重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
本文包含有关自动化规则配置以及支持的条件和属性的参考信息。
若要详细了解自动化规则,请参阅使用自动化规则在 Microsoft Sentinel 中自动响应威胁。
有关创建、管理和使用自动化规则的说明,请参阅创建和使用 Microsoft Sentinel 自动化规则来管理响应。
支持的实体属性
以下实体和实体属性可以用作自动化规则的条件:
此表显示自动化规则 API 中支持的实体属性。 可以将这些实体属性的值设置为触发自动化规则的条件。
有关受支持属性的完整列表(包括事件属性),请参阅自动化规则 API 文档中的自动化规则属性条件支持的属性。
| 名称(在 API 中) |
类型 |
DESCRIPTION |
| AccountAadTenantId |
字符串 |
帐户 Microsoft Entra ID 租户 ID |
| AccountAadUserId |
字符串 |
帐户 Microsoft Entra ID 用户 ID |
| 账户名称 |
字符串 |
帐户名称 |
| AccountNTDomain |
字符串 |
帐户 NetBIOS 域名 |
| AccountPUID |
字符串 |
帐户 Microsoft Entra ID Passport 用户 ID |
| AccountSid |
字符串 |
帐户安全标识符 |
| AccountObjectGuid |
字符串 |
帐户对象唯一标识符 |
| AccountUPNSuffix |
字符串 |
帐户用户主体名称后缀 |
| AzureResourceResourceId |
字符串 |
Azure 资源 ID |
| AzureResourceSubscriptionId |
字符串 |
Azure 资源订阅 ID |
| CloudApplicationAppId |
字符串 |
云应用程序标识符 |
| CloudApplicationAppName |
字符串 |
云应用程序名称 |
| DNSDomainName |
字符串 |
dns 记录域名 |
| FileDirectory |
字符串 |
文件目录完整路径 |
| 文件名 |
字符串 |
没有路径的文件名 |
| 文件哈希值 |
字符串 |
文件哈希值 |
| HostAzureID |
字符串 |
主机 Azure 资源 ID |
| 主机名称 |
字符串 |
不带域的主机名 |
| HostNetBiosName |
字符串 |
主机 NetBIOS 名称 |
| HostNTDomain |
字符串 |
主机 NT 域 |
| HostOSVersion |
字符串 |
主机操作系统 |
| IoTDeviceId |
字符串 |
IoT 设备 ID |
| IoTDeviceName |
字符串 |
IoT 设备名称 |
| IoTDeviceType |
字符串 |
IoT 设备类型 |
| IoTDeviceVendor |
字符串 |
IoT 设备供应商 |
| IoTDeviceModel |
字符串 |
IoT 设备模型 |
| IoTDeviceOperatingSystem |
字符串 |
IoT 设备操作系统 |
| IP地址 |
字符串 |
IP 地址 |
| MailboxDisplayName |
字符串 |
邮箱显示名称 |
| MailboxPrimaryAddress |
字符串 |
邮箱主地址 |
| MailboxUPN |
字符串 |
邮箱用户主体名称 |
| MailMessageDeliveryAction |
字符串 |
邮件传递操作 |
| MailMessageDeliveryLocation |
字符串 |
邮件传递位置 |
| MailMessageRecipient |
字符串 |
邮件收件人 |
| MailMessageSenderIP |
字符串 |
邮件发件人 IP 地址 |
| MailMessageSubject |
字符串 |
邮件主题 |
| MailMessageP1Sender |
字符串 |
邮件消息 P1 发件人(委派的发件人) |
| MailMessageP2Sender |
字符串 |
邮件消息 P2 发件人(原始发件人) |
| MalwareCategory |
字符串 |
恶意软件类别 |
| MalwareName |
字符串 |
恶意软件名称 |
| ProcessCommandLine |
字符串 |
进程执行命令行 |
| ProcessId |
字符串 |
进程 ID |
| RegistryKey |
字符串 |
注册表项路径 |
| RegistryValueData |
字符串 |
字符串格式表示形式的注册表项值 |
| 网址 |
字符串 |
URL |
下表显示了自动化规则 API 中支持的实体属性在自动化规则创建向导中的条件下拉列表中的显示方式。 它还显示了这些属性如何映射到 Microsoft Sentinel 安全警报中定义的实体及其标识符。
| API 中的名称 |
UI 下拉列表中的名称 |
实体:V3 警报架构中的标识符 |
| AccountAadTenantId |
帐户租户 ID |
帐户:AadTenantId |
| AccountAadUserId |
帐户 AAD 用户 ID |
帐户:AadUserId |
| 账户名称 |
帐户名 |
帐户名: |
| AccountNTDomain |
帐户 NT 域 |
帐户:NTDomain |
| AccountPUID |
帐户 PUID |
帐户:PUID |
| AccountSid |
帐户 SID |
帐户:Sid |
| AccountObjectGuid |
帐户对象 ID |
帐户:ObjectGuid |
| AccountUPNSuffix |
帐户 UPN 后缀 |
帐户:UPNSuffix |
| AzureResourceResourceId |
Azure 资源 ID |
AzureResource:ResourceId |
| AzureResourceSubscriptionId |
Azure 资源订阅 ID |
AzureResource:SubscriptionId |
| CloudApplicationAppId |
云应用程序 ID |
CloudApplication:AppId |
| CloudApplicationAppName |
云应用程序名称 |
CloudApplication:名称 |
| DNSDomainName |
DNS 域名 |
DNS:DomainName |
| FileDirectory |
文件目录 |
文件:目录 |
| 文件名 |
文件名 |
文件名: |
| 文件哈希值 |
文件哈希 |
FileHash:值 |
| HostAzureID |
主机 Azure ID |
主机:AzureID |
| 主机名称 |
主机名 |
主机:HostName |
| HostNetBiosName |
主机 NetBIOS 名称 |
主机:NetBiosName |
| HostNTDomain |
主机 NT 域 |
主机:NTDomain |
| HostOSVersion |
主机操作系统 |
主机:OSVersion |
| IoTDeviceId |
IoT 设备 ID |
IoTDevice:DeviceId |
| IoTDeviceName |
IoT 设备名称 |
IoTDevice:DeviceName |
| IoTDeviceType |
IoT 设备类型 |
IoTDevice:DeviceType |
| IoTDeviceVendor |
IoT 设备供应商 |
IoTDevice:制造商 |
| IoTDeviceModel |
IoT 设备模型 |
IoTDevice:模型 |
| IoTDeviceOperatingSystem |
IoT 设备操作系统 |
IoTDevice:OperatingSystem |
| IP地址 |
IP 地址 |
IP 地址: |
| MailboxDisplayName |
邮箱显示名称 |
邮箱:DisplayName |
| MailboxPrimaryAddress |
邮箱主要地址 |
邮箱:MailboxPrimaryAddress |
| MailboxUPN |
邮箱 UPN |
邮箱:Upn |
| MailMessageDeliveryAction |
邮件消息传送操作 |
MailMessage:DeliveryAction |
| MailMessageDeliveryLocation |
邮件消息传送位置 |
MailMessage:DeliveryLocation |
| MailMessageRecipient |
邮件消息收件人 |
MailMessage:收件人 |
| MailMessageSenderIP |
邮件消息发件人 IP |
MailMessage:SenderIP |
| MailMessageSubject |
邮件消息主题 |
MailMessage:主题 |
| MailMessageP1Sender |
邮件消息 P1 发件人 |
MailMessage:P1Sender |
| MailMessageP2Sender |
邮件消息 P2 发件人 |
MailMessage:P2Sender |
| MalwareCategory |
恶意软件类别 |
恶意软件:类别 |
| MalwareName |
恶意软件名称 |
恶意软件:名称 |
| ProcessCommandLine |
进程命令行 |
进程:CommandLine |
| ProcessId |
进程ID |
进程:ProcessId |
| RegistryKey |
注册表项 |
RegistryKey:项 |
| RegistryValueData |
注册表值 |
RegistryValue:值 |
| 网址 |
网址 |
URL:URL |