この記事には、自動化ルールの構成と、サポートされている条件とプロパティに関するリファレンス情報が含まれています。
自動化ルールの詳細については、「自動化ルールを使用したMicrosoft Sentinelでの脅威対応の自動化」を参照してください。
自動化ルールの作成、管理、および使用の手順については、「Microsoft Sentinel自動化ルールを作成して使用して応答を管理する」を参照してください。
サポートされているエンティティ プロパティ
自動化ルールの条件として、次のエンティティとエンティティ プロパティを使用できます。
次の表は、オートメーション ルール API でサポートされているエンティティ プロパティを示しています。 これらは、オートメーション ルールをトリガーするための条件として設定できる値を持つエンティティ プロパティです。
インシデント プロパティを含むサポートされるプロパティの完全な一覧については、Automation ルール API ドキュメントの「Automation ルール プロパティ条件でサポートされるプロパティ」を参照してください。
| 名前 (API 内) |
型 |
説明 |
| AccountAadTenantId |
string |
アカウントMicrosoft Entra IDテナント ID |
| AccountAadUserId |
string |
アカウントMicrosoft Entra IDユーザー ID |
| AccountName |
string |
アカウント名 |
| AccountNTDomain |
string |
アカウント NetBIOS ドメイン名 |
| AccountPUID |
string |
Passport ユーザー ID Microsoft Entra IDアカウント |
| AccountSid |
string |
アカウントのセキュリティ識別子 |
| AccountObjectGuid |
string |
アカウント オブジェクトの一意識別子 |
| AccountUPNSuffix |
string |
アカウント ユーザー プリンシパル名サフィックス |
| AzureResourceResourceId |
string |
Azure リソース ID |
| AzureResourceSubscriptionId |
string |
Azure リソース サブスクリプション ID |
| CloudApplicationAppId |
string |
クラウド アプリケーション識別子 |
| CloudApplicationAppName |
string |
クラウド アプリケーション名 |
| DNSDomainName |
string |
dns レコード ドメイン名 |
| FileDirectory |
string |
ファイル ディレクトリの完全パス |
| FileName |
string |
パスのないファイル名 |
| FileHashValue |
string |
ファイル ハッシュ値 |
| HostAzureID |
string |
ホスト Azure リソース ID |
| HostName |
string |
ドメインのないホスト名 |
| HostNetBiosName |
string |
ホスト NetBIOS 名 |
| HostNTDomain |
string |
ホスト NT ドメイン |
| HostOSVersion |
string |
ホスト オペレーティング システム |
| IoTDeviceId |
string |
IoT デバイス ID |
| IoTDeviceName |
string |
IoT デバイス名 |
| IoTDeviceType |
string |
IoT デバイスの種類 |
| IoTDeviceVendor |
string |
IoT デバイス ベンダー |
| IoTDeviceModel |
string |
IoT デバイス モデル |
| IoTDeviceOperatingSystem |
string |
IoT デバイス オペレーティング システム |
| IPAddress |
string |
IP アドレス |
| MailboxDisplayName |
string |
メールボックスの表示名 |
| MailboxPrimaryAddress |
string |
メールボックスのプライマリ アドレス |
| MailboxUPN |
string |
メールボックス ユーザー プリンシパル名 |
| MailMessageDeliveryAction |
string |
メール メッセージ配信アクション |
| MailMessageDeliveryLocation |
string |
メール メッセージの配信場所 |
| MailMessageRecipient |
string |
メール メッセージの受信者 |
| MailMessageSenderIP |
string |
メール メッセージ送信者の IP アドレス |
| MailMessageSubject |
string |
メール メッセージの件名 |
| MailMessageP1Sender |
string |
メール メッセージ P1 送信者 (委任された送信者) |
| MailMessageP2Sender |
string |
メール メッセージ P2 送信者 (元の送信者) |
| MalwareCategory |
string |
マルウェア カテゴリ |
| MalwareName |
string |
マルウェア名 |
| ProcessCommandLine |
string |
プロセス実行コマンド ライン |
| ProcessId |
string |
プロセス ID |
| Registrykey |
string |
レジストリ キー のパス |
| RegistryValueData |
string |
文字列形式の表現のレジストリ キー値 |
| Url |
string |
URL |
次の表は、オートメーション ルール作成ウィザードの条件ドロップダウンに 、Automation ルール API でサポートされているエンティティ プロパティがどのように表示されるかを示しています。 また、これらのプロパティが、Microsoft Sentinelセキュリティ アラートで定義されているエンティティとその識別子にマップされる方法も示します。
| API の名前 |
[UI] ドロップダウンの [名前] |
エンティティ: V3 アラート スキーマの識別子 |
| AccountAadTenantId |
アカウント テナント ID |
アカウント: AadTenantId |
| AccountAadUserId |
アカウント AAD ユーザー ID |
アカウント: AadUserId |
| AccountName |
アカウント名 |
アカウント: 名前 |
| AccountNTDomain |
アカウント NT ドメイン |
アカウント: NTDomain |
| AccountPUID |
アカウント PUID |
アカウント: PUID |
| AccountSid |
アカウント SID |
アカウント: Sid |
| AccountObjectGuid |
アカウント オブジェクト ID |
アカウント: ObjectGuid |
| AccountUPNSuffix |
アカウント UPN サフィックス |
アカウント: UPNSuffix |
| AzureResourceResourceId |
リソース ID のAzure |
AzureResource: ResourceId |
| AzureResourceSubscriptionId |
Azure リソース サブスクリプション ID |
AzureResource: SubscriptionId |
| CloudApplicationAppId |
クラウド アプリケーション ID |
CloudApplication: AppId |
| CloudApplicationAppName |
クラウド アプリケーション名 |
CloudApplication: 名前 |
| DNSDomainName |
DNS ドメイン名 |
DNS: DomainName |
| FileDirectory |
ファイル ディレクトリ |
ファイル: ディレクトリ |
| FileName |
ファイル名 |
ファイル: 名前 |
| FileHashValue |
ファイル ハッシュ |
FileHash: 値 |
| HostAzureID |
ホスト Azure ID |
ホスト: AzureID |
| HostName |
ホスト名 |
Host: HostName |
| HostNetBiosName |
ホスト NetBIOS 名 |
ホスト: NetBiosName |
| HostNTDomain |
ホスト NT ドメイン |
ホスト: NTDomain |
| HostOSVersion |
ホスト オペレーティング システム |
ホスト: OSVersion |
| IoTDeviceId |
IoT デバイス ID |
IoTDevice: DeviceId |
| IoTDeviceName |
IoT デバイス名 |
IoTDevice: DeviceName |
| IoTDeviceType |
IoT デバイスの種類 |
IoTDevice: DeviceType |
| IoTDeviceVendor |
IoT デバイス ベンダー |
IoTDevice: 製造元 |
| IoTDeviceModel |
IoT デバイス モデル |
IoTDevice: モデル |
| IoTDeviceOperatingSystem |
IoT デバイス オペレーティング システム |
IoTDevice: OperatingSystem |
| IPAddress |
IP アドレス |
IP: アドレス |
| MailboxDisplayName |
メールボックスの表示名 |
メールボックス: DisplayName |
| MailboxPrimaryAddress |
メールボックスのプライマリ アドレス |
メールボックス: MailboxPrimaryAddress |
| MailboxUPN |
メールボックス UPN |
メールボックス: Upn |
| MailMessageDeliveryAction |
メール メッセージ配信アクション |
MailMessage: DeliveryAction |
| MailMessageDeliveryLocation |
メール メッセージの配信場所 |
MailMessage: DeliveryLocation |
| MailMessageRecipient |
メール メッセージの受信者 |
MailMessage: 受信者 |
| MailMessageSenderIP |
メール メッセージ送信者 IP |
MailMessage: SenderIP |
| MailMessageSubject |
メール メッセージの件名 |
MailMessage: 件名 |
| MailMessageP1Sender |
メール メッセージ P1 送信者 |
MailMessage: P1Sender |
| MailMessageP2Sender |
メール メッセージ P2 送信者 |
MailMessage: P2Sender |
| MalwareCategory |
マルウェア カテゴリ |
マルウェア: カテゴリ |
| MalwareName |
マルウェア名 |
マルウェア: 名前 |
| ProcessCommandLine |
プロセス コマンド ライン |
プロセス: CommandLine |
| ProcessId |
プロセス ID |
Process: ProcessId |
| Registrykey |
レジストリ キー |
RegistryKey: キー |
| RegistryValueData |
レジストリ値 |
RegistryValue: 値 |
| Url |
Url |
Url: Url |