Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Dette dokument indeholder to sæt oplysninger om objekter og objekttyper i Microsoft Sentinel i Azure Portal og Microsoft Sentinel på Defender-portalen.
- Tabellen Objekttyper og -id'er viser de forskellige typer enheder , der kan identificeres i beskeder og hændelser, så du kan spore og undersøge dem. I tabellen vises også de forskellige identifikatorer, der kan bruges til at identificere en enhed, for hver objekttype.
- I afsnittet Enhedsskema vises datastrukturen og skemaet for objekter generelt og for hver objekttype i særdeleshed.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Objekttyper og -id'er
I følgende tabel vises de objekttyper, der kan genkendes af Microsoft Sentinel, og de attributter, der kan bruges som id'er for hver objekttype.
Microsoft Sentinel genkender enheder i beskeder og hændelser, der oprettes af objekttilknytninger i analyseregler. Den genkender også enheder, der allerede er identificeret i vigtige beskeder, som modtages fra andre kilder.
Du kan i øjeblikket bruge op til tre id'er for en given enhed, når du opretter en objekttilknytning i Microsoft Sentinel. Stærke identifikatorer alene er tilstrækkelige til entydigt at identificere en enhed, hvorimod svage identifikatorer kun kan gøre det sammen med andre identifikatorer. Få mere at vide om stærke og svage identifikatorer. De fleste, men ikke alle id'er i denne tabel kan bruges, når du opretter objekttilknytninger i Microsoft Sentinel (se fodnoter).
| Objekttype | Id'er | Stærke identifikatorer | Svage identifikatorer |
|---|---|---|---|
| Konto | Navn Fullname* NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Navn+UPNSuffiks AADUserId Sid ** Sid+Vært** Name+Host+NTDomain ** Name+NTDomain ** Navn+DnsDomain PUID ObjectGuid |
Navn |
| Vært | DnsDomain NTDomain Værtsnavn Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
Værtsnavn NetBiosName |
| Objekttype | Id'er | Stærke identifikatorer | Svage identifikatorer |
| IP | Adresse AddressScope |
Global adresse: Adresse** Privat adresse: Address+AddressScope** |
Privat adresse: Adresse** |
| URL | Url | URL-adresse (hvis absolut URL-adresse)** | URL-adresse (hvis relativ URL-adresse)** |
|
Azure ressource (AzureResource) |
Ressource-id | Ressource-id | |
|
Cloudprogram (CloudApplication) |
Appid Navn InstanceName |
Appid Navn AppId+InstanceName Navn+Forekomstnavn |
|
|
DNS-opløsning (DNS) |
Domainname | Domænenavn+DnsServerIp+HostIpAddress | Domænenavn+HostIpAddress |
| Filer | Register Navn |
Mappe+navn | |
|
Filhash (FileHash) |
Algoritme Værdi |
Algoritme+værdi | |
| Malware | Navn Kategori |
Navn+kategori | |
| Objekttype | Id'er | Stærke identifikatorer | Svage identifikatorer |
| Proces | Proces-id Commandline ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Vært+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Kommandolinje (ingen vært) ProcessId+CreationTimeUtc+ ImageFile (ingen vært) |
|
Registreringsdatabasenøgle (RegistryKey) |
Hive Nøgle |
Hive+Key | |
|
Registreringsdatabaseværdi (RegistryValue) |
Navn Værdi Valuetype |
Nøgle+navn | Navn (ingen nøgle) |
|
Sikkerhedsgruppe (Sikkerhedsgruppe) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Postkasse | MailboxPrimaryAddress Displayname Upn ExternalDirectoryObjectId Risikoniveau |
MailboxPrimaryAddress | |
| Objekttype | Id'er | Stærke identifikatorer | Svage identifikatorer |
|
Mailklynge (MailCluster) |
Netværksmeddelelses-id'er CountByDeliveryStatus CountByThreatType CountByProtectionStatus Trusler Forespørgsel Forespørgselstid MailCount IsVolumeAnomaly Kilde ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * Klyngegruppe * |
Forespørgsel+kilde | |
|
Postmeddelelse (MailMeddelelse) |
Modtager Webadresser Trusler Afsender P1Sender * P1SenderDisplayName * P1SenderDomain * AfsenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * Dato for modtagelse Netværksmeddelelses-id InternetMessageId Emne BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection Leveringshandling DeliveryLocation Sprog* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Afsendelsesmail (Indsendelsesmail) |
Netværksmeddelelses-id Tidsstempel Modtager Afsender Afsenderip Emne Rapporttype Indsendelses-id Afsendelsesdato Submitter |
SubmissionId+NetworkMessageId+ Modtager+indsender |
|
| Sentinel enheder | Enheder | Enheder |
Tabel fodnoter:
- * Disse identifikatorer vises på listen over identifikatorer, der kan bruges i objekttilknytning, men strengt taget er de ikke en del af enhedsskemaet.
- ** Disse identifikatorer anses kun for at være stærke under visse betingelser. Følg stjernens links for at se de betingelser, der gælder, under den relevante enheds liste i afsnittet enhedsskemaer nedenfor.
- Italiciserede id-navne (uden en stjerne) repræsenterer interne objekter, hvilket betyder, at én objekttype kan have andre objekttyper som attributter (se afsnittet om enhedsskemaer nedenfor). Følg identifikatorens link for at se det interne enheds eget skema.
- Andre objekter kan være til stede i skemaet, som er et generelt skema, der understøtter mange ting ud over Microsoft Sentinel. Det er kun de objekter, der er tilgængelige i Microsoft Sentinel, der er angivet i denne artikel.
Enhedstypeskemaer
Følgende afsnit indeholder et mere detaljeret kig på de komplette skemaer for hver objekttype. Du vil bemærke, at mange af disse skemaer indeholder links til andre objekttyper. Kontoskemaet indeholder f.eks. et link til værtsobjekttypen, da én attribut for en brugerkonto er den vært, den er defineret for. Disse objekter-som-attributter kaldes "interne objekter", og de kan ikke bruges som identifikatorer for objekttilknytning, men de er meget nyttige til at give et komplet billede af enheder på objektsider og undersøgelsesgrafen.
Bemærk!
Et spørgsmålstegn efter værdien i kolonnen Type angiver, at feltet kan være null.
Liste over enhedstypeskemaer
- Konto
- Vært
- IP
- Malware
- Filer
- Proces
- Cloudprogram
- DNS-opløsning
- Azure ressource
- Filhash
- Registreringsdatabasenøgle
- Registreringsdatabaseværdi
- Sikkerhedsgruppe
- URL
- IoT-enhed
- Postkasse
- Mailklynge
- Postmeddelelse
- Afsendelsesmail
- Sentinel enheder
Konto
Enhedsnavn: Konto
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'konto' |
| Navn | String | Navnet på kontoen. Dette felt skal kun indeholde præfikset Brugerens hovednavn (UPN), uden at der er føjet et domæne til det. Eksempel: For UPN user@contoso.comindeholder dette felt kun user. |
| Fullname | -- | Ikke en del af skemaet, inkluderet af hensyn til bagudkompatibilitet med den gamle version af enhedstilknytningen. |
| NTDomain | String | NETBIOS-domænenavnet, som det vises i beskedformatet – domæne\brugernavn. Eksempler: Finans, NT AUTHORITY |
| DnsDomain | String | Det fuldt kvalificerede domæne-DNS-navn. Eksempel: finance.contoso.com |
| UPNSuffix | String | Brugerens hovednavn-suffiks for kontoen. I mange tilfælde er UPN Suffiks også domænenavnet. Eksempel: contoso.com |
| Vært | Enhed (vært) | Værten, der indeholder kontoen, hvis det er en lokal konto. |
| Sid | String | Kontoens sikkerheds-id. |
| AadTenantId | Guid? | Det Microsoft Entra lejer-id, hvis det er kendt. |
| AadUserId | Guid? | Det Microsoft Entra kontoobjekt-id, hvis det er kendt. |
| PUID | Guid? | Det Microsoft Entra Passport-bruger-id, hvis det er kendt. |
| IsDomainJoined | Bool? | Angiver, om kontoen er en domænekonto. |
| Displayname | -- | Ikke en del af skemaet, inkluderet af hensyn til bagudkompatibilitet med den gamle version af enhedstilknytningen. |
| ObjectGuid | Guid? | Attributten objectGUID er en attribut med en enkelt værdi, der er det entydige id for objektet, som tildeles af Active Directory. |
| CloudAppAccountId | String | AccountID i beskeder fra CloudApp-udbyderen. Refererer til konto-id'er i tredjepartsapps, der ikke understøttes i andre Microsoft-produkter. |
| IsAnonymized | Bool? | Angiver, om brugernavnet er anonymiseret. Valgfri. Standardværdi: false. |
| Stream | Stream | Kilden til registreringslogge, der er relateret til den specifikke konto. Valgfri. |
Vigtigt!
Fra og med den 1. juli 2026 har feltet Navn kun UPN-præfikset for alle konti. Tidligere kunne den nogle gange indeholde det fulde UPN. Hvis du har automatiseringsregler, playbooks eller forespørgsler, der sammenligner Name med en fuld UPN-værdi (f.eks. user@contoso.com), skal du opdatere dem for at genskabe den fulde værdi fra Name + UPNSuffix (eller det relevante domænefelt) eller bruge andre tilgængelige data i stedet.
Stærke id'er for en kontoenhed
- Navn + UPNSuffix
- AadUserId
-
Sid
** Denne identifikator er stærk, så længe kontoen ikke er en af de indbyggede konti, der er angivet i noten nedenfor. -
Sid + vært
** Når kontoen er en af de indbyggede konti, der er angivet i noten nedenfor, kræves værtskomponenten for at gøre denne identifikator stærk. -
Navn + NTDomain
** Denne kombination er et stærkt id, når kontoen er en domænekonto, da NTDomain ikke er et indbygget domæne/arbejdsgruppe og er forskelligt fra værtsnavnet. I dette tilfælde er dette en stærk identifikator, selv uden værtskomponenten. -
Navn + NTDomain + Vært
** Værtskomponenten er nødvendig for at oprette en stærk identifikator, når kontoen er en lokal konto, hvilket betyder, at NTDomain er et indbygget domæne/arbejdsgruppe. - Navn + DnsDomain
- PUID
- ObjectGuid
Svage id'er for en kontoenhed
- Navn
Bemærk!
Hvis objektet Konto er defineret ved hjælp af navne-id'et, og værdien Name for en bestemt enhed er et af følgende generiske, ofte indbyggede kontonavne, fjernes denne enhed fra beskeden.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROD
- ANONYM
- GODKENDT BRUGER
- NETVÆRK
- NULL
- LOKALT SYSTEM
- LOCALSYSTEM
- NETVÆRKSTJENESTE
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Vært
Enhedsnavn: Vært
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'vært' |
| IpInterfaces | Listeenhed<(IP)> | Liste over alle IP-grænseflader på værtscomputeren. |
| DnsDomain | String | Det DNS-domæne, som denne vært tilhører. Skal indeholde det komplette DNS-suffiks for domænet, hvis det er kendt. |
| NTDomain | String | Det NT-domæne, som denne vært tilhører. |
| Værtsnavn | String | Værtsnavnet uden domænesuffikset. |
| NetBiosName | String | Værtsnavnet (før Windows 2000). |
| IoTDevice | Enhed (IoT-enhed) | Enheden IoT-enhed (hvis denne vært repræsenterer en IoT-enhed). |
| AzureID | String | Den Azure ressource-id for den virtuelle maskine, hvis det er kendt. |
| OMSAgentID | String | OMS-agent-id'et, hvis OMS-agenten er installeret på værten. |
| OSFamily | Enum? | En af følgende værdier: |
| OSVersion | String | En fritekstrepræsentation af operativsystemet. Dette felt er beregnet til at indeholde specifikke versioner, hvor er mere detaljeret end OSFamily, eller fremtidige værdier, der ikke understøttes af OSFamily-optællingen. |
| IsDomainJoined | Bool | Angiver, om denne vært tilhører et domæne. |
Stærke id'er for et værtsobjekt
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Svage id'er for en værtsenhed
- Værtsnavn
- NetBiosName
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
IP
Enhedsnavn: IP
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'ip' |
| Adresse | String | IP-adressen som streng (enten i IPv4 eller IPv6). Eksempler: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | String | Navnet på værten, undernettet eller det private netværk for private, ikke-globale IP-adresser. Null eller tom for globale IP-adresser (standard). Eksempler: /27, 255.255.255.128 |
| Placering | Geolocation | Den geo-placeringskontekst, der er knyttet til IP-enheden. Du kan få flere oplysninger under Enrich entities in Microsoft Sentinel with geolocation data via REST API (Public preview). |
| Stream | Stream | Kilden til registreringslogge, der er relateret til den specifikke IP-adresse. Valgfri. |
Stærke identifikatorer for en IP-enhed
-
Adresse
Når IP-adressen er en global adresse, er adresseidentifikatoren i sig selv en entydig, stærk identifikator. -
Address + AddressScope
For private/interne, ikke-globale IP-adresser kræves komponenten AddressScope for at gøre dette til et stærkt id.
Svage id'er for en IP-enhed
-
Adresse
Adresse-id'et i sig selv er et svagt id, når IP-adressen er en privat/intern, ikke-global IP-adresse.
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Malware
Enhedsnavn: Malware
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'malware' |
| Navn | String | Malwarenavnet, der er tildelt af leverandøren (registrering?), f.eks Win32/Toga!rfn. . |
| Kategori | String | Kategorien malware, der f.eks. er tildelt af leverandøren af (registrering?). Trojan. |
| Files | Listeenhed<(fil)> | Liste over sammenkædede filenheder, som malwaren blev fundet på. Kan indeholde filenhederne indbygget eller som reference. Se filobjektet for at få flere oplysninger om strukturen. |
| Processer | Listeenhed<(proces)> | Liste over sammenkædede procesobjekter, som malwaren blev fundet på. Dette bruges ofte, når beskeden udløses af filuafhængig aktivitet. Se enheden Behandl for at få flere oplysninger om strukturen. |
Stærke identifikatorer af en malwareenhed
- Navn + kategori
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Filer
Objektnavn: Fil
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'fil' |
| Register | String | Den fulde sti til filen. |
| Navn | String | Filnavnet uden stien (nogle beskeder omfatter muligvis ikke stien). |
| AlternateDataStreamName | String | Navnet på filstrømmen i NTFS-filsystemet (null for hovedstreamen). |
| Vært | Enhed (vært) | Den vært, som filen blev gemt på. |
| Værtsurl | Enhed (URL-adresse) | URL-adresse, hvor filen blev downloadet fra (Web-mærket). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows Sikkerhed zone, som URL-adressen tilhører (Web-mærket). |
| ReferrerUrl | Enhed (URL-adresse) | Referrer URL-adresse til HTTP-anmodningen om fildownload (Web-mærket). |
| SizeInBytes | Lang? | Filens størrelse i byte. |
| FilerHashes | Listeenhed<(FileHash)> | De filhashes, der er knyttet til denne fil. |
Stærke id'er for en filenhed
- Navn + mappe
- Navn + FilHash
- Navn + Mappe + FileHash
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Proces
Enhedsnavn: Proces
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'proces' |
| Proces-id | String | Proces-id'et. |
| Commandline | String | Den kommandolinje, der bruges til at oprette processen. |
| ElevationToken | Enum? | Det udvidede token, der er knyttet til processen. Mulige værdier: |
| CreationTimeUtc | Datetime? | Det tidspunkt, hvor processen begyndte at køre. |
| ImageFile | Enhed (fil) | Kan indeholde enheden Filer indbygget eller som reference. Se filobjektet for at få flere oplysninger om strukturen. |
| Konto | Enhed (konto) | Den konto, der kører processerne. Kan indeholde objektet Konto indbygget eller som reference. Se objektet Konto for at få flere oplysninger om strukturen. |
| Overordnet proces | Enhed (proces) | Det overordnede procesobjekt. Kan indeholde delvise data, f.eks. kun PID'et. |
| Vært | Enhed (vært) | Den vært, som processen kørte på. |
| LogonSession | Objekt (HostLogonSession) | Den session, som processen kørte i. |
Stærke id'er for en procesenhed
- Vært + ProcessId + CreationTimeUtc
- Vært + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Svage id'er for en procesenhed
- ProcessId + CreationTimeUtc + CommandLine (og ingen vært)
- ProcessId + CreationTimeUtc + ImageFile (og ingen vært)
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Cloudprogram
Objektnavn: CloudApplication
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'cloudprogram' |
| Appid | Int | Forældet; brug i stedet feltet SaasId. Programmets tekniske identifikator. Mulige værdier er dem, der er defineret på listen over cloudprogram-id'er. Værdi er valgfri. Må ikke indeholde InstanceId. |
| SaasId | Int | Erstatter det frarådede felt AppId. Programmets tekniske identifikator. Mulige værdier er dem, der er defineret på listen over cloudprogram-id'er. Værdi er valgfri. Må ikke indeholde InstanceId. |
| Navn | String | Navnet på det relaterede cloudprogram. Værdi er valgfri. |
| InstanceName | String | Navnet på den brugerdefinerede forekomst af cloudprogrammet. Det bruges ofte til at skelne mellem flere programmer af samme type, som en kunde har. |
| Instanceid | Int | Id'et for den specifikke session for programmet. Dette er et nulbaseret løbende tal. Værdi er valgfri. |
| Risiko | AppRisk? | Giver dig mulighed for at filtrere apps efter risikoscore, så du f.eks. kan fokusere på kun at gennemse meget risikable apps. Mulige værdier som Low, Medium, High eller Unknown. |
| Stream | Stream | Kilden til registreringslogge, der er relateret til den specifikke cloudapp. Valgfri. |
Stærke identifikatorer for et objekt i et cloudprogram
- AppId (uden InstanceName)
- Navn (uden InstanceName)
- AppId + InstanceName
- Navn + InstanceName
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
DNS-opløsning
Enhedsnavn: DNS
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'dns' |
| Domainname | String | Navnet på den DNS-post, der er knyttet til beskeden. |
| Ipadresse | Listeenhed<(IP)> | Enheder, der svarer til de løste IP-adresser. |
| DnsServerIp | Enhed (IP) | En enhed, der repræsenterer den DNS-server, der løser anmodningen. |
| HostIpAddress | Enhed (IP) | En enhed, der repræsenterer DNS-anmodningsklienten. |
Stærke id'er for en DNS-enhed
- Domænenavn + DnsServerIp + HostIpAddress
Svage id'er for en DNS-enhed
- Domænenavn + HostIpAddress
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Azure ressource
Enhedsnavn: AzureResource
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'azure-ressource' |
| Ressource-id | String | Ressourcens Azure ressource-id. Obligatorisk. |
| SubscriptionId | String | Ressourcens abonnements-id. |
| Aktive kontakter | Vis<aktivkontakt> | Aktive kontakter, der er knyttet til ressourcen. |
| Ressourcetype | String | Ressourcens type. |
| Ressourcenavn | String | Navnet på ressourcen. |
Stærke id'er for en Azure ressourceenhed
- Ressource-id
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Filhash
Enhedsnavn: FileHash
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'filehash' |
| Algoritme | Enum | Hashalgoritmetypen. Obligatorisk. Mulige værdier: |
| Værdi | String | Hashværdien. Obligatorisk. |
Stærke id'er for en filhashenhed
- Algoritme + værdi
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Registreringsdatabasenøgle
Enhedsnavn: RegistryKey
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'registreringsdatabasenøgle' |
| Hive | Enum? | En af følgende værdier: |
| Nøgle | String | Stien til registreringsdatabasenøglen. |
Stærke id'er for en registreringsdatabasenøgleenhed
- Hive + Key
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Registreringsdatabaseværdi
Enhedsnavn: RegistryValue
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'registreringsdatabaseværdi' |
| Vært | Enhed (vært) | Den vært, som registreringsdatabasen tilhører. |
| Nøgle | Enhed (RegistryKey) | Registreringsdatabasenøgleobjektet. |
| Navn | String | Navnet på registreringsdatabaseværdien. |
| Værdi | String | Strengformateret repræsentation af værdidataene. |
| Valuetype | Enum? | En af følgende værdier: Værdier skal være i overensstemmelse med optællingen Microsoft.Win32.RegistryValueKind. |
Stærke id'er for en enhed i registreringsdatabasens værdi
- Nøgle + navn
Svage id'er for en enhed i registreringsdatabasens værdi
- Navn (uden nøgle)
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Sikkerhedsgruppe
Enhedsnavn: Sikkerhedsgruppe
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'sikkerhedsgruppe' |
| DistinguishedName | String | Gruppens entydige navn. |
| SID | String | En attribut med en enkelt værdi, der angiver sikkerheds-id'et (SID) for gruppen. |
| ObjectGuid | Guid? | En attribut med en enkelt værdi, der er det entydige id for objektet, som tildeles af Active Directory. |
Stærke id'er for en sikkerhedsgruppeenhed
- DistinguishedName
- SID
- ObjectGuid
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
URL
Enhedsnavn: URL-adresse
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'URL-adresse' |
| Url | Uri | En fuldstændig URL-adresse, som enheden peger på. Obligatorisk. |
Stærke id'er for en URL-enhed
- URL-adresse (** Dette id er stærkt, når URL-adressen er en absolut URL-adresse.
Svage id'er for en URL-enhed
- URL-adresse (** Dette id er svagt, når URL-adressen er en relativ URL-adresse.
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
IoT-enhed
Objektnavn: IoTDevice
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Enhed (AzureResource) | AzureResource-enheden, der repræsenterer det IoT Hub enheden tilhører. |
| Deviceid | String | Enhedens id i forbindelse med IoT Hub. Obligatorisk. |
| DeviceName | String | Enhedens fulde navn. |
| Ejere | Listestreng<> | Ejerne af enheden. |
| IoTSecurityAgentId | Guid? | Id'et for Defender for IoT-agenten , der kører på enheden. |
| DeviceType | String | Apparatets type ('temperatursensor', 'fryser', 'vindmølle' osv.). |
| DeviceTypeId | String | Et entydigt id til at identificere hver enhedstype i henhold til enhedstypeskemaet, da selve enhedstypen er et vist navn og ikke pålideligt i sammenligninger. Mulige værdier: Ikke-klassificeret = 0 Diverse = 1 Netværksenhed = 2 Printer = 3 Lyd og video = 4 Medie og overvågning = 5 Kommunikation = 7 Smart apparat = 9 Arbejdsstation = 10 Server = 11 Mobil = 12 Smart facilitet = 13 Industri = 14 Driftsudstyr = 15 |
| Kilde | String | Kilden (Microsoft/Vendor) til enheden. |
| SourceRef | Enhed (URL-adresse) | En URL-reference til kildeelementet, hvor enheden administreres. |
| Producent | String | Producenten af enheden. |
| Model | String | Enhedens model. |
| OperatingSystem | String | Det operativsystem, som enheden kører. |
| Ipadresse | Enhed (IP) | Enhedens aktuelle IP-adresse. |
| MacAddress | String | MAC-adressen på enheden. |
| Netværkskort | Enhed (Nic) | De aktuelle NIC'er på enheden. |
| Protokoller | Listestreng<> | En liste over protokoller, som enheden understøtter. |
| SerialNumber | String | Enhedens serienummer. |
| Websted | String | Enhedens webstedsplacering. |
| Zone | String | Enhedens zoneplacering på et websted. |
| Sensor | String | Sensoren, der overvåger enheden. |
| Betydning | Enum? | En af følgende værdier: |
| PurdueLayer | String | Purdue Layer for enheden. |
| IsProgramming | Bool? | Angiver, om enheden er klassificeret som programmeringsenhed. |
| Erauthorized | Bool? | Angiver, om enheden er klassificeret som godkendt enhed. |
| IsScanner | Bool? | Angiver, om enheden er klassificeret som en scannerenhed. |
| DevicePageLink | Enhed (URL-adresse) | En URL-adresse til enhedssiden i Defender for IoT-portalen. |
| DeviceSubType | String | Navnet på enhedens undertype. |
Stærke id'er for en IoT-enhed
- IoTHub + DeviceId
Svage id'er for en IoT-enhed
- DeviceId (uden IoTHub)
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Postkasse
Enhedsnavn: Postkasse
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'postkasse' |
| MailboxPrimaryAddress | String | Postkassens primære adresse. |
| Displayname | String | Postkassens viste navn. |
| Upn | String | Postkassens UPN. |
| AadId | String | Postkassens Azure AD-id for brugeren. |
| Risikoniveau | RiskLevel (heltal) | Risikoniveauet for denne postkasse. Mulige værdier: |
| ExternalDirectoryObjectId | Guid? | AzureAD-id'et for postkassen. Svarer til AadUserId i objektet Konto, men denne egenskab er specifik for postkasseobjektet på Office-siden. |
Stærke id'er for en postkasseenhed
- MailboxPrimaryAddress
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Mailklynge
Enhedsnavn: MailCluster
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'mailklynge' |
| Netværksmeddelelses-id'er | IList-streng<> | De mailmeddelelses-id'er, der er en del af mailklyngen. |
| CountByDeliveryStatus | IDictionary<String,Int> | Antal mails efter strengrepræsentation i DeliveryStatus. |
| CountByThreatType | IDictionary<String,Int> | Antallet af mailmeddelelser efter strengrepræsentation af ThreatType. |
| CountByProtectionStatus | IDictionary<String,long> | Antallet af mails efter beskyttelsesstatusstrengrepræsentation. |
| CountByDeliveryLocation | IDictionary<String,long> | Antallet af mails efter strengrepræsentation for leveringsplacering. |
| Trusler | IList-streng<> | Truslerne fra mails, der er en del af mailklynge. |
| Forespørgsel | String | Den forespørgsel, der blev brugt til at identificere meddelelserne i mailklyngen. |
| Forespørgselstid | Datetime? | Forespørgselstiden. |
| MailCount | Int? | Antallet af mails, der er en del af mailklynge. |
| IsVolumeAnomaly | Bool? | Angiver, om mailklynge er en mailklynge for diskenhedsaf uregelmæssigheder. |
| Kilde | String | Kilden til mailklyngen (standard er O365 ATP). |
Stærke id'er for en mailklyngeenhed
- Forespørgsel + kilde
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Postmeddelelse
Enhedsnavn: MailMessage
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'mailmeddelelse' |
| Files | IList-enhed< (fil)> | Filenhederne for denne mails vedhæftede filer. |
| Modtager | String | Modtageren af denne postmeddelelse. Hvis der er flere modtagere, kopieres postmeddelelsen, og hver kopi har én modtager. |
| Webadresser | IList-streng<> | URL-adresserne i denne postmeddelelse. |
| Trusler | IList-streng<> | Truslerne i denne postmeddelelse. |
| Afsender | String | Afsenderens mailadresse. |
| AfsenderIP | String | Afsenderens IP-adresse. |
| Dato for modtagelse | Datetime | Den modtagne dato for denne meddelelse. |
| Netværksmeddelelses-id | Guid? | Netværksmeddelelses-id'et for denne postmeddelelse. |
| InternetMessageId | String | Internetmeddelelses-id'et for denne postmeddelelse. |
| Emne | String | Emnet i denne postmeddelelse. |
| AntispamDirection | Enum? | Retningsbestemtheden for denne postmeddelelse. Mulige værdier: |
| Leveringshandling | Enum? | Leveringshandlingen for denne postmeddelelse. Mulige værdier: |
| DeliveryLocation | Enum? | Leveringsplaceringen for denne postmeddelelse. Mulige værdier: |
| CampaignId | String | Id'et for den kampagne, som denne mail er til stede i. |
| Mistænkelige modtagere | IList-streng<> | Listen over modtagere, der blev registreret som mistænkelige. |
| Videresendte modtagere | IList-streng<> | Listen over alle modtagere på den videresendte mail. |
| ForwardingType | IList-streng<> | Videresendelsestypen for mailen, f.eks. SMTP, ETR osv. |
Stærke id'er for en postmeddelelsesenhed
- NetworkMessageId + Modtager
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Afsendelsesmail
Enhedsnavn: SubmissionMail
| Feltet | Type | Beskrivelse |
|---|---|---|
| Type | String | 'Indsendelsesmail' |
| Indsendelses-id | Guid? | Afsendelses-id' et. |
| Afsendelsesdato | Datetime? | Rapporteret dato/klokkeslæt for denne afsendelse. |
| Submitter | String | Indsenderens mailadresse. |
| Netværksmeddelelses-id | Guid? | Netværksmeddelelses-id'et for den mail, som afsendelsen tilhører. |
| Tidsstempel | Datetime? | Tidsstemplet, når meddelelsen modtages (Mail). |
| Modtager | String | Modtageren af mailen. |
| Afsender | String | Afsenderen af mailen. |
| Afsenderip | String | Afsenderens IP-adresse. |
| Emne | String | Emnet for indsendelse mail. |
| Rapporttype | String | Afsendelsestypen for den angivne forekomst. Mulige værdier er Junk, Phish, Malware eller NotJunk. |
Stærke id'er for en SubmissionMail-enhed
- SubmissionId, Submitter, NetworkMessageId, Recipient
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Sentinel enheder
| Feltet | Type | Beskrivelse |
|---|---|---|
| Enheder | String | En liste over de enheder, der er identificeret i beskeden. Denne liste er kolonnen med enheder fra SecurityAlert-skemaet (se dokumentationen). |
Tilbage til listen over enhedstypeskemaer | Tilbage til tabellen med enheds-id'er
Cloudprogram-id'er
Følgende liste definerer id'er for kendte cloudprogrammer. App-id-værdien bruges som et objekt-id for et cloudprogram .
| App-id | Navn |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Boksen |
| 10549 | Cisco Webex |
| 10618 | Atlassisk |
| 10915 | Hjørnestenen OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Udgift |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Arbejdsdag |
| 13843 | LivePerson |
| 13979 | Enig |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc. |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft Office SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion-livscyklus |
| 23043 | Slæk |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Microsoft 365 Administration |
| 26060 | OPSWAT-gear |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drev |
| 26206 | Arbejdsiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Arbejdsplads efter Facebook |
| 28373 | CAS-proxyemulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Næste trin
I dette dokument har du lært om objektstruktur, id'er og skema i Microsoft Sentinel.
Få mere at vide om objekter og objekttilknytning.