Esquemas de modelo de lista de observação integrados do Microsoft Sentinel (visualização)
Este artigo detalha os esquemas usados em cada modelo de lista de observação interno fornecido pelo Microsoft Sentinel. Para obter mais informações, consulte Criar listas de observação no Microsoft Sentinel.
Os modelos da lista de observação do Microsoft Sentinel estão atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Ativos de Alto Valor
A lista de observação Ativos de Alto Valor lista dispositivos, recursos e outros ativos que têm valor crítico na organização e inclui os seguintes campos:
Nome do campo | Format | Exemplo | Obrigatório/Opcional |
---|---|---|---|
Tipo de ativo | String | Device , Azure resource , AWS resource , URL , SPO , File share , Other |
Obrigatório |
ID do ativo | String, dependendo do tipo de ativo | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Obrigatório |
Nome do ativo | String | Microsoft.Storage/storageAccounts/purviewadls |
Opcional |
FQDN do ativo | FQDN | Finance-SRv.local.microsoft.com |
Obrigatório |
Endereço IP | IP | 1.1.1.1 |
Opcional |
Etiquetas | List | ["SAW user","Blue Ocean team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Blue Ocean team""] para arquivos CSV criados em um editor de texto |
Opcional |
Utilizadores VIP
A lista de observação Usuários VIP lista contas de usuários de funcionários que têm alto valor de impacto na organização e inclui os seguintes valores:
Nome do campo | Format | Exemplo | Obrigatório/Opcional |
---|---|---|---|
Identificador de usuário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
ID do objeto AAD do usuário | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
Usuário On-Prem Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Nome Principal do Usuário | UPN | JeffL@seccxp.ninja |
Obrigatório |
Etiquetas | List | ["SAW user","Blue Ocean team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Blue Ocean team""] para arquivos CSV criados em um editor de texto |
Opcional |
Endereços de rede
A lista de observação Endereços de Rede lista as sub-redes IP e seus respetivos contextos organizacionais e inclui os seguintes campos:
Nome do campo | Format | Exemplo | Obrigatório/Opcional |
---|---|---|---|
Sub-rede IP | Intervalo de sub-redes | 198.51.100.0/24 |
Obrigatório |
Nome do intervalo | String | DMZ |
Opcional |
Etiquetas | List | ["Example","Example"] para arquivos CSV criados no Microsoft Excel ou [""Example"",""Example""] para arquivos CSV criados em um editor de texto |
Opcional |
Funcionários demitidos
A lista de observação Funcionários demitidos lista contas de usuários de funcionários que foram ou estão prestes a ser demitidos e inclui os seguintes campos:
Nome do campo | Format | Exemplo | Obrigatório/Opcional |
---|---|---|---|
Identificador de usuário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
ID do objeto AAD do usuário | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
Usuário On-Prem Sid | SID | S-1-12-1-4141952679-1282074057-123 |
Opcional |
Nome Principal do Usuário | UPN | JeffL@seccxp.ninja |
Obrigatório |
Estado do usuário | String Recomendamos o uso de um Notified ou Terminated |
Terminated |
Obrigatório |
Data de notificação | Carimbo de data/hora - dia Recomendamos o uso do formato UTC |
2020-12-1 |
Opcional |
Data de rescisão | Carimbo de data/hora - dia Recomendamos o uso do formato UTC |
2021-01-01 |
Obrigatório |
Etiquetas | List | ["SAW user","Amba Wolfs team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Amba Wolfs team""] para arquivos CSV criados em um editor de texto |
Opcional |
Correlação de identidade
A lista de observação Correlação de Identidade lista contas de usuário relacionadas que pertencem à mesma pessoa e inclui os seguintes campos:
Nome do campo | Format | Exemplo | Obrigatório/Opcional |
---|---|---|---|
Identificador de usuário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
ID do objeto AAD do usuário | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
Usuário On-Prem Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Nome Principal do Usuário | UPN | JeffL@seccxp.ninja |
Obrigatório |
ID do funcionário | String | 8234123 |
Opcional |
JeffL@seccxp.ninja |
Opcional | ||
ID de Conta Privilegiada Associada | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Conta privilegiada associada | UPN | Admin@seccxp.ninja |
Opcional |
Etiquetas | List | ["SAW user","Amba Wolfs team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Amba Wolfs team""] para arquivos CSV criados em um editor de texto |
Opcional |
Contas de Serviço
A lista de observação Contas de Serviço lista as contas de serviço e seus proprietários e inclui os seguintes campos:
Nome do campo | Format | Exemplo | Obrigatório/Opcional |
---|---|---|---|
Identificador de serviço | UID | 1111-112123-12312312-123123123 |
Opcional |
ID do objeto do AAD de serviço | SID | 11123-123123-123123-123123 |
Opcional |
Serviço On-Prem Sid | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Opcional |
Nome da entidade de serviço | UPN | myserviceprin@contoso.com |
Obrigatório |
Identificador de usuário proprietário | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
Usuário proprietário AAD Object Id | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Opcional |
Usuário Proprietário On-Prem Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Nome Principal do Usuário do Proprietário | UPN | JeffL@seccxp.ninja |
Obrigatório |
Etiquetas | List | ["Automation Account","GitHub Account"] para arquivos CSV criados no Microsoft Excel ou [""Automation Account"",""GitHub Account""] para arquivos CSV criados em um editor de texto |
Opcional |
Próximos passos
Para mais informações, consulte ,