referencia de reglas de automatización de Microsoft Sentinel

Este artículo contiene información de referencia sobre la configuración de reglas de automatización y las condiciones y propiedades admitidas.

Para más información sobre las reglas de automatización, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.

Para obtener instrucciones sobre cómo crear, administrar y usar reglas de automatización, consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar la respuesta.

Propiedades de entidad admitidas

Las siguientes entidades y propiedades de entidad se pueden usar como condiciones para las reglas de automatización:

Descripciones de propiedades
Asignación a entidades

En esta tabla se muestran las propiedades de entidad admitidas en la API de reglas de automatización. Estas son las propiedades de entidad cuyos valores se pueden establecer como condiciones para desencadenar una regla de automatización.

Para obtener la lista completa de propiedades admitidas, que incluye propiedades de incidentes, consulte Propiedades admitidas de la condición de propiedad de la regla de Automatización en la documentación de la API de reglas de Automation.

Nombre (en la API)	Tipo	Description
AccountAadTenantId	string	La cuenta Microsoft Entra ID identificador de inquilino
AccountAadUserId	string	La cuenta Microsoft Entra ID id. de usuario
AccountName	string	El nombre de la cuenta
AccountNTDomain	string	Nombre de dominio netBIOS de la cuenta
AccountPUID	string	La cuenta Microsoft Entra ID id. de usuario de Passport
AccountSid	string	Identificador de seguridad de la cuenta
AccountObjectGuid	string	Identificador único del objeto de cuenta
AccountUPNSuffix	string	Sufijo de nombre principal de usuario de la cuenta
AzureResourceResourceId	string	Identificador de recurso de Azure
AzureResourceSubscriptionId	string	Identificador de suscripción de recurso de Azure
CloudApplicationAppId	string	Identificador de la aplicación en la nube
CloudApplicationAppName	string	Nombre de la aplicación en la nube
DNSDomainName	string	Nombre de dominio del registro dns
FileDirectory	string	Ruta de acceso completa del directorio de archivos
FileName	string	El nombre de archivo sin la ruta de acceso
FileHashValue	string	Valor hash del archivo
HostAzureID	string	Identificador de recurso de Azure host
HostName	string	Nombre de host sin dominio
HostNetBiosName	string	Nombre de NetBIOS del host
HostNTDomain	string	El dominio NT del host
HostOSVersion	string	El sistema operativo host
IoTDeviceId	string	Identificador de dispositivo IoT
IoTDeviceName	string	Nombre del dispositivo IoT
IoTDeviceType	string	Tipo de dispositivo IoT
IoTDeviceVendor	string	El proveedor de dispositivos IoT
IoTDeviceModel	string	El modelo de dispositivo IoT
IoTDeviceOperatingSystem	string	El sistema operativo del dispositivo IoT
IPAddress	string	La dirección IP
MailboxDisplayName	string	Nombre para mostrar del buzón
MailboxPrimaryAddress	string	La dirección principal del buzón
MailboxUPN	string	Nombre principal de usuario del buzón
MailMessageDeliveryAction	string	La acción de entrega de mensajes de correo
MailMessageDeliveryLocation	string	Ubicación de entrega de mensajes de correo
MailMessageRecipient	string	Destinatario del mensaje de correo
MailMessageSenderIP	string	Dirección IP del remitente del mensaje de correo
MailMessageSubject	string	Asunto del mensaje de correo
MailMessageP1Sender	string	Remitente del mensaje de correo P1 (remitente delegado)
MailMessageP2Sender	string	Remitente del mensaje de correo P2 (remitente original)
MalwareCategory	string	La categoría de malware
MalwareName	string	El nombre del malware
ProcessCommandLine	string	Línea de comandos de ejecución de procesos
ProcessId	string	Identificador del proceso
RegistryKey	string	Ruta de acceso de la clave del Registro
RegistryValueData	string	Valor de clave del Registro en la representación con formato de cadena
Url	string	La dirección URL

En esta tabla se muestra cómo se muestran las propiedades de entidad admitidas en la API de reglas de Automation en la lista desplegable de condiciones del Asistente para la creación de reglas de automatización. También muestra cómo esas propiedades se asignan a las entidades y sus identificadores tal como se define en Microsoft Sentinel alertas de seguridad.

Nombre en la API	Nombre en la lista desplegable de la interfaz de usuario	Entidad: identificador en el esquema de alertas V3
AccountAadTenantId	Id. de inquilino de cuenta	Cuenta: AadTenantId
AccountAadUserId	Id. de usuario de AAD de la cuenta	Cuenta: AadUserId
AccountName	Nombre de cuenta	Cuenta: nombre
AccountNTDomain	Dominio NT de la cuenta	Cuenta: NTDomain
AccountPUID	PUID de la cuenta	Cuenta: PUID
AccountSid	SID de cuenta	Cuenta: Sid
AccountObjectGuid	Id. de objeto de cuenta	Cuenta: ObjectGuid
AccountUPNSuffix	Sufijo UPN de la cuenta	Cuenta: UPNSuffix
AzureResourceResourceId	Azure identificador de recurso	AzureResource: ResourceId
AzureResourceSubscriptionId	Azure identificador de suscripción de recurso	AzureResource: SubscriptionId
CloudApplicationAppId	Id. de aplicación en la nube	CloudApplication: AppId
CloudApplicationAppName	Nombre de la aplicación en la nube	CloudApplication: Nombre
DNSDomainName	Nombre de dominio DNS	DNS: DomainName
FileDirectory	Directorio de archivos	Archivo: Directorio
FileName	Nombre de archivo	Archivo: Nombre
FileHashValue	Hash de archivo	FileHash: Valor
HostAzureID	Identificador de Azure host	Host: AzureID
HostName	Nombre de host	Host: HostName
HostNetBiosName	Nombre netBIOS del host	Host: NetBiosName
HostNTDomain	Dominio NT del host	Host: NTDomain
HostOSVersion	Sistema operativo host	Host: OSVersion
IoTDeviceId	Id. de dispositivo IoT	IoTDevice: DeviceId
IoTDeviceName	Nombre del dispositivo IoT	IoTDevice: DeviceName
IoTDeviceType	Tipo de dispositivo IoT	IoTDevice: DeviceType
IoTDeviceVendor	Proveedor de dispositivos IoT	IoTDevice: Fabricante
IoTDeviceModel	Modelo de dispositivo IoT	IoTDevice: modelo
IoTDeviceOperatingSystem	Sistema operativo del dispositivo IoT	IoTDevice: OperatingSystem
IPAddress	Dirección IP	IP: dirección
MailboxDisplayName	Nombre para mostrar del buzón	Buzón: DisplayName
MailboxPrimaryAddress	Dirección principal del buzón	Buzón: MailboxPrimaryAddress
MailboxUPN	UPN de buzón	Buzón: Upn
MailMessageDeliveryAction	Acción de entrega de mensajes de correo	MailMessage: DeliveryAction
MailMessageDeliveryLocation	Ubicación de entrega de mensajes de correo	MailMessage: DeliveryLocation
MailMessageRecipient	Destinatario del mensaje de correo	MailMessage: Destinatario
MailMessageSenderIP	Dirección IP del remitente del mensaje de correo	MailMessage: SenderIP
MailMessageSubject	Asunto del mensaje de correo	MailMessage: Asunto
MailMessageP1Sender	Remitente del mensaje de correo P1	MailMessage: P1Sender
MailMessageP2Sender	Remitente del mensaje de correo P2	MailMessage: P2Sender
MalwareCategory	Categoría de malware	Malware: Categoría
MalwareName	Nombre de malware	Malware: nombre
ProcessCommandLine	Procesar línea de comandos	Proceso: Línea de comandos
ProcessId	Identificador de proceso	Proceso: ProcessId
RegistryKey	Clave del Registro	RegistryKey: clave
RegistryValueData	Valor del Registro	RegistryValue: Value
Url	Url	Url: Url

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23

referencia de reglas de automatización de Microsoft Sentinel

Propiedades de entidad admitidas

Comentarios

Recursos adicionales