Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument enthält zwei Informationssätze zu Entitäten und Entitätstypen in Microsoft Sentinel im Azure-Portal und Microsoft Sentinel im Defender-Portal.
- Die Tabelle "Entitätstypen und Bezeichner" zeigt die verschiedenen Typen von Entitäten an, die in Warnungen und Vorfällen identifiziert werden können, sodass Sie sie nachverfolgen und untersuchen können. Die Tabelle zeigt auch für jeden Entitätstyp die verschiedenen Bezeichner, mit denen eine Entität identifiziert werden kann.
- The Entity schema section shows the data structure and schema for entities in general and for each entity type in particular.
Important
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Entitätstypen und Bezeichner
The following table shows the entity types that can be recognized by Microsoft Sentinel, and the attributes that can be used as identifiers for each entity type.
Microsoft Sentinel recognizes entities in alerts and incidents that are created by entity mapping in analytics rules. Es erkennt auch Entitäten, die bereits in Warnungen identifiziert wurden, die aus anderen Quellen aufgenommen wurden.
Sie können derzeit bis zu drei Bezeichner für eine bestimmte Entität verwenden, wenn Sie eine Entitätszuordnung in Microsoft Sentinel erstellen. Strong identifiers alone are sufficient to uniquely identify an entity, whereas weak identifiers can do so only in combination with other identifiers. Erfahren Sie mehr über starke und schwache Bezeichner. Die meisten, aber nicht alle Bezeichner in dieser Tabelle können beim Erstellen von Entitätszuordnungen in Microsoft Sentinel verwendet werden (siehe Fußnoten).
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
|---|---|---|---|
| Account | Name FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name+UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name und NTDomain ** Name+DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName+NTDomain HostName+DnsDomain NetBiosName+NTDomain NetBiosName+DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
| IP | Address AddressScope |
Global address: Address** Private address: Address+AddressScope** |
Private address: Address** |
| URL | Url | URL (wenn absolute URL)** | URL (wenn relative URL)** |
|
Azure resource (AzureResource) |
ResourceId | ResourceId | |
|
Cloud application (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId+InstanceName Name+InstanceName |
|
|
DNS resolution (DNS) |
DomainName | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| File | Directory Name |
Directory+Name | |
|
File hash (FileHash) |
Algorithm Value |
Algorithm+Value | |
| Malware | Name Category |
Name+Category | |
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc+CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId+CreationTimeUtc+ CommandLine (ohne Host) ProcessId+CreationTimeUtc+ ImageFile (no Host) |
|
Registry key (RegistryKey) |
Hive Key |
Hive+Key | |
|
Registry value (RegistryValue) |
Name Value ValueType |
Key+Name | Name (ohne Key) |
|
Security group (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| Entity type | Identifiers | Strong identifiers | Weak identifiers |
|
Mail cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Threats Query QueryTime MailCount IsVolumeAnomaly Source ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query+Source | |
|
Mail message (MailMessage) |
Recipient Urls Threats Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Subject BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Language * ThreatDetectionMethods * |
NetworkMessageId+Recipient | |
|
Submission mail (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Submitter |
SubmissionId+NetworkMessageId+ Recipient+Submitter |
|
| Sentinel entities | Entities | Entities |
Table footnotes:
- * Diese Bezeichner werden in der Liste der Bezeichner angezeigt, die in der Entitätszuordnung verwendet werden können, aber streng genommen sind sie nicht Teil des Entitätsschemas.
- ** Diese Bezeichner gelten nur unter bestimmten Bedingungen als starke Bezeichner. Folgen Sie den Links des Sternchens, um die bedingungen anzuzeigen, die gelten, unter dem Eintrag der relevanten Entität im Abschnitt "Entitätsschemas" weiter unten.
- Kursiv formatierte Bezeichnernamen (ohne Sternchen) stellen interne Entitäten dar, was bedeutet, dass ein Entitätstyp andere Entitätstypen als Attribute aufweisen kann (siehe abschnitt "Entitätsschemas"). Folgen Sie dem Link des Bezeichners, um das eigene Schema der internen Entität anzuzeigen.
- Andere Entitäten können im Schema vorhanden sein, bei dem es sich um ein allgemeines Schema handelt, das neben Microsoft Sentinel viele Dinge unterstützt. In diesem Artikel sind nur die entitäten aufgeführt, die in Microsoft Sentinel verfügbar sind.
Entitätstypschemas
Im folgenden Abschnitt finden Sie eine ausführlichere Beschreibung der vollständigen Schemas für jeden Entitätstyp. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten. Das Kontoschema enthält beispielsweise einen Link zum Hostentitätstyp, da ein Attribut eines Benutzerkontos der Host ist, auf dem es definiert ist. Diese als Attribute verwendeten Entitäten werden als „interne Entitäten“ bezeichnet und können nicht als Bezeichner für die Entitätszuordnung verwendet werden. Sie sind jedoch sehr nützlich, um ein umfassendes Bild der Entitäten auf Entitätsseiten und im Untersuchungsdiagramm zu erhalten.
Note
A question mark following the value in the Type column indicates the field is nullable.
Liste der Entitätstypschemas
- Account
- Host
- IP
- Malware
- File
- Process
- Cloud application
- DNS resolution
- Azure resource
- File hash
- Registry key
- Registry value
- Security group
- URL
- IoT device
- Mailbox
- Mail cluster
- Mail message
- Submission mail
- Sentinel entities
Account
Entitätsname: Konto
| Field | Type | Description |
|---|---|---|
| Type | String | 'account' |
| Name | String | Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird. |
| FullName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung. |
| NTDomain | String | Der NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird (domäne\benutzername). Examples: Finance, NT AUTHORITY |
| DnsDomain | String | Der vollqualifizierte DNS-Domänenname. Examples: finance.contoso.com |
| UPNSuffix | String | Das Suffix des Benutzerprinzipalnamens für das Konto. In vielen Fällen ist das UPN-Suffix auch der Domänenname. Examples: contoso.com |
| Host | Entity (Host) | Der Host, der das Konto enthält, wenn es sich um ein lokales Konto handelt |
| Sid | String | Die Sicherheits-ID des Kontos |
| AadTenantId | Guid? | Die Microsoft Entra-Mandanten-ID, falls bekannt. |
| AadUserId | Guid? | Die Objekt-ID des Microsoft Entra-Kontos, falls bekannt. |
| PUID | Guid? | Die Benutzer-ID des Microsoft Entra-Passports, falls bekannt. |
| IsDomainJoined | Bool? | Gibt an, ob es sich bei dem Konto um ein Domänenkonto handelt |
| DisplayName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung. |
| ObjectGuid | Guid? | Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird. |
| CloudAppAccountId | String | Die AccountID in Warnungen vom CloudApp-Anbieter. Bezieht sich auf Konto-IDs in Drittanbieter-Apps, die in anderen Microsoft-Produkten nicht unterstützt werden. |
| IsAnonymized | Bool? | Gibt an, ob der Benutzername anonymisiert ist. Optional. Standardwert. false. |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit dem jeweiligen Konto Optional. |
Starke Bezeichner einer Kontoentität
- Name + UPNSuffix
- AadUserId
-
Sid
** This identifier is strong as long as the account is not one of the built-in accounts listed in the Note below. -
Sid + Host
** When the account is one of the built-in accounts listed in the Note below, the Host component is required to make this identifier a strong one. -
Name + NTDomain
** Diese Kombination ist ein starker Bezeichner, wenn das Konto ein Domänenkonto ist, da NTDomain keine integrierte Domäne bzw. Arbeitsgruppe ist und sich vom Hostnamen unterscheidet. In diesem Fall handelt es sich auch ohne die Hostkomponente um einen starken Bezeichner. -
Name + NTDomain + Host
** Die Hostkomponente ist erforderlich, um einen starken Bezeichner zu erstellen, wenn das Konto ein lokales Konto ist. Das bedeutet, dass die NTDomain eine integrierte Domäne bzw. Arbeitsgruppe ist. - Name + DnsDomain
- PUID
- ObjectGuid
Schwache Bezeichner einer Kontoentität
- Name
Note
If the Account entity is defined using the Name identifier, and the Name value of a particular entity is one of the following generic, commonly built-in account names, then that entity will be dropped from its alert.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- AUTHENTICATED USER
- NETWORK
- NULL
- LOCAL SYSTEM
- LOCALSYSTEM
- NETWORK SERVICE
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Host
Entitätsname: Host
| Field | Type | Description |
|---|---|---|
| Type | String | 'host' |
| IpInterfaces | List<Entity (Ip)> | Liste aller IP-Schnittstellen auf dem Hostcomputer |
| DnsDomain | String | Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt. |
| NTDomain | String | Die DNS-Domäne, zu der dieser Host gehört. |
| HostName | String | Der Hostname ohne das Domänensuffix. |
| NetBiosName | String | Der Hostname (vor Windows 2000). |
| IoTDevice | Entity (IoT Device) | Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt). |
| AzureID | String | Die Azure-Ressourcen-ID der VM, falls bekannt. |
| OMSAgentID | String | Die OMS-Agent-ID, wenn der OMS-Agent auf dem Host installiert ist. |
| OSFamily | Enum? | Einer der folgenden Werte: |
| OSVersion | String | Eine Freitextdarstellung des Betriebssystems. Dieses Feld soll bestimmte Versionen enthalten, die präziser als OSFamily sind, oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden. |
| IsDomainJoined | Bool | Gibt an, ob dieser Host zu einer Domäne gehört |
Starke Bezeichner einer Hostentität
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Schwache Bezeichner einer Hostentität
- HostName
- NetBiosName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IP
Entitätsname: IP
| Field | Type | Description |
|---|---|---|
| Type | String | 'ip' |
| Address | String | Die IP-Adresse als Zeichenfolge (entweder in IPv4 oder IPv6). Examples: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | String | Der Name des Hosts, Subnetzes oder privaten Netzwerks für private, nicht globale IP-Adressen. NULL oder leer für globale IP-Adressen (Standard). Examples: /27, 255.255.255.128 |
| Location | GeoLocation | Der an die IP-Entität angefügte Geostandortkontext. Weitere Informationen finden Sie unter " Anreichern von Entitäten in Microsoft Sentinel mit Geolocation-Daten über DIE REST-API (öffentliche Vorschau)". |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen IP-Adresse Optional. |
Starke Bezeichner einer IP-Entität
-
Address
Wenn es sich bei der IP-Adresse um eine globale Adresse handelt, ist der Adressbezeichner selbst ein eindeutiger, starker Bezeichner. -
Adresse + AddressScope
Für private/interne, nicht globale IP-Adressen ist die AddressScope-Komponente erforderlich, um dies zu einem starken Bezeichner zu machen.
Schwache IDs einer IP-Entität
-
Address
Der Adressbezeichner selbst ist ein schwacher Bezeichner, wenn die IP-Adresse eine private/interne, nicht globale IP-Adresse ist.
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Malware
Entitätsname: Schadsoftware
| Field | Type | Description |
|---|---|---|
| Type | String | 'malware' |
| Name | String | Der vom Anbieter (detection?) zugewiesene Schadsoftwarename, z. B. Win32/Toga!rfn. |
| Category | String | Die vom Anbieter (detection?) zugewiesene Schadsoftwarekategorie, z. B. Trojan. |
| Files | List<Entity (File)> | Liste der verknüpften Dateientitäten, für die die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten. See the File entity for more details on structure. |
| Processes | List<Entity (Process)> | Liste der verknüpften Prozessentitäten, für die die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird. See the Process entity for more details on structure. |
Starke Bezeichner einer Schadsoftwareentität
- Name + Kategorie
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
File
Entitätsname: Datei
| Field | Type | Description |
|---|---|---|
| Type | String | 'file' |
| Directory | String | Der vollständige Pfad zur Datei. |
| Name | String | Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad). |
| AlternateDataStreamName | String | Der Dateidatenstromname im NTFS-Dateisystem (NULL für den Hauptdatenstrom). |
| Host | Entity (Host) | Der Host, auf dem die Datei gespeichert wurde. |
| HostUrl | Entity (URL) | URL, von der die Datei heruntergeladen wurde (Marke des Webs). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows-Sicherheitszone, zu der die URL gehört (Marke des Webs). |
| ReferrerUrl | Entity (URL) | Referrer-URL der HTTP-Anforderung zum Herunterladen der Datei (Marke des Webs). |
| SizeInBytes | Long? | Die Größe der Datei in Bytes. |
| FileHashes | List<Entity (FileHash)> | Die Dateihashes, die dieser Datei zugeordnet sind. |
Starke Bezeichner einer Dateientität
- Name + Verzeichnis
- Name + FileHash
- Name + Verzeichnis + FileHash
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Process
Entitätsname: Prozess
| Field | Type | Description |
|---|---|---|
| Type | String | 'process' |
| ProcessId | String | Die Prozess-ID. |
| CommandLine | String | Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird. |
| ElevationToken | Enum? | Das dem Prozess zugeordnete Erhöhungstoken. Possible values: |
| CreationTimeUtc | DateTime? | Die Zeit, zu der die Ausführung des Prozesses gestartet wurde. |
| ImageFile | Entity (File) | Kann die Dateientität inline oder als Verweis enthalten. See the File entity for more details on structure. |
| Account | Entity (Account) | Das Konto, mit dem die Prozesse ausgeführt werden. Kann die Account-Entität inline oder als Verweis enthalten. See the Account entity for more details on structure. |
| ParentProcess | Entity (Process) | Die übergeordnete Prozessentität. Kann Teildaten enthalten, z. B. nur die PID |
| Host | Entity (Host) | Der Host, auf dem der Prozess ausgeführt wurde. |
| LogonSession | Entity (HostLogonSession) | Die Sitzung, in der der Prozess ausgeführt wurde. |
Starke Bezeichner einer Prozessentität
- Host + ProcessId + CreationTimeUtc
- Gastgeber + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Schwache Bezeichner einer Prozessentität
- ProcessID und CreationTimeUtc und CommandLine (und kein Host)
- ProcessId + CreationTimeUtc + ImageFile (and no Host)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloud application
Entitätsname: CloudApplication
| Field | Type | Description |
|---|---|---|
| Type | String | 'cloud-application' |
| AppId | Int | Veraltet, verwenden Sie stattdessen das Feld „SaasId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Value optional. Er sollte nicht InstanceId enthalten. |
| SaasId | Int | Ersetzt das veraltete Feld „AppId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Value optional. Er sollte nicht InstanceId enthalten. |
| Name | String | Der Name der verwandten Cloudanwendung. Value optional. |
| InstanceName | String | Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet. |
| InstanceId | Int | Der Bezeichner der spezifischen Sitzung der Anwendung. Es handelt sich um eine nullbasierte laufende Zahl. Value optional. |
| Risk | AppRisk? | Damit können Sie Apps nach Risikobewertung filtern, sodass Sie sich z.B. auf die Überprüfung von Apps mit hohem Risiko konzentrieren können. Werte wie „Low“, „Medium“, „High“ oder „Unknown“ sind möglich. |
| Stream | Stream | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen Cloud-App Optional. |
Starke Bezeichner einer Cloudanwendungsentität
- AppId (ohne InstanceName)
- Name (ohne InstanceName)
- AppId + InstanceName
- Name + InstanceName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
DNS resolution
Entitätsname: DNS
| Field | Type | Description |
|---|---|---|
| Type | String | 'dns' |
| DomainName | String | Der Name des DNS-Eintrags, der der Warnung zugeordnet ist. |
| IpAddress | List<Entity (IP)> | Entitäten, die den aufgelösten IP-Adressen entsprechen. |
| DnsServerIp | Entity (IP) | Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst. |
| HostIpAddress | Entity (IP) | Eine Entität, die den DNS-Anforderungsclient darstellt. |
Starke Bezeichner einer DNS-Entität
- DomainName + DnsServerIp + HostIpAddress
Schwache Bezeichner einer DNS-Entität
- DomainName + HostIpAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Azure resource
Entitätsname: AzureResource
| Field | Type | Description |
|---|---|---|
| Type | String | 'azure-resource' |
| ResourceId | String | Die Azure-Ressourcen-ID der Ressource. Mandatory. |
| SubscriptionId | String | Die Abonnement-ID der Ressource. |
| ActiveContacts | Liste<ActiveContact> | Aktive Kontakte, die der Ressource zugeordnet sind |
| ResourceType | String | Der Typ der Ressource. |
| ResourceName | String | Der Name der Ressource. |
Starke Bezeichner einer Azure-Ressourcenentität
- ResourceId
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
File hash
Entitätsname: FileHash
| Field | Type | Description |
|---|---|---|
| Type | String | 'filehash' |
| Algorithm | Enum | Der Hashalgorithmustyp. Mandatory. Possible values: |
| Value | String | Der Hashwert. Mandatory. |
Starke Bezeichner einer Dateihashentität
- Algorithmus + Wert
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registry key
Entitätsname: RegistryKey
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-key' |
| Hive | Enum? | Einer der folgenden Werte: |
| Key | String | Der Registrierungsschlüsselpfad. |
Starke Bezeichner einer Registrierungsschlüsselentität
- Struktur + Schlüssel
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registry value
Entitätsname: RegistryValue
| Field | Type | Description |
|---|---|---|
| Type | String | 'registry-value' |
| Host | Entity (Host) | Der Host, zu dem die Registrierung gehört |
| Key | Entity (RegistryKey) | Die Registrierungsschlüsselentität. |
| Name | String | Der Name des Registrierungswerts. |
| Value | String | Als Zeichenfolge formatierte Darstellung der Wertdaten. |
| ValueType | Enum? | Einer der folgenden Werte: Werte sollten der Microsoft. Win32.RegistryValueKind-Enumeration entsprechen. |
Starke Bezeichner einer Registrierungswertentität
- Schlüssel + Name
Schwache Bezeichner einer Registrierungswertentität
- Name (ohne Schlüssel)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Security group
Entitätsname: SecurityGroup
| Field | Type | Description |
|---|---|---|
| Type | String | 'security-group' |
| DistinguishedName | String | Der Distinguished Name (DN) der Gruppe. |
| SID | String | Ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt |
| ObjectGuid | Guid? | Ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird |
Starke Bezeichner einer Sicherheitsgruppenentität
- DistinguishedName
- SID
- ObjectGuid
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
URL
Entitätsname: URL
| Field | Type | Description |
|---|---|---|
| Type | String | 'url' |
| Url | Uri | Eine vollständige URL, auf die die Entität verweist. Mandatory. |
Starke Bezeichner einer URL-Entität
- Url (** This identifier is strong when the URL is an absolute URL.)
Schwache Bezeichner einer URL-Entität
- Url (** Dieser Bezeichner ist schwach, wenn die URL eine relative URL ist.)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IoT device
Entitätsname: IoTDevice
| Field | Type | Description |
|---|---|---|
| Type | String | 'iotdevice' |
| IoTHub | Entity (AzureResource) | Die AzureResource-Entität, die den IoT Hub darstellt, zu dem das Gerät gehört. |
| DeviceId | String | Die ID des Geräts im Kontext des IoT Hub. Mandatory. |
| DeviceName | String | Der Anzeigename des Geräts. |
| Owners | Listenzeichenfolge<> | Die Besitzer des Geräts |
| IoTSecurityAgentId | Guid? | Die ID des Defender für IoT-Agents , der auf dem Gerät ausgeführt wird. |
| DeviceType | String | Der Typ des Geräts („Temperatursensor“, „Kühlung“, „Windrad“ usw.). |
| DeviceTypeId | String | Eine eindeutige ID, um jeden Gerätetyp gemäß dem Gerätetypschema zu identifizieren, da der Gerätetyp selbst ein Anzeigename ist und in Vergleichen nicht zuverlässig ist Possible values: Nicht klassifiziert = 0 Sonstiges = 1 Netzwerkgerät = 2 Drucker = 3 Audio und Video = 4 Medien und Überwachung = 5 Kommunikation = 7 Smart Appliance = 9 Workstation = 10 Server = 11 Mobil = 12 Smart Facility = 13 Industrie = 14 Betriebsausrüstung = 15 |
| Source | String | Die Quelle (Microsoft/Hersteller) der Geräteentität. |
| SourceRef | Entity (Url) | Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird. |
| Manufacturer | String | Der Hersteller des Geräts. |
| Model | String | Das Gerätemodell. |
| OperatingSystem | String | Das Betriebssystem, das das Gerät ausführt. |
| IpAddress | Entity (IP) | Die aktuelle IP-Adresse des Geräts. |
| MacAddress | String | Die MAC-Adresse des Geräts. |
| Nics | Entity (Nic) | Die aktuellen NICs auf dem Gerät |
| Protocols | Listenzeichenfolge<> | Eine Liste der Protokolle, die vom Gerät unterstützt werden. |
| SerialNumber | String | Die Seriennummer des Geräts. |
| Site | String | Der Standort des Geräts |
| Zone | String | Die Zone des Geräts innerhalb eines Standorts |
| Sensor | String | Der Sensor, der das Gerät überwacht |
| Importance | Enum? | Einer der folgenden Werte: |
| PurdueLayer | String | Die Purdue-Schicht des Geräts |
| IsProgramming | Bool? | Gibt an, ob das Gerät als Programmiergerät klassifiziert wurde |
| IsAuthorized | Bool? | Gibt an, ob das Gerät als autorisiertes Gerät klassifiziert wurde |
| IsScanner | Bool? | Gibt an, ob das Gerät als Scannergerät klassifiziert wurde |
| DevicePageLink | Entity (Url) | Eine URL zur Geräteseite im Defender for IoT-Portal |
| DeviceSubType | String | Der Name des Geräteuntertyps |
Starke Bezeichner einer IoT-Geräteentität
- IoTHub + DeviceId
Schwache Bezeichner einer IoT-Geräteentität
- DeviceId -ID (ohne IoTHub)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Mailbox
Entitätsname: Postfach
| Field | Type | Description |
|---|---|---|
| Type | String | 'mailbox' |
| MailboxPrimaryAddress | String | Die primäre Adresse des Postfachs. |
| DisplayName | String | Der Anzeigename des Postfachs. |
| Upn | String | Der UPN des Postfachs. |
| AadId | String | Der Azure AD-Bezeichner des Postfachs des Benutzers |
| RiskLevel | RiskLevel? | Die Risikostufe dieses Postfachs. Possible values: |
| ExternalDirectoryObjectId | Guid? | Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität. Diese Eigenschaft ist jedoch für das Postfachobjekt auf der Office-Seite spezifisch. |
Starke Bezeichner einer Postfachentität
- MailboxPrimaryAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Mail cluster
Entitätsname: MailCluster
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-cluster' |
| NetworkMessageIds | IList-Zeichenfolge<> | Die E-Mail-Nachrichten-IDs, die Teil des Nachrichtenclusters sind. |
| CountByDeliveryStatus | IDictionary<String,Int> | Anzahl von E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung. |
| CountByThreatType | IDictionary<String,Int> | Anzahl von E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung. |
| CountByProtectionStatus | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Protection“ |
| CountByDeliveryLocation | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Delivery“ |
| Threats | IList-Zeichenfolge<> | Die Bedrohungen von E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| Query | String | Die Abfrage, mit der die Nachrichten des Nachrichtenclusters identifiziert wurden. |
| QueryTime | DateTime? | Die Abfragezeit. |
| MailCount | Int? | Die Anzahl der E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| IsVolumeAnomaly | Bool? | Gibt an, ob es sich um einen E-Mail-Cluster mit Volumenanomalie handelt |
| Source | String | Die Quelle des E-Mail-Clusters (Standardwert: O365 ATP) |
Starke Bezeichner einer E-Mail-Clusterentität
- Abfrage + Quelle
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Mail message
Entitätsname: MailMessage
| Field | Type | Description |
|---|---|---|
| Type | String | 'mail-message' |
| Files | IList<Entity (File)> | Die Dateientitäten der Anlagen dieser E-Mail-Nachricht. |
| Recipient | String | Der Empfänger dieser E-Mail-Nachricht. Im Fall mehrerer Empfänger wird die E-Mail-Nachricht kopiert, und jede Kopie weist einen Empfänger auf. |
| Urls | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen URLs. |
| Threats | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen. |
| Sender | String | Die E-Mail-Adresse des Absenders. |
| SenderIP | String | Die IP-Adresse des Absenders. |
| ReceivedDate | DateTime | Das Empfangsdatum dieser Nachricht. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID dieser E-Mail-Nachricht. |
| InternetMessageId | String | Die Internetnachrichten-ID dieser E-Mail-Nachricht. |
| Subject | String | Der Betreff dieser E-Mail-Nachricht. |
| AntispamDirection | Enum? | Die Direktionalität dieser E-Mail-Nachricht. Possible values: |
| DeliveryAction | Enum? | Die Übermittlungsaktion dieser E-Mail-Nachricht. Possible values: |
| DeliveryLocation | Enum? | Die Übermittlungsort dieser E-Mail-Nachricht. Possible values: |
| CampaignId | String | Der Bezeichner der Kampagne, in der diese E-Mail-Nachricht vorhanden ist. |
| SuspiciousRecipients | IList-Zeichenfolge<> | Die Liste der Empfänger, die als verdächtig erkannt wurden |
| ForwardedRecipients | IList-Zeichenfolge<> | Die Liste aller Empfänger in der weitergeleiteten E-Mail |
| ForwardingType | IList-Zeichenfolge<> | Der Weiterleitungstyp der E-Mail, z. B. SMTP, ETR usw. |
Starke Bezeichner einer E-Mail-Nachrichtenentität
- NetworkMessageId + Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Submission mail
Entitätsname: SubmissionMail
| Field | Type | Description |
|---|---|---|
| Type | String | 'SubmissionMail' |
| SubmissionId | Guid? | Die Übermittlungs-ID. |
| SubmissionDate | DateTime? | Gemeldetes Datum und die Uhrzeit dieser Übermittlung. |
| Submitter | String | Die E-Mail-Adresse des Übermittlers. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört. |
| Timestamp | DateTime? | Der Zeitstempel für den Nachrichtempfang (E-Mail). |
| Recipient | String | Der Empfänger der E-Mail. |
| Sender | String | Der Absender der E-Mail. |
| SenderIp | String | Die IP-Adresse des Absenders. |
| Subject | String | Der Betreff der Übermittlungs-E-Mail. |
| ReportType | String | Der Übermittlungstyp für die angegebene Instanz. Mögliche Werte sind „Junk“, „Phish“, „Malware“ oder „NotJunk“. |
Starke Bezeichner einer SubmissionMail-Entität
- SubmissionId, Submitter, NetworkMessageId, Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Sentinel entities
| Field | Type | Description |
|---|---|---|
| Entities | String | Eine Liste der in der Warnung identifizierten Entitäten. This list is the entities column from the SecurityAlert schema (see documentation). |
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloudanwendungsbezeichner
In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. The App ID value is used as a cloud application entity identifier.
| App ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Box |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | Cornerstone OnDemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive für Unternehmen |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender für Cloud-Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype für Unternehmen |
| 25988 | Google Docs |
| 26055 | Microsoft 365 Admin Center |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics |
| 26318 | Microsoft Entra-ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS-Proxy-Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Next steps
In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.
Learn more about entities and entity mapping.