Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce document contient deux ensembles d’informations sur les entités et les types d’entités dans Microsoft Sentinel dans le Portail Azure et Microsoft Sentinel dans le portail Defender.
- Le tableau Types d’entités et identificateurs affiche les différents types d’entités qui peuvent être identifiés dans les alertes et les incidents, ce qui vous permet de les suivre et de les examiner. Le tableau montre également, pour chaque type d’entité, les différents identificateurs qui peuvent être utilisés pour identifier une entité.
- La section Schéma d’entité affiche la structure de données et le schéma des entités en général et pour chaque type d’entité en particulier.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Types et identificateurs d’entité
Le tableau suivant présente les types d’entités qui peuvent être reconnus par Microsoft Sentinel, ainsi que les attributs qui peuvent être utilisés comme identificateurs pour chaque type d’entité.
Microsoft Sentinel reconnaît les entités dans les alertes et les incidents créés par le mappage d’entités dans les règles d’analyse. Il reconnaît également les entités déjà identifiées dans les alertes ingérées à partir d’autres sources.
Vous pouvez actuellement utiliser jusqu’à trois identificateurs pour une entité donnée lors de la création d’un mappage d’entité dans Microsoft Sentinel. Les identificateurs forts seuls sont suffisants pour identifier une entité de manière unique, tandis que les identificateurs faibles ne peuvent le faire qu’en combinaison avec d’autres identificateurs. En savoir plus sur les identificateurs forts et faibles. La plupart des identificateurs de cette table, mais pas tous, peuvent être utilisés lors de la création de mappages d’entités dans Microsoft Sentinel (voir les notes de bas de page).
| Type d’entité | Identificateurs | Identificateurs forts | Identificateurs faibles |
|---|---|---|---|
| Compte | Nom Fullname* NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Nom+UPNSuffix AADUserId Sid ** Sid+Hôte** Nom+Hôte+NTDomain ** Nom+NTDomain ** Nom+DnsDomain PUID ObjectGuid |
Nom |
| Hôte | DnsDomain NTDomain HostName Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Type d’entité | Identificateurs | Identificateurs forts | Identificateurs faibles |
| IP | Address AddressScope |
Adresse globale : Adresse** Adresse privée : Address+AddressScope** |
Adresse privée : Adresse** |
| URL | Url | URL (si URL absolue)** | URL (si URL relative)** |
|
Ressource Azure (AzureResource) |
ResourceId | ResourceId | |
|
Application cloud (CloudApplication) |
Appid Nom Instancename |
Appid Nom AppId+InstanceName Nom+Nom_instance |
|
|
Résolution DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Fichier | Répertoire Nom |
Répertoire+Nom | |
|
Hachage de fichier (FileHash) |
Algorithme Valeur |
Algorithme+valeur | |
| Programme malveillant | Nom Catégorie |
Nom+Catégorie | |
| Type d’entité | Identificateurs | Identificateurs forts | Identificateurs faibles |
| Processus | Processid CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Hôte+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Ligne de commande (aucun hôte) ProcessId+CreationTimeUtc+ ImageFile (aucun hôte) |
|
Clé de Registre (RegistryKey) |
Ruche Clé |
Hive+Key | |
|
Valeur de Registre (RegistryValue) |
Nom Valeur Valuetype |
Clé+Nom | Nom (aucune clé) |
|
Groupe de sécurité (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Boîte aux lettres | MailboxPrimaryAddress DisplayName UPN ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Type d’entité | Identificateurs | Identificateurs forts | Identificateurs faibles |
|
Cluster de messagerie (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Menaces Requête QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Requête+source | |
|
Courrier électronique (MailMessage) |
Destinataire URL Menaces Expéditeur P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Sujet BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Langue* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Message d’envoi (SubmissionMail) |
NetworkMessageId Timestamp Destinataire Expéditeur SenderIp Sujet -ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Destinataire+Émetteur |
|
| Sentinel entités | Entités | Entités |
Notes de bas de page de tableau :
- * Ces identificateurs apparaissent dans la liste des identificateurs qui peuvent être utilisés dans le mappage d’entités, mais à proprement parler, ils ne font pas partie du schéma d’entité.
- ** Ces identificateurs sont considérés comme forts uniquement dans certaines conditions. Suivez les liens des astérisque pour voir les conditions qui s’appliquent, sous la liste de l’entité concernée dans la section schémas d’entité ci-dessous.
- Les noms d’identificateur en italique (sans astérisque) représentent des entités internes, ce qui signifie qu’un type d’entité peut avoir d’autres types d’entité en tant qu’attributs (voir la section schémas d’entité ci-dessous). Suivez le lien de l’identificateur pour voir le propre schéma de l’entité interne.
- D’autres entités peuvent être présentes dans le schéma, qui est un schéma général qui prend en charge de nombreux éléments en plus de Microsoft Sentinel. Seules les entités disponibles dans Microsoft Sentinel sont répertoriées dans cet article.
Schémas de type d’entité
La section suivante contient un aperçu plus approfondi des schémas complets de chaque type d’entité. Vous remarquerez que la plupart de ces schémas incluent des liens vers d’autres types d’entités. Par exemple, le schéma de compte inclut un lien vers le type d’entité Hôte, car l’un des attributs d’un compte d’utilisateur est l’hôte sur lequel il est défini. Ces entités-as-attributes sont appelées « entités internes » et ne peuvent pas être utilisées comme identificateurs pour le mappage d’entités, mais elles sont très utiles pour donner une image complète des entités sur les pages d’entités et le graphe d’investigation.
Remarque
Un point d’interrogation qui suit la valeur dans la colonne Type indique que le champ est nullable.
Liste des schémas de type d’entité
- Account
- Host
- IP
- Programme malveillant
- Fichier
- Processus
- Application cloud
- Résolution DNS
- Ressource Azure
- Hachage de fichier
- Clé de Registre
- Valeur de Registre
- Groupe de sécurité
- URL
- Appareil IoT
- Boîte aux lettres
- Cluster de messagerie
- Courrier électronique
- Message d’envoi
- Sentinel entités
Compte
Nom de l’entité : Compte
| Champ | Type | Description |
|---|---|---|
| Type | String | 'account' |
| Nom | String | Nom du compte. Ce champ doit contenir uniquement le nom sans qu’aucun domaine ne lui soit ajouté. |
| FullName | -- | Ne fait pas partie du schéma, inclus pour la compatibilité descendante avec l’ancienne version du mappage d’entité. |
| NTDomain | String | Nom de domaine NETBIOS tel qu’il apparaît dans le format d’alerte : domaine\nom d’utilisateur. Exemples: Finance, NT AUTHORITY |
| DnsDomain | String | Nom DNS de domaine complet. Exemples : finance.contoso.com |
| UPNSuffix | String | Suffixe du nom d’utilisateur principal du compte. Dans de nombreux cas, le suffixe UPN est également le nom de domaine. Exemples : contoso.com |
| Host | Entité (hôte) | Hôte qui contient le compte, s’il s’agit d’un compte local. |
| Sid | String | Identificateur de sécurité du compte. |
| AadTenantId | Guid? | L’ID de locataire Microsoft Entra, s’il est connu. |
| AadUserId | Guid? | ID d’objet du compte Microsoft Entra, s’il est connu. |
| PUID | Guid? | Id d’utilisateur Microsoft Entra Passport, s’il est connu. |
| IsDomainJoined | Bool? | Indique si le compte est un compte de domaine. |
| DisplayName | -- | Ne fait pas partie du schéma, inclus pour la compatibilité descendante avec l’ancienne version du mappage d’entité. |
| ObjectGuid | Guid? | L’attribut objectGUID est un attribut à valeur unique qui est l’identificateur unique de l’objet, attribué par Active Directory. |
| CloudAppAccountId | String | AccountID dans les alertes du fournisseur CloudApp. Fait référence aux ID de compte dans les applications tierces qui ne sont pas pris en charge dans d’autres produits Microsoft. |
| IsAnonymized | Bool? | Indique si le nom d’utilisateur est anonyme. Facultatif. Valeur par défaut : false. |
| Stream | Flux | Source des journaux de découverte liés au compte spécifique. Facultatif. |
Identificateurs forts d’une entité de compte
- Name + UPNSuffix
- AadUserId
-
Sid
** Cet identificateur est fort tant que le compte n’est pas l’un des comptes intégrés répertoriés dans la note ci-dessous. -
Sid + Hôte
** Lorsque le compte est l’un des comptes intégrés répertoriés dans la note ci-dessous, le composant Hôte est nécessaire pour que cet identificateur soit fort. -
Nom + NTDomain
** Cette combinaison est un identificateur fort lorsque le compte est un compte de domaine, car NTDomain n’est pas un domaine/groupe de travail intégré et est différent du nom d’hôte. Dans ce cas, il s’agit d’un identificateur fort, même sans le composant Hôte. -
Nom + NTDomain + Hôte
** Le composant Host est nécessaire pour créer un identificateur fort lorsque le compte est un compte local, ce qui signifie que le domaine NTDomain est un domaine/groupe de travail intégré. - Nom + DnsDomain
- PUID
- ObjectGuid
Identificateurs faibles d’une entité de compte
- Nom
Remarque
Si l’entité Account est définie à l’aide de l’identificateur Name et que la valeur Name d’une entité particulière est l’un des noms de compte génériques et généralement intégrés suivants, cette entité est supprimée de son alerte.
- ADMIN
- ADMINISTRATEUR
- SYSTEM
- RACINE
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- SERVICE RÉSEAU
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Hôte
Nom de l’entité : Hôte
| Champ | Type | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | Lister l’entité<(IP)> | Liste de toutes les interfaces IP sur l’ordinateur hôte. |
| DnsDomain | String | Domaine DNS auquel appartient cet hôte. Doit contenir le suffixe DNS complet pour le domaine, s’il est connu. |
| NTDomain | String | Domaine NT auquel appartient cet hôte. |
| Hostname | String | Nom d’hôte sans suffixe de domaine. |
| NetBiosName | String | Nom d’hôte (pré-Windows 2000). |
| IoTDevice | Entité (appareil IoT) | Entité IoT Device (si cet hôte représente un appareil IoT). |
| AzureID | String | Id de ressource Azure de la machine virtuelle, s’il est connu. |
| OMSAgentID | String | ID de l’agent OMS, si l’agent OMS est installé sur l’hôte. |
| OSFamily | Enum? | Une des valeurs suivantes : |
| OSVersion | String | Représentation en texte libre du système d’exploitation. Ce champ est destiné à contenir des versions spécifiques dont le grain est plus précis que OSFamily, ou des valeurs futures non prises en charge par l’énumération OSFamily. |
| IsDomainJoined | Bool | Indique si cet hôte appartient à un domaine. |
Identificateurs forts d’une entité hôte
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificateurs faibles d’une entité hôte
- HostName
- NetBiosName
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
IP
Nom de l’entité : IP
| Champ | Type | Description |
|---|---|---|
| Type | String | 'ip' |
| Adresse | String | Adresse IP sous forme de chaîne (en IPv4 ou IPv6). Exemples : 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | String | Nom de l’hôte, du sous-réseau ou du réseau privé pour les adresses IP privées et non globales. Null ou vide pour les adresses IP globales (par défaut). Exemples : /27, 255.255.255.128 |
| Emplacement | Géolocalisation | Contexte de géolocalisation attaché à l’entité IP. Pour plus d’informations, consultez également Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via l’API REST (préversion publique). |
| Stream | Flux | Source des journaux de découverte liés à l’adresse IP spécifique. Facultatif. |
Identificateurs forts d’une entité IP
-
Adresse
Lorsque l’adresse IP est une adresse globale, l’identificateur d’adresse lui-même est un identificateur unique et fort. -
Address + AddressScope
Pour les adresses IP privées/internes et non globales, le composant AddressScope est requis pour en faire un identificateur fort.
Identificateurs faibles d’une entité IP
-
Adresse
L’identificateur d’adresse en soi est un identificateur faible lorsque l’adresse IP est une adresse IP privée/interne, non globale.
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Programme malveillant
Nom de l’entité : Programme malveillant
| Champ | Type | Description |
|---|---|---|
| Type | String | 'malware' |
| Nom | String | Nom du programme malveillant attribué par le fournisseur (détection ?), tel que Win32/Toga!rfn. |
| Catégorie | String | Catégorie de programmes malveillants attribuée par le fournisseur (détection ?), par exemple. Trojan. |
| Files | Entité de liste<(fichier)> | Liste des entités de fichier liées sur lesquelles le programme malveillant a été trouvé. Peut contenir les entités File inline ou comme référence. Pour plus d’informations sur la structure, consultez l’entité File . |
| Processus | Lister l’entité<(processus)> | Liste des entités de processus liées sur lesquelles le programme malveillant a été trouvé. Cela est souvent utilisé lorsque l’alerte se déclenche sur une activité sans fichier. Pour plus d’informations sur la structure, consultez Entité de processus. |
Identificateurs forts d’une entité de programme malveillant
- Nom + Catégorie
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Fichier
Nom de l’entité : Fichier
| Champ | Type | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | Chemin d’accès complet au fichier. |
| Nom | String | Nom du fichier sans le chemin d’accès (certaines alertes peuvent ne pas inclure de chemin d’accès). |
| AlternateDataStreamName | String | Nom du flux de fichiers dans le système de fichiers NTFS (null pour le flux principal). |
| Host | Entité (hôte) | Hôte sur lequel le fichier a été stocké. |
| HostUrl | Entité (URL) | URL à partir de laquelle le fichier a été téléchargé (Marque du Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Sécurité Windows Zone à laquelle l’URL appartient (Marque du Web). |
| ReferrerUrl | Entité (URL) | URL du référent de la requête HTTP de téléchargement de fichier (Marque du Web). |
| SizeInBytes | Long? | Taille du fichier en octets. |
| FileHashes | Entité list<(FileHash)> | Hachages de fichier associés à ce fichier. |
Identificateurs forts d’une entité de fichier
- Nom + Répertoire
- Nom + FileHash
- Nom + Répertoire + FileHash
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Processus
Nom de l’entité : Processus
| Champ | Type | Description |
|---|---|---|
| Type | String | 'process' |
| Processid | String | ID de processus. |
| CommandLine | String | Ligne de commande utilisée pour créer le processus. |
| ElevationToken | Enum? | Jeton d’élévation associé au processus. Valeurs possibles : |
| CreationTimeUtc | Datetime? | Heure à laquelle le processus a commencé à s’exécuter. |
| Imagefile | Entité (fichier) | Peut contenir l’entité File inline ou comme référence. Pour plus d’informations sur la structure, consultez l’entité File . |
| Account | Entité (compte) | Compte exécutant les processus. Peut contenir l’entité Account inline ou comme référence. Pour plus d’informations sur la structure, consultez Entité de compte. |
| ParentProcess | Entité (processus) | Entité de processus parent. Peut contenir des données partielles, par exemple, uniquement le PID. |
| Host | Entité (hôte) | Hôte sur lequel le processus s’exécutait. |
| LogonSession | Entité (HostLogonSession) | Session dans laquelle le processus s’exécutait. |
Identificateurs forts d’une entité de processus
- Host + ProcessId + CreationTimeUtc
- Hôte + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificateurs faibles d’une entité de processus
- ProcessId + CreationTimeUtc + CommandLine (et aucun hôte)
- ProcessId + CreationTimeUtc + ImageFile (et aucun hôte)
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Application cloud
Nom de l’entité : CloudApplication
| Champ | Type | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| Appid | Int | Déconseillée; utilisez le champ SaasId à la place. Identificateur technique de l’application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur facultative. Ne doit pas contenir InstanceId. |
| SaasId | Int | Remplace le champ AppId déconseillé. Identificateur technique de l’application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur facultative. Ne doit pas contenir InstanceId. |
| Nom | String | Nom de l’application cloud associée. Valeur facultative. |
| Instancename | String | Nom de instance défini par l’utilisateur de l’application cloud. Il est souvent utilisé pour faire la distinction entre plusieurs applications du même type qu’un client. |
| InstanceId | Int | Identificateur de la session spécifique de l’application. Il s’agit d’un nombre en cours d’exécution de base zéro. Valeur facultative. |
| Risque | AppRisk ? | Vous permet de filtrer les applications par score de risque afin de pouvoir vous concentrer, par exemple, sur l’examen des applications à haut risque uniquement. Valeurs possibles telles que Faible, Moyen, Élevé ou Inconnu. |
| Stream | Flux | Source des journaux de découverte liés à l’application cloud spécifique. Facultatif. |
Identificateurs forts d’une entité d’application cloud
- AppId (sans InstanceName)
- Nom (sans InstanceName)
- AppId + InstanceName
- Nom + InstanceName
Liste des identificateurs d’application cloud
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Résolution DNS
Nom de l’entité : DNS
| Champ | Type | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | Nom de l’enregistrement DNS associé à l’alerte. |
| Ipaddress | Lister l’entité<(IP)> | Entités correspondant aux adresses IP résolues. |
| DnsServerIp | Entité (IP) | Entité représentant le serveur DNS qui résout la requête. |
| HostIpAddress | Entité (IP) | Entité représentant le client de requête DNS. |
Identificateurs forts d’une entité DNS
- DomainName + DnsServerIp + HostIpAddress
Identificateurs faibles d’une entité DNS
- DomainName + HostIpAddress
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Ressource Azure
Nom de l’entité : AzureResource
| Champ | Type | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | ID de ressource Azure de la ressource. Obligatoire. |
| Id d’abonnement | String | ID d’abonnement de la ressource. |
| ActiveContacts | Lister<ActiveContact> | Contacts actifs associés à la ressource. |
| ResourceType | String | Type de la ressource. |
| ResourceName | String | Nom de la ressource. |
Identificateurs forts d’une entité de ressource Azure
- ResourceId
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Hachage de fichier
Nom de l’entité : FileHash
| Champ | Type | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithme | Énum | Type d’algorithme de hachage. Obligatoire. Valeurs possibles : |
| Valeur | String | Valeur de hachage. Obligatoire. |
Identificateurs forts d’une entité de hachage de fichier
- Algorithme + valeur
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Clé du Registre
Nom de l’entité : RegistryKey
| Champ | Type | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | Une des valeurs suivantes : |
| Clé | String | Chemin d’accès de la clé de Registre. |
Identificateurs forts d’une entité de clé de Registre
- Hive + Clé
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Valeur de Registre
Nom de l’entité : RegistryValue
| Champ | Type | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Entité (hôte) | Hôte auquel appartient le Registre. |
| Clé | Entité (RegistryKey) | Entité de clé de Registre. |
| Nom | String | Nom de la valeur de Registre. |
| Valeur | String | Représentation sous forme de chaîne des données de valeur. |
| Valuetype | Enum? | Une des valeurs suivantes : Les valeurs doivent être conformes à l’énumération Microsoft.Win32.RegistryValueKind. |
Identificateurs forts d’une entité de valeur de Registre
- Clé + Nom
Identificateurs faibles d’une entité de valeur de Registre
- Nom (sans clé)
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Groupe de sécurité
Nom de l’entité : SecurityGroup
| Champ | Type | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | Nom unique du groupe. |
| SID | String | Attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe. |
| ObjectGuid | Guid? | Attribut à valeur unique qui est l’identificateur unique de l’objet, attribué par Active Directory. |
Identificateurs forts d’une entité de groupe de sécurité
- DistinguishedName
- SID
- ObjectGuid
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
URL
Nom de l’entité : URL
| Champ | Type | Description |
|---|---|---|
| Type | String | 'url' |
| Url | Uri | URL complète vers laquelle pointe l’entité. Obligatoire. |
Identificateurs forts d’une entité URL
- URL (** Cet identificateur est fort lorsque l’URL est une URL absolue.)
Identificateurs faibles d’une entité URL
- URL (** Cet identificateur est faible lorsque l’URL est une URL relative.)
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Appareil IoT
Nom de l’entité : IoTDevice
| Champ | Type | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entité (AzureResource) | Entité AzureResource représentant le IoT Hub auquel appartient l’appareil. |
| DeviceId | String | ID de l’appareil dans le contexte de l’IoT Hub. Obligatoire. |
| DeviceName | String | Nom convivial de l’appareil. |
| Propriétaires | Chaîne de liste<> | Propriétaires de l’appareil. |
| IoTSecurityAgentId | Guid? | ID de l’agent Defender pour IoT en cours d’exécution sur l’appareil. |
| DeviceType | String | Type de l’appareil ('capteur de température', 'congélateur', 'éolienne', etc.). |
| DeviceTypeId | String | ID unique permettant d’identifier chaque type d’appareil en fonction du schéma de type d’appareil, car le type d’appareil lui-même est un nom d’affichage et n’est pas fiable dans les comparaisons. Valeurs possibles : Non classé = 0 Divers = 1 Périphérique réseau = 2 Imprimante = 3 Audio et vidéo = 4 Médias et surveillance = 5 Communication = 7 Smart Appliance = 9 Station de travail = 10 Serveur = 11 Mobile = 12 Smart Facility = 13 Industriel = 14 Équipement opérationnel = 15 |
| Source | String | Source (Microsoft/Vendor) de l’entité d’appareil. |
| SourceRef | Entité (URL) | Référence d’URL à l’élément source où l’appareil est géré. |
| Fabricant | String | Fabricant de l’appareil. |
| Model | String | Modèle de l’appareil. |
| OperatingSystem | String | Système d’exploitation exécuté par l’appareil. |
| Ipaddress | Entité (IP) | Adresse IP actuelle de l’appareil. |
| MacAddress | String | Adresse MAC de l’appareil. |
| Nic | Entité (Nic) | Cartes réseau actuelles sur l’appareil. |
| Protocoles | Chaîne de liste<> | Liste des protocoles pris en charge par l’appareil. |
| SerialNumber | String | Numéro de série de l’appareil. |
| Site | String | Emplacement du site de l’appareil. |
| Zone | String | Emplacement de zone de l’appareil au sein d’un site. |
| Capteur | String | Capteur qui surveille l’appareil. |
| Importance | Enum? | Une des valeurs suivantes : |
| PurdueLayer | String | Couche Purdue de l’appareil. |
| IsProgramming | Bool? | Indique si l’appareil est classé comme appareil de programmation. |
| IsAuthorized | Bool? | Indique si l’appareil est classé comme appareil autorisé. |
| IsScanner | Bool? | Indique si l’appareil est classé comme périphérique scanneur. |
| DevicePageLink | Entité (URL) | URL de la page de l’appareil dans le portail Defender pour IoT. |
| DeviceSubType | String | Nom du sous-type d’appareil. |
Identificateurs forts d’une entité d’appareil IoT
- IoTHub + DeviceId
Identificateurs faibles d’une entité d’appareil IoT
- DeviceId (sans IoTHub)
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Boîte aux lettres
Nom de l’entité : Boîte aux lettres
| Champ | Type | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | Adresse principale de la boîte aux lettres. |
| DisplayName | String | Nom complet de la boîte aux lettres. |
| UPN | String | UPN de la boîte aux lettres. |
| AadId | String | Identificateur AD Azure de la boîte aux lettres de l’utilisateur. |
| RiskLevel | RiskLevel (Integer) | Niveau de risque de cette boîte aux lettres. Valeurs possibles : |
| ExternalDirectoryObjectId | Guid? | Identificateur AzureAD de la boîte aux lettres. Similaire à AadUserId dans l’entité Account, mais cette propriété est spécifique à l’objet de boîte aux lettres côté Office. |
Identificateurs forts d’une entité de boîte aux lettres
- MailboxPrimaryAddress
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Cluster de messagerie
Nom de l’entité : MailCluster
| Champ | Type | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | Chaîne IList<> | ID de message électronique qui font partie du cluster de messagerie. |
| CountByDeliveryStatus | IDictionary<String,Int> | Nombre de messages électroniques par représentation sous forme de chaîne DeliveryStatus. |
| CountByThreatType | IDictionary<String,Int> | Nombre de messages électroniques par représentation sous forme de chaîne ThreatType. |
| CountByProtectionStatus | Chaîne IDictionary<, long> | Nombre de messages par protection status représentation sous forme de chaîne. |
| CountByDeliveryLocation | Chaîne IDictionary<, long> | Nombre de messages électroniques par représentation de chaîne d’emplacement de remise. |
| Menaces | Chaîne IList<> | Les menaces relatives aux messages électroniques qui font partie du cluster de courriers. |
| Query | String | Requête utilisée pour identifier les messages du cluster de messagerie. |
| QueryTime | Datetime? | Heure de la requête. |
| MailCount | Int? | Nombre de messages électroniques qui font partie du cluster de messagerie. |
| IsVolumeAnomaly | Bool? | Indique si le cluster de messagerie est un cluster de messagerie d’anomalie de volume. |
| Source | String | Source du cluster de messagerie (la valeur par défaut est O365 ATP). |
Identificateurs forts d’une entité de cluster de messagerie
- Requête + Source
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Courrier électronique
Nom de l’entité : MailMessage
| Champ | Type | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | Entité IList<(fichier)> | Entités File des pièces jointes de ce message électronique. |
| Destinataire | String | Destinataire de ce message électronique. Dans le cas de plusieurs destinataires, le message électronique est copié et chaque copie a un destinataire. |
| URL | Chaîne IList<> | URL contenues dans ce message électronique. |
| Menaces | Chaîne IList<> | Menaces contenues dans ce message électronique. |
| Sender | String | Adresse e-mail de l’expéditeur. |
| SenderIP | String | Adresse IP de l’expéditeur. |
| ReceivedDate | DateTime | Date de réception de ce message. |
| NetworkMessageId | Guid? | ID de message réseau de ce message électronique. |
| InternetMessageId | String | ID de message Internet de ce message électronique. |
| Subject | String | Objet de ce message électronique. |
| AntispamDirection | Enum? | Direction de ce message électronique. Valeurs possibles : |
| DeliveryAction | Enum? | Action de remise de ce message électronique. Valeurs possibles : |
| DeliveryLocation | Enum? | Emplacement de remise de ce message électronique. Valeurs possibles : |
| CampaignId | String | Identificateur de la campagne dans laquelle ce message électronique est présent. |
| SuspiciousRecipients | Chaîne IList<> | Liste des destinataires détectés comme suspects. |
| ForwardedRecipients | Chaîne IList<> | Liste de tous les destinataires sur le courrier transféré. |
| ForwardingType | Chaîne IList<> | Type de transfert du courrier, tel que SMTP, ETR, etc. |
Identificateurs forts d’une entité de message électronique
- NetworkMessageId + Recipient
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Message d’envoi
Nom de l’entité : SubmissionMail
| Champ | Type | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | ID de soumission. |
| SubmissionDate | Datetime? | Date d’heure signalée pour cette soumission. |
| Submitter | String | Adresse e-mail de l’expéditeur. |
| NetworkMessageId | Guid? | ID de message réseau de l’e-mail auquel appartient la soumission. |
| Timestamp | Datetime? | Horodatage de réception du message (Courrier). |
| Destinataire | String | Destinataire de l’e-mail. |
| Sender | String | Expéditeur du courrier. |
| SenderIp | String | Adresse IP de l’expéditeur. |
| Subject | String | Objet du courrier de soumission. |
| -ReportType | String | Type de soumission pour le instance donné. Les valeurs possibles sont Junk, Phish, Malware ou NotJunk. |
Identificateurs forts d’une entité SubmissionMail
- SubmitId, Submitter, NetworkMessageId, Recipient
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Sentinel entités
| Champ | Type | Description |
|---|---|---|
| Entities | String | Liste des entités identifiées dans l’alerte. Cette liste est la colonne entités du schéma SecurityAlert (voir la documentation). |
Retour à la liste des schémas | de type d’entitéRevenir à la table des identificateurs d’entité
Identificateurs d’application cloud
La liste suivante définit des identificateurs pour les applications cloud connues. La valeur ID d’application est utilisée comme identificateur d’entité d’application cloud .
| ID de l’application | Nom |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive Entreprise |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Cycle de vie Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype Entreprise |
| 25988 | Google Docs |
| 26055 | Centre d’administration Microsoft 365 |
| 26060 | Engrenages OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Identifiant Microsoft Entra |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | Émulateur de proxy CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Étapes suivantes
Dans ce document, vous avez découvert la structure d’entité, les identificateurs et le schéma dans Microsoft Sentinel.
En savoir plus sur les entités et le mappage d’entités.