Naslag voor Microsoft Sentinel-entiteitstypen

  • Artikel
  • 14 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Entiteitstypen en id's

In de volgende tabel ziet u de entiteitstypen die momenteel beschikbaar zijn voor toewijzing in Microsoft Sentinel en de kenmerken die beschikbaar zijn als id's voor elk entiteitstype. Deze worden weergegeven in de vervolgkeuzelijst Id's in de sectie Entiteitstoewijzing van de wizard Analyseregel.

Elk van de id's in de kolom vereiste id's is minimaal nodig om de entiteit te identificeren. Een vereiste id is op zichzelf echter mogelijk niet voldoende om unieke identificatie te bieden. Hoe meer id's worden gebruikt, hoe groter de kans op unieke identificatie. U kunt maximaal drie id's gebruiken voor één entiteitstoewijzing.

Voor de beste resultaten, voor gegarandeerde unieke identificatie, moet u waar mogelijk id's uit de kolom met sterkste id's gebruiken. Het gebruik van meerdere sterke id's maakt correlatie mogelijk tussen sterke id's uit verschillende gegevensbronnen en schema's. Hierdoor kan Microsoft Sentinel uitgebreidere inzichten bieden voor een bepaalde entiteit.

Entiteitstype Id's Vereiste id's Sterkste id's
Gebruikersaccount
(Account)		 Name
FullName
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName
ObjectGuid		 FullName
Sid
Name
AadUserId
PUID
ObjectGuid		 Naam + NTDomain
Naam + UPNSuffix
AADUserId
Sid
Host DnsDomain
NTDomain
HostName
FullName
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 FullName
HostName
NetBiosName
AzureID
OMSAgentID		 HostNaam + NTDomain
HostName + DnsDomain
NetBiosName + NTDomain
NetBiosName + DnsDomain
AzureID
OMSAgentID
IP-adres
(IP)		 Adres Adres
Malware Name
Categorie		 Name
File Directory
Name		 Name
Proces ProcessId
Commandline
ElevationToken
CreationTimeUtc		 Commandline
ProcessId
Cloudtoepassing
(CloudApplication)		 AppId
Name
InstanceName		 AppId
Name
Domeinnaam
(DNS)		 DomainName DomainName
Azure-resource ResourceId ResourceId
Bestandshash
(FileHash)		 Algoritme
Waarde		 Algoritme + waarde
Registersleutel Hive
Sleutel		 Hive
Sleutel		 Hive + Key
Registerwaarde Name
Waarde
ValueType		 Name
Beveiligingsgroep DistinguishedName
SID
ObjectGuid		 DistinguishedName
SID
ObjectGuid
URL URL URL
IoT-apparaat IoTHub
DeviceId
DeviceName
IoTSecurityAgentId
DeviceType
Bron
SourceRef
Fabrikant
Modelleren
OperatingSystem
IpAddress
MacAddress
Protocollen
SerialNumber		 IoTHub
DeviceId		 IoTHub + DeviceId
Postvak MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
E-mailcluster NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Bedreigingen
Query’s uitvoeren
QueryTime
MailCount
IsVolumeAnomaly
Bron
ClusterSourceIdentifier
ClusterSourceType
ClusterQueryStartTime
ClusterQueryEndTime
ClusterGroup		 Query’s uitvoeren
Bron		 Query + bron
E-mailbericht Ontvanger
Urls
Bedreigingen
Afzender
P1Sender
P1SenderDisplayName
P1SenderDomain
Afzender-IP
P2Sender
P2SenderDisplayName
P2SenderDomain
ReceivedDate
NetworkMessageId
InternetMessageId
Onderwerp
BodyFingerprintBin1
BodyFingerprintBin2
BodyFingerprintBin3
BodyFingerprintBin4
BodyFingerprintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Taal
ThreatDetectionMethods		 NetworkMessageId
Ontvanger		 NetworkMessageId + Ontvanger
Inzendingsmail SubmissionId
SubmissionDate
Indiener
NetworkMessageId
Tijdstempel
Ontvanger
Afzender
SenderIp
Onderwerp
ReportType		 SubmissionId
NetworkMessageId
Ontvanger
Indiener

Schema's van entiteitstype

Hier volgt een uitgebreider overzicht van de volledige schema's van elk entiteitstype. U ziet dat veel van deze schema's koppelingen naar andere entiteitstypen bevatten. Het gebruikersaccountschema bevat bijvoorbeeld een koppeling naar het entiteitstype Host, omdat één kenmerk van een gebruikersaccount de host is die het heeft gedefinieerd. Deze extern gekoppelde entiteiten kunnen niet worden gebruikt als id's voor entiteitstoewijzing, maar ze zijn zeer nuttig bij het geven van een volledig beeld van entiteiten op entiteitspagina's en de onderzoeksgrafiek.

Notitie

Een vraagteken na de waarde in de kolom Type geeft aan dat het veld null-waarde heeft.

Gebruikersaccount

Entiteitsnaam: Account

Veld Type Beschrijving
Type Tekenreeks 'account'
Name Tekenreeks De naam van het account. Dit veld mag alleen de naam hebben zonder dat er een domein aan is toegevoegd.
Fullname N.v.t. Maakt geen deel uit van het schema, opgenomen voor compatibiliteit met eerdere versies van entiteitstoewijzing.
NTDomain Tekenreeks De NETBIOS-domeinnaam zoals deze wordt weergegeven in de waarschuwingsindeling : domein\gebruikersnaam. Voorbeelden: Financiën, NT AUTHORITY
DnsDomain Tekenreeks De volledig gekwalificeerde DNS-naam van het domein. Voorbeelden: finance.contoso.com
UPNSuffix Tekenreeks Het user principal name voor het account. In sommige gevallen is dit ook de domeinnaam. Voorbeelden: contoso.com
Host Entiteit De host die het account bevat, als het een lokaal account is.
Sid Tekenreeks De beveiligings-id van het account, zoals S-1-5-18.
AadTenantId Guid? De Azure AD-tenant-id, indien bekend.
AadUserId Guid? De object-id van het Azure AD-account, indien bekend.
PUID Guid? De Azure AD Passport-gebruikers-id, indien bekend.
IsDomainJoined Bool? Hiermee bepaalt u of dit een domeinaccount is.
DisplayName Tekenreeks De weergavenaam van het account.
ObjectGuid Guid? Het kenmerk objectGUID is een kenmerk met één waarde dat de unieke id voor het object is, toegewezen door Active Directory.

Sterke id's van een accountentiteit:

  • Naam + UPNSuffix
  • AadUserId
  • Sid + Host (vereist voor SID's van ingebouwde accounts)
  • Sid (met uitzondering van SID's van ingebouwdeaccounts)
  • Naam + NTDomain (tenzij NTDomain een ingebouwd domein is, bijvoorbeeld 'Werkgroep')
  • Naam en host (als NTDomain een ingebouwd domein is, bijvoorbeeld 'Werkgroep')
  • Naam + DnsDomain
  • PUID
  • ObjectGuid

Zwakke id's van een accountentiteit:

  • Name

Host

Veld Type Beschrijving
Type Tekenreeks 'host'
DnsDomain Tekenreeks Het DNS-domein waar deze host bij hoort. Moet het volledige DNS-achtervoegsel voor het domein bevatten, indien bekend.
NTDomain Tekenreeks Het NT-domein waar deze host bij hoort.
HostName Tekenreeks De hostnaam zonder het domeinachtervoegsel.
Fullname N.v.t. Maakt geen deel uit van het schema, opgenomen voor compatibiliteit met eerdere versies van entiteitstoewijzing.
NetBiosName Tekenreeks De hostnaam (vooraf Windows 2000).
IoTDevice Entiteit De entiteit IoT-apparaat (als deze host een IoT-apparaat vertegenwoordigt).
AzureID Tekenreeks De Azure-resource-id van de VM, indien bekend.
OMSAgentID Tekenreeks De OMS-agent-id, als de OMS-agent op de host is geïnstalleerd.
OSFamily Enum? Een van de volgende waarden:
  • Linux
  • Windows
  • Android
  • iOS
    		•
    OSVersion Tekenreeks Een vrije-tekstweergave van het besturingssysteem.
    Dit veld is bedoeld om specifieke versies te bevatten. De zijn fijner dan OSFamily, of toekomstige waarden die niet worden ondersteund door osfamily-enumeratie.
    IsDomainJoined Booleaanse waarde Bepaalt of deze host tot een domein behoort.

    Sterke id's van een hostentiteit:

    • Hostnaam + NTDomain
    • Hostnaam + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice (niet ondersteund voor entiteitstoewijzing)

    Zwakke id's van een hostentiteit:

    • HostName
    • NetBiosName

    IP-adres

    Entiteitsnaam: IP

    Veld Type Beschrijving
    Type Tekenreeks 'ip'
    Adres Tekenreeks Het IP-adres als tekenreeks, bijvoorbeeld 127.0.0.1 (in IPv4 of IPv6).
    Locatie Geolocation De geolocatiecontext die is gekoppeld aan de IP-entiteit.

    Zie ook Entiteiten in Microsoft Sentinel verrijken met geolocatiegegevens via REST API (openbare preview)voor meer informatie.

    Sterke id's van een IP-entiteit:

    • Adres

    Malware

    Veld Type Beschrijving
    Type Tekenreeks 'malware'
    Name Tekenreeks De naam van de malware door de leverancier, zoals Win32/Toga!rfn .
    Categorie Tekenreeks De malwarecategorie van de leverancier, bijvoorbeeld Trojaanse paarden.
    Bestanden Lijst<Entity> Lijst met gekoppelde bestandsentiteiten waarop de malware is gevonden. Kan de bestandsentiteiten inline of als referentie bevatten.
    Zie de bestandsentiteit voor meer informatie over de structuur.
    Processen Lijst<Entity> Lijst met gekoppelde procesentiteiten waarop de malware is gevonden. Dit wordt vaak gebruikt wanneer de waarschuwing wordt geactiveerd bij activiteit zonder bestand.
    Zie de entiteit Proces voor meer informatie over de structuur.

    Sterke id's van een malware-entiteit:

    • Naam en categorie

    File

    Veld Type Beschrijving
    Type Tekenreeks 'file'
    Directory Tekenreeks Het volledige pad naar het bestand.
    Name Tekenreeks De bestandsnaam zonder het pad (sommige waarschuwingen bevatten mogelijk geen pad).
    Host Entiteit De host waarop het bestand is opgeslagen.
    FileHashes Entiteit < list> De bestandshashes die aan dit bestand zijn gekoppeld.

    Sterke id's van een bestandsentiteit:

    • Naam en map
    • Naam + FileHash
    • Naam + Map + BestandHash

    Proces

    Veld Type Beschrijving
    Type Tekenreeks 'proces'
    ProcessId Tekenreeks De proces-id.
    Commandline Tekenreeks De opdrachtregel die wordt gebruikt om het proces te maken.
    ElevationToken Enum? Het token voor verhoging dat is gekoppeld aan het proces.
    Mogelijke waarden:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc Datetime? Het tijdstip waarop het proces is gestart.
    ImageFile Entiteit (bestand) Kan de bestandsentiteit inline of als referentie bevatten.
    Zie de bestandsentiteit voor meer informatie over de structuur.
    Account Entiteit Het account dat de processen uitvoeren.
    Kan de entiteit Account inline of als referentie bevatten.
    Zie de entiteit Account voor meer informatie over de structuur.
    ParentProcess Entiteit (proces) De bovenliggende procesentiteit.
    Kan gedeeltelijke gegevens bevatten, dat wil zeggen alleen de PID.
    Host Entiteit De host waarop het proces werd uitgevoerd.
    AanmeldingSession Entiteit (HostLogonSession) De sessie waarin het proces werd uitgevoerd.

    Sterke id's van een procesentiteit:

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Zwakke id's van een procesentiteit:

    • ProcessId + CreationTimeUtc + CommandLine (en geen host)
    • ProcessId + CreationTimeUtc + ImageFile (en geen host)

    Cloudtoepassing

    Entiteitsnaam: CloudApplication

    Veld Type Beschrijving
    Type Tekenreeks 'cloudtoepassing'
    AppId Int De technische id van de toepassing. Dit moet een van de waarden zijn die zijn gedefinieerd in de lijst met cloudtoepassings-id's. De waarde voor het veld AppId is optioneel.
    Name Tekenreeks De naam van de gerelateerde cloudtoepassing. De waarde van de toepassingsnaam is optioneel.
    InstanceName Tekenreeks De door de gebruiker gedefinieerde exemplaarnaam van de cloudtoepassing. Het wordt vaak gebruikt om onderscheid te maken tussen verschillende toepassingen van hetzelfde type als een klant.

    Sterke id's van een cloudtoepassingsentiteit:

    • AppId (zonder InstanceName)
    • Naam (zonder InstanceName)
    • AppId + InstanceName
    • Naam + Exemplaarnaam

    Domeinnaam

    Naam van entiteit: DNS

    Veld Type Beschrijving
    Type Tekenreeks 'dns'
    DomainName Tekenreeks De naam van de DNS-record die is gekoppeld aan de waarschuwing.
    IpAddress List < Entity (IP)> Entiteiten die overeenkomen met de opgeloste IP-adressen.
    DnsServerIp Entiteit (IP) Een entiteit die de DNS-server vertegenwoordigt die de aanvraag omkeert.
    HostIpAddress Entiteit (IP) Een entiteit die de DNS-aanvraagclient vertegenwoordigt.

    Sterke id's van een DNS-entiteit:

    • DomainName + DnsServerIp + HostIpAddress

    Zwakke id's van een DNS-entiteit:

    • DomainName + HostIpAddress

    Azure-resource

    Veld Type Beschrijving
    Type Tekenreeks 'azure-resource'
    ResourceId Tekenreeks De Azure-resource-id van de resource.
    SubscriptionId Tekenreeks De abonnements-id van de resource.
    TryGetResourceGroup Booleaanse waarde De waarde van de resourcegroep als deze bestaat.
    TryGetProvider Booleaanse waarde De providerwaarde als deze bestaat.
    TryGetName Booleaanse waarde De naamwaarde als deze bestaat.

    Sterke id's van een Azure-resource-entiteit:

    • ResourceId

    Bestandshash

    Entiteitsnaam: FileHash

    Veld Type Beschrijving
    Type Tekenreeks 'filehash'
    Algoritme Enum Het type hash-algoritme. Mogelijke waarden:
  • Onbekend
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Waarde Tekenreeks De hash-waarde.

    Sterke id's van een bestandshashentiteit:

    • Algoritme + waarde

    Registersleutel

    Entiteitsnaam: RegistryKey

    Veld Type Beschrijving
    Type Tekenreeks 'registersleutel'
    Hive Enum? Een van de volgende waarden:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Sleutel Tekenreeks Het pad naar de registersleutel.

    Sterke id's van een registersleutelentiteit:

    • Hive + Key

    Registerwaarde

    Entiteitsnaam: RegistryValue

    Veld Type Beschrijving
    Type Tekenreeks 'registry-value'
    Sleutel Entiteit (RegistryKey) De registersleutelentiteit.
    Name Tekenreeks De naam van de registerwaarde.
    Waarde Tekenreeks Weergave van de waardegegevens in tekenreeksindeling.
    ValueType Enum? Een van de volgende waarden:
  • Tekenreeks
  • Binair
  • Dword
  • Qword
  • MultiString
  • ExpandString
  • Geen
  • Onbekend
    Waarden moeten voldoen aan de microsoft.Win32.RegistryValueKind-enumeratie.
    		•

    Sterke id's van een registerwaarde-entiteit:

    • Sleutel en naam

    Zwakke id's van een registerwaarde-entiteit:

    • Naam (zonder sleutel)

    Beveiligingsgroep

    Entiteitsnaam: SecurityGroup

    Veld Type Beschrijving
    Type Tekenreeks 'beveiligingsgroep'
    DistinguishedName Tekenreeks De DN-naam van de groep.
    SID Tekenreeks Het kenmerk SID is een kenmerk met één waarde dat de beveiligings-id (SID) van de groep specificeert.
    ObjectGuid Guid? Het kenmerk objectGUID is een kenmerk met één waarde dat de unieke id is voor het object, toegewezen door Active Directory.

    Sterke id's van een beveiligingsgroepsentiteit:

    • DistinguishedName
    • SID
    • ObjectGuid

    URL

    Veld Type Beschrijving
    Type Tekenreeks 'URL'
    URL Uri Een volledige URL waar de entiteit naar wijst.

    Sterke id's van een URL-entiteit:

    • URL (wanneer een absolute URL)

    Zwakke id's van een URL-entiteit:

    • URL (wanneer een relatieve URL)

    IoT-apparaat

    Entiteitsnaam: IoTDevice

    Veld Type Beschrijving
    Type Tekenreeks 'iotdevice'
    IoTHub Entiteit (AzureResource) De Entiteit AzureResource die de IoT Hub het apparaat behoort.
    DeviceId Tekenreeks De id van het apparaat in de context van de IoT Hub.
    DeviceName Tekenreeks De gebruiksvriendelijke naam van het apparaat.
    IoTSecurityAgentId Guid? De id van de Defender for IoT-agent die op het apparaat wordt uitgevoerd.
    DeviceType Tekenreeks Het type apparaat ('temperatuursensor', 'windparker', 'windturbine', enzovoort).
    Bron Tekenreeks De bron (Microsoft/Leverancier) van de apparaatentiteit.
    SourceRef Entiteit (URL) Een URL-verwijzing naar het bronitem waar het apparaat wordt beheerd.
    Fabrikant Tekenreeks De fabrikant van het apparaat.
    Model Tekenreeks Het model van het apparaat.
    OperatingSystem Tekenreeks Het besturingssysteem dat op het apparaat wordt uitgevoerd.
    IpAddress Entiteit (IP) Het huidige IP-adres van het apparaat.
    MacAddress Tekenreeks Het MAC-adres van het apparaat.
    Protocollen <Lijstreeks> Een lijst met protocollen die door het apparaat worden ondersteund.
    SerialNumber Tekenreeks Het serienummer van het apparaat.

    Sterke id's van een IoT-apparaatentiteit:

    • IoTHub + DeviceId

    Zwakke id's van een IoT-apparaatentiteit:

    • DeviceId (zonder IoTHub)

    Postvak

    Veld Type Beschrijving
    Type Tekenreeks 'postvak'
    MailboxPrimaryAddress Tekenreeks Het primaire adres van het postvak.
    DisplayName Tekenreeks De weergavenaam van het postvak.
    Upn Tekenreeks De UPN van het postvak.
    RiskLevel Enum? Het risiconiveau van dit postvak. Mogelijke waarden:
  • Geen
  • Beperkt
  • Normaal
  • Hoog
    		•
    ExternalDirectoryObjectId Guid? De AzureAD-id van het postvak. Vergelijkbaar met AadUserId in de entiteit Account, maar deze eigenschap is specifiek voor het postvakobject aan Office zijde.

    Sterke id's van een postvakentiteit:

    • MailboxPrimaryAddress

    E-mailcluster

    Entiteitsnaam: MailCluster

    Notitie

    Microsoft Defender voor Office 365 voorheen bekend als Office 365 Advanced Threat Protection (O365 ATP).

    Veld Type Beschrijving
    Type Tekenreeks 'e-mailcluster'
    NetworkMessageIds <IList-tekenreeks> De e-mailbericht-ID's die deel uitmaken van het e-mailcluster.
    CountByDeliveryStatus IDictionary < String,Int> Aantal e-mailberichten per weergave van de tekenreeks DeliveryStatus.
    CountByThreatType IDictionary < String,Int> Aantal e-mailberichten per ThreatType-tekenreeksweergave.
    CountByProtectionStatus IDictionary < String,long> Aantal e-mailberichten op threat protection-status.
    Bedreigingen <IList-tekenreeks> De bedreigingen van e-mailberichten die deel uitmaken van het e-mailcluster.
    Query’s uitvoeren Tekenreeks De query die is gebruikt om de berichten van het e-mailcluster te identificeren.
    QueryTime Datetime? De querytijd.
    MailCount Int? Het aantal e-mailberichten dat deel uitmaakt van het e-mailcluster.
    IsVolumeAnomaly Bool? Hiermee bepaalt u of dit een e-mailcluster met een volume anomalie is.
    Bron Tekenreeks De bron van het e-mailcluster (standaard is 'O365 ATP').
    ClusterSourceIdentifier Tekenreeks De netwerkbericht-id van de e-mail die de bron van dit e-mailcluster is.
    ClusterSourceType Tekenreeks Het brontype van het e-mailcluster. Hiermee wordt de instelling MailClusterSourceType van Microsoft Defender for Office 365 (zie opmerking hierboven).
    ClusterQueryStartTime Datetime? Begintijd van cluster: wordt gebruikt als begintijd voor de query voor het aantal clusters. Datums van de instelling Eindtijd min DaysToLookBack van Microsoft Defender voor Office 365 (zie opmerking hierboven).
    ClusterQueryEndTime Datetime? Eindtijd van cluster: wordt gebruikt als eindtijd voor query voor clustertellingen. Meestal is de tijd die de e-mailgegevens ontvangen.
    ClusterGroup Tekenreeks Komt overeen met de Kusto-querysleutel die wordt gebruikt in Microsoft Defender voor Office 365 (zie opmerking hierboven).

    Sterke id's van een e-mailclusterentiteit:

    • Query + bron

    E-mailbericht

    Entiteitsnaam: MailMessage

    Veld Type Beschrijving
    Type Tekenreeks 'e-mailbericht'
    Bestanden <IList-bestand> De bestandsentiteiten van de bijlagen van dit e-mailbericht.
    Ontvanger Tekenreeks De ontvanger van dit e-mailbericht. In het geval van meerdere ontvangers wordt het e-mailbericht gekopieerd en heeft elke kopie één ontvanger.
    Urls <IList-tekenreeks> De URL's in dit e-mailbericht.
    Bedreigingen <IList-tekenreeks> De bedreigingen in dit e-mailbericht.
    Afzender Tekenreeks Het e-mailadres van de afzender.
    P1Sender Tekenreeks E-mail-id van (gedelegeerde) gebruiker die dit e-mailbericht 'namens P2 (primaire) gebruiker' heeft verzonden. Als het e-mailbericht niet per gemachtigde wordt verzonden, is deze waarde gelijk aan P2Sender.
    P1SenderDisplayName Tekenreeks Weergavenaam van de (gedelegeerde) gebruiker die deze e-mail 'namens P2 (primaire) gebruiker' heeft verzonden. Vertegenwoordigd in de e-mailkoptekst door de eigenschap OnbehalfofSenderDisplayName.
    P1SenderDomain Tekenreeks E-maildomein van de (gedelegeerde) gebruiker die deze e-mail heeft verzonden 'namens P2 (primaire) gebruiker'. Als het e-mailbericht niet per gemachtigde wordt verzonden, is deze waarde gelijk aan P2SenderDomain.
    P2Sender Tekenreeks E-mailadres van de (primaire) gebruiker namens wie dit e-mailbericht is verzonden.
    P2SenderDisplayName Tekenreeks Weergavenaam van de (primaire) gebruiker namens wie dit e-mailbericht is verzonden. Als e-mailberichten niet door gemachtigde worden verzonden, vertegenwoordigt dit de weergavenaam van de afzender.
    P2SenderDomain Tekenreeks E-maildomein van de (primaire) gebruiker namens wie dit e-mailbericht is verzonden. Als e-mailberichten niet door gemachtigde worden verzonden, vertegenwoordigt dit het domein van de afzender.
    Afzender-IP Tekenreeks Het IP-adres van de afzender.
    ReceivedDate DateTime De ontvangen datum van dit bericht.
    NetworkMessageId Guid? De netwerkbericht-id van dit e-mailbericht.
    InternetMessageId Tekenreeks De internetbericht-id van dit e-mailbericht.
    Onderwerp Tekenreeks Het onderwerp van dit e-mailbericht.
    BodyFingerprintBin1
    BodyFingerprintBin2
    BodyFingerprintBin3
    BodyFingerprintBin4
    BodyFingerprintBin5    		 Uint? Wordt gebruikt door Microsoft Defender voor Office 365 zoeken naar overeenkomende of vergelijkbare e-mailberichten.
    AntispamDirection Enum? De richting van dit e-mailbericht. Mogelijke waarden:
  • Onbekend
  • Inkomend
  • Uitgaand
  • Intraorg (intern)
    		•
    DeliveryAction Enum? De bezorgingsactie van dit e-mailbericht. Mogelijke waarden:
  • Onbekend
  • DeliveredAsSpam
  • Afgeleverd
  • Geblokkeerd
  • Vervangen
    		•
    DeliveryLocation Enum? De bezorgingslocatie van dit e-mailbericht. Mogelijke waarden:
  • Onbekend
  • Postvak IN
  • JunkFolder
  • DeletedFolder
  • Quarantaine
  • Extern
  • Mislukt
  • Gedaald
  • Doorgestuurd
    		•
    Taal Tekenreeks De taal waarin de inhoud van de e-mail wordt geschreven.
    ThreatDetectionMethods <IList-tekenreeks> De lijst met methoden voor detectie van bedreigingen die zijn toegepast op deze e-mail.

    Sterke id's van een e-mailberichtentiteit:

    • NetworkMessageId + Ontvanger

    Inzendingsmail

    Entiteitsnaam: SubmissionMail

    Veld Type Beschrijving
    Type Tekenreeks 'SubmissionMail'
    SubmissionId Guid? De indienings-id.
    SubmissionDate Datetime? Gerapporteerde datum en tijd voor deze inzending.
    Indiener Tekenreeks Het e-mailadres van de indiener.
    NetworkMessageId Guid? De netwerkbericht-id van het e-mailbericht waar de inzending bij hoort.
    Tijdstempel Datetime? Het tijdstempel wanneer het bericht wordt ontvangen (Mail).
    Ontvanger Tekenreeks De ontvanger van het e-mailbericht.
    Afzender Tekenreeks De afzender van het e-mailbericht.
    SenderIp Tekenreeks Het IP-adres van de afzender.
    Onderwerp Tekenreeks Het onderwerp van de inzendingsmail.
    ReportType Tekenreeks Het indieningstype voor het opgegeven exemplaar. Dit is te vinden in Ongewenste, Phish-, Malware- of NotJunk-map.

    Sterke id's van een SubmissionMail-entiteit:

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Cloudtoepassings-id's

    De volgende lijst definieert id's voor bekende cloudtoepassingen. De app-id-waarde wordt gebruikt als een entiteits-id van een cloudtoepassing.

    App-id Name
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 SalesForce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive voor Bedrijven
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype voor Bedrijven
    25988 Google Docs
    26055 Microsoft Office 365-beheercentrum
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Azure AD
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace van Facebook
    28373 CAS-proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Volgende stappen

    In dit document hebt u geleerd over entiteitsstructuur, id's en schema's in Microsoft Sentinel.

    Meer informatie over entiteiten en entiteitstoewijzing.