Esquemas de modelo de watchlist internos do Microsoft Sentinel (versão prévia)
Este artigo detalha os esquemas usados em cada modelo de watchlist interno fornecido pelo Microsoft Sentinel. Para obter mais informações, confira Criar watchlists no Microsoft Sentinel.
Os modelos de watchlist do Microsoft Sentinel estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Ativos de alto valor
Os dispositivos das listas watchlist dos Ativos de Alto Valor, os recursos e outros ativos que possuem valor crítico na organização e inclui os seguintes campos:
| Nome do campo | Formato | Exemplo | Obrigatório/opcional |
|---|---|---|---|
| Tipo de ativo | String | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Obrigatório |
| ID do ativo | Cadeia de caracteres, dependendo do tipo de ativo | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Obrigatório |
| Nome do ativo | String | Microsoft.Storage/storageAccounts/purviewadls |
Opcional |
| FQDN do ativo | FQDN | Finance-SRv.local.microsoft.com |
Obrigatório |
| Endereço IP | IP | 1.1.1.1 |
Opcional |
| Marcas | Lista | ["SAW user","Blue Ocean team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Blue Ocean team""] para arquivos CSV criados em um editor de texto |
Opcional |
Usuários VIP
As contas de usuário das listas watchlist dos Usuários VIP que têm valor de alto impacto na organização e inclui os seguintes valores:
| Nome do campo | Formato | Exemplo | Obrigatório/opcional |
|---|---|---|---|
| Identificador de usuário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
| ID de objeto do AAD do usuário | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
| Sid local do usuário | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
| Nome principal do usuário | UPN | JeffL@seccxp.ninja |
Obrigatório |
| Marcas | Lista | ["SAW user","Blue Ocean team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Blue Ocean team""] para arquivos CSV criados em um editor de texto |
Opcional |
Endereços de rede
A lista de observação de Endereços de Rede lista as sub-redes IP e seus respectivos contextos organizacionais e inclui os seguintes campos:
| Nome do campo | Formato | Exemplo | Obrigatório/opcional |
|---|---|---|---|
| Sub-rede de IP | Intervalo de sub-rede | 198.51.100.0/24 |
Obrigatório |
| Nome do intervalo | String | DMZ |
Opcional |
| Marcas | Lista | ["Example","Example"] para arquivos CSV criados no Microsoft Excel ou [""Example"",""Example""] para arquivos CSV criados em um editor de texto |
Opcional |
Funcionários demitidos
As contas de usuário das listas watchlist de Funcionários demitidos dos funcionários que foram ou estão prestes a ser demitidos, e incluem os seguintes campos:
| Nome do campo | Formato | Exemplo | Obrigatório/opcional |
|---|---|---|---|
| Identificador de usuário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
| ID de objeto do AAD do usuário | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
| Sid local do usuário | SID | S-1-12-1-4141952679-1282074057-123 |
Opcional |
| Nome principal do usuário | UPN | JeffL@seccxp.ninja |
Obrigatório |
| UserState | Corda É recomendável usar Notified ou Terminated |
Terminated |
Obrigatório |
| Data da notificação | Carimbo de data/hora - dia É recomendável usar o formato UTC |
2020-12-1 |
Opcional |
| Data da demissão | Carimbo de data/hora - dia É recomendável usar o formato UTC |
2021-01-01 |
Obrigatório |
| Marcas | Lista | ["SAW user","Amba Wolfs team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Amba Wolfs team""] para arquivos CSV criados em um editor de texto |
Opcional |
Correlação de identidade
As listas watchlist de Correlação de Identidade relacionadas às contas de usuário que pertencem à mesma pessoa e inclui os seguintes campos:
| Nome do campo | Formato | Exemplo | Obrigatório/opcional |
|---|---|---|---|
| Identificador de usuário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
| ID de objeto do AAD do usuário | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
| Sid local do usuário | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
| Nome principal do usuário | UPN | JeffL@seccxp.ninja |
Obrigatório |
| ID do funcionário | String | 8234123 |
Opcional |
JeffL@seccxp.ninja |
Opcional | ||
| ID da Conta Privilegiada Associada | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
| Conta Privilegiada Associada | UPN | Admin@seccxp.ninja |
Opcional |
| Marcas | Lista | ["SAW user","Amba Wolfs team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Amba Wolfs team""]para arquivos CSV criados em um editor de texto |
Opcional |
Contas de serviço
As listas watchlist das Contas de Serviço lista as contas de serviço e seus proprietários, e inclui os seguintes campos:
| Nome do campo | Formato | Exemplo | Obrigatório/opcional |
|---|---|---|---|
| Identificador de Serviço | UID | 1111-112123-12312312-123123123 |
Opcional |
| ID do Objeto do AAD de Serviço | SID | 11123-123123-123123-123123 |
Opcional |
| Sid local do serviço | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Opcional |
| Nome da entidade de serviço | UPN | myserviceprin@contoso.com |
Obrigatório |
| Identificador de usuário proprietário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
| ID de Objeto do AAD do Usuário Proprietário | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
| Sid local do usuário | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
| Nome UPN do Proprietário | UPN | JeffL@seccxp.ninja |
Obrigatório |
| Marcas | Lista | ["Automation Account","GitHub Account"] para arquivos CSV criados no Microsoft Excel ou [""Automation Account"",""GitHub Account""]para arquivos CSV criados em um editor de texto |
Opcional |
Próximas etapas
Para obter mais informações, consulte