Referens för Entitetstyper i Microsoft Sentinel

  • Artikel
  • 13 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Entitetstyper och identifierare

I följande tabell visas de entitetstyper som för närvarande är tillgängliga för mappning i Microsoft Sentinel och de attribut som är tillgängliga som identifierare för varje entitetstyp , som visas i listrutan Identifierare i avsnittet för entitetsmappning i guiden för analysregel.

Var och en av identifierarna i kolumnen nödvändiga identifierare är minimalt nödvändig för att identifiera dess entitet. Men en obligatorisk identifierare kanske inte räcker för att ge unik identifiering. Ju fler identifierare som används, desto större är sannolikheten för unik identifiering. Du kan använda upp till tre identifierare för en enda entitetsmappning.

För bästa resultat – för garanterad unik identifiering – bör du använda identifierare från kolumnen med de starkaste identifierarna när det är möjligt. Användningen av flera starka identifierare möjliggör korrelation mellan starka identifierare från olika datakällor och scheman. Detta gör i sin tur att Microsoft Sentinel kan ge mer omfattande insikter för en viss entitet.

Entitetstyp Identifierare Obligatoriska identifierare Starkaste identifierare
Användarkonto
(Konto)		 Name
FullName
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName
ObjectGuid		 FullName
Sid
Name
AadUserId
PUID
ObjectGuid		 Namn + NTDomain
Namn + UPNSuffix
AADUserId
Sid
Värd DnsDomain
NTDomain
HostName
FullName
NetBiosNamn
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 FullName
HostName
NetBiosNamn
AzureID
OMSAgentID		 HostName + NTDomain
HostName + DnsDomain
NetBiosName + NTDomain
NetBiosName + DnsDomain
AzureID
OMSAgentID
IP-adress
(IP)		 Adress Adress
Skadlig kod Name
Kategori		 Name
Fil Katalog
Namn		 Namn
Process Processid
Kommandorad
ElevationToken
CreationTimeUtc		 Kommandorad
Processid
Molnprogram
(CloudApplication)		 AppId
Name
InstanceName		 AppId
Name
Domännamn
(DNS)		 DomainName DomainName
Azure-resurs ResourceId ResourceId
Filhash-värde
(FileHash)		 Algoritm
Värde		 Algoritm + värde
Registernyckel Hive
Nyckel		 Hive
Nyckel		 Hive + nyckel
Registervärde Name
Värde
Värdetyp		 Name
Säkerhetsgrupp DistinguishedName
SID
ObjectGuid		 DistinguishedName
SID
ObjectGuid
URL URL URL
IoT-enhet IoTHub
DeviceId
DeviceName
IoTSecurityAgentId
DeviceType
Källa
SourceRef
Tillverkare
Modell
OperatingSystem
Ip
MacAddress
Protokoll
Serienummer		 IoTHub
DeviceId		 IoTHub + DeviceId
Postlåda MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
E-postkluster NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Hot
Söka i data
QueryTime
MailCount
IsVolumeAnomaly
Källa
ClusterSourceIdentifier
ClusterSourceType
ClusterQueryStartTime
ClusterQueryEndTime
ClusterGroup		 Söka i data
Källa		 Fråga + källa
E-postmeddelande Mottagare
Webbadresser
Hot
Avsändare
P1Sender
P1SenderDisplayName
P1SenderDomain
SenderIP
P2Sender
P2SenderDisplayName
P2SenderDomain
ReceivedDate
NetworkMessageId
InternetMessageId
Ämne
BodyPrintBin1
BodyPrintBin2
BodyPrintBin3
BodyPrintBin4
BodyPrintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Språk
ThreatDetectionMethods		 NetworkMessageId
Mottagare		 NetworkMessageId + Mottagare
Skicka e-post SubmissionId
SubmissionDate
Inlämnare
NetworkMessageId
Timestamp
Mottagare
Avsändare
SenderIp
Ämne
ReportType		 SubmissionId
NetworkMessageId
Mottagare
Inlämnare

Scheman för entitetstyp

Följande är en mer detaljerad titt på de fullständiga schemana för varje entitetstyp. Du kommer att märka att många av dessa scheman innehåller länkar till andra entitetstyper– till exempel innehåller schemat för användarkonto en länk till entitetstypen Värd, eftersom ett attribut för ett användarkonto är den värd som det har definierats för. Dessa externt länkade entiteter kan inte användas som identifierare för entitetsmappning, men de är mycket användbara för att ge en fullständig bild av entiteter på entitetssidor och undersökningsdiagrammet.

Anteckning

Ett frågetecken efter värdet i kolumnen Typ anger att fältet kan ha värdet null.

Användarkonto

Entitetsnamn: Konto

Fält Typ Beskrivning
Typ Sträng "konto"
Name Sträng Namnet på kontot. Det här fältet ska bara innehålla namnet utan att någon domän har lagts till.
Fullname Ej tillämpligt Ingår inte i schemat, ingår för bakåtkompatibilitet med den gamla versionen av entitetsmappning.
NTDomain Sträng NETBIOS-domännamnet som det visas i aviseringsformatet – domän\användarnamn. Exempel: Ekonomi, NT AUTHORITY
DnsDomain Sträng Det fullständigt kvalificerade DNS-domännamnet. Exempel: finance.contoso.com
UPNSuffix Sträng Användarens huvudnamnssuffix för kontot. I vissa fall är detta också domännamnet. Exempel: contoso.com
Värd Entitet Värden som innehåller kontot, om det är ett lokalt konto.
Sid Sträng Kontosäkerhetsidentifieraren, till exempel S-1-5-18.
AadTenantId Guid? Azure AD-klientorganisations-ID, om det är känt.
AadUserId Guid? Objekt-ID för Azure AD-konto, om det är känt.
PUID Guid? Användar-ID för Azure AD Passport, om det är känt.
IsDomainJoined Bool? Avgör om det här är ett domänkonto.
DisplayName Sträng Visningsnamnet för kontot.
ObjectGuid Guid? Attributet objectGUID är ett attribut med ett värde som är den unika identifieraren för objektet, som tilldelats av Active Directory.

Starka identifierare för en kontoentitet:

  • Namn + UPNSuffix
  • AadUserId
  • Sid + Värd (krävs för SID för inbyggda konton)
  • Sid (förutom SID för inbyggda konton)
  • Namn + NTDomain (såvida inte NTDomain är en inbyggd domän, till exempel "Arbetsgrupp")
  • Namn + värd (om NTDomain är en inbyggd domän, till exempel "Arbetsgrupp")
  • Namn + DnsDomain
  • PUID
  • ObjectGuid

Svaga identifierare för en kontoentitet:

  • Name

Värd

Fält Typ Beskrivning
Typ Sträng "värd"
DnsDomain Sträng DEN DNS-domän som den här värden tillhör. Bör innehålla det fullständiga DNS-suffixet för domänen, om det är känt.
NTDomain Sträng NT-domänen som den här värden tillhör.
HostName Sträng Värdnamnet utan domänsuffixet.
Fullname Ej tillämpligt Ingår inte i schemat, ingår för bakåtkompatibilitet med den gamla versionen av entitetsmappning.
NetBiosNamn Sträng Värdnamnet (förinde Windows 2000).
IoTDevice Entitet Entiteten IoT-enhet (om den här värden representerar en IoT-enhet).
AzureID Sträng Azure-resurs-ID för den virtuella datorn, om det är känt.
OMSAgentID Sträng OMS-agent-ID om värden har OMS-agenten installerad.
OSFamily Enum? En av följande värden:
  • Linux
  • Windows
  • Android
  • iOS
    		•
    OSVersion Sträng En fritextrepresentation av operativsystemet.
    Det här fältet är avsett att innehålla specifika versioner som är mer korniga än OSFamily, eller framtida värden som inte stöds av OSFamily-uppräkning.
    IsDomainJoined Bool Avgör om den här värden tillhör en domän.

    Starka identifierare för en värdentitet:

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice (stöds inte för entitetsmappning)

    Svaga identifierare för en värdentitet:

    • HostName
    • NetBiosNamn

    IP-adress

    Entitetsnamn: IP

    Fält Typ Beskrivning
    Typ Sträng "ip"
    Adress Sträng IP-adressen som sträng, t.ex. 127.0.0.1 (antingen i IPv4 eller IPv6).
    Location Geolocation Geoplatskontexten som är kopplad till IP-entiteten.

    Mer information finns i Utöka entiteter i Microsoft Sentinel med geoplatsdata via REST API (allmänt tillgänglig förhandsversion).

    Starka identifierare för en IP-entitet:

    • Adress

    Skadlig kod

    Fält Typ Beskrivning
    Typ Sträng "skadlig kod"
    Name Sträng Namnet på den skadliga koden från leverantören, till exempel Win32/Toga!rfn .
    Kategori Sträng Leverantörens kategori för skadlig kod, t.ex. trojan.
    Filer Lista<Entity> Lista över länkade filentiteter där den skadliga koden hittades. Kan innehålla filentiteter infogade eller som referens.
    Mer information om strukturen finns i Filentiteten.
    Processer Lista<Entity> Lista över länkade processentiteter där den skadliga koden hittades. Detta används ofta när aviseringen utlöstes för fillös aktivitet.
    Mer information om struktur finns i Entiteten Process.

    Starka identifierare för en entitet med skadlig kod:

    • Namn + kategori

    Fil

    Fält Typ Beskrivning
    Typ Sträng "file"
    Katalog Sträng Den fullständiga sökvägen till filen.
    Name Sträng Filnamnet utan sökvägen (vissa aviseringar kanske inte innehåller sökvägen).
    Värd Entitet Värden som filen lagrades på.
    FileHashes Lista < entitet> Filens hash-värden som är associerade med den här filen.

    Starka identifierare för en filentitet:

    • Namn + katalog
    • Namn + FileHash
    • Namn + Katalog + FileHash

    Process

    Fält Typ Beskrivning
    Typ Sträng "process"
    Processid Sträng Process-ID:t.
    Kommandorad Sträng Den kommandorad som används för att skapa processen.
    ElevationToken Enum? Den token för utökade privilegier som är associerad med processen.
    Möjliga värden:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc Datetime? Den tid då processen började köras.
    ImageFile Entitet (fil) Kan innehålla filentiteten infogade eller som referens.
    Mer information om strukturen finns i Filentiteten.
    Konto Entitet Kontot som kör processerna.
    Kan innehålla kontoentiteten infogade eller som referens.
    Mer information om strukturen finns i kontoentiteten.
    ParentProcess Entitet (process) Den överordnade processentiteten.
    Kan innehålla partiella data, dvs. endast PID.
    Värd Entitet Värden som processen kördes på.
    Inloggningsession Entitet (HostLogonSession) Den session där processen kördes.

    Starka identifierare för en processentitet:

    • Värd + ProcessId + CreationTimeUtc
    • Värd + ParentProcessId + CreationTimeUtc + Kommandorad
    • Värd + ProcessId + CreationTimeUtc + ImageFile
    • Värd + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Svaga identifierare för en processentitet:

    • ProcessId + CreationTimeUtc + CommandLine (och ingen värd)
    • ProcessId + CreationTimeUtc + ImageFile (och ingen värd)

    Molnprogram

    Entitetsnamn: CloudApplication

    Fält Typ Beskrivning
    Typ Sträng "molnprogram"
    AppId Int Programmets tekniska identifierare. Detta bör vara ett av de värden som definieras i listan över identifierare för molnprogram. Värdet för fältet AppId är valfritt.
    Name Sträng Namnet på det relaterade molnprogrammet. Värdet för programnamnet är valfritt.
    InstanceName Sträng Det användardefinierade instansnamnet för molnprogrammet. Den används ofta för att skilja mellan flera program av samma typ som en kund har.

    Starka identifierare för en molnprogramentitet:

    • AppId (utan InstanceName)
    • Namn (utan InstanceName)
    • AppId + InstanceName
    • Namn + InstanceName

    Domännamn

    Entitetsnamn: DNS

    Fält Typ Beskrivning
    Typ Sträng "dns"
    DomainName Sträng Namnet på DNS-posten som är associerad med aviseringen.
    Ip Lista < entitet (IP)> Entiteter som motsvarar de lösta IP-adresserna.
    DnsServerIp Entitet (IP) En entitet som representerar DEN DNS-server som löser begäran.
    HostIpAddress Entitet (IP) En entitet som representerar KLIENTEN för DNS-begäran.

    Starka identifierare för en DNS-entitet:

    • Domännamn + DnsServerIp + HostIpAddress

    Svaga identifierare för en DNS-entitet:

    • Domännamn + HostIpAddress

    Azure-resurs

    Fält Typ Beskrivning
    Typ Sträng "azure-resource"
    ResourceId Sträng Resursens Azure-resurs-ID.
    SubscriptionId Sträng Prenumerations-ID för resursen.
    TryGetResourceGroup Bool Resursgruppsvärdet om det finns.
    TryGetProvider Bool Providervärdet om det finns.
    TryGetName Bool Namnvärdet om det finns.

    Starka identifierare för en Azure-resursentitet:

    • ResourceId

    Filhash-värde

    Entitetsnamn: FileHash

    Fält Typ Beskrivning
    Typ Sträng "filehash"
    Algoritm Enum Hash-algoritmtypen. Möjliga värden:
  • Okänt
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Värde Sträng Hash-värdet.

    Starka identifierare för en filhashentitet:

    • Algoritm + värde

    Registernyckel

    Entitetsnamn: RegistryKey

    Fält Typ Beskrivning
    Typ Sträng "registernyckel"
    Hive Enum? En av följande värden:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Nyckel Sträng Registernyckelsökvägen.

    Starka identifierare för en registernyckelentitet:

    • Hive + nyckel

    Registervärde

    Entitetsnamn: RegistryValue

    Fält Typ Beskrivning
    Typ Sträng "registervärde"
    Nyckel Entitet (RegistryKey) Registernyckelns entitet.
    Name Sträng Registervärdets namn.
    Värde Sträng Strängformaterad representation av värdedata.
    Värdetyp Enum? En av följande värden:
  • Sträng
  • Binär
  • Dword
  • Qword
  • MultiString
  • ExpandString
  • Ingen
  • Okänt
    Värdena ska överensstämma med Microsoft.Win32.RegistryValueKind-uppräkning.
    		•

    Starka identifierare för en registervärdesentitet:

    • Nyckel + namn

    Svaga identifierare för en registervärdesentitet:

    • Namn (utan nyckel)

    Säkerhetsgrupp

    Entitetsnamn: SecurityGroup

    Fält Typ Beskrivning
    Typ Sträng "security-group"
    DistinguishedName Sträng Det unika gruppnamnet.
    SID Sträng SID-attributet är ett attribut med ett värde som anger säkerhetsidentifieraren (SID) för gruppen.
    ObjectGuid Guid? Attributet objectGUID är ett attribut med ett värde som är den unika identifieraren för objektet, som tilldelats av Active Directory.

    Starka identifierare för en säkerhetsgruppsentitet:

    • DistinguishedName
    • SID
    • ObjectGuid

    URL

    Fält Typ Beskrivning
    Typ Sträng "url"
    URL Uri En fullständig URL som entiteten pekar på.

    Starka identifierare för en URL-entitet:

    • URL (när en absolut URL)

    Svaga identifierare för en URL-entitet:

    • URL (när en relativ URL)

    IoT-enhet

    Entitetsnamn: IoTDevice

    Fält Typ Beskrivning
    Typ Sträng "iotdevice"
    IoTHub Entitet (AzureResource) Entiteten AzureResource som representerar IoT Hub som enheten tillhör.
    DeviceId Sträng ID för enheten i kontexten för IoT Hub.
    DeviceName Sträng Det egna namnet på enheten.
    IoTSecurityAgentId Guid? ID:t för Defender for IoT-agenten som körs på enheten.
    DeviceType Sträng Typ av enhet ("temperatursensor", "frys", "vindturbin" osv.).
    Källa Sträng Källan (Microsoft/Leverantören) för enhetsentiteten.
    SourceRef Entitet (URL) En URL-referens till källobjektet där enheten hanteras.
    Tillverkare Sträng Enhetstillverkaren.
    Modell Sträng Enhetsmodellen.
    OperatingSystem Sträng Operativsystemet som enheten kör.
    Ip Entitet (IP) Enhetens aktuella IP-adress.
    MacAddress Sträng Enhetens MAC-adress.
    Protokoll <Liststräng> En lista över protokoll som enheten stöder.
    Serienummer Sträng Enhetens serienummer.

    Starka identifierare för en IoT-enhetsentitet:

    • IoTHub + DeviceId

    Svaga identifierare för en IoT-enhetsentitet:

    • DeviceId (utan IoTHub)

    Mailbox

    Fält Typ Beskrivning
    Typ Sträng "postlåda"
    MailboxPrimaryAddress Sträng Postlådans primära adress.
    DisplayName Sträng Postlådans visningsnamn.
    Upn Sträng Postlådans UPN.
    RiskLevel Enum? Risknivån för den här postlådan. Möjliga värden:
  • Ingen
  • Låg
  • Medel
  • Högt
    		•
    ExternalDirectoryObjectId Guid? AzureAD-identifieraren för postlådan. Liknar AadUserId i kontoentiteten, men den här egenskapen är specifik för postlådeobjekt på Office sidan.

    Starka identifierare för en postlådatitet:

    • MailboxPrimaryAddress

    E-postkluster

    Entitetsnamn: MailCluster

    Anteckning

    Microsoft Defender för Office 365 kallades tidigare Office 365 Advanced Threat Protection (O365 ATP).

    Fält Typ Beskrivning
    Typ Sträng "mail-cluster"
    NetworkMessageIds IList < String> E-post-ID:erna som ingår i e-postklustret.
    CountByDeliveryStatus IDictionary < String,Int> Antal e-postmeddelanden efter DeliveryStatus-strängrepresentation.
    CountByThreatType IDictionary < String,Int> Antal e-postmeddelanden efter ThreatType-strängrepresentation.
    CountByProtectionStatus IDictionary < String,long> Antal e-postmeddelanden efter Hotskyddsstatus.
    Hot IList < String> Hoten från e-postmeddelanden som ingår i e-postklustret.
    Söka i data Sträng Den fråga som användes för att identifiera meddelanden i e-postklustret.
    QueryTime Datetime? Frågetiden.
    MailCount Int? Antalet e-postmeddelanden som ingår i e-postklustret.
    IsVolumeAnomaly Bool? Avgör om det här är ett e-postkluster med volymavviklighet.
    Källa Sträng Källan för e-postklustret (standard är O365 ATP).
    ClusterSourceIdentifier Sträng Nätverksmeddelande-ID för e-postmeddelandet som är källan till det här e-postklustret.
    ClusterSourceType Sträng E-postklustrets källtyp. Detta mappar till inställningen MailClusterSourceType från Microsoft Defender för Office 365 (se anteckningen ovan).
    ClusterQueryStartTime Datetime? Starttid för kluster – används som starttid för klusterantalsfråga. Vanligtvis datum till inställningen Sluttid minus DaysToLookBack från Microsoft Defender för Office 365 (se anmärkning ovan).
    ClusterQueryEndTime Datetime? Sluttid för kluster – används som sluttid för frågor om klusterantal. Vanligtvis tar e-postdata emot tid.
    ClusterGroup Sträng Motsvarar kusto-frågenyckeln som används i Microsoft Defender för Office 365 (se anmärkning ovan).

    Starka identifierare för en e-postklusterentitet:

    • Fråga + källa

    E-postmeddelande

    Entitetsnamn: MailMessage

    Fält Typ Beskrivning
    Typ Sträng "e-postmeddelande"
    Filer <IList-fil> Filentiteterna i det här e-postmeddelandet bifogade filer.
    Mottagare Sträng Mottagaren av det här e-postmeddelandet. När det gäller flera mottagare kopieras e-postmeddelandet och varje kopia har en mottagare.
    Webbadresser IList < String> URL:erna som finns i det här e-postmeddelandet.
    Hot IList < String> Hoten i det här e-postmeddelandet.
    Avsändare Sträng Avsändarens e-postadress.
    P1Sender Sträng E-post-ID för (delegerad) användare som skickade det här e-postmeddelandet "för P2-användares (primära) räkning". Om e-postmeddelandet inte skickas av ombudet är det här värdet lika med P2Sender.
    P1SenderDisplayName Sträng Visningsnamn för den (delegerade) användare som skickade det här e-postmeddelandet "för P2-användares (primära) räkning". Representeras i e-postmeddelandets sidhuvud av egenskapen "OnbehalfofSenderDisplayName".
    P1SenderDomain Sträng E-postdomänen för den (delegerade) användaren som skickade det här e-postmeddelandet "för P2-användarens (primära) räkning". Om e-postmeddelandet inte skickas av ombudet är det här värdet lika med P2SenderDomain.
    P2Sender Sträng E-post till den (primära) användaren för vilken e-postmeddelandet skickades.
    P2SenderDisplayName Sträng Visningsnamn för den (primära) användaren för vilken e-postmeddelandet skickades. Om e-postmeddelandet inte skickas av ombudet representerar detta avsändarens visningsnamn.
    P2SenderDomain Sträng E-postdomänen för den (primära) användaren som e-postmeddelandet skickades för. Om e-postmeddelandet inte skickas av ombudet representerar detta avsändarens domän.
    SenderIP Sträng Avsändarens IP-adress.
    ReceivedDate DateTime Det mottagna datumet för det här meddelandet.
    NetworkMessageId Guid? Nätverksmeddelande-ID för det här e-postmeddelandet.
    InternetMessageId Sträng Internetmeddelande-ID för det här e-postmeddelandet.
    Ämne Sträng Ämnet för det här e-postmeddelandet.
    BodyPrintBin1
    BodyPrintBin2
    BodyPrintBin3
    BodyPrintBin4
    BodyPrintBin5    		 Uint? Används av Microsoft Defender för Office 365 för att hitta matchande eller liknande e-postmeddelanden.
    AntispamDirection Enum? Riktningen för det här e-postmeddelandet. Möjliga värden:
  • Okänt
  • Inkommande
  • Utgående
  • Intraorg (intern)
    		•
    DeliveryAction Enum? Leveransåtgärden för det här e-postmeddelandet. Möjliga värden:
  • Okänt
  • DeliveredAsSpam
  • Levererade
  • Blockerad
  • Ersatt
    		•
    DeliveryLocation Enum? Leveransplatsen för det här e-postmeddelandet. Möjliga värden:
  • Okänt
  • Inkorgen
  • SpamFolder
  • DeletedFolder
  • Karantän
  • Extern
  • Misslyckad
  • Tappade
  • Vidarebefordras
    		•
    Språk Sträng Det språk som innehållet i e-postmeddelandet är skrivet på.
    ThreatDetectionMethods IList < String> Listan över hotidentifieringsmetoder som tillämpas på det här e-postmeddelandet.

    Starka identifierare för en e-postmeddelandettitet:

    • NetworkMessageId + Mottagare

    Skicka e-post

    Entitetsnamn: SubmissionMail

    Fält Typ Beskrivning
    Typ Sträng SubmissionMail
    SubmissionId Guid? Inskickat ID.
    SubmissionDate Datetime? Rapporterad datum/tid för den här överföringen.
    Inlämnare Sträng E-postadressen till inskickaren.
    NetworkMessageId Guid? Nätverksmeddelande-ID för e-post som överföringen tillhör.
    Timestamp Datetime? Tidsstämpeln när meddelandet tas emot (e-post).
    Mottagare Sträng Mottagaren av e-postmeddelandet.
    Avsändare Sträng Avsändaren av e-postmeddelandet.
    SenderIp Sträng Avsändarens IP-adress.
    Ämne Sträng Ämne för att skicka e-post.
    ReportType Sträng Överföringstyp för den angivna instansen. Detta mappar till Skräp, Phish, Skadlig kod eller NotJunk.

    Starka identifierare för en SubmissionMail-entitet:

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Identifierare för molnprogram

    I följande lista definieras identifierare för kända molnprogram. Värdet för App-ID används som en entitetsidentifierare för molnprogram.

    App-ID Name
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive-programvara
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive för företag
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender för Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype för företag
    25988 Google Docs
    26055 Microsoft Office 365 administrationscenter
    26060 OPSWAT-kugghjul
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Azure AD
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Nästa steg

    I det här dokumentet har du lärt dig om entitetsstruktur, identifierare och schema i Microsoft Sentinel.

    Läs mer om entiteter och entitetsmappning.