Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument enthält zwei Informationssätze zu Entitäten und Entitätstypen in Microsoft Sentinel im Azure-Portal und Microsoft Sentinel im Defender-Portal.
- Die Tabelle Entitätstypen und Bezeichner zeigt die verschiedenen Typen von Entitäten , die in Warnungen und Vorfällen identifiziert werden können, sodass Sie sie nachverfolgen und untersuchen können. Die Tabelle enthält auch für jeden Entitätstyp die verschiedenen Bezeichner, die zum Identifizieren einer Entität verwendet werden können.
- Der Abschnitt Entitätsschema zeigt die Datenstruktur und das Schema für Entitäten im Allgemeinen und für jeden Entitätstyp im Besonderen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Entitätstypen und Bezeichner
Die folgende Tabelle zeigt die Entitätstypen, die von Microsoft Sentinel erkannt werden können, sowie die Attribute, die als Bezeichner für jeden Entitätstyp verwendet werden können.
Microsoft Sentinel erkennt Entitäten in Warnungen und Incidents, die durch entitätszuordnung in Analyseregeln erstellt werden. Außerdem werden Entitäten erkannt, die bereits in Warnungen identifiziert wurden, die aus anderen Quellen erfasst wurden.
Sie können derzeit bis zu drei Bezeichner für eine bestimmte Entität verwenden, wenn Sie eine Entitätszuordnung in Microsoft Sentinel erstellen. Starke Bezeichner allein reichen aus, um eine Entität eindeutig zu identifizieren, während schwache Bezeichner dies nur in Kombination mit anderen Bezeichnern tun können. Erfahren Sie mehr über starke und schwache Bezeichner. Die meisten, aber nicht alle Bezeichner in dieser Tabelle können beim Erstellen von Entitätszuordnungen in Microsoft Sentinel verwendet werden (siehe Fußnoten).
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache Bezeichner |
|---|---|---|---|
| Account | Name Fullname* NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined Displayname* ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName Fullname* NetBiosName AzureID OMSAgentID OSFamily OS-Version IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache Bezeichner |
| IP | Adresse AddressScope |
Globale Adresse: Adresse** Private Adresse: Address+AddressScope** |
Private Adresse: Adresse** |
| URL | Url | URL (wenn absolute URL)** | URL (wenn relative URL)** |
|
Azure-Ressource (AzureResource) |
Resourceid | Resourceid | |
|
Cloudanwendung (CloudApplication) |
Appid Name Instancename |
Appid Name AppId+Instanzname Name+Instanzname |
|
|
DNS-Auflösung (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Datei | Verzeichnis Name |
Verzeichnis+Name | |
|
Dateihash (FileHash) |
Algorithmus Wert |
Algorithmus+Wert | |
| Schadsoftware | Name Kategorie |
Name+Kategorie | |
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache Bezeichner |
| Prozess | Processid CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ Befehlszeile (kein Host) ProcessId+CreationTimeUtc+ ImageFile (kein Host) |
|
Registrierungsschlüssel (RegistryKey) |
Hive Schlüssel |
Hive+Schlüssel | |
|
Registrierungswert (RegistryValue) |
Name Wert Valuetype |
Schlüssel+Name | Name (kein Schlüssel) |
|
Sicherheitsgruppe (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Postfach | MailboxPrimaryAddress DisplayName UPN ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache Bezeichner |
|
E-Mail-Cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Risiken Abfrage QueryTime MailCount IsVolumeAnomaly Quelle ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Abfrage+Quelle | |
|
E-Mail-Nachricht (MailMessage) |
Empfänger URLs Risiken Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIp P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Sprache* ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Übermittlungs-E-Mail (SubmissionMail) |
NetworkMessageId Zeitstempel Empfänger Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Empfänger+Übermittlungsempfänger |
|
| Sentinel Entitäten | Entitäten | Entitäten |
Fußnoten der Tabelle:
- * Diese Bezeichner werden in der Liste der Bezeichner angezeigt, die in der Entitätszuordnung verwendet werden können, aber streng genommen sind sie nicht Teil des Entitätsschemas.
- ** Diese Bezeichner gelten nur unter bestimmten Bedingungen als stark. Folgen Sie den Sternchenlinks, um die geltenden Bedingungen unter der Auflistung der relevanten Entität im Abschnitt Entitätsschemas unten anzuzeigen.
- Kursiv dargestellte Bezeichnernamen (ohne Sternchen) stellen interne Entitäten dar. Dies bedeutet, dass ein Entitätstyp andere Entitätstypen als Attribute haben kann (siehe abschnitt entitätsschemas unten). Folgen Sie dem Link des Bezeichners, um das schema der internen Entität anzuzeigen.
- Möglicherweise sind im Schema andere Entitäten vorhanden. Dabei handelt es sich um ein allgemeines Schema, das neben Microsoft Sentinel viele Dinge unterstützt. In diesem Artikel werden nur die in Microsoft Sentinel verfügbaren Entitäten aufgeführt.
Entitätstypschemas
Der folgende Abschnitt enthält einen ausführlicheren Einblick in die vollständigen Schemas der einzelnen Entitätstypen. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten. Das Kontoschema enthält beispielsweise einen Link zum Entitätstyp Host, da ein Attribut eines Benutzerkontos der Host ist, auf dem es definiert ist. Diese Entitäten als Attribute werden als "interne Entitäten" bezeichnet und können nicht als Bezeichner für die Entitätszuordnung verwendet werden, aber sie sind sehr nützlich, um ein vollständiges Bild von Entitäten auf Entitätsseiten und dem Untersuchungsdiagramm zu geben.
Hinweis
Ein Fragezeichen, das auf den Wert in der Spalte Typ folgt, gibt an, dass das Feld NULL-Werte zulässig ist.
Liste der Entitätstypschemas
- Account
- Host
- IP
- Schadsoftware
- Datei
- Prozess
- Cloudanwendung
- DNS-Auflösung
- Azure-Ressource
- Dateihash
- Registrierungsschlüssel
- Registrierungswert
- Sicherheitsgruppe
- URL
- IoT-Gerät
- Postfach
- E-Mail-Cluster
- E-Mail-Nachricht
- Übermittlungs-E-Mail
- Sentinel Entitäten
Account
Entitätsname: Konto
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "Konto" |
| Name | Zeichenfolge | Der Name des Kontos. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird. |
| FullName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten. |
| NTDomain | Zeichenfolge | Der NETBIOS-Domänenname, wie er im Warnungsformat –Domäne\Benutzername angezeigt wird. Beispiele: Finanzen, NT AUTHORITY |
| DnsDomain | Zeichenfolge | Der vollqualifizierte DNS-Domänenname. Beispiele: finance.contoso.com |
| UPNSuffix | Zeichenfolge | Das Suffix für den Benutzerprinzipalnamen für das Konto. In vielen Fällen ist das UPN-Suffix auch der Domänenname. Beispiele: contoso.com |
| Host | Entität (Host) | Der Host, der das Konto enthält, sofern es sich um ein lokales Konto handelt. |
| Sid | Zeichenfolge | Die Sicherheits-ID des Kontos. |
| AadTenantId | Guid? | Die Microsoft Entra Mandanten-ID, sofern bekannt. |
| AadUserId | Guid? | Die Microsoft Entra Kontoobjekt-ID, sofern bekannt. |
| PUID | Guid? | Die Microsoft Entra Passport-Benutzer-ID, sofern bekannt. |
| IsDomainJoined | Bool? | Gibt an, ob es sich bei dem Konto um ein Domänenkonto handelt. |
| DisplayName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten. |
| ObjectGuid | Guid? | Das objectGUID-Attribut ist ein einwertiges Attribut, das den eindeutigen Bezeichner für das Objekt darstellt, das von Active Directory zugewiesen wird. |
| CloudAppAccountId | Zeichenfolge | Die AccountID in Warnungen des CloudApp-Anbieters. Bezieht sich auf Konto-IDs in Apps von Drittanbietern, die in anderen Microsoft-Produkten nicht unterstützt werden. |
| IsAnonymized | Bool? | Gibt an, ob der Benutzername anonymisiert ist. Optional. Standardwert: false. |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle, die sich auf das jeweilige Konto beziehen. Optional. |
Starke Bezeichner einer Kontoentität
- Name + UPNSuffix
- AadUserId
-
Sid
** Dieser Bezeichner ist stark, solange das Konto nicht zu den integrierten Konten gehört, die im folgenden Hinweis aufgeführt sind. -
Sid + Host
** Wenn es sich bei dem Konto um eines der integrierten Konten handelt, die im folgenden Hinweis aufgeführt sind, ist die Hostkomponente erforderlich, um diesen Bezeichner zu einem starken Konto zu machen. -
Name + NTDomain
** Diese Kombination ist ein starker Bezeichner, wenn das Konto ein Domänenkonto ist, da NTDomain keine integrierte Domäne/Arbeitsgruppe ist und sich vom Hostnamen unterscheidet. In diesem Fall ist dies auch ohne die Hostkomponente ein starker Bezeichner. -
Name + NTDomain + Host
** Die Hostkomponente ist erforderlich, um einen starken Bezeichner zu erstellen, wenn das Konto ein lokales Konto ist, was bedeutet, dass die NTDomain eine integrierte Domäne/Arbeitsgruppe ist. - Name + DnsDomain
- PUID
- ObjectGuid
Schwache Bezeichner einer Kontoentität
- Name
Hinweis
Wenn die Kontoentität mithilfe des Namensbezeichners definiert wird und der Name-Wert einer bestimmten Entität einer der folgenden generischen, häufig integrierten Kontonamen ist, wird diese Entität aus ihrer Warnung gelöscht.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- WURZEL
- ANONYM
- AUTHENTIFIZIERTER BENUTZER
- NETZWERKE
- NULL
- LOKALES SYSTEM
- LOCALSYSTEM
- NETZWERKDIENST
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Host
Entitätsname: Host
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "host" |
| IpInterfaces | Listenentität<(IP)> | Liste aller IP-Schnittstellen auf dem Hostcomputer. |
| DnsDomain | Zeichenfolge | Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt. |
| NTDomain | Zeichenfolge | Die NT-Domäne, zu der dieser Host gehört. |
| Hostname | Zeichenfolge | Der Hostname ohne domänensuffix. |
| NetBiosName | Zeichenfolge | Der Hostname (vor Windows 2000). |
| IoTDevice | Entität (IoT-Gerät) | Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt). |
| AzureID | Zeichenfolge | Die Azure Ressourcen-ID des virtuellen Computers, sofern bekannt. |
| OMSAgentID | Zeichenfolge | Die OMS-Agent-ID, wenn auf dem Host der OMS-Agent installiert ist. |
| OSFamily | Enum? | Mögliche Werte: |
| OS-Version | Zeichenfolge | Eine Freitextdarstellung des Betriebssystems. Dieses Feld soll bestimmte Versionen enthalten, die präziser sind als OSFamily oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden. |
| IsDomainJoined | Boolescher Wert | Gibt an, ob dieser Host zu einer Domäne gehört. |
Starke Bezeichner einer Hostentität
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Schwache Bezeichner einer Hostentität
- HostName
- NetBiosName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IP
Entitätsname: IP
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "ip" |
| Adresse | Zeichenfolge | Die IP-Adresse als Zeichenfolge (entweder in IPv4 oder IPv6). Beispiele: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Zeichenfolge | Name des Hosts, Subnetzes oder privaten Netzwerks für private, nicht globale IP-Adressen. NULL oder leer für globale IP-Adressen (Standard). Beispiele: /27, 255.255.255.128 |
| Location | GeoLocation | Der an die IP-Entität angefügte geografische Standortkontext. Weitere Informationen finden Sie auch unter Anreichern von Entitäten in Microsoft Sentinel mit Geolocationdaten über die REST-API (Öffentliche Vorschau). |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle, die sich auf die bestimmte IP-Adresse beziehen. Optional. |
Starke Bezeichner einer IP-Entität
-
Adresse
Wenn es sich bei der IP-Adresse um eine globale Adresse handelt, ist der Adressbezeichner selbst ein eindeutiger, starker Bezeichner. -
Adresse + Adressbereich
Für private/interne, nicht globale IP-Adressen ist die AddressScope-Komponente erforderlich, um dies zu einem starken Bezeichner zu machen.
Schwache Bezeichner einer IP-Entität
-
Adresse
Der Adressbezeichner selbst ist ein schwacher Bezeichner, wenn es sich bei der IP-Adresse um eine private/interne, nicht globale IP-Adresse handelt.
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Schadsoftware
Entitätsname: Schadsoftware
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "Malware" |
| Name | Zeichenfolge | Der vom Anbieter (Erkennung?) zugewiesene Schadsoftwarename, z Win32/Toga!rfn. B. . |
| Kategorie | Zeichenfolge | Die vom Anbieter (Erkennung?) zugewiesene Schadsoftwarekategorie, z. B. Trojaner. |
| Files | Listenentität<(Datei)> | Liste der verknüpften Dateientitäten, auf denen die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten. Weitere Informationen zur Struktur finden Sie unter Dateientität. |
| Prozesse | Listenentität<(Prozess)> | Liste der verknüpften Prozessentitäten, auf denen die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird. Weitere Informationen zur Struktur finden Sie unter Prozessentität. |
Starke Bezeichner einer Schadsoftwareentität
- Name + Kategorie
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
File
Entitätsname: Datei
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "file" |
| Directory | Zeichenfolge | Der vollständige Pfad zur Datei. |
| Name | Zeichenfolge | Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad). |
| AlternateDataStreamName | Zeichenfolge | Der Dateidatenstromname im NTFS-Dateisystem (NULL für den Hauptdatenstrom). |
| Host | Entität (Host) | Der Host, auf dem die Datei gespeichert wurde. |
| HostUrl | Entität (URL) | URL, von der die Datei heruntergeladen wurde (Marke des Webs). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows-Sicherheit Zone, zu der die URL gehört (Marke des Webs). |
| ReferrerUrl | Entität (URL) | Verweis-URL der HTTP-Anforderung zum Herunterladen der Datei (Marke des Webs). |
| SizeInBytes | Lange? | Die Größe der Datei in Bytes. |
| FileHashes | List-Entität<(FileHash)> | Die dieser Datei zugeordneten Dateihashes. |
Starke Bezeichner einer Dateientität
- Name + Verzeichnis
- Name + FileHash
- Name + Verzeichnis + Dateihash
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Prozess
Entitätsname: Prozess
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "Prozess" |
| Processid | Zeichenfolge | Die Prozess-ID. |
| CommandLine | Zeichenfolge | Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird. |
| ElevationToken | Enum? | Das dem Prozess zugeordnete Erhöhungstoken. Mögliche Werte: |
| CreationTimeUtc | Datetime? | Der Zeitpunkt, zu dem der Prozess gestartet wurde. |
| ImageFile | Entität (Datei) | Kann die Dateientität inline oder als Verweis enthalten. Weitere Informationen zur Struktur finden Sie unter Dateientität. |
| Account | Entität (Konto) | Das Konto, das die Prozesse ausführt. Kann die Kontoentität inline oder als Verweis enthalten. Weitere Informationen zur Struktur finden Sie unter Der Entität Account . |
| ParentProcess | Entität (Prozess) | Die übergeordnete Prozessentität. Kann Teildaten enthalten, z. B. nur die PID. |
| Host | Entität (Host) | Der Host, auf dem der Prozess ausgeführt wurde. |
| LogonSession | Entität (HostLogonSession) | Die Sitzung, in der der Prozess ausgeführt wurde. |
Starke Bezeichner einer Prozessentität
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Schwache Bezeichner einer Prozessentität
- ProcessId + CreationTimeUtc + CommandLine (und kein Host)
- ProcessId + CreationTimeUtc + ImageFile (und kein Host)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloudanwendung
Entitätsname: CloudApplication
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "cloud-application" |
| Appid | Int | Veraltet; Verwenden Sie stattdessen das Feld SaasId. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Wert optional. Sollte keine InstanceId enthalten. |
| SaasId | Int | Ersetzt das veraltete AppId-Feld. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Wert optional. Sollte keine InstanceId enthalten. |
| Name | Zeichenfolge | Der Name der zugehörigen Cloudanwendung. Wert optional. |
| Instancename | Zeichenfolge | Der benutzerdefinierte instance Name der Cloudanwendung. Es wird häufig verwendet, um zwischen mehreren Anwendungen desselben Typs zu unterscheiden, den ein Kunde hat. |
| InstanceID | Int | Der Bezeichner der spezifischen Sitzung der Anwendung. Dies ist eine nullbasierte laufende Zahl. Wert optional. |
| Risikofaktoren | AppRisk? | Hiermit können Sie Apps nach Risikobewertung filtern, sodass Sie sich beispielsweise darauf konzentrieren können, nur Apps mit hohem Risiko zu überprüfen. Mögliche Werte wie Niedrig, Mittel, Hoch oder Unbekannt. |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der spezifischen Cloud-App. Optional. |
Starke Bezeichner einer Cloudanwendungsentität
- AppId (ohne InstanceName)
- Name (ohne InstanceName)
- AppId + Instanzname
- Name + Instanzname
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
DNS-Auflösung
Entitätsname: DNS
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "dns" |
| DomainName | Zeichenfolge | Der Name des DNS-Eintrags, der der Warnung zugeordnet ist. |
| Ipaddress | List<Entity (IP)> | Entitäten, die den aufgelösten IP-Adressen entsprechen. |
| DnsServerIp | Entität (IP) | Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst. |
| HostIpAddress | Entität (IP) | Eine Entität, die den DNS-Anforderungsclient darstellt. |
Starke Bezeichner einer DNS-Entität
- DomainName + DnsServerIp + HostIpAddress
Schwache Bezeichner einer DNS-Entität
- DomainName + HostIpAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Azure-Ressource
Entitätsname: AzureResource
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "azure-resource" |
| Resourceid | Zeichenfolge | Die Azure Ressourcen-ID der Ressource. Obligatorisch. |
| Subscriptionid | Zeichenfolge | Die Abonnement-ID der Ressource. |
| ActiveContacts | ActiveContact auflisten<> | Aktive Kontakte, die der Ressource zugeordnet sind. |
| ResourceType | Zeichenfolge | Der Typ der Ressource. |
| ResourceName | Zeichenfolge | Der Name der Ressource. |
Starke Bezeichner einer Azure Ressourcenentität
- Resourceid
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Dateihash
Entitätsname: FileHash
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | 'filehash' |
| Algorithmus | Enum | Der Hashalgorithmustyp. Obligatorisch. Mögliche Werte: |
| Wert | Zeichenfolge | Der Hashwert. Obligatorisch. |
Starke Bezeichner einer Dateihashentität
- Algorithmus + Wert
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registrierungsschlüssel
Entitätsname: RegistryKey
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | Registrierungsschlüssel |
| Hive | Enum? | Mögliche Werte: |
| Key | Zeichenfolge | Der Registrierungsschlüsselpfad. |
Starke Bezeichner einer Registrierungsschlüsselentität
- Hive + Schlüssel
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registrierungswert
Entitätsname: RegistryValue
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "registry-value" |
| Host | Entität (Host) | Der Host, zu dem die Registrierung gehört. |
| Key | Entität (RegistryKey) | Die Registrierungsschlüsselentität. |
| Name | Zeichenfolge | Der Registrierungswertname. |
| Wert | Zeichenfolge | Zeichenfolgenformatierte Darstellung der Wertdaten. |
| Valuetype | Enum? | Mögliche Werte: Werte sollten der Microsoft.Win32.RegistryValueKind-Enumeration entsprechen. |
Starke Bezeichner einer Registrierungswertentität
- Schlüssel + Name
Schwache Bezeichner einer Registrierungswertentität
- Name (ohne Schlüssel)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Sicherheitsgruppe
Entitätsname: SecurityGroup
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "security-group" |
| DistinguishedName | Zeichenfolge | Der Distinguished-Name der Gruppe. |
| SID | Zeichenfolge | Ein einwertiges Attribut, das die Sicherheits-ID (SID) der Gruppe angibt. |
| ObjectGuid | Guid? | Ein einwertiges Attribut, das den eindeutigen Bezeichner für das Objekt darstellt, das von Active Directory zugewiesen wird. |
Starke Bezeichner einer Sicherheitsgruppenentität
- DistinguishedName
- SID
- ObjectGuid
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
URL
Entitätsname: URL
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | "url" |
| Url | Uri | Eine vollständige URL, auf die die Entität verweist. Obligatorisch. |
Starke Bezeichner einer URL-Entität
- URL (** Dieser Bezeichner ist stark, wenn die URL eine absolute URL ist.)
Schwache Bezeichner einer URL-Entität
- URL (** Dieser Bezeichner ist schwach, wenn die URL eine relative URL ist.)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IoT-Gerät
Entitätsname: IoTDevice
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "iotdevice" |
| IoTHub | Entität (AzureResource) | Die AzureResource-Entität, die die IoT Hub, zu der das Gerät gehört. |
| Deviceid | Zeichenfolge | Die ID des Geräts im Kontext des IoT Hub. Obligatorisch. |
| DeviceName | Zeichenfolge | Der Anzeigename des Geräts. |
| Besitzer | Listenzeichenfolge<> | Die Besitzer des Geräts. |
| IoTSecurityAgentId | Guid? | Die ID des Defender für IoT-Agents , der auf dem Gerät ausgeführt wird. |
| DeviceType | Zeichenfolge | Der Typ des Geräts ("Temperatursensor", "Gefrierschrank", "Windkraftanlage" usw.). |
| DeviceTypeId | Zeichenfolge | Eine eindeutige ID zum Identifizieren der einzelnen Gerätetypen gemäß dem Gerätetypschema, da der Gerätetyp selbst ein Anzeigename ist und in Vergleichen nicht zuverlässig ist. Mögliche Werte: Nicht klassifiziert = 0 Sonstiges = 1 Netzwerkgerät = 2 Drucker = 3 Audio und Video = 4 Medien und Überwachung = 5 Kommunikation = 7 Smart Appliance = 9 Arbeitsstation = 10 Server = 11 Mobil = 12 Smart Facility = 13 Industrie = 14 Betriebsmittel = 15 |
| Source | Zeichenfolge | Die Quelle (Microsoft/Anbieter) der Geräteentität. |
| SourceRef | Entität (URL) | Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird. |
| Hersteller | Zeichenfolge | Der Hersteller des Geräts. |
| Model | Zeichenfolge | Das Gerätemodell. |
| OperatingSystem | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird. |
| Ipaddress | Entität (IP) | Die aktuelle IP-Adresse des Geräts. |
| MacAddress | Zeichenfolge | Die MAC-Adresse des Geräts. |
| Nics | Entität (Nic) | Die aktuellen NICs auf dem Gerät. |
| Protokolle | Listenzeichenfolge<> | Eine Liste der Protokolle, die das Gerät unterstützt. |
| SerialNumber | Zeichenfolge | Die Seriennummer des Geräts. |
| Site | Zeichenfolge | Der Standort des Geräts. |
| Zone | Zeichenfolge | Der Zonenstandort des Geräts innerhalb eines Standorts. |
| Sensor | Zeichenfolge | Der Sensor, der das Gerät überwacht. |
| Importance | Enum? | Mögliche Werte: |
| PurdueLayer | Zeichenfolge | Die Purdue-Ebene des Geräts. |
| IsProgramming | Bool? | Gibt an, ob das Gerät als Programmiergerät klassifiziert wird. |
| Isauthorized | Bool? | Gibt an, ob das Gerät als autorisiertes Gerät klassifiziert wird. |
| IsScanner | Bool? | Gibt an, ob das Gerät als Scannergerät klassifiziert ist. |
| DevicePageLink | Entität (URL) | Eine URL zur Geräteseite im Defender für IoT-Portal. |
| DeviceSubType | Zeichenfolge | Der Name des Geräteuntertyps. |
Starke Bezeichner einer IoT-Geräteentität
- IoTHub + DeviceId
Schwache Bezeichner einer IoT-Geräteentität
- DeviceId (ohne IoTHub)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Postfach
Entitätsname: Postfach
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "Mailbox" |
| MailboxPrimaryAddress | Zeichenfolge | Die primäre Adresse des Postfachs. |
| DisplayName | Zeichenfolge | Der Anzeigename des Postfachs. |
| UPN | Zeichenfolge | Der UPN des Postfachs. |
| AadId | Zeichenfolge | Der Azure AD-Bezeichner des Benutzers des Postfachs. |
| RiskLevel | RiskLevel (Integer) | Die Risikostufe dieses Postfachs. Mögliche Werte: |
| ExternalDirectoryObjectId | Guid? | Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität, aber diese Eigenschaft ist spezifisch für das Postfachobjekt auf der Office-Seite. |
Starke Bezeichner einer Postfachentität
- MailboxPrimaryAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
E-Mail-Cluster
Entitätsname: MailCluster
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "mail-cluster" |
| NetworkMessageIds | IList-Zeichenfolge<> | Die E-Mail-Nachrichten-IDs, die Teil des E-Mail-Clusters sind. |
| CountByDeliveryStatus | IDictionary<String,Int> | Anzahl der E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung. |
| CountByThreatType | IDictionary<String,Int> | Anzahl der E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung. |
| CountByProtectionStatus | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Schutz status Zeichenfolgendarstellung. |
| CountByDeliveryLocation | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Darstellung der Übermittlungspositionszeichenfolge. |
| Risiken | IList-Zeichenfolge<> | Die Bedrohungen durch E-Mails, die Teil des E-Mail-Clusters sind. |
| Query | Zeichenfolge | Die Abfrage, die verwendet wurde, um die Nachrichten des E-Mail-Clusters zu identifizieren. |
| QueryTime | Datetime? | Die Abfragezeit. |
| MailCount | Int? | Die Anzahl der E-Mail-Nachrichten, die Teil des E-Mail-Clusters sind. |
| IsVolumeAnomaly | Bool? | Gibt an, ob der E-Mail-Cluster ein Volumeanomalie-E-Mail-Cluster ist. |
| Source | Zeichenfolge | Die Quelle des E-Mail-Clusters (Standard ist O365 ATP). |
Starke Bezeichner einer E-Mail-Clusterentität
- Abfrage + Quelle
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
E-Mail-Nachricht
Entitätsname: MailMessage
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "mail-message" |
| Files | IList-Entität<(Datei)> | Die Dateientitäten der Anlagen dieser E-Mail-Nachricht. |
| Empfänger | Zeichenfolge | Der Empfänger dieser E-Mail-Nachricht. Bei mehreren Empfängern wird die E-Mail-Nachricht kopiert, und jede Kopie hat einen Empfänger. |
| Urls | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen URLs. |
| Risiken | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen. |
| Sender | Zeichenfolge | Die E-Mail-Adresse des Absenders. |
| SenderIp | Zeichenfolge | Die IP-Adresse des Absenders. |
| ReceivedDate | DateTime | Das Empfangsdatum dieser Nachricht. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID dieser E-Mail-Nachricht. |
| InternetMessageId | Zeichenfolge | Die Internetnachrichten-ID dieser E-Mail-Nachricht. |
| Subject | Zeichenfolge | Der Betreff dieser E-Mail-Nachricht. |
| AntispamDirection | Enum? | Die Direktionalität dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryAction | Enum? | Die Übermittlungsaktion dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryLocation | Enum? | Der Zustellungsort dieser E-Mail-Nachricht. Mögliche Werte: |
| CampaignId | Zeichenfolge | Der Bezeichner der Kampagne, in der diese E-Mail-Nachricht vorhanden ist. |
| SuspiciousRecipients | IList-Zeichenfolge<> | Die Liste der Empfänger, die als verdächtig erkannt wurden. |
| ForwardedRecipients | IList-Zeichenfolge<> | Die Liste aller Empfänger der weitergeleiteten E-Mail. |
| ForwardingType | IList-Zeichenfolge<> | Der Weiterleitungstyp der E-Mail, z. B. SMTP, ETR usw. |
Starke Bezeichner einer E-Mail-Nachrichtenentität
- NetworkMessageId + Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Übermittlungs-E-Mail
Entitätsname: SubmissionMail
| Feld | Typ | Beschreibung |
|---|---|---|
| Type | Zeichenfolge | "SubmissionMail" |
| SubmissionId | Guid? | Die Übermittlungs-ID. |
| SubmissionDate | Datetime? | Gemeldete Uhrzeit für diese Übermittlung. |
| Submitter | Zeichenfolge | Die E-Mail-Adresse des Absenders. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört. |
| Timestamp | Datetime? | Der Zeitstempel, wenn die Nachricht empfangen wird (E-Mail). |
| Empfänger | Zeichenfolge | Der Empfänger der E-Mail. |
| Sender | Zeichenfolge | Der Absender der E-Mail. |
| SenderIp | Zeichenfolge | Die IP-Adresse des Absenders. |
| Subject | Zeichenfolge | Der Betreff der Übermittlungs-E-Mail. |
| ReportType | Zeichenfolge | Der Übermittlungstyp für den angegebenen instance. Mögliche Werte sind Junk, Phish, Malware oder NotJunk. |
Starke Bezeichner einer SubmissionMail-Entität
- SubmissionId, Submitter, NetworkMessageId, Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Sentinel Entitäten
| Feld | Typ | Beschreibung |
|---|---|---|
| Entities | Zeichenfolge | Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste ist die Entitätsspalte aus dem SecurityAlert-Schema (siehe Dokumentation). |
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloudanwendungs-IDs
In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. Der App-ID-Wert wird als Entitätsbezeichner der Cloudanwendung verwendet.
| App-ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Stimme |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender for Cloud Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud-Plattform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google-Dokumentation |
| 26055 | Microsoft 365 Admin Center |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra-ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS-Proxy-Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Nächste Schritte
In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.
Erfahren Sie mehr über Entitäten und Entitätszuordnung.