Schemi dei modelli watchlist predefiniti di Microsoft Sentinel (anteprima)
Questo articolo illustra in dettaglio gli schemi usati in ogni modello watchlist predefinito fornito da Microsoft Sentinel. Per altre informazioni, vedere Creare watchlist in Microsoft Sentinel.
I modelli watchlist di Microsoft Sentinel sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Asset di valore elevato
L'elenco di controllo Asset di valore elevato elenca i dispositivi, le risorse e altri asset con valore critico nell'organizzazione e include i campi seguenti:
| Nome del campo | Formattazione | Esempio | Obbligatorio/Facoltativo |
|---|---|---|---|
| Tipo di asset | String | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Obbligatorio |
| ID risorsa | Stringa, a seconda del tipo di asset | /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Obbligatorio |
| Asset Name | String | Microsoft.Storage/storageAccounts/purviewadls |
Facoltativo |
| Asset FQDN | FQDN | Finance-SRv.local.microsoft.com |
Obbligatorio |
| Indirizzo IP | IP | 1.1.1.1 |
Facoltativo |
| Tag | List | ["SAW user","Blue Ocean team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Blue Ocean team""] per i file CSV creati in un editor di testo |
Facoltativo |
Utenti VIP
L'elenco di controllo Utenti VIP elenca gli account utente dei dipendenti con un impatto elevato nell'organizzazione e include i valori seguenti:
| Nome del campo | Formattazione | Esempio | Obbligatorio/Facoltativo |
|---|---|---|---|
| Identificatore utente | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facoltativo |
| ID oggetto AAD utente | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Facoltativo |
| Sid locale dell'utente | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facoltativo |
| Nome entità utente | UPN | JeffL@seccxp.ninja |
Obbligatorio |
| Tag | List | ["SAW user","Blue Ocean team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Blue Ocean team""] per i file CSV creati in un editor di testo |
Facoltativo |
Indirizzi di rete
L'elenco di controllo Indirizzi di rete elenca le subnet IP e i rispettivi contesti organizzativi e include i campi seguenti:
| Nome del campo | Formattazione | Esempio | Obbligatorio/Facoltativo |
|---|---|---|---|
| IP Subnet | Intervallo di subnet | 198.51.100.0/24 |
Obbligatorio |
| Nome intervallo | String | DMZ |
Facoltativo |
| Tag | List | ["Example","Example"] per i file CSV creati in Microsoft Excel o [""Example"",""Example""] per i file CSV creati in un editor di testo |
Facoltativo |
Dipendenti terminati
L'elenco di controllo Dipendenti terminati elenca gli account utente dei dipendenti che sono stati o stanno per essere, terminati e include i campi seguenti:
| Nome del campo | Formattazione | Esempio | Obbligatorio/Facoltativo |
|---|---|---|---|
| Identificatore utente | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facoltativo |
| ID oggetto AAD utente | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Facoltativo |
| Sid locale dell'utente | SID | S-1-12-1-4141952679-1282074057-123 |
Facoltativo |
| Nome entità utente | UPN | JeffL@seccxp.ninja |
Obbligatorio |
| Userstate | Stringa È consigliabile usare o NotifiedTerminated |
Terminated |
Obbligatorio |
| Data notifica | Timestamp - giorno È consigliabile usare il formato UTC |
2020-12-1 |
Facoltativo |
| Data di chiusura | Timestamp - giorno È consigliabile usare il formato UTC |
2021-01-01 |
Obbligatorio |
| Tag | List | ["SAW user","Amba Wolfs team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Amba Wolfs team""] per i file CSV creati in un editor di testo |
Facoltativo |
Correlazione delle identità
L'elenco di controllo Di correlazione delle identità elenca gli account utente correlati che appartengono alla stessa persona e include i campi seguenti:
| Nome del campo | Formattazione | Esempio | Obbligatorio/Facoltativo |
|---|---|---|---|
| Identificatore utente | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facoltativo |
| ID oggetto AAD utente | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Facoltativo |
| Sid locale dell'utente | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facoltativo |
| Nome entità utente | UPN | JeffL@seccxp.ninja |
Obbligatorio |
| ID dipendente | String | 8234123 |
Facoltativo |
| Messaggio e-mail | Indirizzo e-mail | JeffL@seccxp.ninja |
Facoltativo |
| ID account con privilegi associato | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facoltativo |
| Account con privilegi associato | UPN | Admin@seccxp.ninja |
Facoltativo |
| Tag | List | ["SAW user","Amba Wolfs team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Amba Wolfs team""]per i file CSV creati in un editor di testo |
Facoltativo |
Account di servizio
L'elenco di controllo Account del servizio elenca gli account del servizio e i relativi proprietari e include i campi seguenti:
| Nome del campo | Formattazione | Esempio | Obbligatorio/Facoltativo |
|---|---|---|---|
| Identificatore del servizio | UID | 1111-112123-12312312-123123123 |
Facoltativo |
| ID oggetto AAD del servizio | SID | 11123-123123-123123-123123 |
Facoltativo |
| Sid locale del servizio | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Facoltativo |
| Nome entità servizio | UPN | myserviceprin@contoso.com |
Obbligatorio |
| Identificatore utente proprietario | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facoltativo |
| ID oggetto AAD utente proprietario | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Facoltativo |
| Proprietario utente locale Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facoltativo |
| Nome dell'entità utente proprietario | UPN | JeffL@seccxp.ninja |
Obbligatorio |
| Tag | List | ["Automation Account","GitHub Account"] per i file CSV creati in Microsoft Excel o [""Automation Account"",""GitHub Account""]per i file CSV creati in un editor di testo |
Facoltativo |
Passaggi successivi
Per ulteriori informazioni, vedere,