Wbudowane schematy szablonów listy obserwowanych usługi Microsoft Sentinel (wersja zapoznawcza)
Ten artykuł zawiera szczegółowe informacje o schematach używanych w każdym wbudowanym szablonie listy do obejrzenia udostępnianym przez usługę Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Create watchlists in Microsoft Sentinel (Tworzenie list do obejrzenia w usłudze Microsoft Sentinel).
Szablony listy do obejrzenia usługi Microsoft Sentinel są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Zasoby o wysokiej wartości
Lista obserwowanych zasobów o wysokiej wartości zawiera listę urządzeń, zasobów i innych zasobów, które mają wartość krytyczną w organizacji, oraz zawiera następujące pola:
| Nazwa pola | Format | Przykład | Obowiązkowe/opcjonalne |
|---|---|---|---|
| Typ zasobu | String | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Obowiązkowy |
| Identyfikator zasobu | Ciąg w zależności od typu zasobu | /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Obowiązkowy |
| Nazwa zasobu | String | Microsoft.Storage/storageAccounts/purviewadls |
Opcjonalnie |
| Nazwa FQDN zasobu | Nazwa FQDN | Finance-SRv.local.microsoft.com |
Obowiązkowy |
| IP Address | Adres IP | 1.1.1.1 |
Opcjonalnie |
| Tagi | List | ["SAW user","Blue Ocean team"] dla plików CSV utworzonych w programie Microsoft Excel lub [""SAW user"",""Blue Ocean team""] dla plików CSV utworzonych w edytorze tekstów |
Opcjonalnie |
Użytkownicy adresów VIP
Lista obserwowanych użytkowników adresów VIP zawiera konta użytkowników pracowników, które mają wysoki wpływ na organizację i zawierają następujące wartości:
| Nazwa pola | Format | Przykład | Obowiązkowe/opcjonalne |
|---|---|---|---|
| Identyfikator użytkownika | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcjonalnie |
| Identyfikator obiektu usługi AAD użytkownika | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcjonalnie |
| Identyfikator SID użytkownika lokalnego | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcjonalnie |
| Główna nazwa użytkownika | UPN (Nazwa UPN) | JeffL@seccxp.ninja |
Obowiązkowy |
| Tagi | List | ["SAW user","Blue Ocean team"] dla plików CSV utworzonych w programie Microsoft Excel lub [""SAW user"",""Blue Ocean team""] dla plików CSV utworzonych w edytorze tekstów |
Opcjonalnie |
Adresy sieciowe
Lista obserwowanych adresów sieciowych zawiera podsieci IP i ich odpowiednie konteksty organizacyjne oraz zawiera następujące pola:
| Nazwa pola | Format | Przykład | Obowiązkowe/opcjonalne |
|---|---|---|---|
| Podsieć IP | Zakres podsieci | 198.51.100.0/24 |
Obowiązkowy |
| Nazwa zakresu | String | DMZ |
Opcjonalnie |
| Tagi | List | ["Example","Example"] dla plików CSV utworzonych w programie Microsoft Excel lub [""Example"",""Example""] dla plików CSV utworzonych w edytorze tekstów |
Opcjonalnie |
Przerwani pracownicy
Lista obserwowanych Zakończonych pracowników zawiera konta użytkowników pracowników, które zostały lub mają zostać zakończone, i zawiera następujące pola:
| Nazwa pola | Format | Przykład | Obowiązkowe/opcjonalne |
|---|---|---|---|
| Identyfikator użytkownika | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcjonalnie |
| Identyfikator obiektu usługi AAD użytkownika | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcjonalnie |
| Identyfikator SID użytkownika lokalnego | SID | S-1-12-1-4141952679-1282074057-123 |
Opcjonalnie |
| Główna nazwa użytkownika | UPN (Nazwa UPN) | JeffL@seccxp.ninja |
Obowiązkowy |
| Userstate | Ciąg Zalecamy użycie polecenia Notified lub Terminated |
Terminated |
Obowiązkowy |
| Data powiadomienia | Sygnatura czasowa — dzień Zalecamy używanie formatu UTC |
2020-12-1 |
Opcjonalnie |
| Data zakończenia | Sygnatura czasowa — dzień Zalecamy używanie formatu UTC |
2021-01-01 |
Obowiązkowy |
| Tagi | List | ["SAW user","Amba Wolfs team"] dla plików CSV utworzonych w programie Microsoft Excel lub [""SAW user"",""Amba Wolfs team""] dla plików CSV utworzonych w edytorze tekstów |
Opcjonalnie |
Korelacja tożsamości
Lista obserwowanych korelacji tożsamości zawiera powiązane konta użytkowników należące do tej samej osoby i zawiera następujące pola:
| Nazwa pola | Format | Przykład | Obowiązkowe/opcjonalne |
|---|---|---|---|
| Identyfikator użytkownika | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcjonalnie |
| Identyfikator obiektu usługi AAD użytkownika | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcjonalnie |
| Identyfikator SID użytkownika lokalnego | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcjonalnie |
| Główna nazwa użytkownika | UPN (Nazwa UPN) | JeffL@seccxp.ninja |
Obowiązkowy |
| Identyfikator pracownika | String | 8234123 |
Opcjonalnie |
| Poczta e-mail | JeffL@seccxp.ninja |
Opcjonalnie | |
| Skojarzony identyfikator konta uprzywilejowanego | Identyfikator UID/IDENTYFIKATOR SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcjonalnie |
| Skojarzone konto uprzywilejowane | UPN (Nazwa UPN) | Admin@seccxp.ninja |
Opcjonalnie |
| Tagi | List | ["SAW user","Amba Wolfs team"] dla plików CSV utworzonych w programie Microsoft Excel lub [""SAW user"",""Amba Wolfs team""]dla plików CSV utworzonych w edytorze tekstów |
Opcjonalnie |
Konta usług
Lista obserwowanych kont usług zawiera listę kont usług i ich właścicieli oraz zawiera następujące pola:
| Nazwa pola | Format | Przykład | Obowiązkowe/opcjonalne |
|---|---|---|---|
| Identyfikator usługi | UID | 1111-112123-12312312-123123123 |
Opcjonalnie |
| Identyfikator obiektu usługi AAD | SID | 11123-123123-123123-123123 |
Opcjonalnie |
| Identyfikator SID lokalnego usługi | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Opcjonalnie |
| Nazwa główna usługi | UPN (Nazwa UPN) | myserviceprin@contoso.com |
Obowiązkowy |
| Identyfikator użytkownika właściciela | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcjonalnie |
| Identyfikator obiektu usługi AAD właściciela użytkownika | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcjonalnie |
| Identyfikator SID użytkownika lokalnego właściciela | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcjonalnie |
| Główna nazwa użytkownika właściciela | UPN (Nazwa UPN) | JeffL@seccxp.ninja |
Obowiązkowy |
| Tagi | List | ["Automation Account","GitHub Account"] dla plików CSV utworzonych w programie Microsoft Excel lub [""Automation Account"",""GitHub Account""]dla plików CSV utworzonych w edytorze tekstów |
Opcjonalnie |
Następne kroki
Aby uzyskać więcej informacji, zobacz,