Referenční informace k typům entit Microsoft Sentinelu
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Typy a identifikátory entit
Následující tabulka ukazuje typy entit aktuálně dostupné pro mapování v Microsoft Sentinelu a atributy dostupné jako identifikátory pro jednotlivé typy entit , které se zobrazují v rozevíracím seznamu Identifikátory v části mapování entit v průvodci analytickým pravidlem.
Každý z identifikátorů ve sloupci požadovaných identifikátorů je pro identifikaci jeho entity minimální. Požadovaný identifikátor ale nemusí být sám o sobě dostatečný k zajištění jedinečné identifikace. Čím více identifikátorů se použije, tím větší je pravděpodobnost jedinečné identifikace. Pro jedno mapování entit můžete použít až tři identifikátory.
Nejlepších výsledků – pro zaručenou jedinečnou identifikaci – byste měli používat identifikátory ze sloupce nejsilnějších identifikátorů, kdykoli je to možné. Použití více silných identifikátorů umožňuje korelaci mezi silnými identifikátory z různých zdrojů dat a schémat. To pak umožní službě Microsoft Sentinel poskytovat ucelenější přehledy pro danou entitu.
| Typ entity | Identifikátory | Požadované identifikátory | Nejsilnější identifikátory |
|---|---|---|---|
| Uživatelský účet (Account) |
Name FullName NTDomain Doména Dns Přípona UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName ObjectGuid |
FullName Sid Name AadUserId PUID ObjectGuid |
Název + NTDomain Název + přípona UPNSuffix AADUserId Sid |
| Hostitel | Doména Dns NTDomain Název hostitele FullName NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
FullName Název hostitele NetBiosName AzureID OMSAgentID |
Název hostitele + NTDomain Název hostitele + doména Dns NetBiosName + NTDomain NetBiosName + DnsDomain AzureID OMSAgentID |
| IP adresa (IP) |
Adresa | Adresa | |
| Malware | Name Kategorie |
Name | |
| Soubor | Adresář Název |
Název | |
| Proces | Processid CommandLine ElevationToken Creationtimeutc |
CommandLine Processid |
|
| Cloudová aplikace (CloudApplication) |
AppId Name InstanceName |
AppId Name |
|
| Název domény (DNS) |
DomainName | DomainName | |
| Prostředek Azure | ResourceId | ResourceId | |
| Hodnota hash souboru (FileHash) |
Algoritmus Hodnota |
Algoritmus + hodnota | |
| Klíč registru | Hive Klíč |
Hive Klíč |
Hive + klíč |
| Hodnota registru | Name Hodnota ValueType |
Name | |
| Skupina zabezpečení | Distinguishedname SID ObjectGuid |
Distinguishedname SID ObjectGuid |
|
| URL | URL | URL | |
| Zařízení IoT | IoTHub DeviceId DeviceName IoTSecurityAgentId DeviceType Zdroj Referenční informace o zdroji Manufacturer Modelování OperatingSystem IpAddress MacAddress Protokoly SerialNumber |
IoTHub DeviceId |
IoTHub + DeviceId |
| Poštovní schránky | MailboxPrimaryAddress DisplayName Upn ID objektu externalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Poštovní cluster | ID síťových zpráv CountByDeliveryStatus CountByThreatType Stav CountByProtectionStatus Hrozby Dotaz QueryTime (Čas dotazu) MailCount IsVolumeAnomaly Zdroj ClusterSourceIdentifier Typ zdroje clusteru ClusterQueryStartTime ClusterQueryEndTime ClusterGroup |
Dotaz Zdroj |
Dotaz + zdroj |
| E-mailová zpráva | Příjemce Adresy url Hrozby Odesílatel P1Sender P1SenderDisplayName P1SenderDomain IP adresa odesílatele P2Sender P2SenderDisplayName P2SenderDomain Datum přijetí ID zprávy sítě InternetMessageId Předmět BodyFingerprintBin1 BodyFingerprintBin2 BodyFingerprintBin3 BodyFingerprintBin4 BodyFingerprintBin5 AntispamDirection Akce doručení DeliveryLocation Jazyk ThreatDetectionMethods |
ID zprávy sítě Příjemce |
NetworkMessageId + Recipient |
| E-mail pro odeslání | ID odeslání Datum odeslání Zadavatel ID zprávy sítě Timestamp Příjemce Odesílatel Ip adresa odesílatele Předmět ReportType (Typ sestavy) |
ID odeslání ID zprávy sítě Příjemce Zadavatel |
|
Schémata typů entit
Následuje podrobnější pohled na úplná schémata jednotlivých typů entit. Všimněte si, že mnoho z těchto schémat obsahuje odkazy na jiné typy entit – například schéma uživatelského účtu obsahuje odkaz na typ entity Hostitel, protože jeden atribut uživatelského účtu je hostitel, na který je definovaný. Tyto externě propojené entity nelze použít jako identifikátory pro mapování entit, ale jsou velmi užitečné při poskytování úplného obrázku o entitách na stránkách entity a grafu šetření.
Poznámka
Otazník za hodnotou ve sloupci Typ označuje, že pole může mít hodnotu null.
Uživatelský účet
Název entity: Account
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'account' |
| Name | Řetězec | Název účtu. Toto pole by mělo obsahovat jenom název, který do něj není přidaný. |
| Úplný název | – | Není součástí schématu, které je součástí zpětné kompatibility se starou verzí mapování entit. |
| NTDomain | Řetězec | Název domény pro rozhraní NETBIOS, jak se zobrazuje ve formátu výstrahy – doména\uživatelské_jméno. Příklady: Finance, NT AUTHORITY |
| Doména Dns | Řetězec | Plně kvalifikovaný název DNS domény. Příklady: finance.contoso.com |
| Přípona UPNSuffix | Řetězec | Přípona hlavního názvu uživatele pro účet. V některých případech se jedná také o název domény. Příklady: contoso.com |
| Hostitel | Entita | Hostitel, který obsahuje účet, pokud se jedná o místní účet. |
| Sid | Řetězec | Identifikátor zabezpečení účtu, například S-1-5-18. |
| AadTenantId | Identifikátor guid? | ID tenanta Azure AD, pokud ho známe. |
| AadUserId | Identifikátor guid? | ID objektu účtu Azure AD, pokud ho známe. |
| PUID | Identifikátor guid? | ID uživatele služby Azure AD Passport, pokud je známé. |
| IsDomainJoined | Bool? | Určuje, jestli se jedná o účet domény. |
| DisplayName | Řetězec | Zobrazovaný název účtu |
| ObjectGuid | Identifikátor guid? | Atribut objectGUID je atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeným službou Active Directory. |
Silné identifikátory entity účtu:
- Název + přípona UPNSuffix
- AadUserId
- Identifikátor SID + hostitel (vyžaduje se pro identifikátory SID předdefinovaných účtů)
- Sid (s výjimkou identifikátorů SID předdefinovaných účtů)
- Název + NTDomain (pokud NTDomain není předdefinová doména, například "Workgroup")
- Název + hostitel (pokud NTDomain je předdefinová doména, například "Pracovní skupina")
- Název + Doména Dns
- PUID
- ObjectGuid
Slabé identifikátory entity účtu:
- Name
Hostitel
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'host' |
| Doména Dns | Řetězec | Doména DNS, do které tento hostitel patří. Pokud je doména známá, měla by obsahovat úplnou příponu DNS. |
| NTDomain | Řetězec | Doména NT, do které tento hostitel patří. |
| Název hostitele | Řetězec | Název hostitele bez přípony domény. |
| Úplný název | – | Není součástí schématu, které je součástí zpětné kompatibility se starou verzí mapování entit. |
| NetBiosName | Řetězec | název hostitele (pre-Windows 2000). |
| IoTDevice | Entita | Entita zařízení IoT (Pokud tento hostitel představuje zařízení IoT) |
| AzureID | Řetězec | ID prostředku Azure virtuálního počítače, pokud je známo |
| OMSAgentID | Řetězec | ID agenta OMS, pokud má hostitel nainstalovaného agenta OMS |
| OSFamily | Vytváření? | Jedna z následujících hodnot: |
| OSVersion | Řetězec | Reprezentace operačního systému, která je bezplatná. Toto pole má obsahovat konkrétní verze, které jsou podrobněji větší než OSFamily nebo budoucí hodnoty nejsou podporovány výčtem OSFamily. |
| IsDomainJoined | Logická hodnota | Určuje, zda tento hostitel patří do domény. |
Silné identifikátory entity hostitele:
- Název hostitele + NTDomain
- Název hostitele + DnsDomain
- Název NetBios + NTDomain
- Název NetBios + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice (není podporováno pro mapování entit)
Slabé identifikátory entity hostitele:
- Název hostitele
- NetBiosName
IP adresa
Název entity: IP
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | IP |
| Adresa | Řetězec | IP adresa jako řetězec, např. 127.0.0.1 (buď v protokolu IPv4 nebo IPv6). |
| Umístění | Zeměpisná poloha | Kontext geografického umístění připojený k entitě IP Další informace najdete v tématu věnovaném rozšíření entit v rámci Microsoft Sentinel pomocí dat geografického umístění prostřednictvím REST API (Public Preview). |
Silné identifikátory entity IP:
- Adresa
Malware
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | jiný |
| Name | Řetězec | Název malwaru dodavatelem, například Win32/Toga!rfn . |
| Kategorie | Řetězec | Kategorie malwaru dodavatelem, třeba trojský kůň. |
| Soubory | Seznamu<Entity> | Seznam entit propojených souborů, na kterých byl malware nalezen Může obsahovat soubor entity inline nebo as reference. Další podrobnosti o struktuře najdete v entitě souboru. |
| Procesy | Seznamu<Entity> | Seznam entit propojených procesů, na kterých byl malware nalezen Tato možnost se často používá, když se aktivuje výstraha u aktivity s neaktivními soubory. Další podrobnosti o struktuře najdete v entitě procesu . |
Silné identifikátory entity malwaru:
- Název + kategorie
Soubor
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | souborů |
| Adresář | Řetězec | Úplná cesta k souboru. |
| Name | Řetězec | Název souboru bez cesty (některé výstrahy nemusí obsahovat cestu). |
| Hostitel | Entita | Hostitel, na kterém byl soubor uložen. |
| Hodnoty hash | Seznam < entit> | Hodnoty hash souborů přidružené k tomuto souboru. |
Silné identifikátory entity souboru:
- Název + adresář
- Název + hodnota hash
- Název + adresář + hodnota hash
Proces
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | proces |
| Processid | Řetězec | ID procesu. |
| CommandLine | Řetězec | Příkazový řádek použitý k vytvoření procesu. |
| ElevationToken | Výčtu? | Token zvýšení oprávnění přidružený k procesu. Možné hodnoty: |
| Creationtimeutc | Datetime? | Čas, kdy se proces začal spouštět. |
| ImageFile (Soubor obrázku) | Entita (soubor) | Může obsahovat entitu Soubor jako vložený nebo jako odkaz. Další podrobnosti o struktuře najdete v entitě Soubor. |
| Účet | Entita | Účet, na který běží procesy. Může obsahovat vložený entitu Account nebo jako referenci. Další podrobnosti o struktuře najdete v entitě Account (Účet). |
| Nadřazený proces | Entita (proces) | Nadřazená entita procesu. Může obsahovat částečná data, tj. pouze PID. |
| Hostitel | Entita | Hostitel, na kterém byl proces spuštěný. |
| Relace přihlášení | Entita (HostLogonSession) | Relace, ve které byl proces spuštěný. |
Silné identifikátory entity procesu:
- Hostitel + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Hostitel + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Slabé identifikátory entity procesu:
- ProcessId + CreationTimeUtc + CommandLine (bez hostitele)
- ProcessId + CreationTimeUtc + ImageFile (bez hostitele)
Cloudová aplikace
Název entity: CloudApplication
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | cloudová aplikace |
| AppId | Int | Technický identifikátor aplikace. Mělo by jít o jednu z hodnot definovaných v seznamu identifikátorů cloudových aplikací. Hodnota pro pole AppId je volitelná. |
| Name | Řetězec | Název související cloudové aplikace. Hodnota názvu aplikace je volitelná. |
| InstanceName | Řetězec | Uživatelem definovaný název instance cloudové aplikace. Často se používá k rozlišení mezi několika aplikacemi stejného typu jako zákazník. |
Silné identifikátory entity cloudové aplikace:
- AppId (bez InstanceName)
- Název (bez InstanceName)
- AppId + InstanceName
- Název a název instance
Název domény
Název entity: DNS
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Dns |
| DomainName | Řetězec | Název záznamu DNS přidruženého k upozornění. |
| IpAddress | Entita < seznamu (IP)> | Entity odpovídající přeložené IP adrese. |
| IP adresa serveru DNS | Entita (IP) | Entita představující server DNS, který požadavek řeší. |
| Ip adresa hostitele | Entita (IP) | Entita představující klienta žádosti DNS. |
Silné identifikátory entity DNS:
- DomainName + DnsServerIp + HostIpAddress
Slabé identifikátory entity DNS:
- DomainName + HostIpAddress
Prostředek Azure
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | azure-resource |
| ResourceId | Řetězec | ID prostředku Azure. |
| SubscriptionId | Řetězec | ID předplatného prostředku. |
| TryGetResourceGroup | Logická hodnota | Hodnota skupiny prostředků, pokud existuje. |
| Zprostředkovatel TryGet | Logická hodnota | Hodnota poskytovatele, pokud existuje. |
| TryGetName | Logická hodnota | Hodnota názvu, pokud existuje. |
Silné identifikátory entity prostředku Azure:
- ResourceId
Hodnota hash souboru
Název entity: FileHash
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'filehash' |
| Algoritmus | Výčet | Typ hashovací algoritmus. Možné hodnoty: |
| Hodnota | Řetězec | Hodnota hash |
Silné identifikátory entity hodnoty hash souboru:
- Algoritmus + hodnota
Klíč registru
Název entity: Klíč registru
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | klíč registru |
| Hive | Výčtu? | Jedna z následujících hodnot: |
| Klíč | Řetězec | Cesta ke klíči registru. |
Silné identifikátory entity klíče registru:
- Hive + klíč
Hodnota registru
Název entity: RegistryValue
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'registry-value' |
| Klíč | Entita (Klíč registru) | Entita klíče registru. |
| Name | Řetězec | Název hodnoty registru. |
| Hodnota | Řetězec | Řetězcové znázornění hodnotových dat. |
| ValueType | Výčtu? | Jedna z následujících hodnot: Hodnoty by měly odpovídat výčtu Microsoft. Win32. hodnota RegistryValueKind. |
Silné identifikátory entity hodnota registru:
- Klíč + název
Slabé identifikátory entity hodnoty registru:
- Název (bez klíče)
Skupina zabezpečení
Název entity: zabezpečení
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Skupina Security-Group |
| DistinguishedName | Řetězec | Rozlišující název skupiny |
| SID | Řetězec | Atribut SID je atribut s jednou hodnotou, který určuje identifikátor zabezpečení (SID) skupiny. |
| ObjectGuid | Hlavních? | Atribut objectGUID je atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeným službou Active Directory. |
Silné identifikátory entity skupiny zabezpečení:
- DistinguishedName
- SID
- ObjectGuid
URL
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | Adresa URL |
| URL | Identifikátor URI | Úplná adresa URL, na kterou odkazuje entita |
Silné identifikátory entity adresy URL:
- Adresa URL (při absolutní adrese URL)
Slabé identifikátory entity adresy URL:
- Adresa URL (při relativní adrese URL)
Zařízení IoT
Název entity: IoTDevice
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'iotdevice' |
| IoTHub | Entita (AzureResource) | Entita AzureResource představující IoT Hub, do které zařízení patří |
| DeviceId | Řetězec | ID zařízení v kontextu IoT Hub. |
| DeviceName | Řetězec | Popisný název zařízení. |
| IoTSecurityAgentId | Hlavních? | ID agenta v programu Defender pro IoT spuštěné v zařízení. |
| DeviceType | Řetězec | Typ zařízení ("senzor teploty", "mrazicíer", "Větrná turbína" atd.) |
| Zdroj | Řetězec | Zdroj (Microsoft/dodavatel) entity zařízení. |
| SourceRef | Entita (URL) | Adresa URL odkazu na zdrojovou položku, kde je zařízení spravováno. |
| Manufacturer | Řetězec | Výrobce zařízení |
| Modelování | Řetězec | Model zařízení |
| OperatingSystem | Řetězec | Operační systém, na kterém je zařízení spuštěno. |
| Adresa | Entita (IP) | Aktuální IP adresa zařízení. |
| MacAddress | Řetězec | Adresa MAC zařízení. |
| Protokoly | Seznam < řetězců> | Seznam protokolů, které zařízení podporuje. |
| SerialNumber | Řetězec | Sériové číslo zařízení. |
Silné identifikátory entity zařízení IoT:
- IoTHub + DeviceId
Slabé identifikátory entity zařízení IoT:
- DeviceId (bez IoTHub)
Mailbox
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | vůči |
| MailboxPrimaryAddress | Řetězec | Primární adresa poštovní schránky. |
| DisplayName | Řetězec | Zobrazovaný název poštovní schránky |
| Názvu | Řetězec | Hlavní název uživatele poštovní schránky. |
| RiskLevel | Vytváření? | Úroveň rizika této poštovní schránky. Možné hodnoty: |
| ExternalDirectoryObjectId | Hlavních? | Identifikátor AzureAD poštovní schránky v entitě účtu se podobá AadUserId, ale tato vlastnost je specifická pro objekt poštovní schránky na straně Office. |
Silné identifikátory entity poštovní schránky:
- MailboxPrimaryAddress
Poštovní cluster
Název entity: MailCluster
Poznámka
Microsoft Defender pro Office 365 se dřív jmenoval jako Office 365 rozšířená ochrana před internetovými útoky (O365 ATP).
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | "mail-cluster" |
| NetworkMessageIds | <Řetězec IList> | ID e-mailových zpráv, které jsou součástí clusteru pošty. |
| CountByDeliveryStatus | <Řetězec IDictionary, int> | Počet e-mailových zpráv podle reprezentace řetězce DeliveryStatus |
| CountByThreatType | <Řetězec IDictionary, int> | Počet e-mailových zpráv podle reprezentace řetězce ThreatType |
| CountByProtectionStatus | <Řetězec IDictionary, Long> | Počet e-mailových zpráv podle stavu ochrany před hrozbami |
| Hrozby | <Řetězec IList> | Hrozby e-mailových zpráv, které jsou součástí clusteru pošty. |
| Dotaz | Řetězec | Dotaz, který se použil k identifikaci zpráv v e-mailovém clusteru |
| QueryTime | Hodnotu? | Čas dotazu. |
| MailCount | Hmot? | Počet e-mailových zpráv, které jsou součástí clusteru pošty. |
| IsVolumeAnomaly | Logick? | Určuje, zda se jedná o poštovní cluster anomálií svazku. |
| Zdroj | Řetězec | Zdroj poštovního clusteru (výchozí je O365 ATP). |
| ClusterSourceIdentifier | Řetězec | ID síťové zprávy e-mailu, která je zdrojem tohoto poštovního clusteru. |
| ClusterSourceType | Řetězec | Typ zdroje poštovního clusteru to se mapuje na nastavení MailClusterSourceType z programu Microsoft Defender pro Office 365 (viz poznámku výše). |
| ClusterQueryStartTime | Hodnotu? | Čas spuštění clusteru – používá se jako počáteční čas pro dotaz na počty clusterů. obvykle se jedná o datum, kdy se v programu Microsoft Defender pro Office 365 posune na čas ukončení minus nastavení (viz poznámku výše). |
| ClusterQueryEndTime | Hodnotu? | Čas ukončení clusteru – používá se jako koncový čas pro dotaz na počty clusterů. Obvykle je čas přijetí e-mailových dat. |
| ClusterGroup | Řetězec | odpovídá Kusto klíči dotazu používanému v programu Microsoft Defender pro Office 365 (viz poznámku výše). |
Silné identifikátory entity clusteru pošty:
- Dotaz a zdroj
Poštovní zpráva
Název entity: MailMessage
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | "Mail-Message" |
| Soubory | <Soubor IList> | Souborové entity těchto příloh e-mailové zprávy. |
| Příjemce | Řetězec | Příjemce této e-mailové zprávy V případě více příjemců se e-mailová zpráva zkopíruje a každá kopie má jednoho příjemce. |
| Adrese | <Řetězec IList> | Adresy URL obsažené v této e-mailové zprávě |
| Hrozby | <Řetězec IList> | Hrozby obsažené v této e-mailové zprávě |
| Odesílatel | Řetězec | E-mailová adresa odesílatele |
| P1Sender | Řetězec | ID e-mailu (delegovaný) uživatel, který odeslal tento e-mail jménem uživatele P2 (primární) Pokud se e-maily neodesílají pomocí delegáta, tato hodnota se rovná P2Sender. |
| P1SenderDisplayName | Řetězec | Zobrazované jméno uživatele (delegovaného), který odeslal tento e-mail jménem P2 (primární) uživatele. Reprezentované v záhlaví e-mailu vlastností "OnbehalfofSenderDisplayName". |
| P1SenderDomain | Řetězec | E-mailová doména (delegovaný) uživatel, který odeslal tento e-mail jménem P2 (primární) uživatele Pokud se e-maily neodesílají pomocí delegáta, tato hodnota se rovná P2SenderDomain. |
| P2Sender | Řetězec | E-mail (primární) uživatel jménem odesílatele tohoto e-mailu. |
| P2SenderDisplayName | Řetězec | Zobrazovaný název (primární) uživatel jménem odesílatele tohoto e-mailu Pokud e-maily nejsou odesílány delegátem, představuje zobrazované jméno odesílatele. |
| P2SenderDomain | Řetězec | E-mailová doména (primární) uživatel jménem odesílatele tohoto e-mailu. Pokud e-maily nejsou odesílány delegátem, představuje to doména odesilatele. |
| SenderIP | Řetězec | IP adresa odesilatele. |
| Přijetí | DateTime | Datum přijetí této zprávy |
| NetworkMessageId | Hlavních? | ID síťové zprávy této e-mailové zprávy |
| InternetMessageId | Řetězec | ID internetové zprávy této e-mailové zprávy |
| Předmět | Řetězec | Předmět této e-mailové zprávy |
| BodyFingerprintBin1 BodyFingerprintBin2 BodyFingerprintBin3 BodyFingerprintBin4 BodyFingerprintBin5 |
UInt? | používá se v programu Microsoft Defender pro Office 365 k vyhledání shodných nebo podobných e-mailových zpráv. |
| AntispamDirection | Vytváření? | Směr této e-mailové zprávy. Možné hodnoty: |
| DeliveryAction | Vytváření? | Akce doručení této e-mailové zprávy Možné hodnoty: |
| DeliveryLocation | Vytváření? | Umístění pro doručování této e-mailové zprávy. Možné hodnoty: |
| Jazyk | Řetězec | Jazyk, ve kterém se zapisuje obsah e-mailu |
| ThreatDetectionMethods | <Řetězec IList> | Seznam metod detekce hrozeb použitých v této poště |
Silné identifikátory entity e-mailové zprávy:
- NetworkMessageId a příjemce
Odeslaná pošta
Název entity: SubmissionMail
| Pole | Typ | Popis |
|---|---|---|
| Typ | Řetězec | 'SubmissionMail' |
| SubmissionId | Hlavních? | ID odeslání. |
| SubmissionDate | Hodnotu? | Nahlášený datum a čas pro toto odeslání. |
| Odesílatel | Řetězec | E-mailová adresa odesílatele |
| NetworkMessageId | Hlavních? | ID síťové zprávy pro e-mail, na který patří odeslání. |
| Timestamp | Hodnotu? | Časové razítko přijetí zprávy (mail). |
| Příjemce | Řetězec | Příjemce e-mailu. |
| Odesílatel | Řetězec | Odesílatel e-mailu |
| SenderIp | Řetězec | IP adresa odesilatele. |
| Předmět | Řetězec | Předmět odesílání pošty. |
| ReportType | Řetězec | Typ odeslání pro danou instanci. To se mapuje na nevyžádaný, phishing, malware nebo NotJunk. |
Silné identifikátory entity SubmissionMail:
- SubmissionId, odesílatel, NetworkMessageId, příjemce
Identifikátory cloudových aplikací
Následující seznam definuje identifikátory pro známé cloudové aplikace. Hodnota ID aplikace se používá jako identifikátor entity cloudové aplikace .
| ID aplikace | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive pro firmy |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Společnost Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Životní cyklus Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Dokumenty Google |
| 26055 | centrum pro správu Microsoft Office 365 |
| 26060 | OPSWAT ozubené kolečky |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Disk Google |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Azure AD |
| 26320 | Microsoft Office Sway |
| 26321 | Delve Microsoftu |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace od Facebooku |
| 28373 | Emulator CAS serveru proxy |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics talentů |
Další kroky
V tomto dokumentu jste se dozvěděli o struktuře entit, identifikátorech a schématu v nástroji Microsoft Sentinel.
Přečtěte si další informace o entitách a mapování entit.