Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo documento contiene due set di informazioni relative a entità e tipi di entità in Microsoft Sentinel nel portale di Azure e Microsoft Sentinel nel portale di Defender.
- La tabella Tipi di entità e identificatori mostra i diversi tipi di entità che possono essere identificati in avvisi e eventi imprevisti, consentendo di monitorarli e analizzarli. La tabella mostra anche, per ogni tipo di entità, i diversi identificatori che possono essere usati per identificare un'entità.
- La sezione Schema di entità mostra la struttura dei dati e lo schema per le entità in generale e per ogni tipo di entità in particolare.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Tipi di entità e identificatori
La tabella seguente illustra i tipi di entità che possono essere riconosciuti da Microsoft Sentinel e gli attributi che possono essere usati come identificatori per ogni tipo di entità.
Microsoft Sentinel riconosce le entità negli avvisi e negli eventi imprevisti creati dal mapping delle entità nelle regole di analisi. Riconosce anche le entità già identificate negli avvisi inseriti da altre origini.
È attualmente possibile usare fino a tre identificatori per una determinata entità durante la creazione di un mapping di entità in Microsoft Sentinel. Solo gli identificatori sicuri sono sufficienti per identificare in modo univoco un'entità, mentre gli identificatori deboli possono farlo solo in combinazione con altri identificatori. Altre informazioni sugli identificatori sicuri e deboli. La maggior parte ma non tutti gli identificatori di questa tabella possono essere usati durante la creazione di mapping di entità in Microsoft Sentinel (vedere note a piè di pagina).
| Tipo di entità | Identificatori | Identificatori sicuri | Identificatori deboli |
|---|---|---|---|
| Account | Nome Fullname* NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* Objectguid |
Nome+UPNSuffix AADUserId Sid ** Sid+Host** Nome+Host+NTDomain ** Nome+NTDomain ** Nome+DnsDomain PUID Objectguid |
Nome |
| Host | DnsDomain NTDomain HostName Fullname* NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Tipo di entità | Identificatori | Identificatori sicuri | Identificatori deboli |
| IP | Indirizzo AddressScope |
Indirizzo globale: Indirizzo** Indirizzo privato: Address+AddressScope** |
Indirizzo privato: Indirizzo** |
| URL | Url | URL (se URL assoluto)** | URL (se URL relativo)** |
|
Azure risorsa (AzureResource) |
Resourceid | Resourceid | |
|
Applicazione cloud (CloudApplication) |
Appid Nome Instancename |
Appid Nome AppId+InstanceName Nome+NomeIstanza |
|
|
Risoluzione DNS (DNS) |
Domainname | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Nome |
Directory+Nome | |
|
Hash del file (FileHash) |
Algoritmo Valore |
Algoritmo+Valore | |
| Malware | Nome Categoria |
Nome+Categoria | |
| Tipo di entità | Identificatori | Identificatori sicuri | Identificatori deboli |
| Procedura | Processid Commandline ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Riga di comando (nessun host) ProcessId+CreationTimeUtc+ ImageFile (nessun host) |
|
Chiave del Registro di sistema (RegistryKey) |
Alveare Chiave |
Hive+Key | |
|
Valore del Registro di sistema (RegistryValue) |
Name Valore Valuetype |
Chiave+Nome | Nome (nessuna chiave) |
|
Gruppo di sicurezza (SecurityGroup) |
DistinguishedName SID Objectguid |
DistinguishedName SID Objectguid |
|
| Cassetta postale | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Tipo di entità | Identificatori | Identificatori sicuri | Identificatori deboli |
|
Cluster di posta elettronica (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Minacce Query QueryTime MailCount IsVolumeAnomaly Origine ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Origine | |
|
Messaggio di posta elettronica (MailMessage) |
Destinatario Url Minacce Mittente P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Oggetto BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Lingua* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Posta elettronica invio (SubmissionMail) |
NetworkMessageId Data e ora Destinatario Mittente SenderIp Oggetto ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Destinatario+Invia |
|
| Sentinel entità | Entità | Entità |
Note a piè di pagina della tabella:
- * Questi identificatori vengono visualizzati nell'elenco degli identificatori che possono essere usati nel mapping delle entità, ma in senso stretto non fanno parte dello schema di entità.
- ** Questi identificatori sono considerati sicuri solo in determinate condizioni. Seguire i collegamenti degli asterischi per visualizzare le condizioni applicabili, nell'elenco dell'entità pertinente nella sezione relativa agli schemi di entità riportata di seguito.
- I nomi degli identificatori in corsivo (senza un asterisco) rappresentano entità interne, il che significa che un tipo di entità può avere altri tipi di entità come attributi (vedere la sezione schemi di entità riportata di seguito). Seguire il collegamento dell'identificatore per visualizzare lo schema dell'entità interna.
- Altre entità possono essere presenti nello schema, ovvero uno schema generale che supporta molti elementi oltre a Microsoft Sentinel. In questo articolo sono elencate solo le entità disponibili in Microsoft Sentinel.
Schemi dei tipi di entità
La sezione seguente contiene un'analisi più approfondita degli schemi completi di ogni tipo di entità. Si noterà che molti di questi schemi includono collegamenti ad altri tipi di entità. Ad esempio, lo schema account include un collegamento al tipo di entità Host, poiché un attributo di un account utente è l'host in cui è definito. Queste entità come attributi sono note come "entità interne" e non possono essere usate come identificatori per il mapping delle entità, ma sono molto utili per fornire un quadro completo delle entità nelle pagine delle entità e nel grafico di analisi.
Nota
Un punto interrogativo che segue il valore nella colonna Tipo indica che il campo è nullable.
Elenco di schemi dei tipi di entità
- Account
- Host
- IP
- Malware
- File
- Procedura
- Applicazione cloud
- Risoluzione DNS
- Azure risorsa
- Hash del file
- Chiave del Registro di sistema
- Valore del Registro di sistema
- Gruppo di sicurezza
- URL
- Dispositivo IoT
- Cassetta postale
- Cluster di posta elettronica
- Messaggio di posta elettronica
- Posta elettronica invio
- Sentinel entità
Account
Nome entità: Account
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'account' |
| Nome | Stringa | Nome dell'account. Questo campo deve contenere solo il prefisso UPN (User Principal Name) senza che sia stato aggiunto alcun dominio. Esempio: Per l'UPN user@contoso.com, questo campo contiene solo user. |
| Fullname | -- | Non fa parte dello schema, incluso per la compatibilità con le versioni precedenti del mapping delle entità. |
| NTDomain | Stringa | Nome di dominio NETBIOS visualizzato nel formato di avviso: dominio\nomeutente. Esempi: Finance, NT AUTHORITY |
| DnsDomain | Stringa | Nome DNS di dominio completo. Esempio: finance.contoso.com |
| UPNSuffix | Stringa | Suffisso del nome dell'entità utente per l'account. In molti casi il suffisso UPN è anche il nome di dominio. Esempio: contoso.com |
| Host | Entità (host) | Host che contiene l'account, se si tratta di un account locale. |
| Sid | Stringa | Identificatore di sicurezza dell'account. |
| AadTenantId | Guid? | Id tenant Microsoft Entra, se noto. |
| AadUserId | Guid? | ID oggetto account Microsoft Entra, se noto. |
| PUID | Guid? | L'ID utente Microsoft Entra Passport, se noto. |
| IsDomainJoined | Bool? | Indica se l'account è un account di dominio. |
| DisplayName | -- | Non fa parte dello schema, incluso per la compatibilità con le versioni precedenti del mapping delle entità. |
| Objectguid | Guid? | L'attributo objectGUID è un attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
| CloudAppAccountId | Stringa | AccountID negli avvisi del provider CloudApp. Si riferisce agli ID account nelle app di terze parti non supportate in altri prodotti Microsoft. |
| IsAnonymized | Bool? | Indica se il nome utente è anonimizzato. Facoltativo. Valore predefinito: false. |
| Stream | Stream | Origine dei log di individuazione correlati all'account specifico. Facoltativo. |
Importante
A partire dal 1° luglio 2026, il campo Nome conterrà in modo coerente solo il prefisso UPN per tutti gli account. In precedenza, a volte poteva contenere l'UPN completo. Se si dispone di regole di automazione, playbook o query che confrontano Name con un valore UPN completo (ad esempio user@contoso.com), aggiornarle per ricostruire il valore completo da Name + UPNSuffix (o il campo di dominio pertinente) o usare altri dati disponibili.
Identificatori sicuri di un'entità account
- Nome + UPNSuffix
- AadUserId
-
Sid
** Questo identificatore è sicuro purché l'account non sia uno degli account predefiniti elencati nella nota seguente. -
Sid + Host
** Quando l'account è uno degli account predefiniti elencati nella nota seguente, il componente Host è necessario per rendere questo identificatore sicuro. -
Nome + NTDomain
** Questa combinazione è un identificatore sicuro quando l'account è un account di dominio, poiché NTDomain non è un dominio/gruppo di lavoro predefinito ed è diverso dal nome host. In questo caso, si tratta di un identificatore sicuro anche senza il componente Host. -
Nome + NTDomain + Host
** Il componente Host è necessario per creare un identificatore sicuro quando l'account è un account locale, il che significa che NTDomain è un dominio o un gruppo di lavoro predefinito. - Nome + DnsDomain
- PUID
- Objectguid
Identificatori deboli di un'entità account
- Nome
Nota
Se l'entità Account viene definita usando l'identificatore Name e il valore Name di una particolare entità è uno dei nomi di account generici predefiniti seguenti, tale entità verrà eliminata dal relativo avviso.
- ADMIN
- AMMINISTRATORE
- SYSTEM
- RADICE
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Host
Nome entità: Host
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'host' |
| IpInterfaces | Entità elenco<(Ip)> | Elenco di tutte le interfacce IP nel computer host. |
| DnsDomain | Stringa | Dominio DNS a cui appartiene l'host. Deve contenere il suffisso DNS completo per il dominio, se noto. |
| NTDomain | Stringa | Dominio NT a cui appartiene l'host. |
| HostName | Stringa | Nome host senza il suffisso di dominio. |
| NetBiosName | Stringa | Nome host (pre-Windows 2000). |
| IoTDevice | Entità (dispositivo IoT) | Entità dispositivo IoT (se questo host rappresenta un dispositivo IoT). |
| AzureID | Stringa | Il Azure ID risorsa della macchina virtuale, se noto. |
| OMSAgentID | Stringa | ID dell'agente OMS, se l'host ha installato l'agente OMS. |
| OSFamily | Enum? | Uno dei valori seguenti: |
| OSVersion | Stringa | Rappresentazione in testo libero del sistema operativo. Questo campo è destinato a contenere versioni specifiche in cui sono più granulari rispetto a OSFamily oppure i valori futuri non supportati dall'enumerazione OSFamily. |
| IsDomainJoined | Valore booleano | Indica se l'host appartiene a un dominio. |
Identificatori sicuri di un'entità host
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificatori deboli di un'entità host
- HostName
- NetBiosName
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
IP
Nome entità: IP
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'ip' |
| Indirizzo | Stringa | Indirizzo IP come stringa (in IPv4 o IPv6). Esempi: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Stringa | Nome dell'host, della subnet o della rete privata per indirizzi IP privati non globali. Null o vuoto per gli indirizzi IP globali (impostazione predefinita). Esempi: /27, 255.255.255.128 |
| Posizione | Geolocalizzazione | Contesto di posizione geografica collegato all'entità IP. Per altre informazioni, vedere anche Arricchire le entità in Microsoft Sentinel con i dati di georilevazione tramite l'API REST (anteprima pubblica).For more information, see also Enrich entities in Microsoft Sentinel with geolocation data via REST API (Public preview). |
| Stream | Stream | Origine dei log di individuazione correlati all'INDIRIZZO IP specifico. Facoltativo. |
Identificatori sicuri di un'entità IP
-
Indirizzo
Quando l'indirizzo IP è un indirizzo globale, l'identificatore dell'indirizzo è di per sé un identificatore univoco e sicuro. -
Indirizzo + AddressScope
Per gli indirizzi IP privati/interni non globali, il componente AddressScope è necessario per rendere questo identificatore sicuro.
Identificatori deboli di un'entità IP
-
Indirizzo
L'identificatore di indirizzo è di per sé un identificatore debole quando l'indirizzo IP è un indirizzo IP privato/interno non globale.
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Malware
Nome entità: Malware
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'malware' |
| Nome | Stringa | Nome del malware assegnato dal fornitore (rilevamento?), ad Win32/Toga!rfnesempio . |
| Categoria | Stringa | La categoria di malware assegnata dal fornitore (rilevamento?), ad esempio. Trojan. |
| File | Entità elenco<(file)> | Elenco di entità file collegate in cui è stato trovato il malware. Può contenere le entità file inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità File . |
| Processi | Entità elenco<(processo)> | Elenco di entità del processo collegato in cui è stato trovato il malware. Questo viene spesso usato quando l'avviso viene attivato sull'attività senza file. Per altri dettagli sulla struttura, vedere l'entità Processo . |
Identificatori sicuri di un'entità malware
- Nome e categoria
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
File
Nome entità: File
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'file' |
| Directory | Stringa | Percorso completo del file. |
| Nome | Stringa | Nome del file senza il percorso (alcuni avvisi potrebbero non includere il percorso). |
| AlternateDataStreamName | Stringa | Nome del flusso di file nel file system NTFS (null per il flusso principale). |
| Host | Entità (host) | Host in cui è stato archiviato il file. |
| HostUrl | Entità (URL) | URL da cui è stato scaricato il file (Contrassegno del Web). |
| WindowsSecurityZoneType | WindowsSecurityZone | Sicurezza di Windows zona a cui appartiene l'URL (Contrassegno del Web). |
| ReferrerUrl | Entità (URL) | URL del referrer della richiesta HTTP di download del file (Contrassegno del Web). |
| SizeInBytes | Lungo? | Dimensioni del file in byte. |
| FileHashes | Entità Elenco<(FileHash)> | Hash del file associati a questo file. |
Identificatori sicuri di un'entità file
- Nome e directory
- Nome + FileHash
- Nome + Directory + FileHash
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Procedura
Nome entità: Processo
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'process' |
| Processid | Stringa | ID processo. |
| Commandline | Stringa | Riga di comando utilizzata per creare il processo. |
| ElevationToken | Enum? | Token di elevazione associato al processo. Valori possibili: |
| CreationTimeUtc | Datetime? | Ora di avvio dell'esecuzione del processo. |
| ImageFile | Entità (file) | Può contenere l'entità File inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità File . |
| Account | Entità (account) | Account che esegue i processi. Può contenere l'entità Account inline o come riferimento. Per altri dettagli sulla struttura, vedere l'entità Account . |
| ParentProcess | Entità (processo) | Entità del processo padre. Può contenere dati parziali, ad esempio solo il PID. |
| Host | Entità (host) | Host in cui era in esecuzione il processo. |
| LogonSession | Entità (HostLogonSession) | Sessione in cui è stato eseguito il processo. |
Identificatori sicuri di un'entità processo
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificatori deboli di un'entità di processo
- ProcessId + CreationTimeUtc + CommandLine (e nessun host)
- ProcessId + CreationTimeUtc + ImageFile (e nessun host)
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Applicazione cloud
Nome entità: CloudApplication
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'cloud-application' |
| Appid | Soglia | Deprecato; usare invece il campo SaasId. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco degli identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId. |
| SaasId | Soglia | Sostituisce il campo AppId deprecato. Identificatore tecnico dell'applicazione. I valori possibili sono quelli definiti nell'elenco degli identificatori di applicazione cloud. Valore facoltativo. Non deve contenere InstanceId. |
| Nome | Stringa | Nome dell'applicazione cloud correlata. Valore facoltativo. |
| Instancename | Stringa | Nome dell'istanza definita dall'utente dell'applicazione cloud. Viene spesso usato per distinguere tra più applicazioni dello stesso tipo di un cliente. |
| Instanceid | Soglia | Identificatore della sessione specifica dell'applicazione. Si tratta di un numero in esecuzione in base zero. Valore facoltativo. |
| Fattore di rischio | AppRisk? | Consente di filtrare le app in base al punteggio di rischio in modo da potersi concentrare, ad esempio, sulla revisione solo delle app a rischio elevato. Valori possibili, ad esempio Basso, Medio, Alto o Sconosciuto. |
| Stream | Stream | Origine dei log di individuazione correlati all'app cloud specifica. Facoltativo. |
Identificatori sicuri di un'entità applicazione cloud
- AppId (senza InstanceName)
- Nome (senza InstanceName)
- AppId + InstanceName
- Nome + NomeIstanza
Elenco di identificatori dell'applicazione cloud
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Risoluzione DNS
Nome entità: DNS
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'dns' |
| Domainname | Stringa | Nome del record DNS associato all'avviso. |
| Ipaddress | Entità elenco<(IP)> | Entità corrispondenti agli indirizzi IP risolti. |
| DnsServerIp | Entità (IP) | Entità che rappresenta il server DNS che risolve la richiesta. |
| HostIpAddress | Entità (IP) | Entità che rappresenta il client di richiesta DNS. |
Identificatori sicuri di un'entità DNS
- DomainName + DnsServerIp + HostIpAddress
Identificatori deboli di un'entità DNS
- DomainName + HostIpAddress
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Azure risorsa
Nome entità: AzureResource
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'azure-resource' |
| Resourceid | Stringa | ID risorsa Azure della risorsa. Obbligatorio. |
| Subscriptionid | Stringa | ID sottoscrizione della risorsa. |
| ActiveContacts | List<ActiveContact> | Contatti attivi associati alla risorsa. |
| ResourceType | Stringa | Tipo della risorsa. |
| Resourcename | Stringa | Nome della risorsa. |
Identificatori sicuri di un'entità risorsa Azure
- Resourceid
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Hash del file
Nome entità: FileHash
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'filehash' |
| Algoritmo | Enum | Tipo di algoritmo hash. Obbligatorio. Valori possibili: |
| Valore | Stringa | Valore hash. Obbligatorio. |
Identificatori sicuri di un'entità hash di file
- Algoritmo + valore
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Chiave del Registro di sistema
Nome entità: RegistryKey
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'registry-key' |
| Hive | Enum? | Uno dei valori seguenti: |
| Chiave | Stringa | Percorso della chiave del Registro di sistema. |
Identificatori sicuri di un'entità chiave del Registro di sistema
- Hive + Chiave
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Valore del Registro di sistema
Nome entità: RegistryValue
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'registry-value' |
| Host | Entità (host) | Host a cui appartiene il Registro di sistema. |
| Chiave | Entity (RegistryKey) | Entità della chiave del Registro di sistema. |
| Nome | Stringa | Nome del valore del Registro di sistema. |
| Valore | Stringa | Rappresentazione in formato stringa dei dati del valore. |
| Valuetype | Enum? | Uno dei valori seguenti: I valori devono essere conformi all'enumerazione Microsoft.Win32.RegistryValueKind. |
Identificatori sicuri di un'entità valore del Registro di sistema
- Chiave e nome
Identificatori deboli di un'entità valore del Registro di sistema
- Nome (senza chiave)
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Gruppo di sicurezza
Nome entità: SecurityGroup
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'security-group' |
| DistinguishedName | Stringa | Nome distinto del gruppo. |
| SID | Stringa | Attributo a valore singolo che specifica l'identificatore di sicurezza (SID) del gruppo. |
| Objectguid | Guid? | Attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Active Directory. |
Identificatori sicuri di un'entità del gruppo di sicurezza
- DistinguishedName
- SID
- Objectguid
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
URL
Nome entità: URL
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'url' |
| Url | Uri | URL completo a cui punta l'entità. Obbligatorio. |
Identificatori sicuri di un'entità URL
- URL (** Questo identificatore è sicuro quando l'URL è un URL assoluto.
Identificatori deboli di un'entità URL
- URL (** Questo identificatore è debole quando l'URL è un URL relativo).
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Dispositivo IoT
Nome entità: IoTDevice
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'iotdevice' |
| IoTHub | Entità (AzureResource) | Entità AzureResource che rappresenta l'hub IoT a cui appartiene il dispositivo. |
| DeviceId | Stringa | ID del dispositivo nel contesto del hub IoT. Obbligatorio. |
| DeviceName | Stringa | Nome descrittivo del dispositivo. |
| Proprietari | Stringa elenco<> | Proprietari del dispositivo. |
| IoTSecurityAgentId | Guid? | ID dell'agente Defender per IoT in esecuzione nel dispositivo. |
| Devicetype | Stringa | Tipo del dispositivo ('sensore di temperatura', 'freezer', 'turbina eolica', ecc.). |
| DeviceTypeId | Stringa | ID univoco per identificare ogni tipo di dispositivo in base allo schema del tipo di dispositivo, in quanto il tipo di dispositivo stesso è un nome visualizzato e non è affidabile nei confronti. Valori possibili: Non classificato = 0 Varie = 1 Dispositivo di rete = 2 Stampante = 3 Audio e video = 4 Media e sorveglianza = 5 Comunicazione = 7 Smart Appliance = 9 Workstation = 10 Server = 11 Mobile = 12 Smart Facility = 13 Industriale = 14 Apparecchiature operative = 15 |
| Source | Stringa | Origine (Microsoft/Vendor) dell'entità del dispositivo. |
| SourceRef | Entità (URL) | Riferimento URL all'elemento di origine in cui viene gestito il dispositivo. |
| Produttore | Stringa | Produttore del dispositivo. |
| Modello | Stringa | Modello del dispositivo. |
| OperatingSystem | Stringa | Sistema operativo in esecuzione del dispositivo. |
| Ipaddress | Entità (IP) | Indirizzo IP corrente del dispositivo. |
| MacAddress | Stringa | Indirizzo MAC del dispositivo. |
| Nic | Entità (Nic) | Schede di interfaccia di rete correnti nel dispositivo. |
| Protocolli | Stringa elenco<> | Elenco di protocolli supportati dal dispositivo. |
| Serialnumber | Stringa | Numero di serie del dispositivo. |
| Site | Stringa | Posizione del sito del dispositivo. |
| Zone | Stringa | Posizione della zona del dispositivo all'interno di un sito. |
| Sensore | Stringa | Sensore che monitora il dispositivo. |
| Priorità | Enum? | Uno dei valori seguenti: |
| PurdueLayer | Stringa | Livello Purdue del dispositivo. |
| IsProgramming | Bool? | Indica se il dispositivo è classificato come dispositivo di programmazione. |
| Isauthorized | Bool? | Indica se il dispositivo è classificato come dispositivo autorizzato. |
| IsScanner | Bool? | Indica se il dispositivo è classificato come dispositivo scanner. |
| DevicePageLink | Entità (URL) | URL della pagina del dispositivo nel portale di Defender per IoT. |
| DeviceSubType | Stringa | Nome del sottotipo del dispositivo. |
Identificatori sicuri di un'entità dispositivo IoT
- IoTHub + DeviceId
Identificatori deboli di un'entità dispositivo IoT
- DeviceId (senza IoTHub)
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Cassetta postale
Nome entità: Cassetta postale
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'cassetta postale' |
| MailboxPrimaryAddress | Stringa | Indirizzo primario della cassetta postale. |
| DisplayName | Stringa | Nome visualizzato della cassetta postale. |
| Upn | Stringa | UPN della cassetta postale. |
| AadId | Stringa | L'identificatore ad Azure della cassetta postale dell'utente. |
| RiskLevel | RiskLevel (Integer) | Livello di rischio della cassetta postale. Valori possibili: |
| ExternalDirectoryObjectId | Guid? | Identificatore di AzureAD della cassetta postale. Simile a AadUserId nell'entità Account, ma questa proprietà è specifica dell'oggetto cassetta postale sul lato Office. |
Identificatori sicuri di un'entità cassetta postale
- MailboxPrimaryAddress
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Cluster di posta elettronica
Nome entità: MailCluster
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'mail-cluster' |
| NetworkMessageIds | Stringa IList<> | ID messaggio di posta elettronica che fanno parte del cluster di posta elettronica. |
| CountByDeliveryStatus | Stringa IDictionary,Int<> | Numero di messaggi di posta elettronica in base alla rappresentazione di stringa DeliveryStatus. |
| CountByThreatType | Stringa IDictionary,Int<> | Numero di messaggi di posta elettronica per rappresentazione di stringa ThreatType. |
| CountByProtectionStatus | Stringa IDictionary,long<> | Numero di messaggi di posta elettronica in base alla rappresentazione della stringa di stato di protezione. |
| CountByDeliveryLocation | Stringa IDictionary,long<> | Conteggio dei messaggi di posta elettronica in base alla rappresentazione della stringa del percorso del recapito. |
| Minacce | Stringa IList<> | Minacce dei messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
| Query | Stringa | Query utilizzata per identificare i messaggi del cluster di posta elettronica. |
| QueryTime | Datetime? | Tempo di query. |
| MailCount | Int? | Numero di messaggi di posta elettronica che fanno parte del cluster di posta elettronica. |
| IsVolumeAnomaly | Bool? | Indica se il cluster di posta elettronica è un cluster di posta elettronica con anomalie del volume. |
| Source | Stringa | L'origine del cluster di posta elettronica (l'impostazione predefinita è O365 ATP). |
Identificatori sicuri di un'entità cluster di posta elettronica
- Query e origine
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Messaggio di posta elettronica
Nome entità: MailMessage
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'mail-message' |
| File | Entità IList<(file)> | Entità file degli allegati del messaggio di posta elettronica. |
| Destinatario | Stringa | Destinatario del messaggio di posta elettronica. Nel caso di più destinatari, il messaggio di posta elettronica viene copiato e ogni copia ha un destinatario. |
| Url | Stringa IList<> | URL contenuti in questo messaggio di posta elettronica. |
| Minacce | Stringa IList<> | Le minacce contenute in questo messaggio di posta elettronica. |
| Mittente | Stringa | Indirizzo di posta elettronica del mittente. |
| SenderIP | Stringa | Indirizzo IP del mittente. |
| ReceivedDate | DateTime | Data di ricezione del messaggio. |
| NetworkMessageId | Guid? | ID del messaggio di rete di questo messaggio di posta elettronica. |
| InternetMessageId | Stringa | ID messaggio Internet di questo messaggio di posta elettronica. |
| Oggetto | Stringa | Oggetto del messaggio di posta elettronica. |
| AntispamDirection | Enum? | Direzionalità del messaggio di posta elettronica. Valori possibili: |
| DeliveryAction | Enum? | Azione di recapito del messaggio di posta elettronica. Valori possibili: |
| DeliveryLocation | Enum? | Percorso di recapito del messaggio di posta elettronica. Valori possibili: |
| CampaignId | Stringa | Identificatore della campagna in cui è presente questo messaggio di posta elettronica. |
| SuspiciousRecipients | Stringa IList<> | Elenco di destinatari rilevati come sospetti. |
| ForwardedRecipients | Stringa IList<> | Elenco di tutti i destinatari nella posta inoltrata. |
| ForwardingType | Stringa IList<> | Tipo di inoltro del messaggio, ad esempio SMTP, ETR e così via. |
Identificatori sicuri di un'entità messaggio di posta elettronica
- NetworkMessageId + Recipient
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Posta elettronica invio
Nome entità: SubmissionMail
| Campo | Tipo | Descrizione |
|---|---|---|
| Tipo | Stringa | 'SubmissionMail' |
| SubmissionId | Guid? | ID invio. |
| SubmissionDate | Datetime? | Data e ora segnalate per l'invio. |
| Submitter | Stringa | Indirizzo di posta elettronica dell'inviatore. |
| NetworkMessageId | Guid? | ID messaggio di rete del messaggio di posta elettronica a cui appartiene l'invio. |
| Data e ora | Datetime? | Timestamp al momento della ricezione del messaggio (Mail). |
| Destinatario | Stringa | Destinatario del messaggio di posta elettronica. |
| Mittente | Stringa | Mittente della posta elettronica. |
| SenderIp | Stringa | INDIRIZZO IP del mittente. |
| Oggetto | Stringa | Oggetto della posta in arrivo. |
| ReportType | Stringa | Tipo di invio per l'istanza specificata. I valori possibili sono Junk, Phish, Malware o NotJunk. |
Identificatori sicuri di un'entità SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Recipient
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Sentinel entità
| Campo | Tipo | Descrizione |
|---|---|---|
| Entità | Stringa | Elenco delle entità identificate nell'avviso. Questo elenco è la colonna delle entità dello schema SecurityAlert (vedere la documentazione). |
Torna all'elenco degli schemi | del tipo di entitàTornare alla tabella degli identificatori di entità
Identificatori dell'applicazione cloud
L'elenco seguente definisce gli identificatori per le applicazioni cloud note. Il valore dell'ID app viene usato come identificatore di entità dell'applicazione cloud .
| App ID | Nome |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | D' accordo |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Ciclo di vita di Autodesk Fusion |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Interfaccia di amministrazione di Microsoft 365 |
| 26060 | Ingranaggi OPSWAT |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | Emulatore proxy CAS |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Passaggi successivi
In questo documento sono stati illustrati la struttura delle entità, gli identificatori e lo schema in Microsoft Sentinel.
Altre informazioni sulle entità e sul mapping delle entità.