Microsoft Sentinel 自動化規則リファレンス
- [アーティクル]
-
-
この記事には、自動化ルールの構成と、サポートされている条件とプロパティに関するリファレンス情報が含まれています。
自動化ルールの詳細については、「 自動化ルールを使用した Microsoft Sentinel での自動脅威対応を参照してください。
自動化ルールの作成、管理、および使用の手順については、「 Microsoft Sentinel 自動化ルールを作成して使用して応答を管理するを参照してください。
サポートされているエンティティのプロパティ
自動化ルールの条件として、次のエンティティとエンティティ プロパティを使用できます。
次の表は、オートメーション ルール API でサポートされているエンティティ プロパティを示しています。 これらは、オートメーション ルールをトリガーするための条件として設定できる値を持つエンティティ プロパティです。
インシデント プロパティを含む、サポートされるプロパティの完全な一覧については、Automation ルール API ドキュメントのAutomation ルール プロパティ条件でサポートされるプロパティを参照してください。
| 名前 (API 内) |
型 |
説明 |
| AccountAadTenantId |
string |
アカウント Microsoft Entra ID テナント ID |
| AccountAadUserId |
string |
アカウント Microsoft Entra ID ユーザー ID |
| AccountName |
string |
アカウント名 |
| AccountNTDomain |
string |
アカウント NetBIOS ドメイン名 |
| AccountPUID |
string |
アカウント Microsoft Entra ID Passport ユーザー ID |
| AccountSid |
string |
アカウントのセキュリティ識別子 |
| AccountObjectGuid |
string |
アカウント オブジェクトの一意識別子 |
| AccountUPNSuffix |
string |
アカウント ユーザー プリンシパル名のサフィックス |
| AzureResourceResourceId |
string |
Azure リソース ID |
| AzureResourceSubscriptionId |
string |
Azure リソース サブスクリプション ID |
| CloudApplicationAppId |
string |
クラウド アプリケーション識別子 |
| CloudApplicationAppName |
string |
クラウド アプリケーション名 |
| DNSDomainName |
string |
DNS レコードのドメイン名 |
| FileDirectory |
string |
ファイル ディレクトリの完全パス |
| FileName |
string |
パスのないファイル名 |
| FileHashValue |
string |
ファイル ハッシュ値 |
| HostAzureID |
string |
ホスト Azure リソース ID |
| HostName |
string |
ドメインのないホスト名 |
| HostNetBiosName |
string |
ホスト NetBIOS 名 |
| HostNTDomain |
string |
ホスト NT ドメイン |
| HostOSVersion |
string |
ホスト オペレーティング システム |
| IoTDeviceId |
string |
IoT デバイス ID |
| IoTDeviceName |
string |
IoT デバイス名 |
| IoTDeviceType |
string |
IoT デバイスの種類 |
| IoTDeviceVendor |
string |
IoT デバイス ベンダー |
| IoTDeviceModel |
string |
IoT デバイス モデル |
| IoTDeviceOperatingSystem |
string |
IoT デバイスのオペレーティング システム |
| IPAddress |
string |
IP アドレス |
| MailboxDisplayName |
string |
メールボックスの表示名 |
| MailboxPrimaryAddress |
string |
メールボックスのプライマリ アドレス |
| MailboxUPN |
string |
メールボックス ユーザー プリンシパル名 |
| MailMessageDeliveryAction |
string |
メール メッセージ配信アクション |
| MailMessageDeliveryLocation |
string |
メール メッセージの配信場所 |
| MailMessageRecipient |
string |
メール メッセージの受信者 |
| MailMessageSenderIP |
string |
メール メッセージ送信者の IP アドレス |
| MailMessageSubject |
string |
メール メッセージの件名 |
| MailMessageP1Sender |
string |
メール メッセージ P1 送信者 (委任された送信者) |
| MailMessageP2Sender |
string |
メール メッセージ P2 送信者 (元の送信者) |
| MalwareCategory |
string |
マルウェア カテゴリ |
| MalwareName |
string |
マルウェア名 |
| ProcessCommandLine |
string |
プロセス実行コマンド ライン |
| ProcessId |
string |
プロセス ID |
| RegistryKey |
string |
レジストリ キーのパス |
| RegistryValueData |
string |
文字列形式表現のレジストリ キー値 |
| URL |
string |
URL |
次の表は、 Automation rules API でサポートされているエンティティ プロパティを、オートメーション ルール作成ウィザードの条件ドロップダウンに表示する方法を示しています。 また、これらのプロパティが、Microsoft Sentinel セキュリティ アラートで定義されている エンティティとその識別子 にどのようにマップされるかも示します。
| API の名前 |
[UI の名前] ドロップダウン |
エンティティ: V3 アラート スキーマの識別子 |
| AccountAadTenantId |
アカウント テナント ID |
アカウント: AadTenantId |
| AccountAadUserId |
アカウント AAD ユーザー ID |
アカウント: AadUserId |
| アカウント名 (AccountName) |
アカウント名 |
アカウント名: |
| AccountNTDomain |
アカウント NT ドメイン |
アカウント: NTDomain |
| AccountPUID |
アカウント PUID |
アカウント: PUID |
| AccountSid |
アカウント SID |
アカウント: Sid |
| AccountObjectGuid |
Account object ID (アカウント オブジェクト ID) |
アカウント: ObjectGuid |
| AccountUPNSuffix |
アカウント UPN サフィックス |
アカウント: UPNSuffix |
| AzureResourceResourceId |
Azure リソース ID |
AzureResource: ResourceId |
| AzureResourceSubscriptionId |
Azure リソース サブスクリプション ID |
AzureResource: SubscriptionId |
| CloudApplicationAppId |
クラウド アプリケーション ID |
CloudApplication: AppId |
| CloudApplicationAppName |
クラウド アプリケーション名 |
CloudApplication: 名前 |
| DNSDomainName |
DNS ドメイン名 |
DNS: DomainName |
| FileDirectory |
ファイル ディレクトリ |
ファイル: ディレクトリ |
| FileName |
ファイル名 |
ファイル名: |
| FileHashValue |
ファイル ハッシュ |
FileHash: 値 |
| HostAzureID |
ホスト Azure ID |
ホスト: AzureID |
| HostName |
ホスト名 |
Host: HostName |
| HostNetBiosName |
ホスト NetBIOS 名 |
ホスト: NetBiosName |
| HostNTDomain |
ホスト NT ドメイン |
ホスト: NTDomain |
| HostOSVersion |
ホスト オペレーティング システム |
ホスト: OSVersion |
| IoTDeviceId |
IoT デバイス ID |
IoTDevice: DeviceId |
| IoTDeviceName |
IoT device name |
IoTDevice: DeviceName |
| IoTDeviceType |
IoT デバイスの種類 |
IoTDevice: DeviceType |
| IoTDeviceVendor |
IoT デバイス ベンダー |
IoTDevice: 製造元 |
| IoTDeviceModel |
IoT デバイス モデル |
IoTDevice: モデル |
| IoTDeviceOperatingSystem |
IoT デバイス のオペレーティング システム |
IoTDevice: OperatingSystem |
| IPAddress |
IP アドレス (IP address) |
IP アドレス: |
| MailboxDisplayName |
メールボックスの表示名 |
メールボックス: DisplayName |
| MailboxPrimaryAddress |
メールボックスのプライマリ アドレス |
Mailbox: MailboxPrimaryAddress |
| MailboxUPN |
メールボックス UPN |
メールボックス: Upn |
| MailMessageDeliveryAction |
メール メッセージ配信アクション |
MailMessage: DeliveryAction |
| MailMessageDeliveryLocation |
メール メッセージの配信場所 |
MailMessage: DeliveryLocation |
| MailMessageRecipient |
メール メッセージの受信者 |
MailMessage: Recipient |
| MailMessageSenderIP |
メール メッセージ送信者 IP |
MailMessage: SenderIP |
| MailMessageSubject |
メール メッセージの件名 |
MailMessage: 件名 |
| MailMessageP1Sender |
メール メッセージ P1 送信者 |
MailMessage: P1Sender |
| MailMessageP2Sender |
メール メッセージ P2 送信者 |
MailMessage: P2Sender |
| MalwareCategory |
マルウェア カテゴリ |
マルウェア: カテゴリ |
| MalwareName |
マルウェアの名前 |
マルウェア: 名前 |
| ProcessCommandLine |
プロセス コマンド ライン |
プロセス: CommandLine |
| ProcessId |
プロセス ID |
Process: ProcessId |
| RegistryKey |
レジストリ キー |
RegistryKey: キー |
| RegistryValueData |
レジストリ値 |
RegistryValue: 値 |
| URL |
URL |
Url: Url |