Microsoft Sentinel 自动化规则参考

重要

注意： 2026 年 8 月 18 日，根据世纪互联发布的公告，所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

本文包含有关自动化规则配置以及支持的条件和属性的参考信息。

若要详细了解自动化规则，请参阅使用自动化规则在 Microsoft Sentinel 中自动响应威胁。

有关创建、管理和使用自动化规则的说明，请参阅创建和使用 Microsoft Sentinel 自动化规则来管理响应。

支持的实体属性

以下实体和实体属性可以用作自动化规则的条件：

属性说明
映射到实体

此表显示自动化规则 API 中支持的实体属性。可以将这些实体属性的值设置为触发自动化规则的条件。

有关受支持属性的完整列表（包括事件属性），请参阅自动化规则 API 文档中的自动化规则属性条件支持的属性。

名称（在 API 中）	类型	DESCRIPTION
AccountAadTenantId	字符串	帐户 Microsoft Entra ID 租户 ID
AccountAadUserId	字符串	帐户 Microsoft Entra ID 用户 ID
账户名称	字符串	帐户名称
AccountNTDomain	字符串	帐户 NetBIOS 域名
AccountPUID	字符串	帐户 Microsoft Entra ID Passport 用户 ID
AccountSid	字符串	帐户安全标识符
AccountObjectGuid	字符串	帐户对象唯一标识符
AccountUPNSuffix	字符串	帐户用户主体名称后缀
AzureResourceResourceId	字符串	Azure 资源 ID
AzureResourceSubscriptionId	字符串	Azure 资源订阅 ID
CloudApplicationAppId	字符串	云应用程序标识符
CloudApplicationAppName	字符串	云应用程序名称
DNSDomainName	字符串	dns 记录域名
FileDirectory	字符串	文件目录完整路径
文件名	字符串	没有路径的文件名
文件哈希值	字符串	文件哈希值
HostAzureID	字符串	主机 Azure 资源 ID
主机名称	字符串	不带域的主机名
HostNetBiosName	字符串	主机 NetBIOS 名称
HostNTDomain	字符串	主机 NT 域
HostOSVersion	字符串	主机操作系统
IoTDeviceId	字符串	IoT 设备 ID
IoTDeviceName	字符串	IoT 设备名称
IoTDeviceType	字符串	IoT 设备类型
IoTDeviceVendor	字符串	IoT 设备供应商
IoTDeviceModel	字符串	IoT 设备模型
IoTDeviceOperatingSystem	字符串	IoT 设备操作系统
IP地址	字符串	IP 地址
MailboxDisplayName	字符串	邮箱显示名称
MailboxPrimaryAddress	字符串	邮箱主地址
MailboxUPN	字符串	邮箱用户主体名称
MailMessageDeliveryAction	字符串	邮件传递操作
MailMessageDeliveryLocation	字符串	邮件传递位置
MailMessageRecipient	字符串	邮件收件人
MailMessageSenderIP	字符串	邮件发件人 IP 地址
MailMessageSubject	字符串	邮件主题
MailMessageP1Sender	字符串	邮件消息 P1 发件人（委派的发件人）
MailMessageP2Sender	字符串	邮件消息 P2 发件人（原始发件人）
MalwareCategory	字符串	恶意软件类别
MalwareName	字符串	恶意软件名称
ProcessCommandLine	字符串	进程执行命令行
ProcessId	字符串	进程 ID
RegistryKey	字符串	注册表项路径
RegistryValueData	字符串	字符串格式表示形式的注册表项值
网址	字符串	URL

下表显示了自动化规则 API 中支持的实体属性在自动化规则创建向导中的条件下拉列表中的显示方式。它还显示了这些属性如何映射到 Microsoft Sentinel 安全警报中定义的实体及其标识符。

API 中的名称	UI 下拉列表中的名称	实体：V3 警报架构中的标识符
AccountAadTenantId	帐户租户 ID	帐户：AadTenantId
AccountAadUserId	帐户 AAD 用户 ID	帐户：AadUserId
账户名称	帐户名	帐户名:
AccountNTDomain	帐户 NT 域	帐户：NTDomain
AccountPUID	帐户 PUID	帐户：PUID
AccountSid	帐户 SID	帐户：Sid
AccountObjectGuid	帐户对象 ID	帐户：ObjectGuid
AccountUPNSuffix	帐户 UPN 后缀	帐户：UPNSuffix
AzureResourceResourceId	Azure 资源 ID	AzureResource：ResourceId
AzureResourceSubscriptionId	Azure 资源订阅 ID	AzureResource：SubscriptionId
CloudApplicationAppId	云应用程序 ID	CloudApplication：AppId
CloudApplicationAppName	云应用程序名称	CloudApplication：名称
DNSDomainName	DNS 域名	DNS：DomainName
FileDirectory	文件目录	文件：目录
文件名	文件名	文件名：
文件哈希值	文件哈希	FileHash：值
HostAzureID	主机 Azure ID	主机：AzureID
主机名称	主机名	主机：HostName
HostNetBiosName	主机 NetBIOS 名称	主机：NetBiosName
HostNTDomain	主机 NT 域	主机：NTDomain
HostOSVersion	主机操作系统	主机：OSVersion
IoTDeviceId	IoT 设备 ID	IoTDevice：DeviceId
IoTDeviceName	IoT 设备名称	IoTDevice：DeviceName
IoTDeviceType	IoT 设备类型	IoTDevice：DeviceType
IoTDeviceVendor	IoT 设备供应商	IoTDevice：制造商
IoTDeviceModel	IoT 设备模型	IoTDevice：模型
IoTDeviceOperatingSystem	IoT 设备操作系统	IoTDevice：OperatingSystem
IP地址	IP 地址	IP 地址：
MailboxDisplayName	邮箱显示名称	邮箱：DisplayName
MailboxPrimaryAddress	邮箱主要地址	邮箱：MailboxPrimaryAddress
MailboxUPN	邮箱 UPN	邮箱：Upn
MailMessageDeliveryAction	邮件消息传送操作	MailMessage：DeliveryAction
MailMessageDeliveryLocation	邮件消息传送位置	MailMessage：DeliveryLocation
MailMessageRecipient	邮件消息收件人	MailMessage：收件人
MailMessageSenderIP	邮件消息发件人 IP	MailMessage：SenderIP
MailMessageSubject	邮件消息主题	MailMessage：主题
MailMessageP1Sender	邮件消息 P1 发件人	MailMessage：P1Sender
MailMessageP2Sender	邮件消息 P2 发件人	MailMessage：P2Sender
MalwareCategory	恶意软件类别	恶意软件：类别
MalwareName	恶意软件名称	恶意软件：名称
ProcessCommandLine	进程命令行	进程：CommandLine
ProcessId	进程ID	进程：ProcessId
RegistryKey	注册表项	RegistryKey：项
RegistryValueData	注册表值	RegistryValue：值
网址	网址	URL：URL

Last updated on 2025-10-11

Condividi tramite

Microsoft Sentinel 自动化规则参考

支持的实体属性

Risorse aggiuntive