Referensi jenis entitas Microsoft Sentinel
Dokumen ini berisi dua set informasi mengenai entitas dan jenis entitas di Microsoft Azure Sentinel.
- Jenis entitas dan tabel pengidentifikasi menunjukkan berbagai jenis entitas yang dapat digunakan dalam pemetaan entitas dalam aturan analitik dan perburuan. Tabel juga menunjukkan, untuk setiap jenis entitas, pengidentifikasi berbeda yang dapat digunakan untuk mengidentifikasi entitas.
- Bagian Skema entitas menunjukkan struktur data dan skema untuk entitas secara umum dan untuk setiap jenis entitas khususnya, termasuk beberapa jenis yang tidak diwakili dalam fitur pemetaan entitas.
Jenis dan pengidentifikasi entitas
Tabel berikut menunjukkan jenis entitas yang saat ini tersedia untuk pemetaan di Microsoft Sentinel, dan atribut yang tersedia sebagai pengidentifikasi untuk setiap jenis entitas. Hampir semua atribut ini muncul di daftar drop-down Pengidentifikasi di bagian pemetaan entitas wizard aturan analitik (lihat catatan kaki untuk pengecualian).
Anda dapat menggunakan hingga tiga pengidentifikasi untuk pemetaan entitas tunggal. Pengidentifikasi yang kuat saja cukup untuk mengidentifikasi entitas secara unik, sedangkan pengidentifikasi yang lemah hanya dapat melakukannya dalam kombinasi dengan pengidentifikasi lain.
Pelajari selengkapnya tentang pengidentifikasi yang kuat dan lemah.
| Jenis entitas | Identifiers | Pengidentifikasi yang kuat | Pengidentifikasi lemah |
|---|---|---|---|
| Rekening | Nama FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Nama+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Nama |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | Alamat Cakupan Alamat |
Alamat ** Address+AddressScope ** |
|
| URL | URL | Url (jika URL absolut)** | Url (jika URL relatif)** |
| Sumber daya Azure (AzureResource) |
ResourceId | ResourceId | |
| Aplikasi cloud (CloudApplication) |
AppId Nama InstanceName |
AppId Nama AppId+InstanceName Name+InstanceName |
|
| Resolusi DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Direktori Nama |
Direktori+Nama | |
| Hash file (FileHash) |
Algoritma Nilai |
Algoritma+Nilai | |
| Malware | Nama Category |
Nama+Kategori | |
| Proses | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (tanpa Host) ProcessId+CreationTimeUtc+ ImageFile (tanpa Host) |
| Kunci Registri (RegistryKey) |
Hive Kunci |
Apache Hive+Key | |
| Nilai registri (RegistryValue) |
Nama Nilai ValueType |
Kunci+Nama | Nama (tanpa Kunci) |
| Kelompok keamanan (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Kotak Pesan | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Kluster surat (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Ancaman Kueri QueryTime MailCount IsVolumeAnomaly Sumber ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Kueri+Sumber | |
| Pesan surat (MailMessage) |
Penerima Url Ancaman Pengirim P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subjek BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Bahasa* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
| Pengiriman surat (SubmissionMail) |
NetworkMessageId Tanda Waktu Penerima Pengirim SenderIp Subjek ReportType SubmissionId SubmissionDate Pengirim |
SubmissionId+NetworkMessageId+ Penerima+Pengirim |
|
| Entitas Sentinel | Entitas | Entitas |
Catatan kaki tabel:
- * Pengidentifikasi ini muncul dalam daftar pengidentifikasi yang dapat digunakan dalam pemetaan entitas, tetapi secara ketat mereka bukan bagian dari skema entitas.
- ** Pengidentifikasi ini dianggap kuat hanya dalam kondisi tertentu. Ikuti tautan tanda bintang untuk melihat kondisi yang berlaku, di bawah daftar entitas yang relevan di bagian skema entitas di bawah ini.
- Nama pengidentifikasi miring (tanpa tanda bintang) mewakili entitas internal, yang berarti bahwa satu jenis entitas dapat memiliki jenis entitas lain sebagai atribut (lihat bagian skema entitas di bawah). Ikuti tautan pengidentifikasi untuk melihat skema entitas internal sendiri.
Skema jenis entitas
Bagian berikut berisi tampilan yang lebih mendalam pada skema lengkap setiap jenis entitas. Anda akan melihat bahwa banyak skema ini menyertakan tautan ke jenis entitas lain. Misalnya, skema Akun menyertakan tautan ke jenis entitas Host, karena satu atribut akun pengguna adalah host tempatnya ditentukan. Entitas-sebagai-atribut ini dikenal sebagai "entitas internal", dan mereka tidak dapat digunakan sebagai pengidentifikasi untuk pemetaan entitas, tetapi mereka sangat berguna dalam memberikan gambaran lengkap entitas pada halaman entitas dan grafik investigasi.
Catatan
Tanda tanya yang mengikuti nilai di kolom Jenis menunjukkan bahwa bidang tersebut dapat diubah ke null.
Daftar skema jenis entitas
- Rekening
- Host
- IP
- Malware
- File
- Proses
- Aplikasi cloud
- Resolusi DNS
- Sumber daya Azure
- Hash file
- Kunci Registri
- Nilai registri
- Kelompok keamanan
- URL
- Perangkat IoT
- Kotak Pesan
- Kluster surat
- Pesan surat
- Pengiriman surat
- Entitas Sentinel
Akun
Nama entitas: Akun
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'akun' |
| Nama | String | Nama akun. Bidang ini hanya boleh berisi nama tanpa domain apa pun yang ditambahkan ke dalamnya. |
| FullName | -- | Bukan bagian dari skema, disertakan untuk kompatibilitas mundur dengan pemetaan entitas versi lama. |
| NTDomain | String | Nama domain NETBIOS seperti yang muncul dalam format pemberitahuan—domain\nama pengguna. Contoh: Keuangan, OTORITAS NT |
| DnsDomain | String | Nama DNS domain yang sepenuhnya memenuhi syarat. Contoh: finance.contoso.com |
| UPNSuffix | String | Akhiran nama prinsipal pengguna untuk akun. Dalam banyak kasus Akhiran UPN juga merupakan nama domain. Contoh: contoso.com |
| Host | Entitas (Host) | Host yang berisi akun, jika itu adalah akun lokal. |
| Sid | String | Pengidentifikasi keamanan akun. |
| AadTenantId | Guid? | ID penyewa Microsoft Entra, jika diketahui. |
| AadUserId | Guid? | ID objek akun Microsoft Entra, jika diketahui. |
| PUID | Guid? | ID Pengguna Microsoft Entra Passport, jika diketahui. |
| IsDomainJoined | Bool? | Menunjukkan apakah akun tersebut adalah akun domain. |
| DisplayName | -- | Bukan bagian dari skema, disertakan untuk kompatibilitas mundur dengan pemetaan entitas versi lama. |
| ObjectGuid | Guid? | Atribut objectGUID adalah atribut nilai tunggal yang merupakan pengenal unik untuk objek, yang ditetapkan oleh Direktori Aktif. |
| CloudAppAccountId | String | AccountID dalam pemberitahuan dari penyedia CloudApp. Mengacu pada ID akun di aplikasi pihak ketiga yang tidak didukung di produk Microsoft lainnya. |
| IsAnonim | Bool? | Menunjukkan apakah nama pengguna dianonimkan. Opsional. Nilai default: false. |
| Stream | Stream | Sumber log penemuan yang terkait dengan akun tertentu. Opsional. |
Pengidentifikasi yang kuat dari entitas akun
- Nama + UPNSuffix
- AadUserId
- Sid
** Pengidentifikasi ini kuat selama akun bukan salah satu akun bawaan yang tercantum dalam Catatan di bawah ini. - Sid + Host
** Ketika akun adalah salah satu akun bawaan yang tercantum dalam Catatan di bawah ini, komponen Host diperlukan untuk membuat pengidentifikasi ini menjadi yang kuat. - Nama + NTDomain
** Kombinasi ini adalah pengidentifikasi yang kuat ketika akun adalah akun domain, karena NTDomain bukan domain/grup kerja bawaan dan berbeda dari nama host. Dalam hal ini, ini adalah pengidentifikasi yang kuat bahkan tanpa komponen Host. - Nama + NTDomain + Host
** Komponen Host diperlukan untuk membuat pengidentifikasi yang kuat ketika akun adalah akun lokal, yang berarti bahwa NTDomain adalah domain/grup kerja bawaan. - Nama + DnsDomain
- PUID
- ObjectGuid
Pengidentifikasi lemah entitas akun
- Nama
Catatan
Jika entitas Akun didefinisikan menggunakan pengidentifikasi Nama, dan nilai Nama entitas tertentu adalah salah satu nama akun umum dan umum berikut, maka entitas tersebut akan dihilangkan dari pemberitahuannya.
- ADMIN
- ADMINISTRATOR
- SISTEM
- AKAR
- ANONIM
- PENGGUNA TERAUTENTIKASI
- NETWORK
- NULL
- SISTEM LOKAL
- LOCALSYSTEM
- LAYANAN JARINGAN
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Host
Nama entitas: Host
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'host' |
| IpInterfaces | Entitas Daftar<(Ip)> | Daftar semua antarmuka IP pada komputer host. |
| DnsDomain | String | Domain DNS milik host ini. Harus berisi akhiran DNS lengkap untuk domain, jika diketahui. |
| NTDomain | String | Domain NT milik host ini. |
| HostName | String | Nama host tanpa akhiran domain. |
| NetBiosName | String | Nama host (sebelum Windows 2000). |
| IoTDevice | Entitas (Perangkat IoT) | Entitas Perangkat IoT (jika host ini mewakili Perangkat IoT). |
| AzureID | String | ID sumber daya VM Azure, jika diketahui. |
| OMSAgentID | String | ID agen OMS, jika host telah memasang agen OMS. |
| OSFamily | Enum? | Salah satu nilai berikut: |
| OSVersion | String | Representasi teks bebas dari sistem operasi. Bidang ini dimaksudkan untuk menampung versi tertentu yang lebih halus daripada OSFamily, atau nilai masa depan yang tidak didukung oleh enumerasi OSFamily. |
| IsDomainJoined | Bool | Menunjukkan apakah host ini milik domain. |
Pengidentifikasi kuat dari entitas host
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Pengidentifikasi lemah dari entitas host
- HostName
- NetBiosName
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
IP
Nama entitas: IP
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'ip' |
| Alamat | String | Alamat IP sebagai string, misalnya. 127.0.0.1 (baik di IPv4 atau IPv6). |
| Cakupan Alamat | String | Nama host, subnet, atau jaringan privat untuk alamat IP privat non-global. Null atau kosong untuk alamat IP global (default). |
| Location | GeoLocation | Konteks geo-lokasi yang dilampirkan ke entitas IP. Untuk informasi selengkapnya, lihat juga Memperkaya entitas di Microsoft Sentinel dengan data geolokasi melalui REST API (Pratinjau publik). |
| Stream | Stream | Sumber log penemuan yang terkait dengan IP tertentu. Opsional. |
Pengidentifikasi kuat dari entitas IP
- Alamat
** Alamat saja adalah pengidentifikasi unik dan kuat ketika alamat IP adalah alamat global. - Alamat + AddressScope
** Untuk alamat IP privat/internal non-global, komponen AddressScope diperlukan untuk menjadikan ini pengidentifikasi yang kuat.
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Malware
Nama entitas: Malware
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'malware' |
| Nama | String | Nama malware yang ditetapkan oleh vendor (deteksi?), seperti Win32/Toga!rfn. |
| Golongan | String | Kategori malware yang ditetapkan oleh vendor (deteksi?), misalnya. Trojan. |
| File | Entitas Daftar<(File)> | Daftar entitas file tertaut tempat malware ditemukan. Dapat berisi entitas File sebaris atau sebagai referensi. Lihat Entitas file untuk detail selengkapnya tentang struktur. |
| Proses | Entitas Daftar<(Proses)> | Daftar entitas proses tertaut tempat malware ditemukan. Ini akan sering digunakan ketika pemberitahuan dipicu pada aktivitas tanpa file. Lihat Entitas proses untuk detail selengkapnya tentang struktur. |
Pengidentifikasi kuat dari entitas malware
- Nama + Kategori
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
File
Nama entitas: File
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'file' |
| Direktori | String | Jalur lengkap ke file. |
| Nama | String | Nama file tanpa jalur (beberapa pemberitahuan mungkin tidak menyertakan jalur). |
| AlternateDataStreamName | String | Nama aliran file dalam sistem file NTFS (null untuk aliran utama). |
| Host | Entitas (Host) | Host tempat file disimpan. |
| HostUrl | Entitas (URL) | URL tempat file diunduh (Tanda Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Keamanan Windows Zona tempat URL berada (Tanda Web). |
| RefererUrl | Entitas (URL) | URL perujuk permintaan HTTP unduhan file (Tanda Web). |
| SizeInBytes | Lama? | Ukuran file dalam byte. |
| FileHashes | Entitas Daftar<(FileHash)> | Hash file yang terkait dengan file ini. |
Pengidentifikasi kuat dari entitas file
- Nama + Direktori
- Nama + FileHash
- Nama + Direktori + FileHash
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Proses
Nama entitas: Proses
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'process' |
| ProcessId | String | ID proses. |
| Commandline | String | Baris perintah yang digunakan untuk membuat proses. |
| ElevationToken | Enum? | Token elevasi yang terkait dengan proses. Nilai yang mungkin: |
| CreationTimeUtc | TanggalWaktu? | Waktu ketika proses mulai berjalan. |
| ImageFile | Entitas (File) | Dapat berisi entitas File sebaris atau sebagai referensi. Lihat Entitas file untuk detail selengkapnya tentang struktur. |
| Rekening | Entitas (Akun) | Akun yang menjalankan proses. Dapat berisi entitas Akun sebaris atau sebagai referensi. Lihat Entitas akun untuk detail selengkapnya tentang struktur. |
| ParentProcess | Entitas (Proses) | Entitas proses induk. Dapat berisi data parsial, misalnya, hanya PID. |
| Host | Entitas (Host) | Host tempat proses berjalan. |
| LogonSession | Entitas (HostLogonSession) | Sesi di mana proses sedang berjalan. |
Pengidentifikasi yang kuat dari entitas proses
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Pengidentifikasi lemah dari entitas proses
- ProcessId + CreationTimeUtc + CommandLine (dan tanpa Host)
- ProcessId + CreationTimeUtc + ImageFile (dan tanpa Host)
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Aplikasi cloud
Nama entitas: CloudApplication
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'cloud-application' |
| AppId | Int | Usang; gunakan bidang SaasId sebagai gantinya. Pengidentifikasi teknis aplikasi. Nilai yang mungkin adalah yang ditentukan dalam daftar pengidentifikasi aplikasi cloud. Nilai opsional. Tidak boleh berisi InstanceId. |
| SaasId | Int | Mengganti bidang AppId yang tidak digunakan lagi. Pengidentifikasi teknis aplikasi. Nilai yang mungkin adalah yang ditentukan dalam daftar pengidentifikasi aplikasi cloud. Nilai opsional. Tidak boleh berisi InstanceId. |
| Nama | String | Nama aplikasi cloud terkait. Nilai opsional. |
| InstanceName | String | Nama instans yang ditentukan pengguna dari aplikasi cloud. Ini sering digunakan untuk membedakan antara beberapa aplikasi dengan jenis yang sama yang dimiliki pelanggan. |
| InstanceId | Int | Pengidentifikasi sesi spesifik aplikasi. Ini adalah nomor yang berjalan berbasis nol. Nilai opsional. |
| Risiko | AppRisk? | Memungkinkan Anda memfilter aplikasi berdasarkan skor risiko sehingga Anda dapat fokus, misalnya, hanya meninjau aplikasi yang sangat berisiko. Nilai yang mungkin seperti Rendah, Sedang, Tinggi, atau Tidak Diketahui. |
| Stream | Stream | Sumber log penemuan yang terkait dengan aplikasi cloud tertentu. Opsional. |
Pengidentifikasi yang kuat dari entitas aplikasi cloud
- AppId (tanpa InstanceName)
- Nama (tanpa InstanceName)
- AppId + InstanceName
- Nama + InstanceName
Daftar pengidentifikasi aplikasi cloud
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Penyelesaian DNS
Nama entitas: DNS
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'dns' |
| DomainName | String | Nama baris DNS yang terkait dengan pemberitahuan. |
| IpAddress | Entitas Daftar<(IP)> | Entitas yang sesuai dengan alamat IP yang diselesaikan. |
| DnsServerIp | Entitas (IP) | Entitas yang mewakili server DNS yang menyelesaikan permintaan. |
| HostIpAddress | Entitas (IP) | Entitas yang mewakili klien permintaan DNS. |
Pengidentifikasi yang kuat dari entitas DNS
- DomainName + DnsServerIp + HostIpAddress
Pengidentifikasi lemah dari entitas DNS
- DomainName + HostIpAddress
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Sumber daya Azure
Nama entitas: AzureResource
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'sumber daya-azure' |
| ResourceId | String | ID sumber daya Azure dari sumber daya. Wajib. |
| SubscriptionId | String | ID langganan sumber daya. |
| ActiveContacts | Mencantumkan<ActiveContact> | Kontak aktif yang terkait dengan sumber daya. |
| ResourceType | String | Jenis sumber daya. |
| ResourceName | String | Nama sumber daya. |
Pengidentifikasi kuat dari entitas sumber daya Azure
- ResourceId
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Hash file
Nama entitas: FileHash
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'filehash' |
| Algorithm | Enum | Jenis algoritme hash. Wajib. Nilai yang mungkin: |
| Nilai | String | Nilai hash. Wajib. |
Pengidentifikasi kuat dari entitas hash file
- Algoritma + Nilai
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Kunci Registri
Nama entitas: RegistryKey
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'kunci registri' |
| Hive | Enum? | Salah satu dari nilai berikut: |
| Kunci | String | Jalur kunci registri. |
Pengidentifikasi kuat dari entitas kunci registri
- Apache Hive + Kunci
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Nilai registri
Nama entitas: RegistryValue
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'registry-value' |
| Host | Entitas (Host) | Host tempat registri berada. |
| Kunci | Entitas (RegistryKey) | Entitas kunci registri. |
| Nama | String | Nama nilai registri. |
| Nilai | String | Representasi berformat string dari data nilai. |
| ValueType | Enum? | Salah satu dari nilai berikut: Nilai harus sesuai dengan enumerasi Microsoft.Win32.RegistryValueKind. |
Pengidentifikasi kuat dari entitas nilai registri
- Kunci + Nama
Pengidentifikasi lemah dari entitas nilai registri
- Nama (tanpa Kunci)
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Kelompok keamanan
Nama entitas: SecurityGroup
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'kelompok keamanan' |
| DistinguishedName | String | Nama khusus grup. |
| SID | String | Atribut nilai tunggal yang menentukan pengidentifikasi keamanan (SID) grup. |
| ObjectGuid | Guid? | Atribut nilai tunggal yang merupakan pengidentifikasi unik untuk objek, yang ditetapkan oleh Direktori Aktif. |
Pengidentifikasi kuat dari entitas grup keamanan
- DistinguishedName
- SID
- ObjectGuid
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
URL
Nama entitas: Url
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'url' |
| URL | Uri | URL lengkap yang ditunjuk entitas. Wajib. |
Pengidentifikasi yang kuat dari entitas URL
- Url (** Pengidentifikasi ini kuat ketika URL adalah URL absolut.)
Pengidentifikasi lemah entitas URL
- Url (** Pengidentifikasi ini lemah ketika URL adalah URL relatif.)
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
perangkat IoT
Nama entitas: IoTDevice
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'iotdevice' |
| IoTHub | Entitas (AzureResource) | Entitas AzureResource yang mewakili IoT Hub yang dimiliki perangkat. |
| DeviceId | String | ID perangkat dalam konteks IoT Hub. Wajib. |
| DeviceName | String | Nama perangkat yang ramah. |
| Pemilik | Daftar<String> | Pemilik untuk perangkat. |
| IoTSecurityAgentId | Guid? | ID agen Pertahanan untuk IoT yang berjalan di perangkat. |
| DeviceType | String | Jenis perangkat ('sensor suhu', 'freezer', 'turbin angin', dll.). |
| DeviceTypeId | String | ID unik untuk mengidentifikasi setiap jenis perangkat sesuai dengan skema jenis perangkat, karena jenis perangkat itu sendiri adalah nama tampilan dan tidak dapat diandalkan dalam perbandingan. Nilai yang mungkin: Tidak diklasifikasikan = 0 Lain-lain = 1 Perangkat Jaringan = 2 Printer = 3 Audio dan Video = 4 Media dan Pengawasan = 5 Komunikasi = 7 Smart Appliance = 9 Stasiun kerja = 10 Server = 11 Seluler = 12 Fasilitas Pintar = 13 Industri = 14 Peralatan Operasional = 15 |
| Sumber | String | Sumber (Microsoft/Vendor) entitas perangkat. |
| SourceRef | Entitas (Url) | Referensi URL ke item sumber tempat perangkat dikelola. |
| Produsen | String | Produsen perangkat. |
| Model | String | Model perangkat. |
| OperatingSystem | String | Sistem operasi yang dijalankan perangkat. |
| IpAddress | Entitas (IP) | Alamat IP perangkat saat ini. |
| MacAddress | String | Alamat MAC perangkat. |
| Nic | Entitas (Nic) | NIC saat ini pada perangkat. |
| Protokol | Daftar<String> | Daftar protokol yang didukung perangkat. |
| SerialNumber | String | Nomor seri perangkat. |
| Lokasi | String | Lokasi situs perangkat. |
| Zone | String | Lokasi zona perangkat dalam situs. |
| Sensor | String | Sensor yang memantau perangkat. |
| Penting | Enum? | Salah satu dari nilai berikut: |
| PurdueLayer | String | Lapisan Purdue perangkat. |
| IsProgramming | Bool? | Menunjukkan apakah perangkat diklasifikasikan sebagai perangkat pemrograman. |
| Diotorisasi | Bool? | Menunjukkan apakah perangkat diklasifikasikan sebagai perangkat yang diotorisasi. |
| IsScanner | Bool? | Menunjukkan apakah perangkat diklasifikasikan sebagai perangkat pemindai. |
| DevicePageLink | Entitas (Url) | URL ke halaman perangkat di portal Defender for IoT. |
| DeviceSubType | String | Nama subjenis perangkat. |
Pengidentifikasi yang kuat dari entitas perangkat IoT
- IoTHub + DeviceId
Pengidentifikasi lemah entitas perangkat IoT
- DeviceId (tanpa IoTHub)
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Kotak Pesan
Nama entitas: Kotak Surat
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'kotak surat' |
| MailboxPrimaryAddress | String | Alamat utama kotak surat. |
| DisplayName | String | Nama tampilan kotak surat. |
| Upn | String | Nama prinsipal pengguna kotak surat. |
| AadId | String | Pengidentifikasi Microsoft Azure ACTIVE Directory kotak surat pengguna. |
| RiskLevel | RiskLevel? | Tingkat risiko kotak surat ini. Nilai yang mungkin: |
| ExternalDirectoryObjectId | Guid? | Pengidentifikasi AzureAD kotak surat. Mirip dengan AadUserId di entitas Akun, tetapi properti ini khusus untuk objek kotak surat di sisi Office. |
Pengidentifikasi yang kuat dari entitas kotak surat
- MailboxPrimaryAddress
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Kluster mail
Nama entitas: MailCluster
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'kluster-surat' |
| NetworkMessageIds | IList<String> | ID pesan surat yang merupakan bagian dari kluster surat. |
| CountByDeliveryStatus | IDictionary<String,Int> | Jumlah pesan surat menurut representasi string DeliveryStatus. |
| CountByThreatType | IDictionary<String,Int> | Jumlah pesan surat menurut representasi string ThreatType. |
| CountByProtectionStatus | IDictionary<String,panjang> | Jumlah pesan email menurut representasi string status Perlindungan. |
| CountByDeliveryLocation | IDictionary<String,panjang> | Jumlah pesan email menurut Representasi string lokasi pengiriman. |
| Ancaman | IList<String> | Ancaman pesan surat yang merupakan bagian dari kluster surat. |
| Kueri | String | Kueri yang digunakan untuk mengidentifikasi pesan kluster surat. |
| QueryTime | TanggalWaktu? | Waktu kueri. |
| MailCount | Int? | Jumlah pesan surat yang merupakan bagian dari kluster surat. |
| IsVolumeAnomaly | Bool? | Menunjukkan apakah kluster email adalah kluster email anomali volume. |
| Sumber | String | Sumber kluster email (defaultnya adalah O365 ATP). |
Pengidentifikasi yang kuat dari entitas kluster email
- Kueri + Sumber
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Pesan mail
Nama entitas: MailMessage
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'pesan-surat' |
| File | Entitas IList<(File)> | Entitas file lampiran pesan surat ini. |
| Penerima | String | Penerima pesan surat ini. Dalam kasus beberapa penerima, pesan surat disalin, dan setiap salinan memiliki satu penerima. |
| Url | IList<String> | URL yang terdapat dalam pesan surat ini. |
| Ancaman | IList<String> | Ancaman yang terkandung dalam pesan surat ini. |
| Pengirim | String | Alamat email pengirim. |
| SenderIP | String | Alamat IP pengirim. |
| ReceivedDate | DateTime | Tanggal diterimanya pesan ini. |
| NetworkMessageId | Guid? | ID pesan jaringan dari pesan surat ini. |
| InternetMessageId | String | ID pesan internet dari pesan surat ini. |
| Subjek | String | Subjek pesan surat ini. |
| AntispamDirection | Enum? | Tujuan pesan surat ini. Nilai yang mungkin: |
| DeliveryAction | Enum? | Tindakan pengiriman pesan surat ini. Nilai yang mungkin: |
| DeliveryLocation | Enum? | Lokasi pengiriman pesan surat ini. Nilai yang mungkin: |
| CampaignId | String | Pengidentifikasi kampanye tempat pesan email ini ada. |
| SuspiciousRecipients | IList<String> | Daftar penerima yang terdeteksi mencurigakan. |
| ForwardedRecipients | IList<String> | Daftar semua penerima pada email yang diteruskan. |
| ForwardingType | IList<String> | Jenis penerusan email, seperti SMTP, ETR, dll. |
Pengidentifikasi kuat dari entitas pesan email
- NetworkMessageId + Penerima
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Kiriman mail
Nama entitas: SubmissionMail
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Jenis | String | 'SubmissionMail' |
| SubmissionId | Guid? | ID Pengiriman. |
| SubmissionDate | TanggalWaktu? | Tanggal waktu yang dilaporkan untuk pengiriman ini. |
| Pengirim | String | Alamat surel pengirim. |
| NetworkMessageId | Guid? | ID pesan jaringan dari surel yang menjadi milik pengiriman. |
| Stempel waktu | TanggalWaktu? | Tanda waktu saat pesan diterima (Surat). |
| Penerima | String | Penerima surat. |
| Pengirim | String | Pengirim surat. |
| SenderIp | String | IP pengirim. |
| Subjek | String | Subjek pengiriman surat. |
| ReportType | String | Jenis pengiriman untuk instans yang diberikan. Nilai yang mungkin adalah Sampah, Phish, Malware, atau NotJunk. |
Pengidentifikasi kuat entitas SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Penerima
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Entitas Sentinel
| Bidang | Jenis | Deskripsi |
|---|---|---|
| Entitas | String | Daftar entitas yang diidentifikasi dalam peringatan. Daftar ini adalah kolom entitas dari skema SecurityAlert (lihat dokumentasi). |
Kembali ke daftar skema | jenis entitas Kembali ke tabel pengidentifikasi entitas
Pengidentifikasi aplikasi cloud
Daftar berikut mendefinisikan pengidentifikasi untuk aplikasi cloud yang dikenal. Nilai ID Aplikasi digunakan sebagai pengidentifikasi entitas aplikasi cloud.
| ID Aplikasi | Nama |
|---|---|
| 10026 | Docusign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Perangkat Lunak Jive |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Layanan Web Amazon |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Setuju |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Direktori Aktif |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Siklus Hidup Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business Server 2019 |
| 25988 | Google Dokumen |
| 26055 | Pusat admin Microsoft 365 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Sway Microsoft Office |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | Emulator Proksi CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Talent Microsoft Dynamics |
Langkah berikutnya
Dalam dokumen ini Anda mempelajari tentang struktur entitas, pengidentifikasi, dan skema di Microsoft Sentinel.
Pelajari lebih lanjut tentang entitas dan pemetaan entitas.