Informations de référence sur les types d’entités Microsoft Sentinel
Ce document contient deux ensembles d’informations concernant les entités et les types d’entités dans Microsoft Sentinel dans le Portail Azure et Microsoft Sentinel dans le portail Defender.
- Le tableau Des types et des identificateurs d’entité affiche les différents types d’entités qui peuvent être identifiés dans les alertes et les incidents, ce qui vous permet de suivre et d’examiner ces entités. Le tableau présente également, pour chaque type d’entité, les différents identificateurs qui peuvent être utilisés pour identifier une entité.
- La section Schéma d’entité affiche la structure de données et le schéma des entités en général et pour chaque type d’entité en particulier.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Types d'entités et identificateurs
Le tableau suivant présente les types d’entités qui peuvent être reconnus par Microsoft Sentinel et les attributs qui peuvent être utilisés comme identificateurs pour chaque type d’entité.
Microsoft Sentinel reconnaît les entités dans les alertes et les incidents créés par le mappage d’entités dans les règles d’analyse. Il reconnaît également les entités déjà identifiées dans les alertes ingérées à partir d’autres sources.
Vous pouvez utiliser jusqu’à trois identificateurs pour une entité donnée lors de la création d’un mappage d’entité dans Microsoft Sentinel. Les identificateurs forts sont suffisants pour identifier une entité de manière unique, tandis que les identificateurs faibles peuvent le faire uniquement en combinaison avec d’autres identificateurs. En savoir plus sur les identificateurs forts et faibles. La plupart des identificateurs de cette table ne peuvent pas tous être utilisés lors de la création de mappages d’entités dans Microsoft Sentinel (voir les notes de bas de page).
Type d'entité | Identificateurs | Identificateurs forts | Identificateurs faibles |
---|---|---|---|
Compte | Nom FullName * NTDomain DNSDomain UPNSuffix SID AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host ** Name+Host+NTDomain ** Name+NTDomain ** Name+DnsDomain PUID ObjectGuid |
Nom |
Hôte | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
IP | Adresse AddressScope |
Address ** Address+AddressScope ** |
|
URL | Url | URL (si l’URL absolue) ** | URL (si l’URL relative) ** |
Ressource Azure (AzureResource) |
ResourceId | ResourceId | |
Application cloud (CloudApplication) |
AppId Nom InstanceName |
AppId Nom AppId+InstanceName Name+InstanceName |
|
Résolution DNS (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
Fichier | Répertoire Nom |
Directory+Name | |
Hachage du fichier (FileHash) |
Algorithm Valeur |
Algorithm+Value | |
Programme malveillant | Nom Catégorie |
Name+Category | |
Processus | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (aucun Hôte) ProcessId+CreationTimeUtc+ ImageFile (aucun Hôte) |
Clé de Registre (RegistryKey) |
Hive Clé |
Hive+Key | |
Valeur de Registre (RegistryValue) |
Nom Valeur ValueType |
Key+Name | Name (aucun Clé) |
Groupe de sécurité (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
Cluster de messagerie (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Menaces Requête QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
Message électronique (MailMessage) |
Recipient Urls Menaces Expéditeur P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Objet BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Language * ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
E-mail d'envoi (SubmissionMail) |
NetworkMessageId Timestamp Recipient Expéditeur SenderIp Objet ReportType SubmissionId SubmissionDate Expéditeur |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
Entités Sentinel | Entités | Entités |
Notes de bas de page du tableau :
- * Ces identificateurs apparaissent dans la liste des identificateurs qui peuvent être utilisés dans le mappage d’entités, mais à proprement parler, ils ne font pas partie du schéma d’entité.
- ** Ces identificateurs sont considérés comme forts uniquement dans certaines conditions. Suivez les liens des astérisques pour consulter les conditions qui s’appliquent, dans la liste de l’entité concernée qui se trouve dans la section schémas d’entité ci-dessous.
- Les noms d’identificateurs en italiques (sans astérisque) représentent des entités internes, ce qui signifie qu’un type d’entité peut avoir d’autres types d’entités en tant qu’attributs (voir la section schémas d’entité ci-dessous). Suivez le lien de l’identificateur pour voir le schéma de l’entité interne.
- D’autres entités peuvent être présentes dans le schéma, qui est un schéma général qui prend en charge de nombreuses choses en plus de Microsoft Sentinel. Seules les entités disponibles dans Microsoft Sentinel sont répertoriées dans cet article.
Schémas des types d'entités
La section suivante contient une présentation plus détaillée des schémas complets de chaque type d'entité. Vous remarquerez que beaucoup de ces schémas comportent des liens vers d’autres types d’entités. Par exemple, le schéma Compte comporte un lien vers le type d’entité Hôte, car l’un des attributs d’un compte d’utilisateur correspond à l’hôte sur lequel il est défini. Ces entités comme attributs sont appelées « entités internes », elles ne peuvent pas être utilisées en tant qu’identificateurs pour le mappage des entités, mais elles offrent une image complète des entités sur les pages de celles-ci et sur le graphique d’investigation.
Remarque
Le point d'interrogation qui suit certaines valeurs dans la colonne Type indique que le champ peut accepter la valeur Null.
Liste des schémas des types d’entités
- Compte
- Hôte
- IP
- Programme malveillant
- Fichier
- Processus
- Application cloud
- Résolution DNS
- Ressource Azure
- Hachage du fichier
- Clé du Registre
- Valeur de Registre
- Groupe de sécurité
- URL
- Appareil IoT
- Boîte aux lettres
- Cluster de messagerie
- Message électronique
- E-mail d'envoi
- Entités Sentinel
Compte
Nom de l'entité : Account
Champ | Type | Description |
---|---|---|
Type | Chaîne | « account » |
Nom | String | Nom du compte. Ce champ ne doit contenir que le nom, sans domaine. |
FullName | -- | Ne fait pas partie du schéma, inclus à des fins de compatibilité descendante avec l'ancienne version du mappage d'entités. |
NTDomain | Chaîne | Nom de domaine NETBIOS tel qu’il apparaît dans le format d’alerte : domaine\nom d’utilisateur. Exemples : Finance, AUTORITÉ NT |
DnsDomain | String | Nom DNS de domaine complet. Exemple : finance.contoso.com |
UPNSuffix | String | Suffixe du nom de l'utilisateur principal du compte. Dans de nombreux cas, le suffixe UPN est également le nom de domaine. Exemple : contoso.com |
Hôte | Entity (Hôte) | Hôte sur lequel figure le compte, s’il s’agit d’un compte local. |
Sid | Chaîne | Identificateur de sécurité du compte. |
AadTenantId | Guid? | ID du tenant Microsoft Entra, si connu. |
AadUserId | Guid? | ID d’objet du compte Microsoft Entra, si connu. |
PUID | Guid? | ID d’utilisateur Microsoft Entra Passport, si connu. |
IsDomainJoined | Bool? | Indique si le compte est un compte de domaine. |
Nom d’affichage | -- | Ne fait pas partie du schéma, inclus à des fins de compatibilité descendante avec l'ancienne version du mappage d'entités. |
ObjectGuid | Guid? | L'attribut objectGUID est un attribut à valeur unique qui constitue l'identificateur unique de l'objet, attribué par Active Directory. |
CloudAppAccountId | Chaîne | AccountID dans les alertes du fournisseur CloudApp. Fait référence aux ID de compte dans les applications tierces qui ne sont pas prises en charge dans d’autres produits Microsoft. |
IsAnonymized | Bool? | Indique si le nom d’utilisateur est anonymisé. facultatif. Valeur par défaut : false . |
Flux | Flux | Source des journaux de détection liés au compte spécifique. facultatif. |
Identificateurs forts d’une entité de compte
- Name + UPNSuffix
- AadUserId
- Sid
** Cet identificateur est fort tant que le compte n’est pas l’un des comptes intégrés répertoriés dans la Remarque ci-dessous. - Sid + Hôte
** Lorsque le compte est l’un des comptes intégrés répertoriés dans la Remarque ci-dessous, le composant Hôte est nécessaire pour rendre cet identificateur fort. - Name + NTDomain
** Cette combinaison est un identificateur fort lorsque le compte est un compte de domaine, car NTDomain n’est pas un domaine/groupe de travail intégré et est différent du nom d’hôte. Dans ce cas, il s’agit d’un identificateur fort, même sans le composant Hôte. - Name + NTDomain + Hôte
** Le composant Hôte est nécessaire pour créer un identificateur fort lorsque le compte est un compte local, ce qui signifie que NTDomain est un domaine/groupe de travail intégré. - Name + DnsDomain
- PUID
- ObjectGuid
Identificateurs faibles d’une entité de compte
- Nom
Notes
Si l’entité Account est définie à l’aide de l’identificateur Name et que la valeur Name d’une entité particulière est l’un des noms de compte génériques et généralement intégrés suivants, cette entité est supprimée de son alerte.
- ADMIN
- ADMINISTRATEUR
- SYSTEM
- ROOT
- ANONYMOUS
- UTILISATEUR AUTHENTIFIÉ
- RÉSEAU
- NULL
- SYSTÈME LOCAL
- LOCALSYSTEM
- SERVICE RÉSEAU
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Host
Nom de l’entité : Hôte
Champ | Type | Description |
---|---|---|
Type | Chaîne | « host » |
IpInterfaces | List<Entity (Ip)> | Liste de toutes les interfaces IP sur l’ordinateur hôte. |
DnsDomain | String | Domaine DNS auquel cet hôte appartient. Doit contenir le suffixe DNS complet du domaine, s'il est connu. |
NTDomain | String | Domaine NT auquel cet hôte appartient. |
HostName | String | Nom d'hôte sans suffixe de domaine. |
NetBiosName | String | Nom d'hôte (antérieur à Windows 2000). |
IoTDevice | Entity (Appareil IoT) | Entité Appareil IoT (si cet hôte représente un appareil IoT). |
AzureID | String | ID de ressource Azure de la machine virtuelle, s'il est connu. |
OMSAgentID | String | ID de l'agent OMS, si celui-ci est installé sur l'hôte. |
OSFamily | Enum? | Une des valeurs suivantes : |
OSVersion | String | Représentation en texte libre du système d'exploitation. Ce champ est destiné à contenir des versions spécifiques plus précises qu'avec OSFamily, ou des valeurs futures non prises en charge par l'énumération OSFamily. |
IsDomainJoined | Bool | Indique si cet hôte appartient à un domaine. |
Identificateurs forts d’une entité hôte
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Identificateurs faibles d’une entité hôte
- HostName
- NetBiosName
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
IP
Nom de l'entité : IP
Champ | Type | Description |
---|---|---|
Type | Chaîne | « ip » |
Adresse | Chaîne | Adresse IP sous forme de chaîne, par exemple. 127.0.0.1 (soit en IPv4 soit en IPv6). |
AddressScope | Chaîne | Nom de l’hôte, du sous-réseau ou du réseau privé pour les adresses IP privées et non globales. Nul ou vide pour les adresses IP globales (par défaut). |
Emplacement | GeoLocation | Contexte de géolocalisation joint à l'entité IP. Pour plus d’informations, consultez également Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via l’API REST (préversion publique). |
Flux | Flux | Source des journaux de détection liés à l’adresse IP spécifique. facultatif. |
Identificateurs forts d’une entité IP
- Adresse
** L’adresse seule est un identificateur unique et fort lorsque l’adresse IP est une adresse globale. - Address + AddressScope
** Pour les adresses IP privées/internes et non globales, le composant AddressScope est nécessaire pour en faire un identificateur fort.
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Programme malveillant
Nom de l’entité : Programmes malveillants
Champ | Type | Description |
---|---|---|
Type | Chaîne | « malware » |
Nom | Chaîne | Nom du programme malveillant attribué par le fournisseur (de détection ?), tel que Win32/Toga!rfn . |
Catégorie | Chaîne | Catégorie du programme malveillant attribué par le fournisseur (de détection ?), par exemple. Cheval de Troie. |
Fichiers | List<Entity (Fichier)> | Liste des entités Fichier liées sur lesquelles le programme malveillant a été trouvé. Les entités Fichier peuvent être incluses ou fournies en tant que référence. Pour plus d'informations sur la structure, consultez l'entité Fichier. |
Processus | List<Entity (Processus)> | Liste des entités Processus liées sur lesquelles le programme malveillant a été trouvé. Souvent utilisée lorsque l'alerte est déclenchée sur une activité sans fichier. Pour plus d'informations sur la structure, consultez l'entité Processus. |
Identificateurs forts d’une entité de programme malveillant
- Name + Category
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
File
Nom de l’entité : Fichier
Champ | Type | Description |
---|---|---|
Type | Chaîne | « file » |
Directory | String | Chemin d'accès complet au fichier. |
Nom | String | Nom du fichier, sans chemin d'accès (certaines alertes peuvent ne pas inclure de chemin d'accès). |
AlternateDataStreamName | Chaîne | Nom du flux de fichiers dans le système de fichiers NTFS (nul pour le flux principal). |
Hôte | Entity (Hôte) | Hôte sur lequel le fichier a été stocké. |
HostUrl | Entity (URL) | URL à partir de laquelle le fichier a été téléchargé (Mark of the Web). |
WindowsSecurityZoneType | WindowsSecurityZone | Zone de sécurité Windows à laquelle appartient l’URL (Mark of the Web). |
ReferrerUrl | Entity (URL) | URL référente de la requête HTTP de téléchargement de fichier (Mark of the Web). |
SizeInBytes | Long? | Taille du fichier en octets. |
FileHashes | List<Entity (FileHash)> | Hachages associés à ce fichier. |
Identificateurs forts d’une entité de fichier
- Name + Directory
- Name + FileHash
- Name + Directory + FileHash
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Processus
Nom de l’entité : processus
Champ | Type | Description |
---|---|---|
Type | Chaîne | « process » |
ProcessId | String | ID de processus. |
CommandLine | String | Ligne de commande utilisée pour créer le processus. |
ElevationToken | Enum? | Jeton d'élévation associé au processus. Valeurs possibles : |
CreationTimeUtc | DateTime? | Moment auquel le processus a démarré. |
ImageFile | Entity (Fichier) | L'entité Fichier peut être incluse ou fournie en tant que référence. Pour plus d'informations sur la structure, consultez l'entité Fichier. |
Compte | Entity (Compte) | Compte exécutant les processus. L'entité Compte peut être incluse ou fournie en tant que référence. Pour plus d'informations sur la structure, consultez l'entité Compte. |
ParentProcess | Entity (Processus) | Entité du processus parent. Peut contenir des données partielles, par exemple, le PID uniquement. |
Hôte | Entity (Hôte) | Hôte sur lequel le processus a été exécuté. |
LogonSession | Entity (HostLogonSession) | Session dans laquelle le processus a été exécuté. |
Identificateurs forts d’une entité de processus
- Host + ProcessId + CreationTimeUtc
- Host + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Identificateurs faibles d’une entité de processus
- ProcessId + CreationTimeUtc + CommandLine (et non Host)
- ProcessId + CreationTimeUtc + ImageFile (et aucun Hôte)
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Application cloud
Nom de l'entité : CloudApplication
Champ | Type | Description |
---|---|---|
Type | Chaîne | « cloud-application » |
AppId | Int | Déconseillé. Utilisez plutôt le champ SaasId. Identificateur technique de l'application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur facultative. Ne doit pas contenir InstanceId. |
SaasId | Int | Remplace le champ AppId déconseillé. Identificateur technique de l'application. Les valeurs possibles sont celles définies dans la liste des identificateurs d’application cloud. Valeur facultative. Ne doit pas contenir InstanceId. |
Nom | String | Nom de l'application cloud associée. Valeur facultative. |
InstanceName | String | Nom de l'instance tel que défini par l'utilisateur de l'application cloud. Souvent utilisé pour distinguer les différentes applications du même type d'un client. |
InstanceId | Int | Identificateur de la session spécifique de l’application. Il s’agit d’un nombre en cours d’exécution de base zéro. Valeur facultative. |
Risque | AppRisk? | Permet de filtrer les applications par score de risque, et donc par exemple de se concentrer uniquement sur les applications très risquées. Valeurs possibles telles que Low, Medium, High ou Unknown. |
Flux | Flux | Source des journaux de détection liés à l’application cloud spécifique. facultatif. |
Identificateurs forts d’une entité d’application cloud
- AppId (sans InstanceName)
- Name (sans InstanceName)
- AppId + InstanceName
- Name + InstanceName
Liste des identificateurs des applications cloud
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Résolution DNS
Nom de l'entité : DNS
Champ | Type | Description |
---|---|---|
Type | Chaîne | « dns » |
DomainName | String | Nom de l'enregistrement DNS associé à l'alerte. |
IpAddress | List<Entity (IP)> | Entités correspondant aux adresses IP résolues. |
DnsServerIp | Entity (IP) | Entité représentant le serveur DNS qui résout la requête. |
HostIpAddress | Entity (IP) | Entité représentant le client de la requête DNS. |
Identificateurs forts d’une entité DNS
- DomainName + DnsServerIp + HostIpAddress
Identificateurs faibles d’une entité DNS
- DomainName + HostIpAddress
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Ressource Azure
Nom de l’entité : AzureResource
Champ | Type | Description |
---|---|---|
Type | String | « azure-resource » |
ResourceId | String | ID de ressource Azure de la ressource. Obligatoire. |
SubscriptionId | String | ID d’abonnement de la ressource. |
ActiveContacts | List<ActiveContact> | Contacts actifs associés à la ressource. |
ResourceType | Chaîne | Type de la ressource. |
ResourceName | Chaîne | Nom de la ressource. |
Identificateurs forts d’une entité de ressource Azure
- ResourceId
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Hachage du fichier
Nom de l'entité : FileHash
Champ | Type | Description |
---|---|---|
Type | String | « filehash » |
Algorithme | Énumération | Type d'algorithme de hachage. Obligatoire. Valeurs possibles : |
Valeur | String | Valeur de hachage. Obligatoire. |
Identificateurs forts d’une entité de hachage de fichier
- Algorithm + Value
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Clé de Registre
Nom de l'entité : RegistryKey
Champ | Type | Description |
---|---|---|
Type | Chaîne | « registry-key » |
Hive | Enum? | Une des valeurs suivantes : |
Clé | String | Chemin de la clé de Registre. |
Identificateurs forts d’une entité de clé de Registre
- Hive + Key
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Valeur de Registre
Nom de l'entité : RegistryValue
Champ | Type | Description |
---|---|---|
Type | Chaîne | « registry-value » |
Hôte | Entity (Hôte) | Hôte auquel appartient le Registre. |
Clé | Entity (RegistryKey) | Entité Clé de Registre. |
Nom | String | Nom de la valeur de Registre. |
Valeur | String | Représentation sous forme de chaîne des données de la valeur. |
ValueType | Enum? | Une des valeurs suivantes : Les valeurs doivent être conformes à l'énumération Microsoft.Win32.RegistryValueKind. |
Identificateurs forts d’une entité de valeur de Registre
- Key + Name
Identificateurs faibles d’une entité de valeur de Registre
- Name (sans Key)
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Groupe de sécurité
Nom de l’entité : SecurityGroup
Champ | Type | Description |
---|---|---|
Type | String | « security-group » |
DistinguishedName | String | Nom distinctif du groupe. |
SID | Chaîne | Attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe. |
ObjectGuid | Guid? | Attribut à valeur unique qui constitue l’identificateur unique de l’objet, attribué par Active Directory. |
Identificateurs forts d’une entité de groupe de sécurité
- DistinguishedName
- SID
- ObjectGuid
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
URL
Nom de l’entité : URL
Champ | Type | Description |
---|---|---|
Type | String | « url » |
Url | Uri | URL complète vers laquelle pointe l'entité. Obligatoire. |
Identificateurs forts d’une entité URL
- Url (** Cet identificateur est fort lorsque l’URL est une URL absolue.)
Identificateurs faibles d’une entité URL
- Url (** Cet identificateur est faible lorsque l’URL est une URL relative.)
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Appareil IoT
Nom de l'entité : IoTDevice
Champ | Type | Description |
---|---|---|
Type | String | « iotdevice » |
IoTHub | Entity (AzureResource) | Entité AzureResource représentant l'instance IoT Hub à laquelle appartient l'appareil. |
DeviceId | String | ID de l'appareil dans le contexte d'IoT Hub. Obligatoire. |
DeviceName | String | Nom convivial de l'appareil. |
Propriétaires | List<String> | Propriétaires du périphérique. |
IoTSecurityAgentId | Guid? | ID de l'agent Defender pour IoT exécuté sur l'appareil. |
DeviceType | String | Type d'appareil (« capteur de température », « congélateur », « éolienne », etc.). |
DeviceTypeId | Chaîne | ID unique permettant d’identifier chaque type de périphérique en fonction du schéma de type de périphérique, car le type de périphérique lui-même est un nom d’affichage et n’est pas fiable dans les comparaisons. Valeurs possibles : Non classé = 0 Divers = 1 Périphérique réseau = 2 Imprimante = 3 Audio et vidéo = 4 Média et surveillance = 5 Communication = 7 Appliance intelligente = 9 Station de travail = 10 Serveur = 11 Mobile = 12 Installation intelligente = 13 Industriel = 14 Équipement opérationnel = 15 |
Source | String | Source (Microsoft/Fournisseur) de l'entité d'appareil. |
SourceRef | Entity (Url) | Référence URL à l'élément source où l'appareil est géré. |
Fabricant | String | Fabricant de l’appareil |
Modèle | String | Modèle de l’appareil |
OperatingSystem | String | Système d'exploitation que l'appareil utilise. |
IpAddress | Entity (IP) | Adresse IP actuelle de l'appareil. |
MacAddress | String | Adresse MAC de l’appareil. |
Nics | Entity (carte réseau) | Cartes réseau actuelles sur le périphérique. |
Protocoles | List<String> | Liste des protocoles pris en charge par l'appareil. |
SerialNumber | String | Numéro de série de l’appareil. |
Site | Chaîne | Emplacement du site du périphérique. |
Zone | Chaîne | Emplacement de la zone du périphérique au sein d’un site. |
Capteur | Chaîne | Capteur qui surveille le périphérique. |
Importance | Enum? | Une des valeurs suivantes : |
PurdueLayer | Chaîne | Couche Purdue du périphérique. |
IsProgramming | Bool? | Indique si le périphérique est classé comme appareil de programmation. |
IsAuthorized | Bool? | Indique si le périphérique est classé comme périphérique autorisé. |
IsScanner | Bool? | Indique si l’appareil est classé comme appareil de scanneur. |
DevicePageLink | Entity (Url) | URL de la page du périphérique dans le portail Defender pour IoT. |
DeviceSubType | Chaîne | Nom du sous-type du périphérique. |
Identificateurs forts d’une entité d’appareil IoT
- IoTHub + DeviceId
Identificateurs faibles d’une entité d’appareil IoT
- DeviceId (sans IoTHub)
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Mailbox
Nom de l’entité : Boîte aux lettres
Champ | Type | Description |
---|---|---|
Type | String | « mailbox » |
MailboxPrimaryAddress | String | Adresse principale de la boîte aux lettres. |
Nom d’affichage | String | Nom d'affichage de la boîte aux lettres. |
Upn | String | UPN de la boîte aux lettres. |
AadId | Chaîne | Identificateur Azure AD de la boîte aux lettres de l’utilisateur. |
RiskLevel | RiskLevel? | Niveau de risque associé à cette boîte aux lettres. Valeurs possibles : |
ExternalDirectoryObjectId | Guid? | Identificateur AzureAD de la boîte aux lettres. Semblable à AadUserId pour l'entité Compte, mais cette propriété est spécifique à l'objet de boîte aux lettres du côté Office. |
Identificateurs forts d’une entité de boîte aux lettres
- MailboxPrimaryAddress
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Cluster de messagerie
Nom de l'entité : MailCluster
Champ | Type | Description |
---|---|---|
Type | String | « mail-cluster » |
NetworkMessageIds | IList<String> | ID des messages électroniques appartenant au cluster de courrier. |
CountByDeliveryStatus | IDictionary<String,Int> | Nombre de messages électroniques par représentation sous forme de chaîne DeliveryStatus. |
CountByThreatType | IDictionary<String,Int> | Nombre de messages électroniques par représentation sous forme de chaîne ThreatType. |
CountByProtectionStatus | IDictionary<String,long> | Nombre de messages électroniques par représentation sous forme de chaîne d’état de protection. |
CountByDeliveryLocation | IDictionary<String,long> | Nombre de messages électroniques par représentation sous forme de chaîne d’emplacement de la livraison. |
Threats | IList<String> | Menaces associées aux messages électroniques appartenant au cluster de courrier. |
Requête | String | Requête utilisée pour identifier les messages du cluster de courrier. |
QueryTime | DateTime? | Date/heure de la requête. |
MailCount | Int? | Nombre de messages électroniques appartenant au cluster de courrier. |
IsVolumeAnomaly | Bool? | Indique si le cluster de courrier est un cluster de courrier d’anomalie de volume. |
Source | Chaîne | Source du cluster de courrier (la valeur par défaut est O365 ATP ). |
Identificateurs forts d’une entité de cluster de courrier
- Query + Source
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Message électronique
Nom de l'entité : MailMessage
Champ | Type | Description |
---|---|---|
Type | String | « mail-message » |
Fichiers | IList<Entity (Fichier)> | Entités Fichier des pièces jointes de ce message électronique. |
Recipient | String | Destinataire de ce message électronique. Lorsqu'il y a plusieurs destinataires, le message est copié et chaque copie possède un destinataire. |
Urls | IList<String> | URL contenues dans ce message électronique. |
Threats | IList<String> | Menaces contenues dans ce message électronique. |
Expéditeur | String | Adresse e-mail de l’expéditeur. |
SenderIP | String | Adresse IP de l'expéditeur. |
ReceivedDate | DateTime | Date de réception de ce message. |
NetworkMessageId | Guid? | ID de message réseau de ce message électronique. |
InternetMessageId | String | ID de message Internet de ce message électronique. |
Objet | String | Objet de ce message électronique. |
AntispamDirection | Enum? | Directionnalité de ce message électronique. Valeurs possibles : |
DeliveryAction | Enum? | Action de remise de ce message électronique. Valeurs possibles : |
DeliveryLocation | Enum? | Emplacement de remise de ce message électronique. Valeurs possibles : |
CampaignId | Chaîne | Identificateur de la campagne dans laquelle ce message électronique est présent. |
SuspiciousRecipients | IList<String> | Liste des destinataires détectés comme suspects. |
ForwardedRecipients | IList<String> | Liste de tous les destinataires sur le courrier transféré. |
ForwardingType | IList<String> | Type de transfert du courrier, tel que SMTP, ETR, etc. |
Identificateurs forts d’une entité de message électronique
- NetworkMessageId + Recipient
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
E-mail d'envoi
Nom de l'entité : SubmissionMail
Champ | Type | Description |
---|---|---|
Type | String | « SubmissionMail » |
SubmissionId | Guid? | ID de l'envoi. |
SubmissionDate | DateTime? | Date et heure indiquées pour cet envoi. |
Expéditeur | String | Adresse e-mail de l'expéditeur. |
NetworkMessageId | Guid? | ID de message réseau de l'e-mail auquel l'envoi appartient. |
Timestamp | DateTime? | Horodatage de réception du message (courrier). |
Recipient | String | Destinataire du courrier. |
Expéditeur | String | Expéditeur du courrier. |
SenderIp | String | Adresse IP de l'expéditeur. |
Objet | String | Objet du courrier envoyé. |
ReportType | String | Type d'envoi pour l'instance donnée Les valeurs possibles sont Junk, Phish, Malware ou NotJunk. |
Identificateurs forts d’une entité SubmissionMail
- SubmissionId, Submitter, NetworkMessageId, Recipient
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Entités Sentinel
Champ | Type | Description |
---|---|---|
Entités | String | Liste des entités identifiées dans l’alerte. Cette liste est la colonne Entités du schéma SecurityAlert (voir la documentation). |
Retour à la liste des schémas de type d’entité | Retour au tableau des identificateurs d’entité
Identificateurs des applications cloud
La liste suivante définit les identificateurs des applications cloud connues. La valeur ID de l'application est utilisée comme identificateur d'entité de l'application cloud.
ID de l’application | Nom |
---|---|
10026 | DocuSign |
10 395 | Anaplan |
10489 | Box |
10549 | Cisco Webex |
10618 | Atlassian |
10915 | cornerstone ondemand |
10921 | Zendesk |
10980 | Okta |
11042 | Jive Software |
11114 | Salesforce |
11161 | Office 365 |
11162 | Microsoft OneNote Online |
11394 | Microsoft Online Services |
11522 | Yammer |
11599 | Amazon Web Services |
11627 | Dropbox |
11713 | Expensify |
11770 | G Suite |
12005 | SuccessFactors |
12260 | Microsoft Azure |
12275 | Workday |
13843 | LivePerson |
13979 | Concur |
14509 | ServiceNow |
15570 | Tableau |
15600 | Microsoft OneDrive Entreprise |
15782 | Citrix ShareFile |
17152 | Amazon |
17865 | Ariba Inc |
18432 | Zscaler |
19688 | Xactly |
20595 | Microsoft Defender for Cloud Apps |
20892 | Microsoft SharePoint Online |
20893 | Microsoft Exchange Online |
20940 | Active Directory |
20941 | Adallom CPanel |
22110 | Google Cloud Platform |
22930 | Gmail |
23004 | Autodesk Fusion Lifecycle |
23043 | Slack |
23233 | Microsoft Office Online |
25275 | Microsoft Skype Entreprise |
25988 | Google Docs |
26055 | Centre d’administration Microsoft 365 |
26060 | OPSWAT Gears |
26061 | Microsoft Word Online |
26062 | Microsoft PowerPoint Online |
26063 | Microsoft Excel Online |
26069 | Google Drive |
26206 | Workiva |
26311 | Microsoft Dynamics |
26318 | Microsoft Entra ID |
26320 | Microsoft Office Sway |
26321 | Microsoft Delve |
26324 | Microsoft Power BI |
27548 | Microsoft Forms |
27592 | Microsoft Flow |
27593 | Microsoft PowerApps |
28353 | Workplace by Facebook |
28373 | CAS Proxy Emulator |
28375 | Microsoft Teams |
32780 | Microsoft Dynamics 365 |
33626 | |
34127 | Microsoft AppSource |
34667 | HighQ |
35395 | Microsoft Dynamics Talent |
Étapes suivantes
Ce document vous a permis de vous familiariser avec la structure, les identificateurs et les schémas des entités dans Microsoft Sentinel.
Apprenez-en davantage sur les entités et le mappage des entités.