Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten dokument zawiera dwa zestawy informacji dotyczących jednostek i typów jednostek w usłudze Microsoft Sentinel w witrynie Azure Portal i usłudze Microsoft Sentinel w portalu usługi Defender.
- W tabeli Typy jednostek i identyfikatory przedstawiono różne typy jednostek , które można zidentyfikować w alertach i zdarzeniach, co umożliwia ich śledzenie i badanie. W tabeli przedstawiono również dla każdego typu jednostki różne identyfikatory, których można użyć do identyfikowania jednostki.
- Sekcja schematu encji pokazuje strukturę danych i schemat dla jednostek ogólnie oraz dla każdego typu encji w szczególności.
Important
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Typy jednostek i identyfikatory
Poniższa tabela przedstawia typy encji rozpoznawane przez Microsoft Sentinel oraz atrybuty , które mogą być używane jako identyfikatory dla każdego typu jednostki.
Microsoft Sentinel rozpoznaje jednostki w alertach i incydentach tworzonych przez mapowanie encji w regułach analityki. Rozpoznaje również jednostki już zidentyfikowane w alertach pozyskanych z innych źródeł.
Obecnie można używać maksymalnie trzech identyfikatorów dla danej jednostki podczas tworzenia mapowania jednostek w usłudze Microsoft Sentinel. Same silne identyfikatory wystarczą do jednoznacznej identyfikacji jednostki, podczas gdy słabe identyfikatory mogą to zrobić tylko w połączeniu z innymi identyfikatorami. Dowiedz się więcej o silnych i słabych identyfikatorach. Większość, ale nie wszystkie identyfikatory w tej tabeli mogą być używane podczas tworzenia mapowań jednostek w usłudze Microsoft Sentinel (zobacz przypisy dolne).
| Typ encji | Identifiers | Silne identyfikatory | Słabe identyfikatory |
|---|---|---|---|
| Account | Name Pełne imię i nazwisko * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Nazwa+Host+NTDomain ** Nazwa+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName Pełne imię i nazwisko * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Typ jednostki | Identifiers | Silne identyfikatory | Słabe identyfikatory |
| IP | Address AddressScope |
Globalny adres: Adres** Prywatny adres: Address+AddressScope** |
Prywatny adres: Adres** |
| URL | Url | Adres URL (jeśli bezwzględny adres URL)** | Adres URL (jeśli względny adres URL)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
Aplikacja chmurowa (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
Rozdzielanie DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
Skrót pliku (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| Typ jednostki | Identifiers | Silne identyfikatory | Słabe identyfikatory |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Prowadzący+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (bez hosta) ProcessId+CreationTimeUtc+ Plik obrazów (bez hosta) |
|
Klucz rejestru (RegistryKey) |
Hive Key |
Hive+Key | |
|
Wartość rejestru (RegistryValue) |
Name Value ValueType |
Key+Name | Nazwa (bez klucza) |
|
Grupa Bezpieczeństwa (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Typ jednostki | Identifiers | Silne identyfikatory | Słabe identyfikatory |
|
Klaster poczty (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Wiadomość pocztowa (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Język* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Poczta z przesłaniem (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Istoty strażnicze | Entities | Entities |
Przypisy do tabeli:
- * Te identyfikatory są wyświetlane na liście identyfikatorów, które mogą być używane w mapowaniu jednostek, ale ściśle mówiąc, nie są częścią schematu jednostki.
- ** Te identyfikatory są uznawane za silne tylko w określonych warunkach. Postępuj zgodnie z linkami gwiazdki, aby wyświetlić warunki, które mają zastosowanie, w obszarze listy odpowiedniej jednostki w poniższej sekcji schematów jednostek.
- Nazwy identyfikatorów kursywy (bez gwiazdki) reprezentują jednostki wewnętrzne, co oznacza, że jeden typ jednostki może mieć inne typy jednostek jako atrybuty (zobacz sekcję schematów jednostek poniżej). Postępuj zgodnie z linkiem identyfikatora, aby wyświetlić własny schemat jednostki wewnętrznej.
- Inne jednostki mogą znajdować się w schemacie, który jest ogólnym schematem obsługującym wiele elementów oprócz usługi Microsoft Sentinel. W tym artykule wymieniono tylko te jednostki dostępne w usłudze Microsoft Sentinel.
Schematy typu jednostki
Poniższa sekcja zawiera bardziej szczegółowe omówienie pełnych schematów każdego typu jednostki. Zauważysz, że wiele z tych schematów zawiera linki do innych typów jednostek. Na przykład schemat Konto zawiera link do typu jednostki Host, ponieważ jednym z atrybutów konta użytkownika jest host, na którego jest zdefiniowany. Te atrybuty jako jednostki są nazywane "jednostkami wewnętrznymi" i nie można ich używać jako identyfikatorów do mapowania jednostek, ale są one bardzo przydatne w zapewnianiu pełnego obrazu jednostek na stronach jednostek i wykresie badania.
Note
Znak zapytania po wartości w kolumnie Typ oznacza, że pole jest nieważne.
Lista schematów typu jednostki
- Account
- Host
- IP
- Malware
- File
- Process
- Aplikacja chmurowa
- Rozpoznawanie nazw DNS
- Azure resource
- Skrót pliku
- Klucz rejestru
- Wartość rejestru
- Grupa Bezpieczeństwa
- URL
- Urządzenie IoT
- Mailbox
- Klaster poczty
- Wiadomość pocztowa
- Poczta z przesłaniem
- Istoty strażnicze
Account
Nazwa jednostki: Konto
| Field | Typ | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | Nazwa konta. To pole powinno zawierać tylko nazwę bez dodania do niej żadnej domeny. |
| FullName | -- | Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
| NTDomain | String | Nazwa domeny NETBIOS wyświetlana w formacie alertu — domena\nazwa użytkownika. Przykłady: Finanse, WŁADZA NT |
| DnsDomain | String | W pełni kwalifikowana nazwa DNS domeny. Przykłady: finance.contoso.com |
| UPNSuffix | String | Sufiks głównej nazwy użytkownika dla konta. W wielu przypadkach sufiks nazwy UPN jest również nazwą domeny. Przykłady: contoso.com |
| Host | Byt (Host) | Host zawierający konto, jeśli jest kontem lokalnym. |
| Sid | String | Identyfikator zabezpieczeń konta. |
| AadTenantId | Guid? | Identyfikator dzierżawy entra firmy Microsoft, jeśli jest znany. |
| AadUserId | Guid? | Identyfikator obiektu konta Entra firmy Microsoft, jeśli jest znany. |
| PUID | Guid? | Identyfikator użytkownika usługi Microsoft Entra Passport, jeśli jest znany. |
| IsDomainJoined | Bool? | Wskazuje, czy konto jest kontem domeny. |
| DisplayName | -- | Nie jest częścią schematu, uwzględnione w celu zapewnienia zgodności z poprzednimi wersjami mapowania jednostek. |
| ObjectGuid | Guid? | Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory. |
| CloudAppAccountId | String | Identyfikator accountID w alertach od dostawcy usługi CloudApp. Odwołuje się do identyfikatorów kont w aplikacjach innych firm, które nie są obsługiwane w innych produktach firmy Microsoft. |
| IsAnonymized | Bool? | Wskazuje, czy nazwa użytkownika jest anonimowa. Optional. Wartość domyślna: false. |
| Stream | Stream | Źródło dzienników odnajdywania powiązanych z określonym kontem. Optional. |
Silne identyfikatory jednostki konta
- Nazwa + UPNSuffix
- AadUserId
-
Sid
** Ten identyfikator jest silny, o ile konto nie jest jednym z wbudowanych kont wymienionych w notatce poniżej. -
Sid i host
** Gdy konto jest jednym z wbudowanych kont wymienionych w Notatce poniżej, komponent Host musi uczynić ten identyfikator silnym. -
Nazwa + NTDomain
** Ta kombinacja jest silnym identyfikatorem, gdy konto jest kontem domeny, ponieważ NTDomain nie jest wbudowaną domeną/grupą roboczą i różni się od nazwy hosta. W takim przypadku jest to silny identyfikator, nawet bez składnika Host. -
Nazwa + NTDomain + host
** Składnik hosta jest niezbędny do utworzenia silnego identyfikatora, gdy konto jest kontem lokalnym, co oznacza, że NTDomain jest wbudowaną domeną/grupą roboczą. - Nazwa i domena DnsDomain
- PUID
- ObjectGuid
Słabe identyfikatory jednostki konta
- Name
Note
Jeśli jednostka konta jest zdefiniowana za pomocą identyfikatora Nazwy , a wartość Nazwa danej jednostki jest jedną z następujących ogólnych, powszechnie wbudowanych nazw kont, to ta jednostka zostanie usunięta z alertu.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- UWIERZYTELNIONY UŻYTKOWNIK
- NETWORK
- NULL
- SYSTEM LOKALNY
- LOCALSYSTEM
- USŁUGA SIECIOWA
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Host
Nazwa jednostki: Host
| Field | Typ | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | Podmiot Listy<(IP)> | Lista wszystkich interfejsów IP na maszynie hosta. |
| DnsDomain | String | Domena DNS, do którego należy ten host. Powinien zawierać pełny sufiks DNS dla domeny, jeśli jest znany. |
| NTDomain | String | Domena NT, do którego należy ten host. |
| HostName | String | Nazwa hosta bez sufiksu domeny. |
| NetBiosName | String | Nazwa hosta (przed systemem Windows 2000). |
| IoTDevice | Jednostka (urządzenie IoT) | Jednostka Urządzenie IoT (jeśli ten host reprezentuje urządzenie IoT). |
| AzureID | String | Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany. |
| OMSAgentID | String | Identyfikator agenta pakietu OMS, jeśli host ma zainstalowanego agenta pakietu OMS. |
| OSFamily | Enum? | Jedna z następujących wartości: |
| OSVersion | String | Wolna reprezentacja systemu operacyjnego. To pole jest przeznaczone do przechowywania określonych wersji, które są bardziej szczegółowe niż OSFamily lub przyszłe wartości nieobsługiwane przez wyliczenie OSFamily. |
| IsDomainJoined | Bool | Wskazuje, czy ten host należy do domeny. |
Silne identyfikatory jednostki hosta
- Nazwa hosta + NTDomain
- Nazwa hosta i domena DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Słabe identyfikatory jednostki hosta
- HostName
- NetBiosName
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
IP
Nazwa jednostki: ADRES IP
| Field | Typ | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | Adres IP jako ciąg (w IPv4 lub IPv6). Przykłady: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | String | Nazwa hosta, podsieci lub sieci prywatnej dla prywatnych, nieglobalnych adresów IP. Wartości null lub puste dla globalnych adresów IP (ustawienie domyślne). Przykłady: /27255.255.255.128 |
| Location | GeoLocation | Kontekst lokalizacji geograficznej dołączony do jednostki IP. Aby uzyskać więcej informacji, zobacz również Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza). |
| Stream | Stream | Źródło dzienników odnajdywania powiązanych z określonym adresem IP. Optional. |
Silne identyfikatory jednostki IP
-
Address
Gdy adres IP jest adresem globalnym, identyfikator adresu sam w sobie jest unikatowym, silnym identyfikatorem. -
Adres i adreszakres
W przypadku prywatnych/wewnętrznych, nieglobalnych adresów IP składnik AddressScope jest wymagany do utworzenia silnego identyfikatora.
Słabe identyfikatory jednostki IP
-
Address
Sam identyfikator adresu jest słabym identyfikatorem, gdy adres IP jest prywatnym/wewnętrznym, nieglobalnym adresem IP.
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Malware
Nazwa jednostki: Złośliwe oprogramowanie
| Field | Typ | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | Nazwa złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?), na przykład Win32/Toga!rfn. |
| Category | String | Na przykład kategoria złośliwego oprogramowania przypisana przez dostawcę (wykrywanie?). Trojan. |
| Files | Jednostka Listy<(plik)> | Lista połączonych jednostek plików, na których znaleziono złośliwe oprogramowanie. Może zawierać jednostki File w tekście lub jako odwołanie. Zobacz pojemność Plik, aby uzyskać więcej szczegółów na temat struktury. |
| Processes | Jednostka lista<(proces)> | Lista połączonych jednostek procesów, na których znaleziono złośliwe oprogramowanie. Jest to często używane, gdy alert został wyzwolony w przypadku działania bez plików. Zobacz encję Proces, aby uzyskać więcej szczegółów na temat struktury. |
Silne identyfikatory jednostki złośliwego oprogramowania
- Nazwa i kategoria
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
File
Nazwa jednostki: Plik
| Field | Typ | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | Pełna ścieżka, w której ma być wyszukiwany plik. |
| Name | String | Nazwa pliku bez ścieżki (niektóre alerty mogą nie zawierać ścieżki). |
| AlternateDataStreamName | String | Nazwa strumienia plików w systemie plików NTFS (wartość null dla głównego strumienia). |
| Host | Byt (Host) | Host, na którym był przechowywany plik. |
| HostUrl | Podmiot (URL) | Adres URL, z którego pobrano plik (Znacznik sieci Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Zabezpieczenia Windows strefy, do której należy adres URL (Znacznik sieci Web). |
| ReferrerUrl | Podmiot (URL) | Adres URL odwołania żądania HTTP pobierania pliku (Znacznik sieci Web). |
| SizeInBytes | Long? | Rozmiar pliku w bajtach. |
| FileHashes | Encja Listy<(FileHash)> | Skróty plików skojarzone z tym plikiem. |
Silne identyfikatory jednostki pliku
- Nazwa i katalog
- Nazwa i plikHash
- Nazwa + katalog + plikHash
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Process
Nazwa jednostki: Proces
| Field | Typ | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | Identyfikator procesu. |
| CommandLine | String | Wiersz polecenia użyty do utworzenia procesu. |
| ElevationToken | Enum? | Token podniesienia uprawnień skojarzony z procesem. Możliwe wartości: |
| CreationTimeUtc | DateTime? | Czas rozpoczęcia procesu. |
| ImageFile | Encja (plik) | Może zawierać jednostkę File w tekście lub jako odwołanie. Zobacz pojemność Plik, aby uzyskać więcej szczegółów na temat struktury. |
| Account | Podmiot (konto) | Konto, na którym są uruchomione procesy. Może zawierać jednostkę Account w tekście lub jako odwołanie. Zobacz jednostkę Konta, aby uzyskać więcej szczegółów na temat struktury. |
| ParentProcess | Encja (proces) | Jednostka procesu nadrzędnego. Może zawierać dane częściowe, na przykład tylko piD. |
| Host | Byt (Host) | Host, na którym był uruchomiony proces. |
| LogonSession | Jednostka (HostLogonSession) | Sesja, w której był uruchomiony proces. |
Silne identyfikatory jednostki procesu
- Host + ProcessId + CreationTimeUtc
- Gospodarz + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Słabe identyfikatory jednostki procesu
- ProcessId + CreationTimeUtc + CommandLine (i bez hosta)
- ProcessId + CreationTimeUtc + ImageFile (i brak hosta)
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Aplikacja w chmurze
Nazwa jednostki: CloudApplication
Silne identyfikatory jednostki aplikacji w chmurze
- AppId (bez wystąpieniaName)
- Nazwa (bez wystąpieniaName)
- Identyfikator aplikacji i nazwa wystąpienia
- Nazwa i nazwa wystąpienia
Lista identyfikatorów aplikacji w chmurze
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Rozpoznawanie nazw DNS
Nazwa jednostki: DNS
| Field | Typ | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | Nazwa rekordu DNS skojarzonego z alertem. |
| IpAddress | Jednostka Listy<(IP)> | Jednostki odpowiadające rozpoznanych adresom IP. |
| DnsServerIp | Podmiot (IP) | Jednostka reprezentująca serwer DNS rozpoznający żądanie. |
| HostIpAddress | Podmiot (IP) | Jednostka reprezentująca klienta żądania DNS. |
Silne identyfikatory jednostki DNS
- DomainName + DnsServerIp +
Słabe identyfikatory jednostki DNS
- DomainName + HostIpAddress
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Zasób platformy Azure
Nazwa jednostki: AzureResource
| Field | Typ | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | Identyfikator zasobu platformy Azure. Mandatory. |
| SubscriptionId | String | Identyfikator subskrypcji zasobu. |
| ActiveContacts | Wyświetlanie listy<aktywnychkontaktów> | Aktywne kontakty skojarzone z zasobem. |
| ResourceType | String | Typ zasobu. |
| ResourceName | String | Nazwa zasobu. |
Silne identyfikatory jednostki zasobów platformy Azure
- ResourceId
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Skrót pliku
Nazwa jednostki: FileHash
| Field | Typ | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | Typ algorytmu skrótu. Mandatory. Możliwe wartości: |
| Value | String | Wartość skrótu. Mandatory. |
Silne identyfikatory jednostki skrótu pliku
- Algorytm i wartość
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Klucz rejestru
Nazwa jednostki: RegistryKey
| Field | Typ | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | Jedna z następujących wartości: |
| Key | String | Ścieżka klucza rejestru. |
Silne identyfikatory jednostki klucza rejestru
- Hive + klucz
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Wartość rejestru
Nazwa jednostki: RegistryValue
| Field | Typ | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Byt (Host) | Host, do którego należy rejestr. |
| Key | Podmiot (RegistryKey) | Jednostka klucza rejestru. |
| Name | String | Nazwa wartości rejestru. |
| Value | String | Ciąg sformatowany reprezentacja danych wartości. |
| ValueType | Enum? | Jedna z następujących wartości: Wartości powinny być zgodne z wyliczeniem Microsoft.Win32.RegistryValueKind. |
Silne identyfikatory jednostki wartości rejestru
- Klucz i nazwa
Słabe identyfikatory jednostki wartości rejestru
- Nazwa (bez klucza)
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Grupa zabezpieczeń
Nazwa jednostki: SecurityGroup
| Field | Typ | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | Nazwa wyróżniająca grupy. |
| SID | String | Atrybut z jedną wartością, który określa identyfikator zabezpieczeń (SID) grupy. |
| ObjectGuid | Guid? | Atrybut z jedną wartością, który jest unikatowym identyfikatorem obiektu przypisanego przez usługę Active Directory. |
Silne identyfikatory jednostki grupy zabezpieczeń
- DistinguishedName
- SID
- ObjectGuid
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
adres URL
Nazwa jednostki: adres URL
| Field | Typ | Description |
|---|---|---|
| Typ | String | 'url' |
| Url | Uri | Pełny adres URL wskazujący jednostkę. Mandatory. |
Silne identyfikatory jednostki adresu URL
- URL (** Ten identyfikator jest silny, gdy URL jest absolutnym URL.)
Słabe identyfikatory jednostki adresu URL
- Adres URL (** Ten identyfikator jest słaby, gdy adres URL jest względnym adresem URL).
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Urządzenie IoT
Nazwa jednostki: IoTDevice
| Field | Typ | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | Jednostka AzureResource reprezentująca centrum IoT Hub, do którego należy urządzenie. |
| DeviceId | String | Identyfikator urządzenia w kontekście usługi IoT Hub. Mandatory. |
| DeviceName | String | Przyjazna nazwa urządzenia. |
| Owners | Ciąg listy<> | Właściciele urządzenia. |
| IoTSecurityAgentId | Guid? | Identyfikator agenta usługi Defender for IoT uruchomionego na urządzeniu. |
| DeviceType | String | Typ urządzenia ("czujnik temperatury", "zamrażarka", "turbina wiatrowa" itp.). |
| DeviceTypeId | String | Unikatowy identyfikator identyfikujący każdy typ urządzenia zgodnie ze schematem typu urządzenia, ponieważ sam typ urządzenia jest nazwą wyświetlaną i nie jest niezawodny w porównaniach. Możliwe wartości: Niesklasyfikowane = 0 Różne = 1 Urządzenie sieciowe = 2 Drukarka = 3 Dźwięk i wideo = 4 Media i nadzór = 5 Komunikacja = 7 Urządzenie inteligentne = 9 Stacja robocza = 10 Serwer = 11 Telefon komórkowy = 12 Inteligentny obiekt = 13 Przemysłowy = 14 Sprzęt operacyjny = 15 |
| Source | String | Źródło (Microsoft/Vendor) jednostki urządzenia. |
| SourceRef | Podmiot (URL) | Odwołanie do adresu URL elementu źródłowego, w którym jest zarządzane urządzenie. |
| Manufacturer | String | Producent urządzenia. |
| Model | String | Model urządzenia. |
| OperatingSystem | String | System operacyjny, na którym działa urządzenie. |
| IpAddress | Podmiot (IP) | Bieżący adres IP urządzenia. |
| MacAddress | String | Adres MAC urządzenia. |
| Nics | Byt (Nic) | Bieżące karty sieciowe na urządzeniu. |
| Protocols | Ciąg listy<> | Lista protokołów, które obsługuje urządzenie. |
| SerialNumber | String | Numer seryjny urządzenia. |
| Site | String | Lokalizacja lokacji urządzenia. |
| Zone | String | Lokalizacja strefy urządzenia w lokacji. |
| Sensor | String | Czujnik monitorujący urządzenie. |
| Importance | Enum? | Jedna z następujących wartości: |
| PurdueLayer | String | Warstwa purdue urządzenia. |
| IsProgramming | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie programistyczne. |
| IsAuthorized | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako autoryzowane urządzenie. |
| IsScanner | Bool? | Wskazuje, czy urządzenie zostało sklasyfikowane jako urządzenie skanera. |
| DevicePageLink | Podmiot (URL) | Adres URL strony urządzenia w portalu usługi Defender for IoT. |
| DeviceSubType | String | Nazwa podtypu urządzenia. |
Silne identyfikatory jednostki urządzenia IoT
- IoTHub + DeviceId
Słabe identyfikatory jednostki urządzenia IoT
- DeviceId (bez usługi IoTHub)
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Mailbox
Nazwa jednostki: Skrzynka pocztowa
| Field | Typ | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | Podstawowy adres skrzynki pocztowej. |
| DisplayName | String | Nazwa wyświetlana skrzynki pocztowej. |
| Upn | String | Nazwa UPN skrzynki pocztowej. |
| AadId | String | Identyfikator usługi Azure AD skrzynki pocztowej użytkownika. |
| RiskLevel | RiskLevel (Liczba całkowita) | Poziom ryzyka tej skrzynki pocztowej. Możliwe wartości: |
| ExternalDirectoryObjectId | Guid? | Identyfikator skrzynki pocztowej usługi AzureAD. Podobnie jak AadUserId w jednostce Account, ale ta właściwość jest specyficzna dla obiektu skrzynki pocztowej po stronie pakietu Office. |
Silne identyfikatory jednostki skrzynki pocztowej
- MailboxPrimaryAddress
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Klaster poczty
Nazwa jednostki: MailCluster
| Field | Typ | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | Ciąg IList<> | Identyfikatory wiadomości e-mail, które są częścią klastra poczty. |
| CountByDeliveryStatus | Ciąg IDictionary<, Int> | Liczba wiadomości e-mail według reprezentacji ciągu DeliveryStatus. |
| CountByThreatType | Ciąg IDictionary<, Int> | Liczba wiadomości e-mail według reprezentacji ciągu ThreatType. |
| CountByProtectionStatus | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu stanu ochrony. |
| CountByDeliveryLocation | Ciąg IDictionary<, długi> | Liczba wiadomości e-mail według reprezentacji ciągu lokalizacji dostarczania. |
| Threats | Ciąg IList<> | Zagrożenia dotyczące wiadomości e-mail, które są częścią klastra poczty. |
| Query | String | Zapytanie, które zostało użyte do zidentyfikowania wiadomości klastra poczty. |
| QueryTime | DateTime? | Czas zapytania. |
| MailCount | Int? | Liczba wiadomości e-mail, które są częścią klastra poczty. |
| IsVolumeAnomaly | Bool? | Wskazuje, czy klaster poczty jest klastrem poczty anomalii woluminu. |
| Source | String | Źródło klastra poczty (wartość domyślna to O365 ATP). |
Silne identyfikatory jednostki klastra poczty
- Zapytanie i źródło
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Wiadomość e-mail
Nazwa jednostki: MailMessage
| Field | Typ | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | Jednostka IList<(plik)> | Jednostki Plik załączników tej wiadomości e-mail. |
| Recipient | String | Adresat tej wiadomości e-mail. W przypadku wielu adresatów wiadomość e-mail jest kopiowana, a każda kopia ma jednego adresata. |
| Urls | Ciąg IList<> | Adresy URL zawarte w tej wiadomości e-mail. |
| Threats | Ciąg IList<> | Zagrożenia zawarte w tej wiadomości e-mail. |
| Sender | String | Adres e-mail nadawcy. |
| SenderIP | String | Adres IP nadawcy. |
| ReceivedDate | DateTime | Odebrana data tej wiadomości. |
| NetworkMessageId | Guid? | Identyfikator wiadomości sieciowej tej wiadomości e-mail. |
| InternetMessageId | String | Identyfikator wiadomości internetowej tej wiadomości e-mail. |
| Subject | String | Temat tej wiadomości e-mail. |
| AntispamDirection | Enum? | Kierunek tej wiadomości e-mail. Możliwe wartości: |
| DeliveryAction | Enum? | Akcja dostarczania tej wiadomości e-mail. Możliwe wartości: |
| DeliveryLocation | Enum? | Lokalizacja dostarczania tej wiadomości e-mail. Możliwe wartości: |
| CampaignId | String | Identyfikator kampanii, w której znajduje się ta wiadomość e-mail. |
| SuspiciousRecipients | Ciąg IList<> | Lista adresatów, którzy zostali wykryci jako podejrzani. |
| ForwardedRecipients | Ciąg IList<> | Lista wszystkich adresatów przesłanej dalej poczty. |
| ForwardingType | Ciąg IList<> | Typ przekazywania poczty, taki jak SMTP, ETR itp. |
Silne identyfikatory jednostki wiadomości e-mail
- NetworkMessageId + Odbiorca
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Wyślij wiadomość e-mail
Nazwa jednostki: SubmissionMail
| Field | Typ | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | Identyfikator przesyłania. |
| SubmissionDate | DateTime? | Zgłoszona data przesłania. |
| Submitter | String | Adres e-mail przesyłającej. |
| NetworkMessageId | Guid? | Identyfikator wiadomości sieciowej wiadomości e-mail, do której należy przesyłanie. |
| Timestamp | DateTime? | Sygnatura czasowa odebrania wiadomości (Poczta). |
| Recipient | String | Adresat wiadomości e-mail. |
| Sender | String | Nadawca wiadomości e-mail. |
| SenderIp | String | Adres IP nadawcy. |
| Subject | String | Temat przesłania wiadomości e-mail. |
| ReportType | String | Typ przesyłania dla danego wystąpienia. Możliwe wartości to Junk, Phish, Malware lub NotJunk. |
Silne identyfikatory jednostki SubmissionMail
- SubmitId, Submitter, NetworkMessageId, Odbiorca
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Istoty strażnicze
| Field | Typ | Description |
|---|---|---|
| Entities | String | Lista jednostek zidentyfikowanych w alercie. Ta lista to kolumna encji ze schematu SecurityAlert (zobacz dokumentację). |
Powrót do listy schematów | typu jednostkiPowrót do tabeli identyfikatorów jednostek
Identyfikatory aplikacji w chmurze
Poniższa lista definiuje identyfikatory znanych aplikacji w chmurze. Wartość ID aplikacji jest używana jako identyfikator encji aplikacji w chmurze .
| identyfikator aplikacji | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Fundament OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive dla biznesu |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender dla aplikacji chmurowych |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Cykl życia programu Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype dla firm |
| 25988 | Google Docs |
| 26055 | Centrum administracyjne platformy Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Dysk Google |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace na Facebooku |
| 28373 | CAS Proxy Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Dalsze kroki
W tym dokumencie przedstawiono strukturę jednostek, identyfikatory i schemat w usłudze Microsoft Sentinel.
Dowiedz się więcej o encjiach i mapowaniu encji.