Azure Sentinel varlık türleri başvurusu

Varlık türleri ve tanımlayıcıları

Aşağıdaki tabloda, şu anda Azure Sentinel 'de eşleme için kullanılabilen varlık türleri ve analiz kuralı sihirbazının varlık eşleme bölümünde bulunan tanımlayıcılar açılan listesinde görünen her bir varlık türü için tanımlayıcılar olarak kullanılabilir öznitelikler gösterilmektedir.

Gerekli tanımlayıcılar sütunundaki tanımlayıcıların her biri, varlığını belirlemek için en az gereklidir. Ancak, gerekli bir tanımlayıcı kendi kendine benzersiz bir kimlik sağlamak için yeterli olmayabilir. Daha fazla tanımlayıcı kullanıldığında benzersiz kimlik oluşma olasılığı artar. Tek bir varlık eşlemesi için en fazla üç tanımlayıcı kullanabilirsiniz.

En iyi sonuçlar için-garantili benzersiz kimlik için, mümkün olduğunda en güçlü tanımlayıcılar sütunundan tanımlayıcıları kullanmanız gerekir. Birden çok güçlü tanımlayıcı kullanımı, değişen veri kaynaklarından ve şemalardan güçlü tanımlayıcılar arasında bağıntı imkanı sunar. Bu, Azure Sentinel 'in belirli bir varlık için daha kapsamlı öngörüler sağlamasına olanak tanır.

Varlık türü Tanımlayıcılar Gerekli tanımlayıcılar En güçlü tanımlayıcılar
Kullanıcı hesabı
Hesabı
Name
FullName
NT etki alanı
DnsDomain
UPNSuffix
SID
Aadtenantıd
Aaduserıd
PUID
Idomainkatılmış
DisplayName
Objectguıd 'dir
FullName
SID
Name
Aaduserıd
PUID
Objectguıd 'dir
Ad + NTDomain
Ad + UPNSuffix
Aaduserıd
SID
Konağının DnsDomain
NT etki alanı
HostName
FullName
NetBiosName
AzureID
Omsagentıd
OSFamily
OSVersion
Idomainkatılmış
FullName
HostName
NetBiosName
AzureID
Omsagentıd
Ana bilgisayar adı + NTDomain
Ana bilgisayar adı + DnsDomain
NetBiosName + NTDomain
NetBiosName + DnsDomain
AzureID
Omsagentıd
IP adresi
IP
Adres Adres
Kötü amaçlı yazılım Name
Kategori
Name
Dosya Dizin
Name
Name
İşleme Işlem
CommandLine
Yükseltme belirteci
CreationTimeUtc
CommandLine
Işlem
Bulut uygulaması
(Cloudadpplication)
AppId
Name
InstanceName
AppId
Name
Etki alanı adı
BKZ
DomainName DomainName
Azure kaynağı ResourceId ResourceId
Dosya karması
(FileHash)
Algoritma
Değer
Algoritma + değer
Kayıt defteri anahtarı Hive
Anahtar
Hive
Anahtar
Hive + anahtar
Kayıt defteri değeri Name
Değer
ValueType
Name
Güvenlik grubu DistinguishedName 'dir
SID
Objectguıd 'dir
DistinguishedName 'dir
SID
Objectguıd 'dir
URL Url Url
IoT cihazı Iothub
DeviceId
DeviceName
Iotsecurityagentıd
DeviceType
Kaynak
SourceRef
Üretici
Modelleme
OperatingSystem
Belirlenemiyor
MacAddress
Protokoller
SerialNumber
Iothub
DeviceId
Iothub + DeviceID
Kutunuzu Mailboxbir Yaddress
DisplayName
'Le
Externaldirectoryobjectıd
RiskLevel
Mailboxbir Yaddress
Posta kümesi Networkmessageıds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Tehditler
Sorgu
QueryTime
MailCount
IsVolumeAnomaly
Kaynak
Clustersourceıdentifier
ClusterSourceType
ClusterQueryStartTime
ClusterQueryEndTime
ClusterGroup listesinde
Sorgu
Kaynak
Sorgu + kaynak
Posta iletisi Alıcı
Adresleri
Tehditler
Gönderen
P1Sender
P1SenderDisplayName
P1SenderDomain
Senderıp
P2Sender
P2SenderDisplayName
P2SenderDomain
Alınma tarihi
Networkmessageıd
Internetmessageıd
Konu
BodyFingerprintBin1
BodyFingerprintBin2
BodyFingerprintBin3
BodyFingerprintBin4
BodyFingerprintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Dil
ThreatDetectionMethods
Networkmessageıd
Alıcı
Networkmessageıd + alıcısı
Gönderim postası SubmissionId
SubmissionDate
Gönderenin
Networkmessageıd
Timestamp
Alıcı
Gönderen
SenderIp
Konu
Reporttype
SubmissionId
NetworkMessageId
Alıcı
Submitter

Varlık türü şemaları

Aşağıda, her varlık türünün tam şemaları daha ayrıntılı bir şekilde gösterilmektedir. Bu şemaların birçoğunda diğer varlık türlerine bağlantılar olduğunu fark edersiniz. Örneğin, Kullanıcı hesabı şeması konak varlık türüne bir bağlantı içerir çünkü bir kullanıcı hesabının özniteliği, tanımlandığı konaktır. Harici olarak bağlantılı bu varlıklar varlık eşleme için tanımlayıcı olarak kullanılamaz, ancak varlık sayfalarında ve araştırma grafı üzerinde varlıkların tam bir resmini vermede çok yararlıdır.

Not

Tür sütunundaki değeri takip eden bir soru işareti, alanın null değere sahip olduğunu gösterir.

Kullanıcı hesabı

Varlık adı: Hesap

Alan Tür Açıklama
Tür Dize 'account'
Name Dize Hesabın adı. Bu alan, herhangi bir etki alanı eklenmeden yalnızca adı tutmalı.
FullName Yok Varlık eşlemenin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın parçası değildir.
NTDomain Dize Uyarı biçiminde görünen NETBIOS etki alanı adı : etkialanı\kullanıcıadı. Örnekler: Finans, NT AUTHORITY
DnsDomain Dize Tam etki alanı DNS adı. Örnekler: finance.contoso.com
UPNSuffix Dize Hesabın kullanıcı asıl adı soneki. Bazı durumlarda bu aynı zamanda etki alanı adıdır. Örnekler: contoso.com
Ana bilgisayar Varlık Hesabı içeren ana bilgisayar( yerel bir hesapsa).
Sid Dize S-1-5-18 gibi hesap güvenlik tanımlayıcısı.
AadTenantId Guıd? Biliniyorsa Azure AD kiracı kimliği.
AadUserId Guıd? Biliniyorsa Azure AD hesabı nesne kimliği.
PUID Guıd? Biliniyorsa Azure AD Passport Kullanıcı Kimliği.
IsDomainJoined Bool? Bunun bir etki alanı hesabı olup olmadığını belirler.
DisplayName Dize Hesabın görünen adı.
Objectguıd Guıd? objectGUID özniteliği, Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir.

Hesap varlığının tanımlayıcıları:

  • Ad + UPNSuffix
  • AadUserId
  • Sid + Ana Bilgisayar (yerleşik hesapların SID'leri için gereklidir)
  • Sid (yerleşik hesapların SID'leri hariç)
  • Ad + NTDomain (NTDomain yerleşik bir etki alanı değilse, örneğin "Çalışma Grubu")
  • Ad + Konak (NTDomain yerleşik bir etki alanıysa, örneğin "Çalışma Grubu")
  • Ad + DnsDomain
  • PUID
  • Objectguıd

Hesap varlığının zayıf tanımlayıcıları:

  • Name

Ana bilgisayar

Alan Tür Açıklama
Tür Dize 'konak'
DnsDomain Dize Bu ana bilgisayarının ait olduğu DNS etki alanı. Biliniyorsa, etki alanının tam DNS soneki içermesi gerekir.
NTDomain Dize Bu ana bilgisayar ait nt etki alanı.
HostName Dize Etki alanı soneki olmayan ana bilgisayar adı.
FullName Yok Varlık eşlemenin eski sürümüyle geriye dönük uyumluluk için dahil edilen şemanın parçası değildir.
NetBiosName Dize ana bilgisayar adı (ön Windows 2000).
Iotdevice Varlık IoT cihaz varlığı (bu konak bir IoT cihazını temsil ediyorsa).
AzureID Dize Biliniyorsa VM 'nin Azure Kaynak KIMLIĞI.
Omsagentıd Dize Ana bilgisayarda OMS Aracısı yüklüyse OMS Aracısı KIMLIĞI.
OSFamily Yardımının? Aşağıdaki değerlerden biri:
  • Linux
  • Windows
  • Android
  • IOS
  • OSVersion Dize İşletim sisteminin serbest metinli bir gösterimi.
    Bu alan, belirli sürümleri, OSFamily ' den daha hassas veya OSFamily numaralandırması tarafından desteklenmeyen gelecek değerlerle tutmak için tasarlanmıştır.
    Idomainkatılmış Bool Bu konağın bir etki alanına ait olup olmadığını belirler.

    Bir konak varlığının güçlü tanımlayıcıları:

    • Ana bilgisayar adı + NTDomain
    • Ana bilgisayar adı + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • Omsagentıd
    • Iotdevice (varlık eşleme için desteklenmez)

    Bir konak varlığının zayıf tanımlayıcıları:

    • HostName
    • NetBiosName

    IP Adresi

    Varlık adı: IP

    Alan Tür Açıklama
    Tür Dize IP
    Adres Dize Dize olarak IP adresi (örneğin, IPv4 veya IPv6).
    Konum Konumu IP varlığına eklenen coğrafi konum bağlamı.

    Daha fazla bilgi için bkz. REST API (Genel Önizleme) ile coğrafi konum verileri Ile Azure Sentinel 'te ayrıca zengin varlıklar.

    Bir IP varlığının güçlü tanımlayıcıları:

    • Adres

    Kötü Amaçlı Yazılımlar

    Alan Tür Açıklama
    Tür Dize tespit
    Name Dize Satıcının (gibi) kötü amaçlı yazılım adı Win32/Toga!rfn .
    Kategori Dize Satıcı tarafından kötü amaçlı yazılım kategorisi, ör. Truva atı.
    Dosyalar Liste<Entity> Kötü amaçlı yazılımın bulunduğu bağlı dosya varlıklarının listesi. , Satır içi veya başvuru olarak dosya varlıklarını içerebilir.
    Yapıyla ilgili ek ayrıntılar için dosya varlığına bakın.
    İşlemler Liste<Entity> Kötü amaçlı yazılımın bulunduğu bağlantılı işlem varlıklarının listesi. Bu, genellikle uyarı dosya daha az etkinlik üzerinde tetiklendiğinde kullanılır.
    Yapı hakkında daha fazla bilgi için süreç varlığına bakın.

    Kötü amaçlı yazılım varlığının güçlü tanımlayıcıları:

    • Ad + kategori

    Dosya

    Alan Tür Açıklama
    Tür Dize dosyasýný
    Dizin Dize Dosyanın tam yolu.
    Name Dize Yol olmadan dosya adı (bazı uyarılar yol içermemelidir).
    Ana bilgisayar Varlık Dosyanın depolandığı ana bilgisayar.
    Dosya karmaları <Varlık listeleme> Bu dosyayla ilişkili dosya karmaları.

    Bir dosya varlığının güçlü tanımlayıcıları:

    • Ad + Dizin
    • Ad + dosya karması
    • Ad + dizin + dosya karması

    İşleme

    Alan Tür Açıklama
    Tür Dize işle
    Işlem Dize İşlem KIMLIĞI.
    CommandLine Dize İşlemi oluşturmak için kullanılan komut satırı.
    Yükseltme belirteci Yardımının? İşlemle ilişkili yükseltme belirteci.
    Olası değerler:
  • Tokenyükseltir Tiontypedefault
  • Tokenyükseltir Tiontypefull
  • Tokenyükseltir Tiontypelimited
  • CreationTimeUtc Hem? İşlemin çalışmaya başladığı zaman.
    Özelliğini Varlık (dosya) Dosya varlığını satır içi veya başvuru olarak içerebilir.
    Yapıyla ilgili ek ayrıntılar için dosya varlığına bakın.
    Hesap Varlık İşlem çalıştıran hesap.
    , Satır içi veya başvuru olarak Hesap varlığını içerebilir.
    Yapı hakkında daha fazla bilgi için bkz. Hesap varlığı.
    ParentProcess Varlık (Işlem) Üst işlem varlığı.
    Kısmi veri içerebilir, yani yalnızca PID.
    Ana bilgisayar Varlık İşlemin üzerinde çalıştığı konak.
    LogonSession Varlık (HostLogonSession) İşlemin çalıştığı oturum.

    İşlem varlığının güçlü tanımlayıcıları:

    • Ana bilgisayar + Işlemkimliği + CreationTimeUtc
    • Ana bilgisayar + Parentişlemkimliği + CreationTimeUtc + CommandLine
    • Ana bilgisayar + işlemkimliği + CreationTimeUtc + Image
    • Ana bilgisayar + Işlemkimliği + CreationTimeUtc + Image. FileHash

    Bir işlem varlığının zayıf tanımlayıcıları:

    • Işlemkimliği + CreationTimeUtc + CommandLine (ve ana bilgisayar yok)
    • Işlemkimliği + CreationTimeUtc + Image(ve ana bilgisayar yok)

    Bulut uygulaması

    Varlık adı: Cloudadpplication

    Alan Tür Açıklama
    Tür Dize ' Cloud-Application '
    AppId int Uygulamanın teknik tanımlayıcısı. Bu, bulut uygulaması tanımlayıcılarılistesinde tanımlanan değerlerden biri olmalıdır. AppID alanı için değer isteğe bağlıdır.
    Name Dize İlgili bulut uygulamasının adı. Uygulama adının değeri isteğe bağlıdır.
    InstanceName Dize Bulut uygulamasının Kullanıcı tanımlı örnek adı. Genellikle müşterinin sahip olduğu aynı türdeki birçok uygulamayı ayırt etmek için kullanılır.

    Bulut uygulaması varlığının güçlü tanımlayıcıları:

    • AppID (InstanceName olmadan)
    • Ad (InstanceName olmadan)
    • AppID + InstanceName
    • Ad + ÖrnekAdı

    Etki alanı adı

    Varlık adı: DNS

    Alan Tür Açıklama
    Tür Dize bkz
    DomainName Dize Uyarıyla ilişkili DNS kaydının adı.
    Belirlenemiyor Liste < varlığı (IP)> Çözümlenen IP adreslerine karşılık gelen varlıklar.
    Dnssunucuıp Varlık (IP) İsteği çözümleyen DNS sunucusunu temsil eden bir varlık.
    Hostıpaddress Varlık (IP) DNS istek istemcisini temsil eden bir varlık.

    Bir DNS varlığının güçlü tanımlayıcıları:

    • DomainName + Dnssunucuıp + Hostıpaddress

    Bir DNS varlığının zayıf tanımlayıcıları:

    • DomainName + Hostıpaddress

    Azure kaynağı

    Alan Tür Açıklama
    Tür Dize ' Azure-Resource '
    ResourceId Dize Kaynağın Azure Kaynak KIMLIĞI.
    SubscriptionId Dize Kaynağın abonelik KIMLIĞI.
    TryGetResourceGroup Bool Varsa kaynak grubu değeri.
    TryGetProvider Bool Varsa sağlayıcı değeri.
    TryGetName Bool Varsa ad değeri.

    Azure Kaynak varlığının güçlü tanımlayıcıları:

    • ResourceId

    Dosya karması

    Varlık adı: dosya karması

    Alan Tür Açıklama
    Tür Dize ' FileHash '
    Algoritma Sabit listesi Karma algoritma türü. Olası değerler:
  • Bilinmiyor
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Değer Dize Karma değeri.

    Bir dosya karması varlığının güçlü tanımlayıcıları:

    • Algoritma + değer

    Kayıt defteri anahtarı

    Varlık adı: RegistryKey

    Alan Tür Açıklama
    Tür Dize ' kayıt defteri-anahtar '
    Hive Yardımının? Aşağıdaki değerlerden biri:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Anahtar Dize Kayıt defteri anahtarı yolu.

    Kayıt defteri anahtarı varlığının güçlü tanımlayıcıları:

    • Hive + anahtar

    Kayıt defteri değeri

    Varlık adı: RegistryValue

    Alan Tür Açıklama
    Tür Dize ' kayıt defteri-değeri '
    Anahtar Varlık (RegistryKey) Kayıt defteri anahtarı varlığı.
    Name Dize Kayıt defteri değer adı.
    Değer Dize Değer verisinin dize biçimli gösterimi.
    ValueType Yardımının? Aşağıdaki değerlerden biri:
  • Dize
  • İkili
  • Ekleyebileceği
  • 'Ün
  • Çoklu dize
  • ExpandString
  • Hiçbiri
  • Bilinmiyor
    Değerler, Microsoft. Win32. RegistryValueKind numaralandırması ile uyumlu olmalıdır.
  • Bir kayıt defteri değeri varlığının güçlü tanımlayıcıları:

    • Anahtar + ad

    Bir kayıt defteri değeri varlığının zayıf tanımlayıcıları:

    • Ad (anahtar olmadan)

    Güvenlik grubu

    Varlık adı: SecurityGroup

    Alan Tür Açıklama
    Tür Dize ' güvenlik-Grup '
    DistinguishedName 'dir Dize Grup ayırt edici adı.
    SID Dize SID özniteliği, grubun güvenlik tanımlayıcısını (SID) belirten tek değerli bir özniteliktir.
    Objectguıd 'dir 'İni? Objectguıd özniteliği, Active Directory tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir.

    Güvenlik grubu varlığının güçlü tanımlayıcıları:

    • DistinguishedName 'dir
    • SID
    • Objectguıd 'dir

    URL

    Alan Tür Açıklama
    Tür Dize 'deki
    Url Kullanılmamışsa Varlığın işaret ettiği tam URL.

    URL varlığının güçlü tanımlayıcıları:

    • URL (mutlak URL olduğunda)

    Bir URL varlığının zayıf tanımlayıcıları:

    • URL (göreli bir URL olduğunda)

    IoT cihazı

    Varlık adı: ıotdevice

    Alan Tür Açıklama
    Tür Dize ' ıotdevice '
    Iothub Varlık (AzureResource) Cihazın ait olduğu IoT Hub temsil eden AzureResource varlığı.
    DeviceId Dize IoT Hub bağlamında cihazın KIMLIĞI.
    DeviceName Dize Cihazın kolay adı.
    Iotsecurityagentıd 'İni? Cihazda çalışan IoT aracısının Defender kimliği.
    DeviceType Dize Cihazın türü (' sıcaklık algılayıcısı ', ' Freezer ', ' Rüzgar Turbin ' vb.).
    Kaynak Dize Cihaz varlığının kaynağı (Microsoft/satıcı).
    SourceRef Varlık (URL) Cihazın yönetildiği kaynak öğeye yönelik bir URL başvurusu.
    Üretici Dize Cihazın üreticisi.
    Modelleme Dize Cihazın modeli.
    OperatingSystem Dize Cihazın çalıştırdığı işletim sistemi.
    Belirlenemiyor Varlık (IP) Cihazın geçerli IP adresi.
    MacAddress Dize Cihazın MAC adresi.
    Protokoller Liste < dizesi> Cihazın desteklediği protokollerin bir listesi.
    SerialNumber Dize Cihazın seri numarası.

    IoT cihaz varlığının güçlü tanımlayıcıları:

    • Iothub + DeviceID

    IoT cihaz varlığının zayıf tanımlayıcıları:

    • DeviceID (ıothub olmadan)

    Mailbox

    Alan Tür Açıklama
    Tür Dize kutunuzu
    Mailboxbir Yaddress Dize Posta kutusunun birincil adresi.
    DisplayName Dize Posta kutusunun görünen adı.
    'Le Dize Posta kutusunun UPN 'si.
    RiskLevel Yardımının? Bu posta kutusunun risk düzeyi. Olası değerler:
  • Hiçbiri
  • Düşük
  • Orta
  • Yüksek
  • Externaldirectoryobjectıd 'İni? Posta kutusunun AzureAD tanımlayıcısı. hesap varlığındaki aaduserıd öğesine benzer, ancak bu özellik Office tarafındaki posta kutusu nesnesine özeldir.

    Bir posta kutusu varlığının güçlü tanımlayıcıları:

    • Mailboxbir Yaddress

    Posta kümesi

    Varlık adı: MailCluster

    Not

    Office 365 için Microsoft Defender daha önce Office 365 gelişmiş tehdit koruması (O365 ATP) olarak bilinirdi.

    Alan Tür Açıklama
    Tür Dize ' Mail-Cluster '
    Networkmessageıds IList < dizesi> Posta kümesinin parçası olan posta iletisi kimlikleri.
    CountByDeliveryStatus IDictionary < String, Int> DeliveryStatus dize gösterimine göre posta iletilerinin sayısı.
    CountByThreatType IDictionary < String, Int> ThreatType dize gösterimine göre posta iletilerinin sayısı.
    CountByProtectionStatus IDictionary < dizesi, Long> Tehdit koruması durumuna göre posta iletilerinin sayısı.
    Tehditler IList < dizesi> Posta kümesinin bir parçası olan posta iletilerinin tehditleri.
    Sorgu Dize Posta kümesinin iletilerini tanımlamak için kullanılan sorgu.
    QueryTime Hem? Sorgu süresi.
    MailCount 'Tir? Posta kümesinin parçası olan posta iletilerinin sayısı.
    IsVolumeAnomaly Bool? Bunun bir birim anomali posta kümesi olup olmadığını belirler.
    Kaynak Dize Posta kümesinin kaynağı (varsayılan değer ' O365 ATP ').
    Clustersourceıdentifier Dize Bu posta kümesinin kaynağı olan postanın ağ ileti KIMLIĞI.
    ClusterSourceType Dize Posta kümesinin kaynak türü. bu, Office 365 için Microsoft Defender 'daki MailClusterSourceType ayarıyla eşlenir (yukarıdaki nota bakın).
    ClusterQueryStartTime Hem? Küme başlangıç zamanı-küme sayısı sorgusu için başlangıç zamanı olarak kullanılır. genellikle, Office 365 için Microsoft Defender 'dan bitiş zamanı eksi daystolookback ayarı tarihi (yukarıdaki nota bakın).
    ClusterQueryEndTime Hem? Küme bitiş zamanı-küme sayısı sorgusu için bitiş saati olarak kullanılır. Genellikle posta verilerinin alınma zamanı.
    ClusterGroup listesinde Dize Office 365 için Microsoft Defender 'da kullanılan Kusto sorgu anahtarına karşılık gelir (yukarıdaki nota bakın).

    Posta kümesi varlığının güçlü tanımlayıcıları:

    • Sorgu + kaynak

    Posta iletisi

    Varlık adı: MailMessage

    Alan Tür Açıklama
    Tür Dize ' Mail-Message '
    Dosyalar IList < dosyası> Bu posta iletisi eklerinin dosya varlıkları.
    Alıcı Dize Bu e-posta iletisinin alıcısı. Birden çok alıcı olması durumunda posta iletisi kopyalanır ve her kopyanın bir alıcısı vardır.
    Adresleri IList < dizesi> Bu posta iletisinde yer alan URL'ler.
    Tehditler IList < Dizesi> Bu posta iletisinde yer alan tehditler.
    Gönderen Dize Gönderenin e-posta adresi.
    P1Sender Dize Bu postayı "P2 (birincil) kullanıcı adına" gönderen (temsilci) kullanıcının e-posta kimliği. E-posta temsilci tarafından gönderilmezse, bu değer P2Sender'a eşittir.
    P1SenderDisplayName Dize Bu postayı "P2 (birincil) kullanıcı adına" gönderen (temsilci) kullanıcının görünen adı. E-posta üst bilgisinde "OnbehalfofSenderDisplayName" özelliğiyle temsil edilen.
    P1SenderDomain Dize Bu postayı "P2 (birincil) kullanıcı adına" gönderen (temsilci) kullanıcının e-posta etki alanı. E-posta temsilci tarafından gönderilmezse, bu değer P2SenderDomain'e eşittir.
    P2Sender Dize Bu e-postanın gönderildiği adına (birincil) kullanıcının e-postası.
    P2SenderDisplayName Dize Bu e-postanın gönderildiği adına (birincil) kullanıcının görünen adı. E-posta temsilci tarafından gönderilmezse, bu gönderenin görünen adını temsil eder.
    P2SenderDomain Dize Bu e-postanın gönderildiği kullanıcı adına (birincil) kullanıcının e-posta etki alanı. E-posta temsilci tarafından gönderilmezse, bu gönderenin etki alanını temsil eder.
    SenderIP Dize Gönderenin IP adresi.
    ReceivedDate DateTime Bu iletinin alınan tarihi.
    NetworkMessageId Guıd? Bu posta iletisinin ağ iletisi kimliği.
    InternetMessageId Dize Bu posta iletisinin internet iletisi kimliği.
    Konu Dize Bu posta iletisinin konusu.
    BodyFingerprintBin1
    BodyFingerprintBin2
    BodyFingerprintBin3
    BodyFingerprintBin4
    BodyFingerprintBin5
    Uint? Eşleşen veya benzer posta iletilerini bulmak Office 365 için Microsoft Defender tarafından kullanılır.
    AntispamDirection Enum? Bu posta iletisinin yön yönü. Olası değerler:
  • Bilinmiyor
  • Gelen
  • Giden
  • İç (iç)
  • DeliveryAction Enum? Bu posta iletisinin teslim eylemi. Olası değerler:
  • Bilinmiyor
  • DeliveredAsSpam
  • Teslim Edildi
  • Engellendi
  • Değiştirilir
  • DeliveryLocation Enum? Bu posta iletisinin teslim konumu. Olası değerler:
  • Bilinmiyor
  • Gelen Kutusu
  • JunkFolder
  • DeletedFolder
  • Karantina
  • Dış
  • Başarısız
  • Düştü
  • Iletilen
  • Dil Dize Posta içeriğinin yazıldığı dil.
    ThreatDetectionMethods IList < Dizesi> Bu postaya uygulanan Tehdit Algılama Yöntemlerinin listesi.

    Bir posta iletisi varlığının tanımlayıcıları:

    • NetworkMessageId + Alıcı

    Gönderme postası

    Varlık adı: SubmissionMail

    Alan Tür Açıklama
    Tür Dize 'SubmissionMail'
    SubmissionId Guıd? Gönderim KIMLIĞI.
    SubmissionDate Hem? Bu gönderim için raporlanan tarih saat.
    Gönderenin Dize Gönderenin e-posta adresi.
    Networkmessageıd 'İni? Gönderimin ait olduğu e-postanın ağ ileti KIMLIĞI.
    Timestamp Hem? İleti alındığında zaman damgası (posta).
    Alıcı Dize Postanın alıcısı.
    Gönderen Dize Postanın göndericisi.
    Senderıp Dize Gönderenin IP 'si.
    Konu Dize Gönderim postanın konusu.
    ReportType Dize Verilen örnek için gönderim türü. Bu, önemsiz, Phsi, kötü amaçlı yazılım veya Notönemsiz ile eşlenir.

    Bir SubmissionMail varlığının güçlü tanımlayıcıları:

    • SubmissionId, gönderenin, Networkmessageıd, Recipient

    Bulut uygulaması tanımlayıcıları

    Aşağıdaki liste, bilinen bulut uygulamaları için tanımlayıcıları tanımlar. Uygulama KIMLIĞI değeri, bir bulut uygulaması varlık tanımlayıcısı olarak kullanılır.

    Uygulama Kimliği Name
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive yazılımı
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Çevrimiç
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Hizmetleri
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive İş
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Aaci
    20595 Microsoft Cloud App Security
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallod CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion yaşam döngüsü
    23043 Slack
    23233 Microsoft Office Çevrimiç
    25275 Microsoft Skype Kurumsal
    25988 Google Docs
    26055 Microsoft Office 365 yönetim merkezi
    26060 OPSWAT Gears
    26061 Microsoft Word Çevrimiç
    26062 çevrimiçi Microsoft PowerPoint
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Azure AD
    26320 Microsoft Office Tuval
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Taödünmi

    Sonraki adımlar

    Bu belgede, Azure Sentinel 'de varlık yapısı, tanımlayıcılar ve şema hakkında bilgi edindiniz.

    Varlıklar ve varlık eşlemesihakkında daha fazla bilgi edinin.