra ID
AccountAadUserId	string	Identyfikator użytkownika konta Microsoft Entra ID
AccountName	string	Nazwa konta
AccountNTDomain	string	Nazwa domeny NetBIOS konta
AccountPUID	string	Konto Microsoft Entra ID Passport User ID
AccountSid	string	Identyfikator zabezpieczeń konta
AccountObjectGuid	string	Unikatowy identyfikator obiektu konta
AccountUPNSuffix	string	Sufiks głównej nazwy użytkownika konta
AzureResourceResourceId	string	Identyfikator zasobu platformy Azure
AzureResourceSubscriptionId	string	Identyfikator subskrypcji zasobu platformy Azure
CloudApplicationAppId	string	Identyfikator aplikacji w chmurze
CloudApplicationAppName	string	Nazwa aplikacji w chmurze
DNSDomainName	string	Nazwa domeny rekordu DNS
FileDirectory	string	Pełna ścieżka katalogu plików
FileName	string	Nazwa pliku bez ścieżki
FileHashValue	string	Wartość skrótu pliku
HostAzureID	string	Identyfikator zasobu platformy Azure hosta
HostName	string	Nazwa hosta bez domeny
HostNetBiosName	string	Nazwa NetBIOS hosta
HostNTDomain	string	Domena hosta NT
HostOSVersion	string	System operacyjny hosta
IoTDeviceId	string	Identyfikator urządzenia IoT
IoTDeviceName	string	Nazwa urządzenia IoT
IoTDeviceType	string	Typ urządzenia IoT
IoTDeviceVendor	string	Dostawca urządzenia IoT
IoTDeviceModel	string	Model urządzenia IoT
IoTDeviceOperatingSystem	string	System operacyjny urządzenia IoT
IPAddress	string	Adres IP
MailboxDisplayName	string	Nazwa wyświetlana skrzynki pocztowej
MailboxPrimaryAddress	string	Adres podstawowy skrzynki pocztowej
MailboxUPN	string	Główna nazwa użytkownika skrzynki pocztowej
MailMessageDeliveryAction	string	Akcja dostarczania wiadomości e-mail
MailMessageDeliveryLocation	string	Lokalizacja dostarczania wiadomości e-mail
MailMessageRecipient	string	Adresat wiadomości e-mail
MailMessageSenderIP	string	Adres IP nadawcy wiadomości e-mail
MailMessageSubject	string	Temat wiadomości e-mail
MailMessageP1Sender	string	Nadawca wiadomości e-mail P1 (nadawca delegowany)
MailMessageP2Sender	string	Nadawca wiadomości e-mail P2 (oryginalny nadawca)
MalwareCategory	string	Kategoria złośliwego oprogramowania
Nazwa złośliwego oprogramowania	string	Nazwa złośliwego oprogramowania
ProcessCommandLine	string	Wiersz polecenia wykonywania procesu
ProcessId	string	Identyfikator procesu
Klucz rejestru	string	Ścieżka klucza rejestru
RegistryValueData	string	Wartość klucza rejestru w reprezentacji w formacie ciągu
Url	string	Adres URL

W tej tabeli pokazano, jak obsługiwane właściwości jednostki w interfejsie API reguł automatyzacji są wyświetlane na liście rozwijanej warunek w kreatorze tworzenia reguł automatyzacji. Pokazuje również, jak te właściwości są mapowane na jednostki i ich identyfikatory zgodnie z definicją w alertach zabezpieczeń usługi Microsoft Sentinel.

Nazwa w interfejsie API	Nazwa na liście rozwijanej interfejsu użytkownika	Jednostka: identyfikator w schemacie alertu w wersji 3
AccountAadTenantId	Identyfikator dzierżawy konta	Konto: AadTenantId
AccountAadUserId	Identyfikator użytkownika usługi AAD konta	Konto: AadUserId
AccountName	Nazwa konta	Nazwa konta:
AccountNTDomain	Domena KONTA NT	Konto: NTDomain
AccountPUID	Identyfikator PUID konta	Konto: IDENTYFIKATOR PUID
AccountSid	Identyfikator SID konta	Konto: Sid
AccountObjectGuid	Identyfikator obiektu konta	Konto: ObjectGuid
AccountUPNSuffix	Sufiks nazwy UPN konta	Konto: UPNSuffix
AzureResourceResourceId	Identyfikator zasobu platformy Azure	AzureResource: ResourceId
AzureResourceSubscriptionId	Identyfikator subskrypcji zasobu platformy Azure	AzureResource: SubscriptionId
CloudApplicationAppId	Identyfikator aplikacji w chmurze	CloudApplication: AppId
CloudApplicationAppName	Nazwa aplikacji w chmurze	CloudApplication: Nazwa
DNSDomainName	Nazwa domeny DNS	DNS: Nazwadomeny
FileDirectory	Katalog plików	Plik: Katalog
FileName	Nazwa pliku	Plik: nazwa
FileHashValue	Wartość skrótu pliku	FileHash: Wartość
HostAzureID	Identyfikator platformy Azure hosta	Host: AzureID
HostName	Nazwa hosta	Host: Nazwa hosta
HostNetBiosName	Nazwa NetBIOS hosta	Host: NetBiosName
HostNTDomain	Domena hosta NT	Host: NTDomain
HostOSVersion	System operacyjny hosta	Host: OSVersion
IoTDeviceId	Identyfikator urządzenia IoT	IoTDevice: DeviceId
IoTDeviceName	Nazwa urządzenia IoT	IoTDevice: DeviceName
IoTDeviceType	Typ urządzenia IoT	IoTDevice: DeviceType
IoTDeviceVendor	Dostawca urządzenia IoT	IoTDevice: Producent
IoTDeviceModel	Model urządzenia IoT	IoTDevice: Model
IoTDeviceOperatingSystem	System operacyjny urządzenia IoT	IoTDevice: OperatingSystem
IPAddress	Adres IP	Adres IP:
MailboxDisplayName	Nazwa wyświetlana skrzynki pocztowej	Skrzynka pocztowa: DisplayName
MailboxPrimaryAddress	Adres podstawowy skrzynki pocztowej	Skrzynka pocztowa: MailboxPrimaryAddress
MailboxUPN	Nazwa UPN skrzynki pocztowej	Skrzynka pocztowa: upn
MailMessageDeliveryAction	Akcja dostarczania wiadomości e-mail	MailMessage: DeliveryAction
MailMessageDeliveryLocation	Lokalizacja dostarczania wiadomości e-mail	MailMessage: DeliveryLocation
MailMessageRecipient	Adresat wiadomości e-mail	MailMessage: Adresat
MailMessageSenderIP	Adres IP nadawcy wiadomości e-mail	MailMessage: SenderIP
MailMessageSubject	Temat wiadomości e-mail	MailMessage: Temat
MailMessageP1Sender	Nadawca wiadomości e-mail P1	MailMessage: P1Sender
MailMessageP2Sender	Nadawca wiadomości e-mail P2	MailMessage: P2Sender
MalwareCategory	Kategoria złośliwego oprogramowania	Złośliwe oprogramowanie: Kategoria
Nazwa złośliwego oprogramowania	Nazwa złośliwego oprogramowania	Złośliwe oprogramowanie: nazwa
ProcessCommandLine	Przetwarzanie wiersza polecenia	Proces: Wiersz polecenia
ProcessId	Process ID	Proces: ProcessId
Klucz rejestru	Klucz rejestru	Klucz rejestru: klucz
RegistryValueData	Wartość rejestru	RegistryValue: wartość
Url	Url	Url: Url

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2024-10-16

Udostępnij przez

Dokumentacja reguł automatyzacji usługi Microsoft Sentinel

Obsługiwane właściwości jednostki

Sprzężenie zwrotne

Dodatkowe źródła