Microsoft Sentinel 实体类型引用
本文档包含两组有关 Microsoft Sentinel 中实体和实体类型的信息。
- 实体类型和标识符表显示了分析规则和搜寻中可用于实体映射的不同实体类型。 该表还显示了每个实体类型中可用于标识实体的标识符。
- 实体架构段落展示了一般实体和各实体类型的数据结构和架构,包括实体映射功能中未表示的部分类型。
实体类型和标识符
下表显示了当前可用于在 Microsoft Sentinel 中映射的“实体类型”,并显示了可用作每个实体类型的“标识符”的属性。 几乎所有这些属性都显示在分析规则向导的实体映射部分的标识符下拉列表中。
单个实体映射最多可以使用三个标识符。 强标识符自身足以单独地标识实体,而弱标识符只有在与其他标识符结合使用时才能表标识实体。
详细了解强标识符和弱标识符。
| 实体类型 | 标识符 | 强标识符 | 弱标识符 |
|---|---|---|---|
| 帐户 | 名称 全名 * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined 显示名称 * ObjectGuid |
名称 + UPN 后缀 AADUserId Sid ** Sid+主机** 名称+主机+NT 域 ** 名称 + NT 域 ** 名称 + DNS 域 PUID ObjectGuid |
名称 |
| 主机 | DnsDomain NTDomain HostName 全名 * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
主机名+NT 域 主机名+DNS 域 NetBios 名称+NT 域 NetBios 名称+DNS 域 AzureID OMSAgentID |
HostName NetBiosName |
| IP | 地址 地址范围 |
地址 ** 地址+地址范围 ** |
|
| URL | Url | Url(绝对 URL)** | Url(相对 URL)** |
| Azure 资源 (AzureResource) |
ResourceId | ResourceId | |
| 云应用程序 (CloudApplication) |
AppId 名称 InstanceName |
AppId 名称 应用 Id+实例名称 名称+实例名称 |
|
| DNS 解析 (DNS) |
DomainName | 域名+DNS 服务器 Ip+主机 IP 地址 | 域名+主机 IP 地址 |
| 文件 | 目录 名称 |
目录+名称 | |
| 文件哈希 (FileHash) |
算法 值 |
算法+值 | |
| 恶意软件 | 名称 类别 |
名称+类别 | |
| 处理 | ProcessId CommandLine ElevationToken CreationTimeUtc |
主机+进程 ID + 创建时间 UTC 主机+父进程 ID+ 创建时间 UTC+命令行 主机+进程 ID+ 创建时间 UTC+图像文件 主机+进程 ID+ 创建时间 UTC+图像文件+ FileHash |
进程 ID+创建时间 UTC+ 命令行(非主机) 进程 ID+创建时间 UTC+ 图像文件(非主机) |
| 注册表项 (RegistryKey) |
配置单元 密钥 |
Hive+项 | |
| 注册表值 (RegistryValue) |
名称 “值” ValueType |
项+名称 | 名称(非项) |
| 安全组 (SecurityGroup) |
识别名 SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| 邮箱 | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| 邮件群集 (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus 威胁 查询 QueryTime MailCount IsVolumeAnomaly Source 群集源标识符 * 群集源类型 * 群集查询开始时间 * 群集查询结束时间 * 群集组 * |
查询+源 | |
| 邮件消息 (MailMessage) |
Recipient Url 威胁 发送方 P1发送方 * P1发送方显示名称 * P1发送方域 * SenderIP P2发送方 * P2发送方显示名称 * P2发送方域 * ReceivedDate NetworkMessageId InternetMessageId 主题 正文指纹 Bin 1 * 正文指纹 Bin 2 * 正文指纹 Bin 3 * 正文指纹 Bin 4 * 正文指纹 Bin 5 * AntispamDirection DeliveryAction DeliveryLocation 语言 * 威胁检测方式 * |
网络信息 ID+收件人 | |
| 提交邮件 (SubmissionMail) |
NetworkMessageId 时间戳 Recipient 发送方 SenderIp 使用者 ReportType SubmissionId SubmissionDate “提交者” |
提交 ID+网络信息 ID+ 收件人+提交者 |
|
| Sentinel 实体 | 实体 | 实体 |
表格脚注:
- * 这些标识符显示在可在实体映射中使用的标识符列表中,但严格地说,它们不是实体架构的一部分。
- ** 这些标识符仅在某些条件下才能被视为强标识符。 点击下文实体架构段落中的相关实体列表下的星号链接查看适用条件。
- 斜体标识符名称(无星号)表示内部实体,即实体类型可以将其他实体类型当做属性(请参阅下文的实体架构部分)。 点击标识符链接查看内部实体的架构。
实体类型架构
以下部分更深入地介绍了每种实体类型的完整架构。 你会看到其中许多架构包含指向其他实体类型的链接。 例如,帐户架构包含指向主机实体类型的链接,因为用户帐户的某一属性代表定义帐户的主机。 这些作为属性的实体被称为“内部实体”,不能用作实体映射的标识符,但对完整理解实体页和调查关系图上的实体非常有用。
注意
“类型”列中的值后面的问号指示该字段可为空。
实体类型架构列表
- 科目
- 主机
- IP
- 恶意软件
- File
- 处理
- 云应用程序
- DNS 解析
- Azure 资源
- 文件哈希
- 注册表项
- 注册表值
- 安全组
- URL
- IoT 设备
- 邮箱
- 邮件群集
- 邮件消息
- 提交邮件
- Sentinel 实体
帐户
实体名称:帐户
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “帐户” |
| Name | String | 帐户的名称。 此字段应仅包含名称,且未添加任何域。 |
| FullName | -- | 并非架构的一部分,是为了与向后兼容旧版本的实体映射而包括在内。 |
| NT 域 | 字符串 | 以警报格式显示的 NETBIOS 域名——域\用户名。 示例:财务、NT 机构 |
| DNS 域 | 字符串 | 完全限定域 DNS 名。 示例:finance.contoso.com |
| UPN 后缀 | 字符串 | 帐户的用户主体名称后缀。 在许多情况下,UPN 后缀也是域名。 示例:contoso.com |
| 主机 | 实体(主机) | 包含帐户的主机(如果该帐户是本地帐户)。 |
| Sid | 字符串 | 帐户安全标识符。 |
| AAD 租户 ID | Guid? | Microsoft Entra 租户 ID(如果已知)。 |
| AAD 用户 ID | Guid? | Microsoft Entra 帐户对象 ID(如果已知)。 |
| PUID | Guid? | Microsoft Entra Passport 用户 ID(如果已知)。 |
| 域是否加入 | Bool? | 指示是否为域账户。 |
| DisplayName | -- | 并非架构的一部分,是为了与向后兼容旧版本的实体映射而包括在内。 |
| 对象 GUID | Guid? | ObjectGUID 特性是一个单值属性,它是对象的唯一标识符,由 Active Directory 分配。 |
| 云应用程序帐户 ID | 字符串 | 云应用提供商警报中的帐户 ID。 意指其他 Microsoft 产品不支持的第三方应用中的帐户 ID。 |
| 是否匿名 | Bool? | 指示用户名是否匿名。 可选。 默认值:false。 |
| 流 | Stream | 与特定帐户相关的发现日志来源。 可选。 |
帐户实体的强标识符
- 名称 + UPN 后缀
- AAD 用户 ID
- Sid
** 只要帐户不是下文注释列出的内置帐户之一,此标识符就是强标识符。 - Sid+主机
** 当帐户是下文注释列出的内置帐户之一时,需要有主机组件才能让此标识符成为强标识符。 - 名称 + NT 域
** 当帐户是域帐户时,此组合为强标识符,因为 NT 域不是内置域/工作组,且与主机名不同。 在这种情况下,即使没有主机组件,此标识符也是强标识符。 - 名称+NT 域+主机
** 当帐户是本地帐户时,必须有主机组件才能创建强标识符,因为 NT 域是内置域/工作组。 - 名称+DNS 域
- PUID
- 对象 GUID
帐户实体的弱标识符
- 名称
注意
如果“Account”实体是使用“Name”标识符定义的,并且特定实体的“Name”值是以下通用的常见内置帐户名称之一,则将从其警报中删除该实体。
- ADMIN
- 管理员
- SYSTEM
- ROOT
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- Null
- LOCAL SYSTEM
- LOCALSYSTEM
- 网络服务
主机
实体名称:主机
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “主机” |
| IP 接口 | <实体 (IP)>列表 | 主机上所有 IP 接口的列表。 |
| DNS 域 | 字符串 | 此主机所属的 DNS 域。 应该包含域的完整 DNS 后缀(如果已知)。 |
| NT 域 | 字符串 | 此主机所属的 NT 域。 |
| HostName | 字符串 | 不带域后缀的主机名。 |
| NetBios 名称 | 字符串 | 主机名(Windows 2000 以前版本)。 |
| 物联网设备 | 实体(物联网设备) | IoT 设备实体(如果此主机表示 IoT 设备)。 |
| AzureID | 字符串 | VM 的 Azure 资源 ID (如果已知)。 |
| OMS 代理 ID | 字符串 | OMS 代理 ID(如果主机安装了 OMS 代理)。 |
| OS 家族 | Enum? | 以下值之一: |
| OS 版本 | 字符串 | 操作系统的自由文本表示形式。 此字段旨在保存特定版本,该版本比 OSFamily 更细化,或者是 OSFamily 枚举不支持的未来值。 |
| 域是否加入 | Bool | 指示主机是否属于域。 |
主机实体的强标识符
- 主机名+NT 域
- 主机名+DNS 域
- NetBios 名+NT 域
- NetBios 名+DNS 域
- AzureID
- OMS 代理 ID
- 物联网设备
主机实体的弱标识符
- HostName
- NetBiosName
IP
实体名称:IP
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “ip” |
| Address | 字符串 | 例如,IP 地址作为字符串。 127.0.0.1(在 IPv4 或 IPv6 中)。 |
| 地址范围 | 字符串 | 专用非全局 IP 地址的主机、子网或专用网络的名称。 全局 IP 地址 Null 或为空(默认值)。 |
| 位置 | GeoLocation | 附加到 IP 实体的地理位置上下文。 有关详细信息,另请参阅通过 REST API 用地理位置数据扩充 Microsoft Sentinel 中的实体(公共预览版)。 |
| 流 | Stream | 与特定 IP 相关的发现日志来源。 可选。 |
IP 实体的强标识符
- Address
** 当 IP 地址是全局地址时,单独的地址就是唯一的强标识符。 - 地址+地址范围
** 对于专用/内部非全局 IP 地址,需要地址范围组件才能使此地址成为强标识符。
恶意软件
实体名称:恶意软件
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “恶意软件” |
| Name | 字符串 | (检测?)供应商分配的恶意软件名称,例如 Win32/Toga!rfn。 |
| 类别 | 字符串 | 例如(检测)供应商分配的恶意软件类别。 特洛伊木马。 |
| 文件 | <实体(文件)>列表 | 在其中找到了恶意软件的链接文件实体的列表。 可以内联或作为引用包含文件实体。 有关结构的更多详细信息,请参阅文件实体。 |
| 进程 | <实体(进程)>列表 | 发现恶意软件的链接进程实体的列表。 当警报在无文件活动中触发时,通常会使用它。 有关结构的更多详细信息,请参阅进程实体。 |
恶意软件实体的强标识符
- 名称+类别
文件
实体名称:文件
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “文件” |
| Directory | 字符串 | 文件的完整路径。 |
| Name | String | 不带路径的文件名(某些警报可能不包括路径)。 |
| 交换数据流名称 | 字符串 | NTFS 文件系统中的文件流名称(主流为 null)。 |
| 主机 | 实体(主机) | 存储文件的主机。 |
| 主机 URL | 实体 (URL) | 从其中下载文件的 URL (Web 标记)。 |
| Windows 安全区域类型 | Windows 安全区域 | URL 所属的 Windows 安全区域 (Web 标记)。 |
| 引用 URL | 实体 (URL) | 文件下载 HTTP 请求的引用 URL (Web 标记)。 |
| 字节大小 | 长? | 以字节为单位的文件的大小。 |
| 文件哈希 | <实体(文件哈希)>列表 | 与此文件关联的文件哈希。 |
文件实体的强标识符
- 名称+目录
- 名称+文件哈希
- 名称+目录+文件哈希
进程
实体名称:进程
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “进程” |
| ProcessId | 字符串 | 进程 ID。 |
| CommandLine | 字符串 | 用于创建进程的命令行。 |
| 提升令牌 | Enum? | 与进程关联的提升标记。 可能的值: |
| CreationTimeUtc | DateTime? | 进程开始运行的时间。 |
| 图像文件 | 实体(文件) | 可以内联或作为引用包含文件实体。 有关结构的更多详细信息,请参阅文件实体。 |
| 客户 | 实体(帐户) | 运行进程的帐户。 可以内联或作为参考包含账户实体。 有关结构的更多详细信息,请参阅帐户实体。 |
| 父进程 | 实体(进程) | 父进程实体。 可以包含部分数据,例如只有 PID。 |
| 主机 | 实体(主机) | 运行进程的主机。 |
| 登录会话 | 实体 (HostLogonSession) | 运行进程的会话。 |
进程实体的强标识符
- 主机+进程 ID+创建时间 UTC
- 主机 + 父进程 ID+创建时间 UTC+命令行
- 主机+进程 ID+创建时间 UTC+图像文件
- 主机+进程 ID+创建时间 UTC+图像文件.文件哈希
进程实体的弱标识符
- ProcessId + CreationTimeUtc + CommandLine(无主机)
- 进程 ID+创建时间 UTC+图像文件(且非主机)
云应用程序
实体名称:CloudApplication
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “云应用程序” |
| AppId | int | 废弃;请改用 SaasId 字段。 应用程序的技术标识符。 可用值在云应用程序标识符列表中。 可选值。 不应包含实例 ID。 |
| SaasId | Int | 替换已弃用的 AppId 字段。 应用程序的技术标识符。 可用值在云应用程序标识符列表中。 可选值。 不应包含实例 ID。 |
| Name | String | 相关云应用程序的名称。 可选值。 |
| InstanceName | 字符串 | 云应用程序的用户定义实例名称。 它通常用于区分客户拥有的多个相同类型的应用程序。 |
| InstanceId | Int | 应用程序特定会话的标识符。 这是一个从零开始的运行数。 可选值。 |
| 风险 | 应用风险? | 让你可按风险评分筛选应用,这样你就可以专注于仅查看高风险应用。 可能的值有低、中、高或未知。 |
| 流 | Stream | 与特定云应用程序相关的发现日志来源。 可选。 |
云应用程序实体的强标识符
- 应用 ID(无实例名称)
- 名称(无实例名称)
- 应用 ID+实例名称
- 名称+实例名称
DNS 解析
实体名称:DNS
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “dns” |
| DomainName | 字符串 | 与警报关联的 DNS 记录的名称。 |
| IpAddress | <实体 (IP)>列表 | 与解析的 IP 地址相对应的实体。 |
| DNS 服务器 IP | 实体 (IP) | 表示 DNS 服务器解析请求的实体。 |
| 主机 IP 地址 | 实体 (IP) | 表示 DNS 请求客户端的实体。 |
DNS 实体的强标识符
- 域名+DNS 服务器 IP + 主机 IP 地址
DNS 实体的弱标识符
- 域名+主机 IP 地址
Azure 资源
实体名称:AzureResource
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “azure-resource” |
| ResourceId | String | 资源的 Azure 资源 ID。 必需。 |
| SubscriptionId | 字符串 | 资源的订阅 ID。 |
| 当前联系人 | <当前联系人>列表 | 与资源相关的当前联系人。 |
| ResourceType | 字符串 | 资源类型。 |
| 资源名称 | 字符串 | 资源的名称。 |
Azure 资源实体的强标识符
- ResourceId
文件哈希
实体名称:FileHash
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “filehash” |
| 算法 | 枚举 | 哈希算法类型。 必需。 可能的值: |
| 值 | 字符串 | 哈希值。 必需。 |
文件哈希实体的强标识符
- 算法+值
注册表项
实体名称:RegistryKey
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “注册表项” |
| Hive | Enum? | 以下值之一: |
| 键 | 字符串 | 注册表项路径。 |
注册表项实体的强标识符
- Hive+项
注册表值
实体名称:RegistryValue
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “注册表值” |
| 主机 | 实体(主机) | 注册表所属的主机。 |
| 键 | 实体(注册表项) | 注册表项实体。 |
| Name | String | 注册表值名称。 |
| 值 | 字符串 | 值数据的字符串格式表示形式。 |
| ValueType | Enum? | 以下值之一: 值应符合 Microsoft.Win32.RegistryValueKind 枚举。 |
注册表值实体的强标识符
- 项+名称
注册表值实体的弱标识符
- 名称(无项)
安全组
实体名称:SecurityGroup
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “security-group” |
| 识别名 | 字符串 | 组可分辨名称。 |
| SID | 字符串 | 单值属性,指定组的安全标识符(SID)。 |
| 对象 GUID | Guid? | 单值属性,对象的唯一标识符,由 Active Directory 分配。 |
安全组实体的强标识符
- 识别名
- SID
- 对象 GUID
URL
实体名称:URL
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “url” |
| URL | Uri | 实体指向的完整 URL。 必需。 |
URL 实体的强标识符
- URL(** 当 URL 是绝对 URL 时为强标识符。)
URL 实体的弱标识符
- URL(** 当 URL 是相对 URL 时为弱标识符。)
IoT 设备
实体名称:IoTDevice
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “iotdevice” |
| 物联网中心 | 实体(Azure 资源) | 表示设备所属的 IoT 中心的 AzureResource 实体。 |
| DeviceId | 字符串 | IoT 中心中设备的 ID。 必需。 |
| 设备名称 | 字符串 | 设备的友好名称。 |
| 所有者 | 列出<字符串> | 设备所有者。 |
| 物联网安全代理 ID | Guid? | 设备上运行的 Defender for IoT 代理程序的 ID。 |
| DeviceType | 字符串 | 设备的类型(“温度传感器”、“冷冻机”、“风力涡轮机”等)。 |
| 设备类型 ID | 字符串 | 根据设备类型架构标识各设备类型的唯一 ID,因为设备类型本身是显示名称,在比较时不可靠。 可能的值: 未分类=0 其他=1 网络设备=2 打印机=3 音频和视频=4 媒体和监控=5 通信=7 智能设备=9 工作站=10 服务器=11 移动=12 智能设施=13 工业=14 操作设备=15 |
| Source | 字符串 | 设备实体的源(Microsoft/供应商)。 |
| 来源编号 | 实体 (URL) | 对设备管理的源项的 URL 引用。 |
| 制造商 | 字符串 | 设备制造商。 |
| Model | 字符串 | 设备型号。 |
| OperatingSystem | 字符串 | 设备正在运行的操作系统。 |
| IpAddress | 实体 (IP) | 设备的当前 IP 地址。 |
| Mac 地址 | 字符串 | 设备的 MAC 地址。 |
| Nics | 实体 (Nic) | 设备上的当前 NIC。 |
| 协议 | 列出<字符串> | 设备支持的协议的列表。 |
| SerialNumber | 字符串 | 设备的序列号。 |
| 站点 | 字符串 | 设备的站点位置。 |
| 区域 | 字符串 | 设备在站点中的区域位置。 |
| 传感器 | 字符串 | 监视设备的传感器。 |
| 重要性 | Enum? | 以下值之一: |
| Purdue 层 | 字符串 | 设备的 Purdue 层。 |
| 是否编程 | Bool? | 指示设备是否被归类为编程设备。 |
| 是否授权 | Bool? | 指示设备是否被归类为授权设备。 |
| 是否扫描仪 | Bool? | 指示设备是否被归类为扫描设备。 |
| 设备页面链接 | 实体 (URL) | URL,指向 Defender for IoT 门户中的设备页面。 |
| 设备子类型 | 字符串 | 设备子类型的名称。 |
物联网设备实体的强标识符
- 物联网中心+设备 ID
物联网设备实体的弱标识符
- DeviceId(无 IoTHub)
邮箱
实体名称:邮箱
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “mailbox” |
| 邮箱主要地址 | 字符串 | 邮箱的主要地址。 |
| DisplayName | 字符串 | 邮箱的显示名称。 |
| Upn | 字符串 | 邮箱的 UPN。 |
| AadId | 字符串 | 用户的邮箱 Azure AD 标识符。 |
| 风险等级 | 风险等级? | 此邮箱的风险级别。 可能的值: |
| 外部目录对象 ID | Guid? | 邮箱的 AzureAD 标识符。 与 Account 实体中的 AadUserId 类似,但此属性特定于 Office 端的邮箱对象。 |
邮箱实体的强标识符
- 邮箱主要地址
邮件群集
实体名称:MailCluster
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “mail-cluster” |
| 网络信息 ID | 列出<字符串> | 邮件 ID 是邮件群集的一部分。 |
| 按传递状态计 | IDictionary<String,Int> | 通过 DeliveryStatus 字符串表示形式的邮件计数。 |
| 按威胁类型计 | IDictionary<String,Int> | 通过 ThreatType 字符串表示形式的邮件计数。 |
| 按保护状态计 | IDictionary<String,long> | 通过保护状态字符串的表示形式计数邮件信息。 |
| 按传递位置计 | IDictionary<String,long> | 通过传递位置字符串的表示形式计数邮件信息。 |
| 威胁 | 列出<字符串> | 作为邮件群集一部分的邮件的威胁。 |
| 查询 | String | 用于标识邮件群集的消息的查询。 |
| 查询时间 | DateTime? | 查询时间。 |
| 邮件计数 | Int? | 作为邮件群集一部分的邮件数量。 |
| 容量是否异常 | Bool? | 指示邮件群集的容量是否异常。 |
| Source | 字符串 | 邮件群集的源(默认为 O365 ATP)。 |
邮件群集实体的强标识符
- 查询+源
邮件消息
实体名称:MailMessage
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “mail-message” |
| 文件 | <实体(文件)>列表 | 此邮件消息附件的文件实体。 |
| 收件人 | 字符串 | 此邮件消息的收件人。 对于多个收件人,会复制邮件,每个副本都有一个收件人。 |
| Urls | 列出<字符串> | 此邮件消息中包含的 URL。 |
| 威胁 | 列出<字符串> | 此邮件消息中包含的威胁。 |
| 发送方 | 字符串 | 发件人的电子邮件地址。 |
| 发送方 IP | 字符串 | 发件人的 IP 地址。 |
| 接收日期 | DateTime | 此消息的接收日期。 |
| 网络信息 ID | Guid? | 此邮件消息的网络消息 ID。 |
| 内部信息 ID | 字符串 | 此邮件消息的 internet 消息 ID。 |
| 主题 | 字符串 | 此邮件消息的主题。 |
| 反垃圾邮件方向 | Enum? | 此邮件消息的方向性。 可能的值: |
| 传递动作 | Enum? | 此邮件消息的传递操作。 可能的值: |
| 传递位置 | Enum? | 此邮件消息的传递位置。 可能的值: |
| 活动 ID | 字符串 | 邮件所在活动的标识符。 |
| 可疑收件人 | 列出<字符串> | 被检测为可疑收件人的列表。 |
| 转发收件人 | 列出<字符串> | 转发邮件上所有收件人的列表。 |
| 转发类型 | 列出<字符串> | 邮件的转发类型,如 SMTP、ETR 等。 |
邮件消息实体的强标识符
- 网络信息 ID+收件人
提交邮件
实体名称:SubmissionMail
| 字段 | 类型 | 说明 |
|---|---|---|
| 类型 | 字符串 | “SubmissionMail” |
| 提交 ID | Guid? | 提交 ID。 |
| 提交日期 | DateTime? | 此提交的报告日期时间。 |
| “提交者” | 字符串 | 提交者的电子邮件地址。 |
| 网络信息 ID | Guid? | 提交所属的邮件的网络消息 ID。 |
| Timestamp | DateTime? | 接收到(邮件)消息时的时间戳。 |
| 收件人 | 字符串 | 邮件的收件人。 |
| 发送方 | 字符串 | 邮件的发送人。 |
| 发送方 IP | 字符串 | 发件人的 IP。 |
| 主题 | 字符串 | 提交邮件的主题。 |
| ReportType | 字符串 | 给定实例的提交类型。 可能的值有 Junk、Phish、Malware 或 NotJunk。 |
提交邮件实体的强标识符
- 提交 ID、提交方、网络信息 ID、收件人
Sentinel 实体
| 字段 | 类型 | 说明 |
|---|---|---|
| 实体 | String | 警报中标识的实体的列表。 此列表是 SecurityAlert 架构中的“实体”列(参见文档)。 |
云应用程序标识符
以下列表定义了已知的云应用程序的标识符。 应用 ID 值用作云应用程序实体标识符。
| 应用 ID | 名称 |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive 软件 |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11627 | Dropbox |
| 11713 | Expensify |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22930 | Gmail |
| 23004 | Autodesk 合成生命周期 |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 26055 | Microsoft 365 管理中心 |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS Proxy Emulator |
| 32780 | Microsoft Dynamics 365 |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
后续步骤
本文档介绍了 Microsoft Sentinel 中的实体结构、标识符和架构。