Microsoft Sentinel varlık türleri başvurusu

  • Makale
  • Okumak için 13 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Varlık türleri ve tanımlayıcıları

Aşağıdaki tabloda, Microsoft Sentinel 'de Şu anda eşleme için kullanılabilen varlık türleri ve analiz kuralı sihirbazının varlık eşleme bölümünde bulunan tanımlayıcılar açılan listesinde görünen her bir varlık türü için tanımlayıcılar olarak kullanılabilir öznitelikler gösterilmektedir.

Gerekli tanımlayıcılar sütunundaki tanımlayıcıların her biri, varlığını belirlemek için en az gereklidir. Ancak, gerekli bir tanımlayıcı kendi kendine benzersiz bir kimlik sağlamak için yeterli olmayabilir. Daha fazla tanımlayıcı kullanıldığında benzersiz kimlik oluşma olasılığı artar. Tek bir varlık eşlemesi için en fazla üç tanımlayıcı kullanabilirsiniz.

En iyi sonuçlar için-garantili benzersiz kimlik için, mümkün olduğunda en güçlü tanımlayıcılar sütunundan tanımlayıcıları kullanmanız gerekir. Birden çok güçlü tanımlayıcı kullanımı, değişen veri kaynaklarından ve şemalardan güçlü tanımlayıcılar arasında bağıntı imkanı sunar. Bu, Microsoft Sentinel 'in belirli bir varlık için daha kapsamlı öngörüler sağlamasına olanak tanır.

Varlık türü Tanımlayıcılar Gerekli tanımlayıcılar En güçlü tanımlayıcılar
Kullanıcı hesabı
Hesabı		 Name
FullName
NT etki alanı
DnsDomain
UPNSuffix
SID
Aadtenantıd
Aaduserıd
PUID
Idomainkatılmış
DisplayName
Objectguıd 'dir		 FullName
SID
Name
Aaduserıd
PUID
Objectguıd 'dir		 Ad + NTDomain
Ad + UPNSuffix
Aaduserıd
SID
Host DnsDomain
NT etki alanı
HostName
FullName
NetBiosName
AzureID
Omsagentıd
OSFamily
OSVersion
Idomainkatılmış		 FullName
HostName
NetBiosName
AzureID
Omsagentıd		 Ana bilgisayar adı + NTDomain
Ana bilgisayar adı + DnsDomain
NetBiosName + NTDomain
NetBiosName + DnsDomain
AzureID
Omsagentıd
IP adresi
IP		 Adres Adres
Kötü amaçlı yazılım Name
Kategori		 Name
Dosya Dizin
Name		 Name
İşleme Işlem
CommandLine
Yükseltme belirteci
CreationTimeUtc		 CommandLine
Işlem
Bulut uygulaması
(Cloudadpplication)		 AppId
Name
InstanceName		 AppId
Name
Etki alanı adı
BKZ		 DomainName DomainName
Azure kaynağı ResourceId ResourceId
Dosya karması
(FileHash)		 Algoritma
Değer		 Algoritma + değer
Kayıt defteri anahtarı Hive
Anahtar		 Hive
Anahtar		 Hive + Anahtar
Kayıt defteri değeri Name
Değer
ValueType		 Name
Güvenlik grubu DistinguishedName
SID
Objectguıd		 DistinguishedName
SID
Objectguıd
URL Url Url
IoT cihazı IoTHub
DeviceId
DeviceName
IoTSecurityAgentId
DeviceType
Kaynak
SourceRef
Üretici
Modelleme
OperatingSystem
Ipaddress
MacAddress
Protokoller
SerialNumber		 IoTHub
DeviceId		 IoTHub + DeviceId
Posta kutusu MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
Posta kümesi NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Tehditler
Sorgu
QueryTime
MailCount
IsVolumeAnomaly
Kaynak
ClusterSourceIdentifier
ClusterSourceType
ClusterQueryStartTime
ClusterQueryEndTime
ClusterGroup		 Sorgu
Kaynak		 Sorgu + Kaynak
Posta iletisi Alıcı
Url 'leri
Tehditler
Gönderen
P1Sender
P1SenderDisplayName
P1SenderDomain
SenderIP
P2Sender
P2SenderDisplayName
P2SenderDomain
ReceivedDate
NetworkMessageId
InternetMessageId
Konu
BodyFingerprintBin1
BodyFingerprintBin2
BodyFingerprintBin3
BodyFingerprintBin4
BodyFingerprintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Dil
ThreatDetectionMethods		 NetworkMessageId
Alıcı		 NetworkMessageId + Alıcı
Gönderme postası SubmissionId
SubmissionDate
Submitter
NetworkMessageId
Timestamp
Alıcı
Gönderen
Senderıp
Konu
ReportType		 SubmissionId
Networkmessageıd
Alıcı
Gönderenin

Varlık türü şemaları

Aşağıda, her bir varlık türünün tam şemalarına daha ayrıntılı bir bakış verilmiştir. Bu şemaların çoğunun diğer varlık türlerine yönelik bağlantıları içerdiğine dikkat edin. Örneğin, Kullanıcı hesabı şeması, bir kullanıcı hesabının bir özniteliği üzerinde tanımlanan ana bilgisayar olduğundan, ana bilgisayar varlık türünün bir bağlantısını içerir. Bu dışarıdan bağlantılı varlıklar, varlık eşleme için tanımlayıcı olarak kullanılamaz, ancak varlık sayfalarındaki ve araştırma grafiğinde varlıkların tam bir resmini vermek için çok faydalı olur.

Not

Tür sütunundaki değeri izleyen bir soru işareti alanın null değer atanabilir olduğunu gösterir.

Kullanıcı hesabı

Varlık adı: hesap

Alan Tür Açıklama
Tür Dize hesabı
Name Dize Hesabın adı. Bu alan, kendisine eklenen herhangi bir etki alanı olmadan yalnızca adı tutmalıdır.
FullName Yok Şemanın parçası değil, varlık eşlemesinin eski sürümü ile geriye dönük uyumluluk için dahil edilmiştir.
NT etki alanı Dize NetBIOS etki alanı adı uyarı biçiminde göründüğü gibi – etkialanı \ KullanıcıAdı Örnekler: finans, NT YETKILISI
DnsDomain Dize Tam etki alanı DNS adı. Örnekler: finance.contoso.com
UPNSuffix Dize Hesap için Kullanıcı asıl adı soneki. Bazı durumlarda, bu da etki alanı adıdır. Örnekler: contoso.com
Host Varlık Hesabı içeren konak, yerel bir hesaptır.
SID Dize Hesap güvenlik tanımlayıcısı, örneğin S-1-5-18.
Aadtenantıd 'İni? Biliniyorsa, Azure AD kiracı KIMLIĞI.
Aaduserıd 'İni? Biliniyorsa, Azure AD hesabı nesne KIMLIĞI.
PUID 'İni? Biliniyorsa, Azure AD Passport Kullanıcı KIMLIĞI.
Idomainkatılmış Bool? Bunun bir etki alanı hesabı olup olmadığını belirler.
DisplayName Dize Hesabın görünen adı.
Objectguıd 'dir 'İni? Objectguıd özniteliği, Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir.

Bir hesap varlığının güçlü tanımlayıcıları:

  • Ad + UPNSuffix
  • Aaduserıd
  • SID + ana bilgisayar (yerleşik hesapların SID 'Leri için gereklidir)
  • SID (yerleşik hesapların SID 'Leri dışında)
  • Ad + NTDomain (NT etki alanı bir yerleşik etki alanı değilse, örneğin "çalışma grubu")
  • Ad + ana bilgisayar (NTDomain, yerleşik bir etki alanı ise "çalışma grubu" gibi)
  • Ad + DnsDomain
  • PUID
  • Objectguıd 'dir

Bir hesap varlığının zayıf tanımlayıcıları:

  • Name

Host

Alan Tür Açıklama
Tür Dize konağının
DnsDomain Dize Bu konağın ait olduğu DNS etki alanı. Biliniyorsa, etki alanı için tüm DNS son ekini içermelidir.
NT etki alanı Dize Bu konağın ait olduğu NT etki alanı.
HostName Dize Etki alanı soneki olmayan ana bilgisayar adı.
FullName Yok Şemanın parçası değil, varlık eşlemesinin eski sürümü ile geriye dönük uyumluluk için dahil edilmiştir.
NetBiosName Dize Ana bilgisayar adı (Windows 2000 öncesi).
IoTDevice Varlık IoT Cihazı varlığı (bu konak bir IoT Cihazı temsil ediyorsa).
AzureID Dize Biliniyorsa VM'nin Azure kaynak kimliği.
OMSAgentID Dize Konakta OMS aracısı yüklüyse OMS aracı kimliği.
OSFamily Enum? Aşağıdaki değerlerden biri:
  • Linux
  • Windows
  • Android
  • IOS
    		•
    OSVersion Dize İşletim sisteminin serbest metin gösterimi.
    Bu alan, OSFamily'ye göre daha ince olan belirli sürümleri veya OSFamily numaralama tarafından desteklenen gelecekteki değerleri tutmak için kullanılır.
    IsDomainJoined Bool Bu ana bilgisayar bir etki alanına ait olup olmadığını belirler.

    Konak varlığının tanımlayıcıları:

    • Ana Bilgisayar Adı + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice (varlık eşlemesi için desteklenmiyor)

    Konak varlığının zayıf tanımlayıcıları:

    • HostName
    • NetBiosName

    IP Adresi

    Varlık adı: IP

    Alan Tür Açıklama
    Tür Dize 'ip'
    Adres Dize Dize olarak IP adresi, örneğin 127.0.0.1 (IPv4 veya IPv6'da).
    Konum Geolocation IP varlığa eklenmiş coğrafi konum bağlamı.

    Daha fazla bilgi için bkz. Microsoft Sentinel'devarlıkları coğrafi konum verileriyle REST API (Genel önizleme) .

    BIR IP varlığının tanımlayıcıları:

    • Adres

    Kötü Amaçlı Yazılımlar

    Alan Tür Açıklama
    Tür Dize 'kötü amaçlı yazılım'
    Name Dize Satıcıya göre kötü amaçlı yazılım adı, Win32/Toga!rfn örneğin.
    Kategori Dize Satıcıya göre kötü amaçlı yazılım kategorisi, örneğin Truva atı.
    Dosyalar Liste<Entity> Kötü amaçlı yazılımın bulunduğu bağlantılı dosya varlıklarının listesi. Dosya varlıklarını satır içinde veya başvuru olarak içerebilir.
    Yapıyla ilgili ek ayrıntılar için Bkz. Dosya varlığı.
    İşlemler Liste<Entity> Kötü amaçlı yazılımın bulunduğu bağlantılı işlem varlıklarının listesi. Bu genellikle uyarı dosyasız etkinlikte tetiklendiğinde kullanılır.
    Yapıyla ilgili ek ayrıntılar için bkz. İşlem varlığı.

    Kötü amaçlı yazılım varlığının güçlü tanımlayıcıları:

    • Ad + Kategori

    Dosya

    Alan Tür Açıklama
    Tür Dize 'file'
    Dizin Dize Dosyanın tam yolu.
    Name Dize Yol olmadan dosya adı (bazı uyarılar yolu içermeyebiliyor olabilir).
    Host Varlık Dosyanın depolandığı konak.
    FileHashes Varlık < Listele> Bu dosyayla ilişkili dosya karmaları.

    Bir dosya varlığının tanımlayıcıları:

    • Ad + Dizin
    • Ad + DosyaHash
    • Ad + Dizin + DosyaHash

    İşleme

    Alan Tür Açıklama
    Tür Dize 'process'
    Processıd Dize İşlem kimliği.
    CommandLine Dize İşlem oluşturmak için kullanılan komut satırı.
    ElevationToken Enum? İşlemle ilişkili yükseltme belirteci.
    Olası değerler:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc Datetime? İşlem çalışmaya başladığı zaman.
    ImageFile Varlık (Dosya) Dosya varlığını satır içinde veya başvuru olarak içerebilir.
    Yapıyla ilgili ek ayrıntılar için Bkz. Dosya varlığı.
    Hesap Varlık İşlemleri çalıştıran hesap.
    Hesap varlığını satır içinde veya başvuru olarak içerebilir.
    Yapıyla ilgili ek ayrıntılar için Bkz. Hesap varlığı.
    ParentProcess Varlık (İşlem) Üst işlem varlığı.
    Yalnızca PID gibi kısmi veriler içerebilir.
    Host Varlık İşlem üzerinde çalışan ana bilgisayar.
    LogonSession Varlık (HostLogonSession) sürecin çalıştır olduğu oturum.

    İşlem varlığının güçlü tanımlayıcıları:

    • Konak + ProcessId + CreationTimeUtc
    • Konak + ParentProcessId + CreationTimeUtc + CommandLine
    • Konak + ProcessId + CreationTimeUtc + ImageFile
    • Konak + ProcessId + CreationTimeUtc + ImageFile.FileHash

    İşlem varlığının zayıf tanımlayıcıları:

    • ProcessId + CreationTimeUtc + CommandLine (ve Ana Bilgisayar Yok)
    • ProcessId + CreationTimeUtc + ImageFile (ana bilgisayar yok)

    Bulut uygulaması

    Varlık adı: CloudApplication

    Alan Tür Açıklama
    Tür Dize 'cloud-application'
    AppId int Uygulamanın teknik tanımlayıcısı. Bu, bulut uygulaması tanımlayıcıları listesinde tanımlanan değerlerden biri olmalıdır. AppId alanı değeri isteğe bağlıdır.
    Name Dize İlgili bulut uygulamasının adı. Uygulama adının değeri isteğe bağlıdır.
    InstanceName Dize Bulut uygulamasının kullanıcı tanımlı örnek adı. Genellikle müşterinin sahip olduğu türde birkaç uygulama arasında ayrım yapmak için kullanılır.

    Bulut uygulaması varlığının güçlü tanımlayıcıları:

    • AppId (InstanceName olmadan)
    • Ad (InstanceName olmadan)
    • AppId + InstanceName
    • Ad + ÖrnekAdı

    Etki alanı adı

    Varlık adı: DNS

    Alan Tür Açıklama
    Tür Dize 'dns'
    DomainName Dize Uyarıyla ilişkili DNS kaydının adı.
    Ipaddress Varlık < Listele (IP)> Çözümlenen IP adreslerine karşılık gelen varlıklar.
    DnsServerIp Varlık (IP) İsteği çözümleten DNS sunucusunu temsil eden bir varlık.
    HostIpAddress Varlık (IP) DNS isteği istemcisini temsil eden varlık.

    DNS varlığının tanımlayıcıları:

    • DomainName + DnsServerIp + HostIpAddress

    DNS varlığının zayıf tanımlayıcıları:

    • DomainName + HostIpAddress

    Azure kaynağı

    Alan Tür Açıklama
    Tür Dize ' Azure-Resource '
    ResourceId Dize Kaynağın Azure Kaynak KIMLIĞI.
    kaynak grubundaki Dize Kaynağın abonelik KIMLIĞI.
    TryGetResourceGroup Bool Varsa kaynak grubu değeri.
    TryGetProvider Bool Varsa sağlayıcı değeri.
    TryGetName Bool Varsa ad değeri.

    Azure Kaynak varlığının güçlü tanımlayıcıları:

    • ResourceId

    Dosya karması

    Varlık adı: dosya karması

    Alan Tür Açıklama
    Tür Dize ' FileHash '
    Algoritma Sabit listesi Karma algoritma türü. Olası değerler:
  • Bilinmiyor
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Değer Dize Karma değeri.

    Bir dosya karması varlığının güçlü tanımlayıcıları:

    • Algoritma + değer

    Kayıt defteri anahtarı

    Varlık adı: RegistryKey

    Alan Tür Açıklama
    Tür Dize ' kayıt defteri-anahtar '
    Hive Yardımının? Aşağıdaki değerlerden biri:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Anahtar Dize Kayıt defteri anahtarı yolu.

    Kayıt defteri anahtarı varlığının güçlü tanımlayıcıları:

    • Hive + anahtar

    Kayıt defteri değeri

    Varlık adı: RegistryValue

    Alan Tür Açıklama
    Tür Dize ' kayıt defteri-değeri '
    Anahtar Varlık (RegistryKey) Kayıt defteri anahtarı varlığı.
    Name Dize Kayıt defteri değer adı.
    Değer Dize Değer verisinin dize biçimli gösterimi.
    ValueType Yardımının? Aşağıdaki değerlerden biri:
  • Dize
  • İkili
  • Ekleyebileceği
  • 'Ün
  • Çoklu dize
  • ExpandString
  • Hiçbiri
  • Bilinmiyor
    Değerler Microsoft.Win32.RegistryValueKind numaralama ile uyumlu olmalıdır.
    		•

    Kayıt defteri değer varlığının tanımlayıcıları:

    • Anahtar + Ad

    Kayıt defteri değeri varlığının zayıf tanımlayıcıları:

    • Ad (Anahtar olmadan)

    Güvenlik grubu

    Varlık adı: SecurityGroup

    Alan Tür Açıklama
    Tür Dize 'security-group'
    DistinguishedName Dize Grup ayırt edici adı.
    SID Dize SID özniteliği, grubun güvenlik tanımlayıcısını (SID) belirten tek değerli bir özniteliktir.
    Objectguıd Guıd? objectGUID özniteliği, Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir.

    Güvenlik grubu varlığının güçlü tanımlayıcıları:

    • DistinguishedName
    • SID
    • Objectguıd

    URL

    Alan Tür Açıklama
    Tür Dize 'url'
    Url Urı Varlığın tam URL'si.

    URL varlığının tanımlayıcıları:

    • Url (mutlak BIR URL olduğunda)

    URL varlığının zayıf tanımlayıcıları:

    • Url (göreli BIR URL olduğunda)

    IoT cihazı

    Varlık adı: IoTDevice

    Alan Tür Açıklama
    Tür Dize 'iotdevice'
    IoTHub Varlık (AzureResource) Cihazın ait olduğu IoT Hub temsil eden AzureResource varlığı.
    DeviceId Dize Cihazın cihaz bağlamındaki kimliği IoT Hub.
    DeviceName Dize Cihazın kolay adı.
    IoTSecurityAgentId Guıd? Cihazda çalışan IoT için Defender aracı kimliği.
    DeviceType Dize Cihazın türü ('sıcaklık sensörü', 'soğutucu', 'rüzgar türbini' vb.).
    Kaynak Dize Cihaz varlığının kaynağı (Microsoft/Vendor).
    SourceRef Varlık (Url) Cihazın yönetil olduğu kaynak öğeye bir URL başvurusu.
    Üretici Dize Cihazın üreticisi.
    Modelleme Dize Cihazın modeli.
    OperatingSystem Dize Cihazın çalıştır olduğu işletim sistemi.
    Ipaddress Varlık (IP) Cihazın geçerli IP adresi.
    MacAddress Dize Cihazın MAC adresi.
    Protokoller Liste < Dizesi> Cihazın desteklediği protokollerin listesi.
    SerialNumber Dize Cihazın seri numarası.

    IoT cihaz varlığının güçlü tanımlayıcıları:

    • IoTHub + DeviceId

    IoT cihaz varlığının zayıf tanımlayıcıları:

    • DeviceId (IoTHub olmadan)

    Mailbox

    Alan Tür Açıklama
    Tür Dize 'posta kutusu'
    MailboxPrimaryAddress Dize Posta kutusunun birincil adresi.
    DisplayName Dize Posta kutusunun görünen adı.
    Upn Dize Posta kutusunun UPN'si.
    RiskLevel Enum? Bu posta kutusunun risk düzeyi. Olası değerler:
  • Hiçbiri
  • Düşük
  • Orta
  • Yüksek
    		•
    ExternalDirectoryObjectId Guıd? Posta kutusunun AzureAD tanımlayıcısı. Account varlığında AadUserId değerine benzer, ancak bu özellik, hesap tarafındaki posta kutusu Office özeldir.

    Bir posta kutusu varlığının tanımlayıcıları:

    • MailboxPrimaryAddress

    Posta kümesi

    Varlık adı: MailCluster

    Not

    Office 365 için Microsoft Defender, eski adı Office 365 Gelişmiş Tehdit Koruması (O365 ATP) olarak biliniyordu.

    Alan Tür Açıklama
    Tür Dize 'mail-cluster'
    NetworkMessageIds IList < Dizesi> Posta kümesine bir parçası olan posta iletisi kimlikleri.
    CountByDeliveryStatus IDictionary < String,Int> DeliveryStatus dize gösterimine göre posta iletilerinin sayısı.
    CountByThreatType IDictionary < String,Int> ThreatType dize gösterimine göre posta iletilerinin sayısı.
    CountByProtectionStatus IDictionary < String,long> Tehdit Koruması durumuna göre posta iletilerinin sayısı.
    Tehditler IList < Dizesi> Posta kümesinde yer alan posta iletilerinin tehditleri.
    Sorgu Dize Posta kümesi iletilerini tanımlamak için kullanılan sorgu.
    QueryTime Datetime? Sorgu süresi.
    MailCount Int? Posta kümesinde yer alan posta iletilerinin sayısı.
    IsVolumeAnomaly Bool? Bunun bir birim anomali posta kümesi olup olmadığını belirler.
    Kaynak Dize Posta kümesi kaynağı (varsayılan değer 'O365 ATP'dir).
    ClusterSourceIdentifier Dize Bu posta kümesi kaynağı olan postanın ağ iletisi kimliği.
    ClusterSourceType Dize Posta kümesi kaynak türü. Bu, Office 365 için Microsoft Defender'dan MailClusterSourceType ayarıyla eşler (yukarıdaki nota bakın).
    ClusterQueryStartTime Datetime? Küme başlangıç zamanı - küme sayıları sorgusu için başlangıç zamanı olarak kullanılır. Genellikle Tarihler için Microsoft Defender'dan Bitiş saati eksi DaysToLookBack ayarına Office 365 (yukarıdaki nota bakın).
    ClusterQueryEndTime Datetime? Küme bitiş zamanı - küme sayıları sorgusu için bitiş zamanı olarak kullanılır. Genellikle posta verileri alınan süre.
    ClusterGroup Dize Microsoft Defender'da kullanılan Kusto sorgu anahtarına karşılık Office 365 (yukarıdaki nota bakın).

    Posta kümesi varlığının tanımlayıcıları:

    • Sorgu + Kaynak

    Posta iletisi

    Varlık adı: MailMessage

    Alan Tür Açıklama
    Tür Dize 'mail-message'
    Dosyalar IList < Dosyası> Bu posta iletisinin eklerinin Dosya varlıkları.
    Alıcı Dize Bu posta iletisinin alıcısı. Birden çok alıcı durumunda, posta iletisi kopyalanır ve her kopyada bir alıcı vardır.
    Url 'leri IList < Dizesi> Bu posta iletisinde yer alan URL'ler.
    Tehditler IList < Dizesi> Bu posta iletisinde yer alan tehditler.
    Gönderen Dize Gönderenin e-posta adresi.
    P1Sender Dize Bu postayı "P2 (birincil) kullanıcı adına" gönderen (temsilci) kullanıcının e-posta kimliği. E-posta temsilci tarafından gönderilmezse, bu değer P2Sender'a eşittir.
    P1SenderDisplayName Dize Bu postayı "P2 (birincil) kullanıcı adına" gönderen (temsilci) kullanıcının görünen adı. E-posta üst bilgisinde "OnbehalfofSenderDisplayName" özelliğiyle temsil edilen.
    P1SenderDomain Dize Bu postayı "P2 (birincil) kullanıcı adına" gönderen (temsilci) kullanıcının e-posta etki alanı. E-posta temsilci tarafından gönderilmezse, bu değer P2SenderDomain'e eşittir.
    P2Sender Dize Bu e-postanın gönderildiği adına (birincil) kullanıcının e-postası.
    P2SenderDisplayName Dize Bu e-postanın gönderildiği adına (birincil) kullanıcının görünen adı. E-posta temsilci tarafından gönderilmezse, bu gönderenin görünen adını temsil eder.
    P2SenderDomain Dize Bu e-postanın gönderildiği kullanıcı adına (birincil) kullanıcının e-posta etki alanı. E-posta temsilci tarafından gönderilmezse, bu gönderenin etki alanını temsil eder.
    SenderIP Dize Gönderenin IP adresi.
    ReceivedDate DateTime Bu iletinin alınan tarihi.
    NetworkMessageId Guıd? Bu posta iletisinin ağ iletisi kimliği.
    InternetMessageId Dize Bu posta iletisinin internet iletisi kimliği.
    Konu Dize Bu posta iletisinin konusu.
    BodyFingerprintBin1
    BodyFingerprintBin2
    BodyFingerprintBin3
    BodyFingerprintBin4
    BodyFingerprintBin5    		 Uint? Eşleşen veya benzer posta iletilerini bulmak Office 365 için Microsoft Defender tarafından kullanılır.
    AntispamDirection Enum? Bu posta iletisinin yönlülük. Olası değerler:
  • Bilinmiyor
  • Gelen
  • Giden
  • İç (iç)
    		•
    DeliveryAction Enum? Bu posta iletisinin teslim eylemi. Olası değerler:
  • Bilinmiyor
  • DeliveredAsSpam
  • Teslim Edildi
  • Engellendi
  • Değiştirilir
    		•
    DeliveryLocation Enum? Bu posta iletisinin teslim konumu. Olası değerler:
  • Bilinmiyor
  • Gelen Kutusu
  • JunkFolder
  • DeletedFolder
  • Karantina
  • Dış
  • Başarısız
  • Düştü
  • Iletilen
    		•
    Dil Dize Posta içeriğinin yazıldığı dil.
    ThreatDetectionMethods IList < Dizesi> Bu postaya uygulanan Tehdit Algılama Yöntemlerinin listesi.

    Bir posta iletisi varlığının tanımlayıcıları:

    • NetworkMessageId + Alıcı

    Gönderme postası

    Varlık adı: SubmissionMail

    Alan Tür Açıklama
    Tür Dize 'SubmissionMail'
    SubmissionId Guıd? Gönderim Kimliği.
    SubmissionDate Datetime? Bu gönderim için bildirilen tarih saat.
    Submitter Dize Gönderici e-posta adresi.
    NetworkMessageId Guıd? Gönderimin ait olduğu e-postanın ağ iletisi kimliği.
    Timestamp Datetime? İletinin alın aldığı zaman damgası (Posta).
    Alıcı Dize E-postanın alıcısı.
    Gönderen Dize E-postayı gönderen.
    SenderIp Dize Gönderenin IP'si.
    Konu Dize Gönderim postası konusu.
    Reporttype Dize Verilen örneğin gönderim türü. Bu, Gereksiz, Kimlik Avı, Kötü Amaçlı Yazılım veya NotJok ile eşler.

    SubmissionMail varlığının güçlü tanımlayıcıları:

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Bulut uygulaması tanımlayıcıları

    Aşağıdaki liste, bilinen bulut uygulamaları için tanımlayıcıları tanımlar. Uygulama Kimliği değeri, bulut uygulaması varlık tanımlayıcısı olarak kullanılır.

    Uygulama Kimliği Name
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Hizmetleri
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive İş
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender for Cloud Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallod CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion yaşam döngüsü
    23043 Slack
    23233 çevrimiçi Microsoft Office
    25275 Microsoft Skype Kurumsal
    25988 Google Docs
    26055 Microsoft Office 365 yönetim merkezi
    26060 OPSWAT Gears
    26061 çevrimiçi Microsoft Word
    26062 çevrimiçi Microsoft PowerPoint
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Azure AD
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Taödünmi

    Sonraki adımlar

    Bu belgede, Microsoft Sentinel 'de varlık yapısı, tanımlayıcılar ve şema hakkında bilgi edindiniz.

    Varlıklar ve varlık eşlemesihakkında daha fazla bilgi edinin.