Partilhar via


Esquemas de modelo de lista de observação integrados do Microsoft Sentinel (visualização)

Este artigo detalha os esquemas usados em cada modelo de lista de observação interno fornecido pelo Microsoft Sentinel. Para obter mais informações, consulte Criar listas de observação no Microsoft Sentinel.

Os modelos da lista de observação do Microsoft Sentinel estão atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Ativos de Alto Valor

A lista de observação Ativos de Alto Valor lista dispositivos, recursos e outros ativos que têm valor crítico na organização e inclui os seguintes campos:

Nome do campo Format Exemplo Obrigatório/Opcional
Tipo de ativo String Device, Azure resource, AWS resource, URL, SPO, File share, Other Obrigatório
ID do ativo String, dependendo do tipo de ativo /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls Obrigatório
Nome do ativo String Microsoft.Storage/storageAccounts/purviewadls Opcional
FQDN do ativo FQDN Finance-SRv.local.microsoft.com Obrigatório
Endereço IP IP 1.1.1.1 Opcional
Etiquetas List ["SAW user","Blue Ocean team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Blue Ocean team""] para arquivos CSV criados em um editor de texto Opcional

Utilizadores VIP

A lista de observação Usuários VIP lista contas de usuários de funcionários que têm alto valor de impacto na organização e inclui os seguintes valores:

Nome do campo Format Exemplo Obrigatório/Opcional
Identificador de usuário UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
ID do objeto AAD do usuário SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Opcional
Usuário On-Prem Sid SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Nome Principal do Usuário UPN JeffL@seccxp.ninja Obrigatório
Etiquetas List ["SAW user","Blue Ocean team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Blue Ocean team""] para arquivos CSV criados em um editor de texto Opcional

Endereços de rede

A lista de observação Endereços de Rede lista as sub-redes IP e seus respetivos contextos organizacionais e inclui os seguintes campos:

Nome do campo Format Exemplo Obrigatório/Opcional
Sub-rede IP Intervalo de sub-redes 198.51.100.0/24 Obrigatório
Nome do intervalo String DMZ Opcional
Etiquetas List ["Example","Example"] para arquivos CSV criados no Microsoft Excel ou [""Example"",""Example""] para arquivos CSV criados em um editor de texto Opcional

Funcionários demitidos

A lista de observação Funcionários demitidos lista contas de usuários de funcionários que foram ou estão prestes a ser demitidos e inclui os seguintes campos:

Nome do campo Format Exemplo Obrigatório/Opcional
Identificador de usuário UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
ID do objeto AAD do usuário SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Opcional
Usuário On-Prem Sid SID S-1-12-1-4141952679-1282074057-123 Opcional
Nome Principal do Usuário UPN JeffL@seccxp.ninja Obrigatório
Estado do usuário String

Recomendamos o uso de um Notified ou Terminated
Terminated Obrigatório
Data de notificação Carimbo de data/hora - dia

Recomendamos o uso do formato UTC
2020-12-1 Opcional
Data de rescisão Carimbo de data/hora - dia

Recomendamos o uso do formato UTC
2021-01-01 Obrigatório
Etiquetas List ["SAW user","Amba Wolfs team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Amba Wolfs team""] para arquivos CSV criados em um editor de texto Opcional

Correlação de identidade

A lista de observação Correlação de Identidade lista contas de usuário relacionadas que pertencem à mesma pessoa e inclui os seguintes campos:

Nome do campo Format Exemplo Obrigatório/Opcional
Identificador de usuário UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
ID do objeto AAD do usuário SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Opcional
Usuário On-Prem Sid SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Nome Principal do Usuário UPN JeffL@seccxp.ninja Obrigatório
ID do funcionário String 8234123 Opcional
E-mail E-mail JeffL@seccxp.ninja Opcional
ID de Conta Privilegiada Associada UID/SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Conta privilegiada associada UPN Admin@seccxp.ninja Opcional
Etiquetas List ["SAW user","Amba Wolfs team"] para arquivos CSV criados no Microsoft Excel ou [""SAW user"",""Amba Wolfs team""]para arquivos CSV criados em um editor de texto Opcional

Contas de Serviço

A lista de observação Contas de Serviço lista as contas de serviço e seus proprietários e inclui os seguintes campos:

Nome do campo Format Exemplo Obrigatório/Opcional
Identificador de serviço UID 1111-112123-12312312-123123123 Opcional
ID do objeto do AAD de serviço SID 11123-123123-123123-123123 Opcional
Serviço On-Prem Sid SID S-1-12-1-3123123-123213123-12312312-2916039507 Opcional
Nome da entidade de serviço UPN myserviceprin@contoso.com Obrigatório
Identificador de usuário proprietário UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
Usuário proprietário AAD Object Id SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Opcional
Usuário Proprietário On-Prem Sid SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Nome Principal do Usuário do Proprietário UPN JeffL@seccxp.ninja Obrigatório
Etiquetas List ["Automation Account","GitHub Account"] para arquivos CSV criados no Microsoft Excel ou [""Automation Account"",""GitHub Account""]para arquivos CSV criados em um editor de texto Opcional

Próximos passos

Para mais informações, consulte ,