你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文档包含两组有关 Azure 门户中Microsoft Sentinel 中的实体和实体类型的信息,并在 Defender 门户中Microsoft Sentinel。
- 实体类型和标识符表显示可在警报和事件中识别的不同类型的实体,使你能够跟踪和调查这些实体。 该表还显示了每个实体类型中可用于标识实体的标识符。
- The Entity schema section shows the data structure and schema for entities in general and for each entity type in particular.
Important
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅“ 移动时间:停用Microsoft Sentinel 的 Azure 门户,提高安全性。
实体类型和标识符
The following table shows the entity types that can be recognized by Microsoft Sentinel, and the attributes that can be used as identifiers for each entity type.
Microsoft Sentinel recognizes entities in alerts and incidents that are created by entity mapping in analytics rules. 它还识别从其他来源引入的警报中已标识的实体。
在 Microsoft Sentinel 中创建实体映射时,当前最多可以为给定实体使用三个标识符。 Strong identifiers alone are sufficient to uniquely identify an entity, whereas weak identifiers can do so only in combination with other identifiers. 详细了解 强标识符和弱标识符。 在 Microsoft Sentinel 中创建实体映射时,可以使用此表中的大多数但并非所有标识符(请参阅脚注)。
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
|---|---|---|---|
| Account | Name FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** 名称 + NT 域 ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
| IP | Address AddressScope |
Global address: Address** Private address: Address+AddressScope** |
Private address: Address** |
| URL | Url | URL(如果是绝对 URL)** | URL(如果是相对 URL)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
Cloud application (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
DNS resolution (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
File hash (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ 命令行(非主机) ProcessId+CreationTimeUtc+ ImageFile (no Host) |
|
Registry key (RegistryKey) |
Hive Key |
Hive+Key | |
|
Registry value (RegistryValue) |
Name Value ValueType |
Key+Name | 名称(非项) |
|
Security group (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
|
Mail cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Mail message (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Language * ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Submission mail (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Sentinel entities | Entities | Entities |
Table footnotes:
- * 这些标识符显示在可在实体映射中使用的标识符列表中,但严格地说,它们不是实体架构的一部分。
- ** 这些标识符仅在某些条件下才能被视为强标识符。 按照星号的链接查看适用条件,具体条件位于 下面的实体架构部分的相关实体列表下。
- 斜体标识符名称 (不含星号)表示内部实体,这意味着一个实体类型可以具有其他实体类型作为属性(请参阅 下面的实体架构部分)。 单击标识符链接查看内部实体的架构。
- 架构中可能存在其他实体,该架构是一种常规架构,除了 Microsoft Sentinel 之外,还支持许多操作。 本文仅列出了Microsoft Sentinel 中可用的实体。
实体类型架构
以下部分更深入地介绍了每种实体类型的完整架构。 你会看到其中许多架构包含指向其他实体类型的链接。 例如,帐户架构包含指向主机实体类型的链接,因为用户帐户的某一属性代表定义帐户的主机。 这些作为属性的实体被称为“内部实体”,不能用作实体映射的标识符,但对完整理解实体页和调查关系图上的实体非常有用。
Note
A question mark following the value in the Type column indicates the field is nullable.
实体类型架构列表
- Account
- Host
- IP
- Malware
- File
- Process
- Cloud application
- DNS resolution
- Azure resource
- File hash
- Registry key
- Registry value
- Security group
- URL
- IoT device
- Mailbox
- Mail cluster
- Mail message
- Submission mail
- Sentinel entities
Account
实体名称:帐户
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | 帐户的名称。 此字段应仅包含名称,且未添加任何域。 |
| FullName | -- | 不包括架构的一部分,用于向后兼容旧版实体映射。 |
| NTDomain | String | 以警报格式显示的 NETBIOS 域名——域\用户名。 Examples: Finance, NT AUTHORITY |
| DnsDomain | String | 完全限定域 DNS 名。 Examples: finance.contoso.com |
| UPNSuffix | String | 帐户的用户主体名称后缀。 在许多情况下,UPN 后缀也是域名。 Examples: contoso.com |
| Host | Entity (Host) | 包含帐户的主机(如果该帐户是本地帐户)。 |
| Sid | String | 帐户安全标识符。 |
| AadTenantId | Guid? | Microsoft Entra 租户 ID(如果已知)。 |
| AadUserId | Guid? | Microsoft Entra 帐户对象 ID(如果已知)。 |
| PUID | Guid? | Microsoft Entra Passport 用户 ID(如果已知)。 |
| IsDomainJoined | Bool? | 指示是否为域帐户。 |
| DisplayName | -- | 不包括架构的一部分,用于向后兼容旧版实体映射。 |
| ObjectGuid | Guid? | ObjectGUID 特性是一个单值属性,它是对象的唯一标识符,由 Active Directory 分配。 |
| CloudAppAccountId | String | 云应用提供商警报中的帐户 ID。 意指其他 Microsoft 产品不支持的第三方应用中的帐户 ID。 |
| IsAnonymized | Bool? | 指示用户名是否匿名。 Optional. 默认值:false。 |
| Stream | Stream | 与特定帐户相关的发现日志来源。 Optional. |
帐户实体的强标识符
- 名称 + UPNSuffix
- AadUserId
-
Sid
** This identifier is strong as long as the account is not one of the built-in accounts listed in the Note below. -
Sid + 主机
** When the account is one of the built-in accounts listed in the Note below, the Host component is required to make this identifier a strong one. -
Name + NTDomain
** 当帐户是域帐户时,此组合为强标识符,因为 NT 域不是内置域/工作组,且与主机名不同。 在这种情况下,即使没有主机组件,此标识符也是强标识符。 -
名称 + NTDomain + 主机
** 当帐户是本地帐户时,必须有主机组件才能创建强标识符,因为 NT 域是内置域/工作组。 - 名称 + DnsDomain
- PUID
- ObjectGuid
帐户实体的弱标识符
- Name
Note
If the Account entity is defined using the Name identifier, and the Name value of a particular entity is one of the following generic, commonly built-in account names, then that entity will be dropped from its alert.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Host
实体名称:主机
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | List<Entity (Ip)> | 主机上所有 IP 接口的列表。 |
| DnsDomain | String | 此主机所属的 DNS 域。 应该包含域的完整 DNS 后缀(如果已知)。 |
| NTDomain | String | 此主机所属的 NT 域。 |
| HostName | String | 不带域后缀的主机名。 |
| NetBiosName | String | 主机名(Windows 2000 以前版本)。 |
| IoTDevice | Entity (IoT Device) | IoT 设备实体(如果此主机表示 IoT 设备)。 |
| AzureID | String | VM 的 Azure 资源 ID (如果已知)。 |
| OMSAgentID | String | OMS 代理 ID(如果主机安装了 OMS 代理)。 |
| OSFamily | Enum? | 以下值之一: |
| OSVersion | String | 操作系统的自由文本表示形式。 此字段旨在保存特定版本,该版本比 OSFamily 更细化,或者是 OSFamily 枚举不支持的未来值。 |
| IsDomainJoined | Bool | 指示主机是否属于域。 |
主机实体的强标识符
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
主机实体的弱标识符
- HostName
- NetBiosName
IP
实体名称:IP
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | IP 地址作为字符串(在 IPv4 或 IPv6 中)。 Examples: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | String | 专用非全局 IP 地址的主机、子网或专用网络的名称。 全局 IP 地址 Null 或为空(默认值)。 Examples: /27, 255.255.255.128 |
| Location | GeoLocation | 附加到 IP 实体的地理位置上下文。 有关详细信息,另请参阅 通过 REST API(公共预览版)通过 rest API 使用地理位置数据的 Microsoft Sentinel 中扩充实体。 |
| Stream | Stream | 与特定 IP 相关的发现日志来源。 Optional. |
IP 实体的强标识符
-
Address
当 IP 地址是全局地址时,地址标识符本身是唯一的强标识符。 -
Address + AddressScope
对于专用/内部非全局 IP 地址,需要 AddressScope 组件才能将此标识符设为强标识符。
IP 实体的弱标识符
-
Address
当 IP 地址是专用/内部非全局 IP 地址时,地址标识符本身是弱标识符。
Malware
实体名称:恶意软件
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | (检测?)供应商分配的恶意软件名称,例如 Win32/Toga!rfn。 |
| Category | String | 例如(检测)供应商分配的恶意软件类别。 Trojan. |
| Files | List<Entity (File)> | 在其中找到了恶意软件的链接文件实体的列表。 可以内联或作为引用包含文件实体。 See the File entity for more details on structure. |
| Processes | List<Entity (Process)> | 发现恶意软件的链接进程实体的列表。 当警报在无文件活动中触发时,通常会使用它。 See the Process entity for more details on structure. |
恶意软件实体的强标识符
- 名称 + 类别
File
实体名称:文件
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | 文件的完整路径。 |
| Name | String | 不带路径的文件名(某些警报可能不包括路径)。 |
| AlternateDataStreamName | String | NTFS 文件系统中的文件流名称(主流为 null)。 |
| Host | Entity (Host) | 存储文件的主机。 |
| HostUrl | Entity (URL) | 从其中下载文件的 URL (Web 标记)。 |
| WindowsSecurityZoneType | WindowsSecurityZone | URL 所属的 Windows 安全区域 (Web 标记)。 |
| ReferrerUrl | Entity (URL) | 文件下载 HTTP 请求的引用 URL (Web 标记)。 |
| SizeInBytes | Long? | 以字节为单位的文件的大小。 |
| FileHashes | List<Entity (FileHash)> | 与此文件关联的文件哈希。 |
文件实体的强标识符
- 名称 + 目录
- Name + FileHash
- Name + Directory + FileHash
Process
实体名称:进程
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | 进程 ID。 |
| CommandLine | String | 用于创建进程的命令行。 |
| ElevationToken | Enum? | 与进程关联的提升标记。 Possible values: |
| CreationTimeUtc | DateTime? | 进程开始运行的时间。 |
| ImageFile | Entity (File) | 可以内联或作为引用包含文件实体。 See the File entity for more details on structure. |
| Account | Entity (Account) | 运行进程的帐户。 可以内联或作为参考包含帐户实体。 See the Account entity for more details on structure. |
| ParentProcess | Entity (Process) | 父进程实体。 可以包含部分数据,例如只有 PID。 |
| Host | Entity (Host) | 运行进程的主机。 |
| LogonSession | Entity (HostLogonSession) | 运行进程的会话。 |
进程实体的强标识符
- Host + ProcessId + CreationTimeUtc
- 主机 + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
进程实体的弱标识符
- ProcessId + CreationTimeUtc + CommandLine(无主机)
- ProcessId + CreationTimeUtc + ImageFile (and no Host)
Cloud application
实体名称:CloudApplication
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | 废弃;请改用 SaasId 字段。 应用程序的技术标识符。 可能的值是在 云应用程序标识符列表中定义的值。 Value optional. 不应包含实例 ID。 |
| SaasId | Int | 替换已弃用的 AppId 字段。 应用程序的技术标识符。 可能的值是在 云应用程序标识符列表中定义的值。 Value optional. 不应包含实例 ID。 |
| Name | String | 相关云应用程序的名称。 Value optional. |
| InstanceName | String | 云应用程序的用户定义实例名称。 它通常用于区分客户拥有的多个相同类型的应用程序。 |
| InstanceId | Int | 应用程序特定会话的标识符。 这是一个从零开始的运行数。 Value optional. |
| Risk | AppRisk? | 让你可按风险评分筛选应用,这样你就可以专注于仅查看高风险应用。 可能的值有低、中、高或未知。 |
| Stream | Stream | 与特定云应用程序相关的发现日志来源。 Optional. |
云应用程序实体的强标识符
- AppId (不含 InstanceName)
- 名称(不含 InstanceName)
- AppId + InstanceName
- Name + InstanceName
DNS resolution
实体名称:DNS
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | 与警报关联的 DNS 记录的名称。 |
| IpAddress | List<Entity (IP)> | 与解析的 IP 地址相对应的实体。 |
| DnsServerIp | Entity (IP) | 表示 DNS 服务器解析请求的实体。 |
| HostIpAddress | Entity (IP) | 表示 DNS 请求客户端的实体。 |
DNS 实体的强标识符
- DomainName + DnsServerIp + HostIpAddress
DNS 实体的弱标识符
- DomainName + HostIpAddress
Azure resource
实体名称:AzureResource
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | 资源的 Azure 资源 ID。 Mandatory. |
| SubscriptionId | String | 资源的订阅 ID。 |
| ActiveContacts | <当前联系人>列表 | 与资源相关的当前联系人。 |
| ResourceType | String | 资源类型。 |
| ResourceName | String | 资源的名称。 |
Azure 资源实体的强标识符
- ResourceId
File hash
实体名称:FileHash
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | 哈希算法类型。 Mandatory. Possible values: |
| Value | String | 哈希值。 Mandatory. |
文件哈希实体的强标识符
- 算法 + 值
Registry key
实体名称:RegistryKey
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | 以下值之一: |
| Key | String | 注册表项路径。 |
注册表项实体的强标识符
- Hive + 键
Registry value
实体名称:RegistryValue
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Entity (Host) | 注册表所属的主机。 |
| Key | Entity (RegistryKey) | 注册表项实体。 |
| Name | String | 注册表值名称。 |
| Value | String | 值数据的字符串格式表示形式。 |
| ValueType | Enum? | 以下值之一: 值应符合 Microsoft.Win32.RegistryValueKind 枚举。 |
注册表值实体的强标识符
- 键 + 名称
注册表值实体的弱标识符
- 名称(无项)
Security group
实体名称:SecurityGroup
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | 组可分辨名称。 |
| SID | String | 单值属性,指定组的安全标识符(SID)。 |
| ObjectGuid | Guid? | 单值属性,对象的唯一标识符,由 Active Directory 分配。 |
安全组实体的强标识符
- DistinguishedName
- SID
- ObjectGuid
URL
实体名称:URL
| Field | 类型 | Description |
|---|---|---|
| 类型 | String | 'url' |
| Url | Uri | 实体指向的完整 URL。 Mandatory. |
URL 实体的强标识符
- Url (** This identifier is strong when the URL is an absolute URL.)
URL 实体的弱标识符
- URL(** 当 URL 是相对 URL 时为弱标识符。)
IoT device
实体名称:IoTDevice
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | 表示设备所属的 IoT 中心的 AzureResource 实体。 |
| DeviceId | String | IoT 中心中设备的 ID。 Mandatory. |
| DeviceName | String | 设备的友好名称。 |
| Owners | 列出<字符串> | 设备所有者。 |
| IoTSecurityAgentId | Guid? | 设备上运行的 Defender for IoT 代理程序的 ID。 |
| DeviceType | String | 设备的类型(“温度传感器”、“冷冻机”、“风力涡轮机”等)。 |
| DeviceTypeId | String | 根据设备类型架构标识各设备类型的唯一 ID,因为设备类型本身是显示名称,在比较时不可靠。 Possible values: 未分类=0 其他=1 网络设备=2 打印机=3 音频和视频=4 媒体和监控=5 通信=7 智能设备=9 工作站=10 服务器=11 移动=12 智能设施=13 工业=14 操作设备=15 |
| Source | String | 设备实体的源(Microsoft/供应商)。 |
| SourceRef | Entity (Url) | 对设备管理的源项的 URL 引用。 |
| Manufacturer | String | 设备制造商。 |
| Model | String | 设备型号。 |
| OperatingSystem | String | 设备正在运行的操作系统。 |
| IpAddress | Entity (IP) | 设备的当前 IP 地址。 |
| MacAddress | String | 设备的 MAC 地址。 |
| Nics | Entity (Nic) | 设备上的当前 NIC。 |
| Protocols | 列出<字符串> | 设备支持的协议的列表。 |
| SerialNumber | String | 设备的序列号。 |
| Site | String | 设备的站点位置。 |
| Zone | String | 设备在站点中的区域位置。 |
| Sensor | String | 监视设备的传感器。 |
| Importance | Enum? | 以下值之一: |
| PurdueLayer | String | 设备的 Purdue 层。 |
| IsProgramming | Bool? | 指示设备是否被归类为编程设备。 |
| IsAuthorized | Bool? | 指示设备是否被归类为授权设备。 |
| IsScanner | Bool? | 指示设备是否被归类为扫描设备。 |
| DevicePageLink | Entity (Url) | URL,指向 Defender for IoT 门户中的设备页面。 |
| DeviceSubType | String | 设备子类型的名称。 |
物联网设备实体的强标识符
- IoTHub + DeviceId
物联网设备实体的弱标识符
- DeviceId(无 IoTHub)
Mailbox
实体名称:邮箱
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | 邮箱的主要地址。 |
| DisplayName | String | 邮箱的显示名称。 |
| Upn | String | 邮箱的 UPN。 |
| AadId | String | 用户的邮箱 Azure AD 标识符。 |
| RiskLevel | RiskLevel? | 此邮箱的风险级别。 Possible values: |
| ExternalDirectoryObjectId | Guid? | 邮箱的 AzureAD 标识符。 与 Account 实体中的 AadUserId 类似,但此属性特定于 Office 端的邮箱对象。 |
邮箱实体的强标识符
- MailboxPrimaryAddress
Mail cluster
实体名称:MailCluster
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | 列出<字符串> | 邮件 ID 是邮件群集的一部分。 |
| CountByDeliveryStatus | IDictionary<字符串,Int> | 通过 DeliveryStatus 字符串表示形式的邮件计数。 |
| CountByThreatType | IDictionary<字符串,Int> | 通过 ThreatType 字符串表示形式的邮件计数。 |
| CountByProtectionStatus | IDictionary<字符串,long> | 通过保护状态字符串的表示形式计数邮件信息。 |
| CountByDeliveryLocation | IDictionary<字符串,long> | 通过传递位置字符串的表示形式计数邮件信息。 |
| Threats | 列出<字符串> | 作为邮件群集一部分的邮件的威胁。 |
| Query | String | 用于标识邮件群集的消息的查询。 |
| QueryTime | DateTime? | 查询时间。 |
| MailCount | Int? | 作为邮件群集一部分的邮件数量。 |
| IsVolumeAnomaly | Bool? | 指示邮件群集的容量是否异常。 |
| Source | String | 邮件群集的源(默认为 O365 ATP)。 |
邮件群集实体的强标识符
- 查询 + 源
Mail message
实体名称:MailMessage
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | IList<Entity (File)> | 此邮件消息附件的文件实体。 |
| Recipient | String | 此邮件消息的收件人。 对于多个收件人,会复制邮件,每个副本都有一个收件人。 |
| Urls | 列出<字符串> | 此邮件消息中包含的 URL。 |
| Threats | 列出<字符串> | 此邮件消息中包含的威胁。 |
| Sender | String | 发件人的电子邮件地址。 |
| SenderIP | String | 发件人的 IP 地址。 |
| ReceivedDate | DateTime | 此消息的接收日期。 |
| NetworkMessageId | Guid? | 此邮件消息的网络消息 ID。 |
| InternetMessageId | String | 此邮件消息的 internet 消息 ID。 |
| Subject | String | 此邮件消息的主题。 |
| AntispamDirection | Enum? | 此邮件消息的方向性。 Possible values: |
| DeliveryAction | Enum? | 此邮件消息的传递操作。 Possible values: |
| DeliveryLocation | Enum? | 此邮件消息的传递位置。 Possible values: |
| CampaignId | String | 邮件所在活动的标识符。 |
| SuspiciousRecipients | 列出<字符串> | 被检测为可疑收件人的列表。 |
| ForwardedRecipients | 列出<字符串> | 转发邮件上所有收件人的列表。 |
| ForwardingType | 列出<字符串> | 邮件的转发类型,如 SMTP、ETR 等。 |
邮件消息实体的强标识符
- NetworkMessageId + 收件人
Submission mail
实体名称:SubmissionMail
| Field | 类型 | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | 提交 ID。 |
| SubmissionDate | DateTime? | 此提交的报告日期时间。 |
| Submitter | String | 提交者的电子邮件地址。 |
| NetworkMessageId | Guid? | 提交所属的邮件的网络消息 ID。 |
| Timestamp | DateTime? | 接收到(邮件)消息时的时间戳。 |
| Recipient | String | 邮件的收件人。 |
| Sender | String | 邮件的发送人。 |
| SenderIp | String | 发件人的 IP。 |
| Subject | String | 提交邮件的主题。 |
| ReportType | String | 给定实例的提交类型。 可能的值有 Junk、Phish、Malware 或 NotJunk。 |
提交邮件实体的强标识符
- SubmissionId、Submitter、NetworkMessageId、Recipient
Sentinel entities
| Field | 类型 | Description |
|---|---|---|
| Entities | String | 警报中标识的实体的列表。 This list is the entities column from the SecurityAlert schema (see documentation). |
云应用程序标识符
以下列表定义了已知的云应用程序的标识符。 The App ID value is used as a cloud application entity identifier.
| 应用 ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | 微软云应用防护 (Microsoft Defender for Cloud Apps) |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk 合成生命周期 |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype 企业版 |
| 25988 | Google Docs |
| 26055 | Microsoft 365 管理中心 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS 代理模拟器 |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Next steps
本文档介绍了 Microsoft Sentinel 中的实体结构、标识符和架构。
Learn more about entities and entity mapping.