Схемы встроенных шаблонов списков отслеживания Microsoft Sentinel (предварительная версия)
В этой статье подробно описываются схемы, используемые во всех встроенных шаблонах списков отслеживания, предоставляемых в Microsoft Sentinel. Дополнительные сведения см. в статье Создание списка отслеживания в Microsoft Sentinel.
Шаблоны списков отслеживания Microsoft Sentinel сейчас доступны в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Активы с большой ценностью
Список отслеживания "Активы с большой ценностью" содержит устройства, ресурсы и другие активы, имеющие большое значение для организации, и включает следующие поля:
| Имя поля | Форматировать | Пример | Обязательная или необязательная |
|---|---|---|---|
| Тип ресурса | Строка | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Обязательный |
| Идентификатор ресурса | Строка в зависимости от типа ресурса | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Обязательный |
| Имя ресурса | Строка | Microsoft.Storage/storageAccounts/purviewadls |
Необязательно |
| Полное доменное имя ресурса | Полное доменное имя | Finance-SRv.local.microsoft.com |
Обязательный |
| IP Address | IP-адрес | 1.1.1.1 |
Необязательно |
| Теги | List | ["SAW user","Blue Ocean team"] ДЛЯ CSV-файлов, созданных в Microsoft Excel или [""SAW user"",""Blue Ocean team""] CSV-файлах, созданных в текстовом редакторе |
Необязательно |
VIP-пользователи
Список отслеживания "VIP-пользователи" содержит учетные записи сотрудников с высоким уровнем влияния в организации и включает следующие значения:
| Имя поля | Форматировать | Пример | Обязательная или необязательная |
|---|---|---|---|
| Идентификатор пользователя | ИД пользователя | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Необязательно |
| Идентификатор объекта AAD пользователя | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Необязательно |
| Локальный идентификатор безопасности пользователя | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Необязательно |
| Имя участника-пользователя | UPN | JeffL@seccxp.ninja |
Обязательный |
| Теги | List | ["SAW user","Blue Ocean team"] ДЛЯ CSV-файлов, созданных в Microsoft Excel или [""SAW user"",""Blue Ocean team""] CSV-файлах, созданных в текстовом редакторе |
Необязательно |
Сетевые адреса
Список отслеживания сетевых адресов перечисляет IP-подсети и соответствующие контексты организации и включает следующие поля:
| Имя поля | Форматировать | Пример | Обязательная или необязательная |
|---|---|---|---|
| IP-подсеть | Диапазон подсети | 198.51.100.0/24 |
Обязательный |
| Имя диапазона | Строка | DMZ |
Необязательно |
| Теги | List | ["Example","Example"] ДЛЯ CSV-файлов, созданных в Microsoft Excel или [""Example"",""Example""] CSV-файлах, созданных в текстовом редакторе |
Необязательно |
Уволенные сотрудники
Список отслеживания "Уволенные сотрудники" содержит учетные записи сотрудников, которые были или в ближайшее время будут уволены из организации, и включает следующие поля:
| Имя поля | Форматировать | Пример | Обязательная или необязательная |
|---|---|---|---|
| Идентификатор пользователя | ИД пользователя | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Необязательно |
| Идентификатор объекта AAD пользователя | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Необязательно |
| Локальный идентификатор безопасности пользователя | SID | S-1-12-1-4141952679-1282074057-123 |
Необязательно |
| Имя участника-пользователя | UPN | JeffL@seccxp.ninja |
Обязательный |
| Состояние пользователя | Строка Рекомендуется использовать Notified или Terminated |
Terminated |
Обязательный |
| Дата уведомления | Метка времени — день Рекомендуется использовать формат UTC |
2020-12-1 |
Необязательно |
| Дата увольнения | Метка времени — день Рекомендуется использовать формат UTC |
2021-01-01 |
Обязательный |
| Теги | List | ["SAW user","Amba Wolfs team"] ДЛЯ CSV-файлов, созданных в Microsoft Excel или [""SAW user"",""Amba Wolfs team""] CSV-файлах, созданных в текстовом редакторе |
Необязательно |
Корреляция удостоверений
Список отслеживания "Корреляция удостоверений" содержит связанные учетные записи пользователя, которые принадлежат одному и тому же человеку, и включает следующие поля:
| Имя поля | Форматировать | Пример | Обязательная или необязательная |
|---|---|---|---|
| Идентификатор пользователя | ИД пользователя | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Необязательно |
| Идентификатор объекта AAD пользователя | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Необязательно |
| Локальный идентификатор безопасности пользователя | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Необязательно |
| Имя участника-пользователя | UPN | JeffL@seccxp.ninja |
Обязательный |
| Код сотрудника | Строка | 8234123 |
Необязательно |
| Эл. почта | Электронное письмо | JeffL@seccxp.ninja |
Необязательно |
| Идентификатор связанной привилегированной учетной записи | Идентификатор пользователя/идентификатор безопасности | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Необязательно |
| Связанная привилегированная учетная запись | UPN | Admin@seccxp.ninja |
Необязательно |
| Теги | List | ["SAW user","Amba Wolfs team"] ДЛЯ CSV-файлов, созданных в Microsoft Excel или [""SAW user"",""Amba Wolfs team""]CSV-файлах, созданных в текстовом редакторе |
Необязательно |
Учетные записи службы
Список отслеживания "Учетные записи службы" содержит учетные записи служб и их владельцев, и включает следующие поля:
| Имя поля | Форматировать | Пример | Обязательная или необязательная |
|---|---|---|---|
| Идентификатор службы | ИД пользователя | 1111-112123-12312312-123123123 |
Необязательно |
| Идентификатор объекта службы AAD | SID | 11123-123123-123123-123123 |
Необязательно |
| Локальный идентификатор безопасности службы | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Необязательно |
| Имя субъекта-службы | UPN | myserviceprin@contoso.com |
Обязательный |
| Идентификатор пользователя владельца | ИД пользователя | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Необязательно |
| Идентификатор объекта AAD пользователя владельца | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Необязательно |
| Локальный идентификатор безопасности пользователя владельца | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Необязательно |
| Имя субъекта-пользователя владельца | UPN | JeffL@seccxp.ninja |
Обязательный |
| Теги | List | ["Automation Account","GitHub Account"] ДЛЯ CSV-файлов, созданных в Microsoft Excel или [""Automation Account"",""GitHub Account""]CSV-файлах, созданных в текстовом редакторе |
Необязательно |
Следующие шаги
Дополнительные сведения см. в следующих разделах: