本檔包含 Azure 入口網站中Microsoft Sentinel 中實體和實體類型的兩組資訊,以及 Defender 入口網站 中的Microsoft Sentinel。
- [實體類型和標識符] 數據表會顯示可在警示和事件中識別的不同實體類型,讓您追蹤和調查它們。 數據表也會針對每個實體類型顯示可用來識別實體的不同標識碼。
- 實體結構章節展示了一般實體的資料結構與架構,以及每種實體類型的具體資料結構。
Important
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
實體類型和標識碼
下表顯示 Microsoft Sentinel 可識別的實體類型,以及每種實體類型的識別碼屬性。
Microsoft Sentinel 能在分析規則中透過實體映射產生的警示與事件中識別實體。 它也會辨識已從其他來源擷取的警示中識別的實體。
在 Sentinel 中建立實體對應時,您目前最多可以使用指定實體 Microsoft的三個識別碼。 僅用強識別碼就足以唯一識別實體,而弱識別碼只能與其他識別碼結合才能做到。 深入了解 強式和弱式標識碼。 在 sentinel Microsoft 中建立實體對應時,此數據表中大部分但並非所有標識碼都可以使用(請參閱腳注)。
| 實體類型 | Identifiers | 強識別碼 | 弱識別碼 |
|---|---|---|---|
| Account | Name 全名 * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined 顯示名稱 * ObjectGuid |
Name+UPNSuffix AADUserId 西德 ** Sid+Host** 名稱+宿主+NTDomin ** 名字+NTDomin ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName 全名 * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| 實體類型 | Identifiers | 強識別碼 | 弱識別碼 |
| IP | Address AddressScope |
全球地址: 地址** 私人地址: 位址+位址範圍** |
私人地址: 地址** |
| URL | Url | URL (如果絕對 URL)** | URL (如果相對 URL)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
雲端應用 (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
DNS 解析 (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
檔案雜湊 (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| 實體類型 | Identifiers | 強識別碼 | 弱識別碼 |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc 主持+人ParentProcessID+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (無主機) ProcessId+CreationTimeUtc+ ImageFile (無主機) |
|
登錄檔鍵 (RegistryKey) |
Hive Key |
Hive+Key | |
|
登錄價值 (RegistryValue) |
Name Value ValueType |
Key+Name | 名稱(無索引鍵) |
|
安全組 (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| 實體類型 | Identifiers | 強識別碼 | 弱識別碼 |
|
郵件叢集 (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
郵件訊息 (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation 語言* 威脅偵測方法 * |
NetworkMessageId+Recipient | |
|
投稿郵件 (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| 哨兵實體 | Entities | Entities |
表格註腳:
- * 這些識別碼會出現在可用於實體對應的標識符清單中,但嚴格來說,它們不是實體架構的一部分。
- ** 這些識別碼只有在特定條件下才會被視為強式。 遵循星號的連結,以查看套用的條件,在 下方的實體架構一節中相關實體的清單下。
- 斜體標識元名稱 (不含星號)代表內部實體,這表示一個實體類型可以有其他實體類型做為屬性(請參閱 下面的實體架構一節)。 請遵循識別碼的連結來查看內部實體自己的架構。
- 架構中可能有其他實體,這是一般架構,除了Microsoft Sentinel 之外,還支援許多專案。 本文只列出Microsoft Sentinel 中可用的實體。
實體類型架構
下一節包含更深入地查看每個實體類型的完整架構。 您會發現其中許多架構包含其他實體類型的連結。 例如,帳戶架構包含主機實體類型的連結,因為使用者帳戶的一個屬性是其定義的主機。 這些實體即屬性稱為「內部實體」,因此無法做為實體對應的標識碼,但它們在提供實體頁面和調查圖表上實體的完整圖片時非常有用。
Note
類型 欄位值 後面有問號表示該欄位可為 null。
實體類型架構清單
- Account
- Host
- IP
- Malware
- File
- Process
- 雲端應用
- DNS 解析
- Azure resource
- 檔案雜湊
- 登錄機碼
- 登錄值
- 安全組
- URL
- 物聯網設備
- Mailbox
- 郵件叢集
- 郵件訊息
- 投稿郵件
- 哨兵實體
Account
實體名稱:帳戶
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | 帳戶的名稱。 此欄位應該只保留名稱,而不會新增任何網域。 |
| FullName | -- | 不是架構的一部分,隨附於舊版實體對應的回溯相容性。 |
| NTDomain | String | NETBIOS 功能變數名稱會以警示格式顯示,也就是 domain\username。 舉例: 財政部,北領地管理局 |
| DnsDomain | String | 完整網域 DNS 名稱。 範例: finance.contoso.com |
| UPNSuffix | String | 帳戶的用戶主體名稱後綴。 在許多情況下,UPN 後綴也是功能變數名稱。 範例: contoso.com |
| Host | 實體(主機) | 包含帳戶的主機,如果是本機帳戶。 |
| Sid | String | 帳戶的安全性標識碼。 |
| AadTenantId | Guid? | 如果已知,Microsoft Entra 租使用者標識符。 |
| AadUserId | Guid? | 如果已知,Microsoft Entra 帳戶對象標識碼。 |
| PUID | Guid? | 如果已知,Microsoft Entra Passport 用戶標識碼。 |
| IsDomainJoined | Bool? | 指出帳戶是否為網域帳戶。 |
| DisplayName | -- | 不是架構的一部分,隨附於舊版實體對應的回溯相容性。 |
| ObjectGuid | Guid? | objectGUID 屬性是單一值屬性,這是 Active Directory 指派之物件的唯一標識符。 |
| CloudAppAccountId | String | CloudApp 提供者警示中的 AccountID。 是指其他Microsoft產品不支援的第三方應用程式中的帳戶標識碼。 |
| IsAnonymized | Bool? | 指出用戶名稱是否匿名。 Optional. 預設值: false。 |
| Stream | Stream | 與特定帳戶相關的探索記錄來源。 Optional. |
帳戶實體的強標識碼
- 名稱 + UPNSuffix
- AadUserId
-
Sid
** 只要 帳號不是 下方 備註 中列出的內建帳號,此識別碼即為強力。 -
Sid + 主機
** 當帳號是下方 註 解中列出的內建帳號之一時,必須啟用主機元件以使此識別碼成為強標識。 -
名稱 + NTDomain
** 當帳戶是網域帳戶時,這個組合是強標識符,因為 NTDomain 不是內建網域/工作組,而且與主機名不同。 在此情況下,即使沒有主機組件,這是強標識符。 -
名稱 + NTDomain + 主機
** 當帳戶是本機帳戶時,主機組件必須建立強標識碼,這表示 NTDomain 是內建網域/工作組。 - 名稱 + DnsDomain
- PUID
- ObjectGuid
帳戶實體的弱式標識碼
- Name
Note
如果 帳戶 實體是以 名稱 識別碼定義,且特定實體的名稱值是以下常見且通用的帳戶名稱之一,那麼該實體將從警報中移除。
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- 認證使用者
- NETWORK
- NULL
- 地方系統
- LOCALSYSTEM
- 網路服務
回到實體類型架構 | 的清單回到實體標識碼數據表
Host
實體名稱:主機
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | 名單<實體(Ip)> | 主電腦上所有IP介面的清單。 |
| DnsDomain | String | 此主機所屬的 DNS 網域。 如果已知,應該包含網域的完整 DNS 後綴。 |
| NTDomain | String | 此主機所屬的NT網域。 |
| HostName | String | 沒有網域後綴的主機名。 |
| NetBiosName | String | 主機名 (Windows 2000 之前)。 |
| IoTDevice | Entity(物聯網裝置) | IoT 裝置實體(如果此主機代表IoT裝置)。 |
| AzureID | String | 如果已知,VM 的 Azure 資源識別符。 |
| OMSAgentID | String | 如果主機已安裝 OMS 代理程式,則為 OMS 代理程式識別碼。 |
| OSFamily | Enum? | 下列其中一個值: |
| OSVersion | String | 操作系統的任意文字表示法。 此欄位旨在保留比 OSFamily 更精細的特定版本,或 OSFamily 列舉不支援的未來值。 |
| IsDomainJoined | Bool | 指出此主機是否屬於網域。 |
主機實體的強標識碼
- 主機名稱 + NTDomain
- 主機名稱 + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
主機實體的弱式標識碼
- HostName
- NetBiosName
回到實體類型架構 | 的清單回到實體標識碼數據表
IP
實體名稱:IP
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | IP 位址作為字串(在 IPv4 或 IPv6 中)。 範例: 20.112.250.1332603:1030:b:3::152 |
| AddressScope | String | 私人、非全域 IP 位址的主機、子網或專用網名稱。 全域 IP 位址的 Null 或空白 (預設值)。 範例: /27255.255.255.128 |
| Location | GeoLocation | 附加至IP實體的地理位置內容。 如需詳細資訊,另請參閱透過 REST API 擴充Microsoft Sentinel 中具有地理位置數據的實體(公開預覽)。 |
| Stream | Stream | 與特定IP相關的探索記錄來源。 Optional. |
IP 實體的強標識碼
-
Address
當IP位址是全域位址時,位址標識元本身是唯一的強標識碼。 -
位址 + 位址範圍
對於私人/內部、非全域 IP 位址,需要 AddressScope 元件才能將此設為強標識符。
IP 實體的弱式標識碼
-
Address
當IP位址是私人/內部、非全域IP位址時,位址標識元本身是弱式識別碼。
回到實體類型架構 | 的清單回到實體標識碼數據表
Malware
實體名稱:惡意代碼
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | 由 (偵測)廠商指派的惡意代碼名稱,例如 Win32/Toga!rfn。 |
| Category | String | 例如,由 (detection)) 廠商指派的惡意代碼類別。 Trojan. |
| Files | 名單<實體(檔案)> | 找到惡意代碼的連結檔案實體清單。 可以包含內嵌或參考的檔案實體。 有關結構的更多細節,請參閱 檔案 實體。 |
| Processes | 名單<實體(流程)> | 找到惡意代碼的連結進程實體清單。 這通常會在無檔案活動上觸發警示時使用。 有關結構的更多細節,請參閱 「流程 實體」。 |
惡意代碼實體的強標識碼
- 名稱 + 類別
回到實體類型架構 | 的清單回到實體標識碼數據表
File
實體名稱:檔案
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | 檔案的完整路徑。 |
| Name | String | 沒有路徑的檔名(某些警示可能不包含路徑)。 |
| AlternateDataStreamName | String | NTFS 檔系統中的檔名(主要數據流的 Null)。 |
| Host | 實體(主機) | 檔案儲存所在的主機。 |
| HostUrl | 實體(URL) | 從下載檔案的 URL (網記)。 |
| WindowsSecurityZoneType | WindowsSecurityZone | #DA3E34954937D4F8A875566485A6C19E0 URL 所屬的區域 (網記)。 |
| ReferrerUrl | 實體(URL) | 檔案的查閱者 URL 下載 HTTP 要求 (網記)。 |
| SizeInBytes | Long? | 檔案的大小 (以位元組為單位)。 |
| FileHashes | 列表<實體(FileHash)> | 與此檔案相關聯的檔案哈希。 |
檔案實體的強標識碼
- 名稱 + 目錄
- 名稱 + FileHash
- 名稱 + 目錄 + 檔案雜湊
回到實體類型架構 | 的清單回到實體標識碼數據表
Process
實體名稱:進程
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | 進程標識碼。 |
| CommandLine | String | 用來建立進程的命令行。 |
| ElevationToken | Enum? | 與進程相關聯的提高許可權令牌。 可能的值: |
| CreationTimeUtc | DateTime? | 進程開始執行的時間。 |
| ImageFile | 實體(檔案) | 可以包含檔案實體內嵌或作為參考。 有關結構的更多細節,請參閱 檔案 實體。 |
| Account | 實體(帳戶) | 執行進程的帳戶。 可以包含帳戶實體內嵌或作為參考。 有關結構的更多細節,請參閱 帳戶 實體。 |
| ParentProcess | 實體(流程) | 父進程實體。 可以包含部分數據,例如,只有 PID。 |
| Host | 實體(主機) | 進程執行所在的主機。 |
| LogonSession | 實體(HostLogonSession) | 進程執行所在的會話。 |
進程實體的強標識碼
- Host + ProcessID + CreationTimeUtc
- 主機 + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessID + CreationTimeUtc + ImageFile
- Host + ProcessID + CreationTimeUtc + ImageFile.FileHash
進程實體的弱式標識碼
- ProcessId + CreationTimeUtc + CommandLine (且無主機)
- ProcessID + CreationTimeUTC + ImageFile (且無主機)
回到實體類型架構 | 的清單回到實體標識碼數據表
雲端應用
實體名稱:CloudApplication
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | 荒廢的;請改用SaasId欄位。 應用程式的技術識別碼。 可能的值為雲端 應用程式識別碼清單中定義的值。 價值可選。 不應該包含 InstanceId。 |
| SaasId | Int | 取代已被取代的AppId欄位。 應用程式的技術識別碼。 可能的值為雲端 應用程式識別碼清單中定義的值。 價值可選。 不應該包含 InstanceId。 |
| Name | String | 相關雲端應用程式的名稱。 價值可選。 |
| InstanceName | String | 雲端應用程式的使用者定義實例名稱。 它通常用來區分客戶擁有之相同類型的數個應用程式。 |
| InstanceId | Int | 應用程式之特定會話的標識碼。 這是以零起始的執行數位。 價值可選。 |
| Risk | AppRisk? | 可讓您依風險分數篩選應用程式,以便專注在只檢閱高風險的應用程式。 可能的值,例如低、中、高或未知。 |
| Stream | Stream | 與特定雲端應用程式相關的探索記錄來源。 Optional. |
雲端應用程式實體的強標識符
- AppId (不含 InstanceName)
- 名稱(不含 InstanceName)
- AppId + InstanceName
- 名稱 + 實例名稱
回到實體類型架構 | 的清單回到實體標識碼數據表
DNS 解析
實體名稱:DNS
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | 與警示相關聯的 DNS 記錄名稱。 |
| IpAddress | 名單<實體(IP)> | 對應至已解析IP位址的實體。 |
| DnsServerIp | 實體(IP) | 表示解析要求的 DNS 伺服器實體。 |
| HostIpAddress | 實體(IP) | 代表 DNS 要求客戶端的實體。 |
DNS 實體的強標識碼
- 網域名稱 + dnsServerIp + HostIpAddress
DNS 實體的弱式識別碼
- 網域名稱 + HostIp 位址
回到實體類型架構 | 的清單回到實體標識碼數據表
Azure 資源
實體名稱:AzureResource
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | 資源的 Azure 資源識別碼。 Mandatory. |
| SubscriptionId | String | 資源的訂用帳戶識別碼。 |
| ActiveContacts | 列出<ActiveContact> | 與資源相關聯的使用中聯繫人。 |
| ResourceType | String | 資源的類型。 |
| ResourceName | String | 資源名稱。 |
Azure 資源實體的強標識碼
- ResourceId
回到實體類型架構 | 的清單回到實體標識碼數據表
檔案雜湊
實體名稱:FileHash
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | 哈希演算法類型。 Mandatory. 可能的值: |
| Value | String | 哈希值。 Mandatory. |
檔案哈希實體的強標識碼
- 演演算法 + 值
回到實體類型架構 | 的清單回到實體標識碼數據表
登錄鍵
實體名稱:RegistryKey
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | 下列其中一個值: |
| Key | String | 登錄機碼路徑。 |
登錄機碼實體的強標識碼
- Hive + 金鑰
回到實體類型架構 | 的清單回到實體標識碼數據表
登錄值
實體名稱:RegistryValue
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | 實體(主機) | 登錄所屬的主機。 |
| Key | 實體(RegistryKey) | 登錄機碼實體。 |
| Name | String | 登錄值名稱。 |
| Value | String | 值數據的字串格式表示。 |
| ValueType | Enum? | 下列其中一個值: 值應該符合 Microsoft.Win32.RegistryValueKind 列舉。 |
登錄值實體的強標識碼
- 索引鍵 + 名稱
登錄值實體的弱式標識碼
- 名稱 (不含索引鍵)
回到實體類型架構 | 的清單回到實體標識碼數據表
安全群組
實體名稱:SecurityGroup
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | 群組辨別名稱。 |
| SID | String | 單一值屬性,指定群組的安全性標識碼 (SID)。 |
| ObjectGuid | Guid? | 單一值屬性,這是 Active Directory 所指派之物件的唯一標識碼。 |
安全組實體的強標識碼
- DistinguishedName
- SID
- ObjectGuid
回到實體類型架構 | 的清單回到實體標識碼數據表
URL
實體名稱:URL
| Field | 類型 | Description |
|---|---|---|
| 類型 | String | 'url' |
| Url | Uri | 實體指向的完整 URL。 Mandatory. |
URL 實體的強標識碼
- Url (** 當 URL 為絕對 URL 時,此識別碼為強標識。)
URL 實體的弱式標識碼
- URL (** 當 URL 是相對 URL 時,此標識碼很弱。
回到實體類型架構 | 的清單回到實體標識碼數據表
IoT 裝置
實體名稱:IoTDevice
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | 代表裝置所屬 IoT 中樞 的 AzureResource 實體。 |
| DeviceId | String | IoT 中樞 內容中的裝置識別碼。 Mandatory. |
| DeviceName | String | 裝置的易記名稱。 |
| Owners | 列出<字串> | 裝置的擁有者。 |
| IoTSecurityAgentId | Guid? | 在裝置上執行的 適用於IoT的Defender 代理程式的標識碼。 |
| DeviceType | String | 裝置的類型(『溫度感測器』、『冰櫃』、『風力渦輪機』等)。 |
| DeviceTypeId | String | 根據裝置類型架構識別每個裝置類型的唯一標識符,因為裝置類型本身是顯示名稱,而且比較不可靠。 可能的值: 未分類 = 0 其他 = 1 網路裝置 = 2 印表機 = 3 音訊和視訊 = 4 媒體和監視 = 5 通訊 = 7 智慧型設備 = 9 工作站 = 10 伺服器 = 11 Mobile = 12 智慧設施 = 13 工業 = 14 操作設備 = 15 |
| Source | String | 裝置實體的來源 (Microsoft/Vendor)。 |
| SourceRef | 實體(網址) | 裝置受控來源專案的 URL 參考。 |
| Manufacturer | String | 裝置的製造商。 |
| Model | String | 裝置的模型。 |
| OperatingSystem | String | 裝置正在執行的作業系統。 |
| IpAddress | 實體(IP) | 裝置的目前IP位址。 |
| MacAddress | String | 裝置的 MAC 位址。 |
| Nics | 實體(Nic) | 裝置上的目前 NIC。 |
| Protocols | 列出<字串> | 裝置支援的通訊協定清單。 |
| SerialNumber | String | 裝置的序號。 |
| Site | String | 裝置的月臺位置。 |
| Zone | String | 月臺內裝置的區域位置。 |
| Sensor | String | 監視裝置的感測器。 |
| Importance | Enum? | 下列其中一個值: |
| PurdueLayer | String | 裝置的 Purdue 層。 |
| IsProgramming | Bool? | 指出裝置是否分類為程式設計裝置。 |
| IsAuthorized | Bool? | 指出裝置是否分類為已授權裝置。 |
| IsScanner | Bool? | 指出裝置是否分類為掃描儀裝置。 |
| DevicePageLink | 實體(網址) | 適用於 IoT 的 Defender 入口網站中裝置頁面的 URL。 |
| DeviceSubType | String | 裝置子類型的名稱。 |
IoT 裝置實體的強標識碼
- IoTHub + DeviceId
IoT 裝置實體的弱式標識碼
- DeviceId (不含 IoTHub)
回到實體類型架構 | 的清單回到實體標識碼數據表
Mailbox
實體名稱:信箱
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | 信箱的主要位址。 |
| DisplayName | String | 信箱的顯示名稱。 |
| Upn | String | 信箱的UPN。 |
| AadId | String | 使用者的 Azure AD 識別碼。 |
| RiskLevel | 風險等級(整數) | 此信箱的風險層級。 可能的值: |
| ExternalDirectoryObjectId | Guid? | 信箱的 AzureAD 識別符。 類似於 Account 實體中的 AadUserId,但此屬性專屬於 Office 端的信箱物件。 |
信箱實體的強標識碼
- MailboxPrimaryAddress
回到實體類型架構 | 的清單回到實體標識碼數據表
郵件叢集
實體名稱:MailCluster
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | IList<字串> | 屬於郵件叢集一部分的郵件訊息標識碼。 |
| CountByDeliveryStatus | IDictionary<String,Int> | DeliveryStatus 字串表示法的郵件訊息計數。 |
| CountByThreatType | IDictionary<String,Int> | 依 ThreatType 字串表示法的郵件訊息計數。 |
| CountByProtectionStatus | IDictionary<String,long> | 依保護狀態字串表示法的郵件訊息計數。 |
| CountByDeliveryLocation | IDictionary<String,long> | 依傳遞位置字串表示方式的郵件訊息計數。 |
| Threats | IList<字串> | 屬於郵件叢集一部分的郵件訊息威脅。 |
| Query | String | 用來識別郵件叢集訊息的查詢。 |
| QueryTime | DateTime? | 查詢時間。 |
| MailCount | Int? | 屬於郵件叢集一部分的郵件訊息數目。 |
| IsVolumeAnomaly | Bool? | 指出郵件叢集是否為磁碟區異常郵件叢集。 |
| Source | String | 郵件叢集的來源 (預設值為 O365 ATP)。 |
郵件叢集實體的強標識碼
- 查詢 + 來源
回到實體類型架構 | 的清單回到實體標識碼數據表
郵件訊息
實體名稱:MailMessage
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | IList<實體(檔案)> | 此郵件附件的檔案實體。 |
| Recipient | String | 此郵件郵件的收件者。 在多個收件者的情況下,會複製郵件訊息,而且每個復本都有一個收件者。 |
| Urls | IList<字串> | 此郵件訊息中包含的 URL。 |
| Threats | IList<字串> | 此郵件訊息中包含的威脅。 |
| Sender | String | 寄件者的電子郵件位址。 |
| SenderIP | String | 寄件者的IP位址。 |
| ReceivedDate | DateTime | 此訊息的接收日期。 |
| NetworkMessageId | Guid? | 此郵件訊息的網路訊息識別碼。 |
| InternetMessageId | String | 此郵件訊息的因特網訊息標識碼。 |
| Subject | String | 此郵件郵件的主旨。 |
| AntispamDirection | Enum? | 此郵件訊息的方向性。 可能的值: |
| DeliveryAction | Enum? | 此郵件訊息的傳遞動作。 可能的值: |
| DeliveryLocation | Enum? | 此郵件訊息的傳遞位置。 可能的值: |
| CampaignId | String | 此郵件訊息所在的營銷活動識別碼。 |
| SuspiciousRecipients | IList<字串> | 偵測到為可疑的收件者清單。 |
| ForwardedRecipients | IList<字串> | 轉寄郵件上所有收件者的清單。 |
| ForwardingType | IList<字串> | 郵件的轉寄類型,例如 SMTP、ETR 等。 |
郵件訊息實體的強標識碼
- NetworkMessageID + 收件人
回到實體類型架構 | 的清單回到實體標識碼數據表
提交郵件
實體名稱:SubmissionMail
| Field | 類型 | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | 提交標識碼。 |
| SubmissionDate | DateTime? | 回報此提交的日期時間。 |
| Submitter | String | 送出者電子郵件位址。 |
| NetworkMessageId | Guid? | 提交所屬電子郵件的網路訊息標識碼。 |
| Timestamp | DateTime? | 收到郵件時的時間戳(郵件)。 |
| Recipient | String | 郵件的收件者。 |
| Sender | String | 郵件的寄件者。 |
| SenderIp | String | 寄件人的IP。 |
| Subject | String | 提交郵件的主旨。 |
| ReportType | String | 指定實例的提交類型。 可能的值為垃圾郵件、網路釣魚、惡意代碼或 NotJunk。 |
SubmissionMail 實體的強標識符
- SubmissionId、Submitter、NetworkMessageId、Recipient
回到實體類型架構 | 的清單回到實體標識碼數據表
哨兵實體
| Field | 類型 | Description |
|---|---|---|
| Entities | String | 警示中識別的實體清單。 此清單為 SecurityAlert 架構中的 實體 欄位(詳見文件)。 |
回到實體類型架構 | 的清單回到實體標識碼數據表
雲端應用程式識別碼
下列清單會定義已知雲端應用程式的標識碼。 App ID 值被用作 雲端應用程式 實體識別碼。
| App ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone 隨選視訊 |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive 軟體 |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft在線服務 |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft商務用 OneDrive |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | 阿里巴公司 |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | 適用於雲端應用程式的 Microsoft Defender |
| 20892 | Microsoft SharePoint 線上版 |
| 20893 | Microsoft Exchange 線上版 |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion 生命週期 |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft 商務用 Skype |
| 25988 | Google 文件 |
| 26055 | Microsoft 365 系統管理中心 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint 線上版 |
| 26063 | Microsoft Excel Online |
| 26069 | 谷歌雲端硬盤 |
| 26206 | Workiva |
| 26311 | Microsoft動力學 |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Facebook 上的職場 |
| 28373 | CAS Proxy 模擬器 |
| 28375 | Microsoft 團隊 |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
後續步驟
在本檔中,您已瞭解 Sentinel Microsoft 中的實體結構、標識碼和架構。