Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este documento contiene dos conjuntos de información sobre entidades y tipos de entidad en Microsoft Sentinel en el Azure Portal y Microsoft Sentinel en el portal de Defender.
- La tabla Tipos de entidad e identificadores muestra los distintos tipos de entidades que se pueden identificar en alertas e incidentes, lo que le permite realizar un seguimiento e investigarlos. La tabla también muestra, para cada tipo de entidad, los distintos identificadores que se pueden usar para identificar una entidad.
- La sección Esquema de entidad muestra la estructura de datos y el esquema de las entidades en general y para cada tipo de entidad en particular.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Tipos e identificadores de entidad
En la tabla siguiente se muestran los tipos de entidad que puede reconocer Microsoft Sentinel y los atributos que se pueden usar como identificadores para cada tipo de entidad.
Microsoft Sentinel reconoce entidades en alertas e incidentes creados mediante la asignación de entidades en reglas de análisis. También reconoce las entidades ya identificadas en las alertas ingeridas de otros orígenes.
Actualmente, puede usar hasta tres identificadores para una entidad determinada al crear una asignación de entidad en Microsoft Sentinel. Los identificadores seguros por sí solos son suficientes para identificar de forma única una entidad, mientras que los identificadores débiles solo pueden hacerlo en combinación con otros identificadores. Obtenga más información sobre los identificadores seguros y débiles. La mayoría de los identificadores de esta tabla, pero no todos, se pueden usar al crear asignaciones de entidades en Microsoft Sentinel (consulte las notas al pie).
| Tipo de entidad | Identificadores | Identificadores seguros | Identificadores débiles |
|---|---|---|---|
| Cuenta | Nombre FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Nombre+UPNSuffix AADUserId Sid ** Sid+Host** Nombre+Host+NTDomain ** Nombre+NTDomain ** Nombre+DnsDomain PUID ObjectGuid |
Nombre |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Tipo de entidad | Identificadores | Identificadores seguros | Identificadores débiles |
| IP | Dirección AddressScope |
Dirección global: Dirección** Dirección privada: Address+AddressScope** |
Dirección privada: Dirección** |
| Dirección URL | Url | Dirección URL (si es una dirección URL absoluta)** | Dirección URL (si es una dirección URL relativa)** |
|
Recurso de Azure (AzureResource) |
ResourceId | ResourceId | |
|
Aplicación en la nube (CloudApplication) |
AppId Nombre InstanceName |
AppId Nombre AppId+InstanceName Nombre+NombreDeInstancia |
|
|
Resolución dns (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Archivo | Directorio Nombre |
Directorio+Nombre | |
|
Hash de archivo (FileHash) |
Algoritmo Valor |
Algoritmo+Valor | |
| Malware | Nombre Categoría |
Nombre+Categoría | |
| Tipo de entidad | Identificadores | Identificadores seguros | Identificadores débiles |
| Proceso | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (sin host) ProcessId+CreationTimeUtc+ ImageFile (sin host) |
|
Clave del registro (RegistryKey) |
Hive Clave |
Hive+Key | |
|
Valor del Registro (RegistryValue) |
Nombre Valor ValueType |
Clave+Nombre | Nombre (sin clave) |
|
Grupo de seguridad (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Buzón | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Tipo de entidad | Identificadores | Identificadores seguros | Identificadores débiles |
|
Clúster de correo (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Amenazas Consulta QueryTime MailCount IsVolumeAnomaly Origen ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Consulta+origen | |
|
Mensaje de correo (MailMessage) |
Destinatario Direcciones URL Amenazas Remitente P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Asunto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Idioma * ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Correo de envío (SubmissionMail) |
NetworkMessageId Timestamp Destinatario Remitente SenderIp Asunto ReportType SubmissionId SubmissionDate Remitente |
SubmissionId+NetworkMessageId+ Destinatario+Remitente |
|
| entidades Sentinel | Entidades | Entidades |
Notas al pie de tabla:
- * Estos identificadores aparecen en la lista de identificadores que se pueden usar en la asignación de entidades, pero en sentido estricto no forman parte del esquema de entidad.
- ** Estos identificadores se consideran seguros solo en determinadas condiciones. Siga los vínculos de los asteriscos para ver las condiciones que se aplican, en la lista de la entidad correspondiente en la sección de esquemas de entidad a continuación.
- Los nombres de identificador cursiva (sin asterisco) representan entidades internas, lo que significa que un tipo de entidad puede tener otros tipos de entidad como atributos (consulte la sección de esquemas de entidad a continuación). Siga el vínculo del identificador para ver el propio esquema de la entidad interna.
- Otras entidades pueden estar presentes en el esquema, que es un esquema general que admite muchas cosas además de Microsoft Sentinel. En este artículo solo se enumeran las entidades disponibles en Microsoft Sentinel.
Esquemas de tipo de entidad
La sección siguiente contiene una vista más detallada de los esquemas completos de cada tipo de entidad. Observará que muchos de estos esquemas incluyen vínculos a otros tipos de entidad. Por ejemplo, el esquema de cuenta incluye un vínculo al tipo de entidad Host, ya que un atributo de una cuenta de usuario es el host en el que se define. Estas entidades como atributos se conocen como "entidades internas" y no se pueden usar como identificadores para la asignación de entidades, pero son muy útiles para proporcionar una imagen completa de las entidades en las páginas de entidad y el gráfico de investigación.
Nota:
Un signo de interrogación que sigue al valor de la columna Type indica que el campo acepta valores NULL.
Lista de esquemas de tipo de entidad
- Account
- Host
- IP
- Malware
- Archivo
- Proceso
- Aplicación en la nube
- Resolución dns
- Recurso de Azure
- Hash de archivo
- Clave del registro
- Valor del Registro
- Grupo de seguridad
- URL
- Dispositivo IoT
- Buzón
- Clúster de correo
- Mensaje de correo
- Correo de envío
- entidades Sentinel
Cuenta
Nombre de entidad: Cuenta
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'account' |
| Nombre | Cadena | Nombre de la cuenta. Este campo solo debe contener el nombre sin ningún dominio agregado. |
| FullName | -- | No forma parte del esquema, incluido por compatibilidad con versiones anteriores de la asignación de entidades. |
| NTDomain | Cadena | Nombre de dominio NETBIOS tal como aparece en el formato de alerta: dominio\nombredeusuario. Ejemplos: Finanzas, NT AUTHORITY |
| DnsDomain | Cadena | Nombre DNS de dominio completo. Ejemplos: finance.contoso.com |
| UPNSuffix | Cadena | Sufijo de nombre principal de usuario de la cuenta. En muchos casos, el sufijo UPN también es el nombre de dominio. Ejemplos: contoso.com |
| Host | Entidad (host) | Host que contiene la cuenta, si es una cuenta local. |
| Sid | Cadena | Identificador de seguridad de la cuenta. |
| AadTenantId | ¿Guid? | El Microsoft Entra identificador de inquilino, si se conoce. |
| AadUserId | ¿Guid? | El identificador de objeto de la cuenta de Microsoft Entra, si se conoce. |
| PUID | ¿Guid? | El Microsoft Entra id. de usuario de Passport, si se conoce. |
| IsDomainJoined | ¿Bool? | Indica si la cuenta es una cuenta de dominio. |
| DisplayName | -- | No forma parte del esquema, incluido por compatibilidad con versiones anteriores de la asignación de entidades. |
| ObjectGuid | ¿Guid? | El atributo objectGUID es un atributo de valor único que es el identificador único del objeto, asignado por Active Directory. |
| CloudAppAccountId | Cadena | AccountID en alertas del proveedor de CloudApp. Hace referencia a los identificadores de cuenta en aplicaciones de terceros que no se admiten en otros productos de Microsoft. |
| IsAnonymized | ¿Bool? | Indica si el nombre de usuario está anonimizado. Opcional. Valor predeterminado: false. |
| Stream | Stream | Origen de los registros de detección relacionados con la cuenta específica. Opcional. |
Identificadores seguros de una entidad de cuenta
- Nombre + UPNSuffix
- AadUserId
-
Sid
** Este identificador es seguro siempre y cuando la cuenta no sea una de las cuentas integradas enumeradas en la nota siguiente. -
Sid + Host
** Cuando la cuenta es una de las cuentas integradas enumeradas en la nota siguiente, el componente Host es necesario para que este identificador sea seguro. -
Nombre + NTDomain
** Esta combinación es un identificador seguro cuando la cuenta es una cuenta de dominio, ya que NTDomain no es un dominio o grupo de trabajo integrado y es diferente del nombre de host. En este caso, se trata de un identificador seguro incluso sin el componente Host. -
Nombre + NTDomain + Host
** El componente Host es necesario para crear un identificador seguro cuando la cuenta es una cuenta local, lo que significa que NTDomain es un dominio o grupo de trabajo integrado. - Nombre + DnsDomain
- PUID
- ObjectGuid
Identificadores débiles de una entidad de cuenta
- Nombre
Nota:
Si la entidad Account se define mediante el identificador Name y el valor Name de una entidad determinada es uno de los siguientes nombres de cuenta genéricos, normalmente integrados, esa entidad se quitará de su alerta.
- ADMIN
- ADMINISTRADOR
- SYSTEM
- RAÍZ
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- SERVICIO DE RED
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Host
Nombre de entidad: Host
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | "host" |
| IpInterfaces | Entidad List<(Ip)> | Lista de todas las interfaces IP de la máquina host. |
| DnsDomain | Cadena | Dominio DNS al que pertenece este host. Debe contener el sufijo DNS completo para el dominio, si se conoce. |
| NTDomain | Cadena | Dominio NT al que pertenece este host. |
| HostName | Cadena | Nombre de host sin el sufijo de dominio. |
| NetBiosName | Cadena | Nombre de host (anterior a Windows 2000). |
| IoTDevice | Entidad (dispositivo IoT) | La entidad dispositivo IoT (si este host representa un dispositivo IoT). |
| AzureID | Cadena | El identificador de recurso Azure de la máquina virtual, si se conoce. |
| OMSAgentID | Cadena | El identificador de agente de OMS, si el host tiene instalado el agente de OMS. |
| OSFamily | ¿Enum? | Uno de los siguientes valores: |
| OSVersion | Cadena | Representación de texto libre del sistema operativo. Este campo está diseñado para contener versiones específicas que son más específicas que OSFamily o valores futuros no admitidos por la enumeración OSFamily. |
| IsDomainJoined | Bool | Indica si este host pertenece a un dominio. |
Identificadores seguros de una entidad host
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificadores débiles de una entidad host
- HostName
- NetBiosName
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
IP
Nombre de entidad: IP
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'ip' |
| Dirección | Cadena | La dirección IP como cadena (ya sea en IPv4 o IPv6). Ejemplos: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Cadena | Nombre del host, subred o red privada para direcciones IP privadas no globales. Null o vacío para las direcciones IP globales (valor predeterminado). Ejemplos: /27, 255.255.255.128 |
| Ubicación | Geolocalización | Contexto de ubicación geográfica asociado a la entidad IP. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización a través de la API REST (versión preliminar pública). |
| Stream | Stream | Origen de los registros de detección relacionados con la dirección IP específica. Opcional. |
Identificadores seguros de una entidad IP
-
Dirección
Cuando la dirección IP es una dirección global, el identificador de dirección por sí mismo es un identificador único y seguro. -
Address + AddressScope
En el caso de las direcciones IP privadas o internas no globales, el componente AddressScope es necesario para que sea un identificador seguro.
Identificadores débiles de una entidad IP
-
Dirección
El identificador de dirección por sí mismo es un identificador débil cuando la dirección IP es una dirección IP privada o interna, no global.
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Malware
Nombre de entidad: Malware
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'malware' |
| Nombre | Cadena | Nombre de malware asignado por el proveedor (¿detección?), como Win32/Toga!rfn. |
| Categoría | Cadena | La categoría de malware asignada por el proveedor (¿detección?), por ejemplo. Troyano. |
| Files | Entidad List<(archivo)> | Lista de entidades de archivo vinculadas en las que se encontró el malware. Puede contener las entidades file insertadas o como referencia. Consulte la entidad File para obtener más detalles sobre la estructura. |
| Procesos | Entidad List<(Proceso)> | Lista de entidades de proceso vinculadas en las que se encontró el malware. Esto suele usarse cuando la alerta se desencadena en la actividad sin archivos. Consulte la entidad Process para obtener más detalles sobre la estructura. |
Identificadores seguros de una entidad de malware
- Nombre y categoría
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Archivo
Nombre de entidad: Archivo
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'file' |
| Directory | Cadena | Ruta de acceso completa al archivo. |
| Nombre | Cadena | Nombre de archivo sin la ruta de acceso (es posible que algunas alertas no incluyan la ruta de acceso). |
| AlternateDataStreamName | Cadena | Nombre de la secuencia de archivos en el sistema de archivos NTFS (null para la secuencia principal). |
| Host | Entidad (host) | Host en el que se almacenó el archivo. |
| HostUrl | Entidad (DIRECCIÓN URL) | Dirección URL desde la que se descargó el archivo (Marca de la Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Seguridad de Windows zona a la que pertenece la dirección URL (Marca de la Web). |
| ReferrerUrl | Entidad (DIRECCIÓN URL) | Dirección URL de referencia de la solicitud HTTP de descarga de archivos (Marca de la Web). |
| SizeInBytes | ¿Largo? | Tamaño del archivo en bytes. |
| FileHashes | Entidad List<(FileHash)> | Los hashes de archivo asociados a este archivo. |
Identificadores seguros de una entidad de archivo
- Nombre y directorio
- Nombre + ArchivoHash
- Nombre + Directorio + FileHash
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Proceso
Nombre de entidad: Proceso
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'process' |
| ProcessId | Cadena | Identificador del proceso. |
| CommandLine | Cadena | Línea de comandos usada para crear el proceso. |
| ElevationToken | ¿Enum? | Token de elevación asociado al proceso. Posibles valores: |
| CreationTimeUtc | ¿DateTime? | La hora en que el proceso comenzó a ejecutarse. |
| ImageFile | Entidad (archivo) | Puede contener la entidad File insertada o como referencia. Consulte la entidad File para obtener más detalles sobre la estructura. |
| Account | Entidad (cuenta) | Cuenta que ejecuta los procesos. Puede contener la entidad Account insertada o como referencia. Consulte la entidad Account para obtener más detalles sobre la estructura. |
| ParentProcess | Entidad (proceso) | Entidad de proceso primaria. Puede contener datos parciales, por ejemplo, solo el PID. |
| Host | Entidad (host) | Host en el que se estaba ejecutando el proceso. |
| LogonSession | Entidad (HostLogonSession) | Sesión en la que se estaba ejecutando el proceso. |
Identificadores seguros de una entidad de proceso
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificadores débiles de una entidad de proceso
- ProcessId + CreationTimeUtc + CommandLine (y sin host)
- ProcessId + CreationTimeUtc + ImageFile (y ningún host)
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Aplicación en la nube
Nombre de entidad: CloudApplication
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | "aplicación en la nube" |
| AppId | Int | En desuso; use el campo SaasId en su lugar. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId. |
| SaasId | Int | Reemplaza el campo AppId en desuso. Identificador técnico de la aplicación. Los valores posibles son los definidos en la lista de identificadores de aplicación en la nube. Valor opcional. No debe contener InstanceId. |
| Nombre | Cadena | Nombre de la aplicación en la nube relacionada. Valor opcional. |
| InstanceName | Cadena | Nombre de instancia definido por el usuario de la aplicación en la nube. A menudo se usa para distinguir entre varias aplicaciones del mismo tipo que un cliente. |
| InstanceId | Int | Identificador de la sesión específica de la aplicación. Se trata de un número de ejecución de base cero. Valor opcional. |
| Riesgo | ¿AppRisk? | Permite filtrar las aplicaciones por puntuación de riesgo para que pueda centrarse, por ejemplo, en revisar solo las aplicaciones de alto riesgo. Valores posibles como Bajo, Medio, Alto o Desconocido. |
| Stream | Stream | Origen de los registros de detección relacionados con la aplicación en la nube específica. Opcional. |
Identificadores seguros de una entidad de aplicación en la nube
- AppId (sin InstanceName)
- Name (sin InstanceName)
- AppId + InstanceName
- Nombre + NombreDeInstancia
Lista de identificadores de aplicación en la nube
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Resolución dns
Nombre de entidad: DNS
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'dns' |
| DomainName | Cadena | Nombre del registro DNS asociado a la alerta. |
| IpAddress | Entidad list<(IP)> | Entidades correspondientes a las direcciones IP resueltas. |
| DnsServerIp | Entidad (IP) | Entidad que representa el servidor DNS que resuelve la solicitud. |
| HostIpAddress | Entidad (IP) | Entidad que representa el cliente de solicitud DNS. |
Identificadores seguros de una entidad DNS
- DomainName + DnsServerIp + HostIpAddress
Identificadores débiles de una entidad DNS
- DomainName + HostIpAddress
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Recurso de Azure
Nombre de entidad: AzureResource
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | "azure-resource" |
| ResourceId | Cadena | Identificador de recurso Azure del recurso. Obligatorio. |
| SubscriptionId | Cadena | Identificador de suscripción del recurso. |
| ActiveContacts | Enumerar<ActiveContact> | Contactos activos asociados al recurso. |
| ResourceType | Cadena | Tipo del recurso. |
| ResourceName | Cadena | El nombre del recurso. |
Identificadores seguros de una entidad de recurso Azure
- ResourceId
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Hash de archivo
Nombre de entidad: FileHash
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'filehash' |
| Algoritmo | Enum | Tipo de algoritmo hash. Obligatorio. Posibles valores: |
| Valor | Cadena | Valor hash. Obligatorio. |
Identificadores seguros de una entidad hash de archivo
- Algoritmo y valor
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Clave del Registro
Nombre de entidad: RegistryKey
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'registry-key' |
| Hive | ¿Enum? | Uno de los siguientes valores: |
| Clave | Cadena | Ruta de acceso de la clave del Registro. |
Identificadores seguros de una entidad de clave del Registro
- Hive + Key
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Valor del Registro
Nombre de entidad: RegistryValue
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'registry-value' |
| Host | Entidad (host) | Host al que pertenece el registro. |
| Clave | Entidad (RegistryKey) | La entidad de clave del Registro. |
| Nombre | Cadena | Nombre del valor del Registro. |
| Valor | Cadena | Representación con formato de cadena de los datos de valor. |
| ValueType | ¿Enum? | Uno de los siguientes valores: Los valores deben ajustarse a la enumeración Microsoft.Win32.RegistryValueKind. |
Identificadores seguros de una entidad de valor del Registro
- Clave y nombre
Identificadores débiles de una entidad de valor del Registro
- Nombre (sin clave)
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Grupo de seguridad
Nombre de entidad: SecurityGroup
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | "security-group" |
| DistinguishedName | Cadena | Nombre distintivo del grupo. |
| SID | Cadena | Atributo de valor único que especifica el identificador de seguridad (SID) del grupo. |
| ObjectGuid | ¿Guid? | Atributo de valor único que es el identificador único del objeto, asignado por Active Directory. |
Identificadores seguros de una entidad de grupo de seguridad
- DistinguishedName
- SID
- ObjectGuid
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
URL
Nombre de entidad: Dirección URL
| Campo | Tipo | Descripción |
|---|---|---|
| Tipo | Cadena | 'url' |
| Url | Uri | Dirección URL completa a la que apunta la entidad. Obligatorio. |
Identificadores seguros de una entidad url
- Url (** Este identificador es seguro cuando la dirección URL es una dirección URL absoluta).
Identificadores débiles de una entidad url
- Url (** Este identificador es débil cuando la dirección URL es una dirección URL relativa).
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Dispositivo IoT
Nombre de entidad: IoTDevice
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'iotdevice' |
| IoTHub | Entidad (AzureResource) | La entidad AzureResource que representa el IoT Hub al que pertenece el dispositivo. |
| DeviceId | Cadena | Identificador del dispositivo en el contexto de la IoT Hub. Obligatorio. |
| DeviceName | Cadena | Nombre descriptivo del dispositivo. |
| Propietarios | Cadena de lista<> | Los propietarios del dispositivo. |
| IoTSecurityAgentId | ¿Guid? | Identificador del agente de Defender para IoT que se ejecuta en el dispositivo. |
| DeviceType | Cadena | El tipo del dispositivo ("sensor de temperatura", "congelador", "turbina eólica", etc.). |
| DeviceTypeId | Cadena | Un identificador único para identificar cada tipo de dispositivo según el esquema de tipo de dispositivo, ya que el propio tipo de dispositivo es un nombre para mostrar y no confiable en comparaciones. Posibles valores: Sin clasificar = 0 Varios = 1 Dispositivo de red = 2 Impresora = 3 Audio y vídeo = 4 Medios y vigilancia = 5 Comunicación = 7 Dispositivo inteligente = 9 Estación de trabajo = 10 Servidor = 11 Móvil = 12 Instalación inteligente = 13 Industrial = 14 Equipo operativo = 15 |
| Source | Cadena | Origen (Microsoft/Vendor) de la entidad del dispositivo. |
| SourceRef | Entidad (url) | Referencia de dirección URL al elemento de origen donde se administra el dispositivo. |
| Fabricante | Cadena | Fabricante del dispositivo. |
| Model | Cadena | Modelo del dispositivo. |
| OperatingSystem | Cadena | Sistema operativo en el que se ejecuta el dispositivo. |
| IpAddress | Entidad (IP) | Dirección IP actual del dispositivo. |
| MacAddress | Cadena | Dirección MAC del dispositivo. |
| Nics | Entidad (Nic) | Las NIC actuales del dispositivo. |
| Protocolos | Cadena de lista<> | Lista de protocolos compatibles con el dispositivo. |
| SerialNumber | Cadena | Número de serie del dispositivo. |
| Site | Cadena | Ubicación del sitio del dispositivo. |
| Zona | Cadena | Ubicación de zona del dispositivo dentro de un sitio. |
| Sensor | Cadena | Sensor que supervisa el dispositivo. |
| Importance | ¿Enum? | Uno de los siguientes valores: |
| PurdueLayer | Cadena | La capa purdue del dispositivo. |
| IsProgramming | ¿Bool? | Indica si el dispositivo se clasifica como dispositivo de programación. |
| IsAuthorized | ¿Bool? | Indica si el dispositivo se clasifica como dispositivo autorizado. |
| IsScanner | ¿Bool? | Indica si el dispositivo se ha clasificado como un dispositivo de escáner. |
| DevicePageLink | Entidad (url) | Dirección URL a la página del dispositivo en el portal de Defender para IoT. |
| DeviceSubType | Cadena | Nombre del subtipo del dispositivo. |
Identificadores seguros de una entidad de dispositivo IoT
- IoTHub + DeviceId
Identificadores débiles de una entidad de dispositivo IoT
- DeviceId (sin IoTHub)
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Mailbox
Nombre de entidad: Buzón
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'mailbox' |
| MailboxPrimaryAddress | Cadena | Dirección principal del buzón. |
| DisplayName | Cadena | Nombre para mostrar del buzón. |
| Upn | Cadena | UPN del buzón. |
| AadId | Cadena | El identificador Azure AD del buzón del usuario. |
| RiskLevel | RiskLevel (integer) | Nivel de riesgo de este buzón. Posibles valores: |
| ExternalDirectoryObjectId | ¿Guid? | Identificador de AzureAD del buzón de correo. Similar a AadUserId en la entidad Account, pero esta propiedad es específica del objeto mailbox en el lado de Office. |
Identificadores seguros de una entidad de buzón
- MailboxPrimaryAddress
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Clúster de correo
Nombre de entidad: MailCluster
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | "mail-cluster" |
| NetworkMessageIds | Cadena IList<> | Los identificadores de mensaje de correo que forman parte del clúster de correo. |
| CountByDeliveryStatus | IDictionary<String,Int> | Recuento de mensajes de correo por representación de cadena DeliveryStatus. |
| CountByThreatType | IDictionary<String,Int> | Recuento de mensajes de correo por representación de cadena ThreatType. |
| CountByProtectionStatus | IDictionary<String,long> | Recuento de mensajes de correo por representación de cadena de estado de protección. |
| CountByDeliveryLocation | IDictionary<String,long> | Recuento de mensajes de correo por representación de cadena de ubicación de entrega. |
| Amenazas | Cadena IList<> | Las amenazas de los mensajes de correo que forman parte del clúster de correo. |
| Query | Cadena | Consulta que se usó para identificar los mensajes del clúster de correo. |
| QueryTime | ¿DateTime? | Hora de la consulta. |
| MailCount | ¿Int? | Número de mensajes de correo que forman parte del clúster de correo. |
| IsVolumeAnomaly | ¿Bool? | Indica si el clúster de correo es un clúster de correo de anomalías de volumen. |
| Source | Cadena | Origen del clúster de correo (el valor predeterminado es O365 ATP). |
Identificadores seguros de una entidad de clúster de correo
- Consulta y origen
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Mensaje de correo
Nombre de entidad: MailMessage
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'mail-message' |
| Files | Entidad IList<(archivo)> | Las entidades File de los datos adjuntos de este mensaje de correo. |
| Destinatario | Cadena | Destinatario de este mensaje de correo. En el caso de varios destinatarios, el mensaje de correo se copia y cada copia tiene un destinatario. |
| Urls | Cadena IList<> | Las direcciones URL contenidas en este mensaje de correo. |
| Amenazas | Cadena IList<> | Las amenazas contenidas en este mensaje de correo. |
| Sender | Cadena | Dirección de correo electrónico del remitente. |
| SenderIP | Cadena | Dirección IP del remitente. |
| ReceivedDate | DateTime | Fecha de recepción de este mensaje. |
| NetworkMessageId | ¿Guid? | Identificador del mensaje de red de este mensaje de correo. |
| InternetMessageId | Cadena | El identificador de mensaje de Internet de este mensaje de correo. |
| Asunto | Cadena | Asunto de este mensaje de correo. |
| AntispamDirection | ¿Enum? | Direccionalidad de este mensaje de correo. Posibles valores: |
| DeliveryAction | ¿Enum? | La acción de entrega de este mensaje de correo. Posibles valores: |
| DeliveryLocation | ¿Enum? | Ubicación de entrega de este mensaje de correo. Posibles valores: |
| CampaignId | Cadena | Identificador de la campaña en la que está presente este mensaje de correo. |
| SuspiciousRecipients | Cadena IList<> | Lista de destinatarios detectados como sospechosos. |
| ForwardedRecipients | Cadena IList<> | Lista de todos los destinatarios del correo reenviado. |
| ForwardingType | Cadena IList<> | Tipo de reenvío del correo, como SMTP, ETR, etc. |
Identificadores seguros de una entidad de mensaje de correo
- NetworkMessageId + Recipient
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Correo de envío
Nombre de entidad: SubmissionMail
| Campo | Tipo | Descripción |
|---|---|---|
| Type | Cadena | 'SubmissionMail' |
| SubmissionId | ¿Guid? | El identificador de envío. |
| SubmissionDate | ¿DateTime? | Fecha y hora notificada para este envío. |
| Remitente | Cadena | Dirección de correo electrónico del remitente. |
| NetworkMessageId | ¿Guid? | El identificador de mensaje de red del correo electrónico al que pertenece el envío. |
| Timestamp | ¿DateTime? | Marca de tiempo cuando se recibe el mensaje (Correo). |
| Destinatario | Cadena | Destinatario del correo. |
| Sender | Cadena | Remitente del correo. |
| SenderIp | Cadena | Dirección IP del remitente. |
| Asunto | Cadena | Asunto del correo de envío. |
| ReportType | Cadena | Tipo de envío de la instancia determinada. Los valores posibles son Junk, Phish, Malware o NotJunk. |
Identificadores seguros de una entidad SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Recipient
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
entidades Sentinel
| Campo | Tipo | Description |
|---|---|---|
| Entities | Cadena | Lista de las entidades identificadas en la alerta. Esta lista es la columna de entidades del esquema SecurityAlert (consulte la documentación). |
Volver a la lista de esquemas | de tipo de entidadVolver a la tabla de identificadores de entidad
Identificadores de aplicación en la nube
En la lista siguiente se definen los identificadores de las aplicaciones en la nube conocidas. El valor de Id. de aplicación se usa como identificador de entidad de aplicación en la nube .
| Identificador de la aplicación | Nombre |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive para la Empresa |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Ciclo de vida de Autodesk Fusion |
| 23043 | Margen de demora |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Empresarial |
| 25988 | Google Docs |
| 26055 | Centro de administración de Microsoft 365 |
| 26060 | Engranajes OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | Emulador de proxy de CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Pasos siguientes
En este documento ha obtenido información sobre la estructura de entidades, los identificadores y el esquema en Microsoft Sentinel.
Obtenga más información sobre las entidades y la asignación de entidades.