Inbyggda mallscheman för bevakningslistor i Microsoft Sentinel (förhandsversion)
Den här artikeln beskriver de scheman som används i varje inbyggd visningslistemall som tillhandahålls av Microsoft Sentinel. Mer information finns i Skapa bevakningslistor i Microsoft Sentinel.
Microsoft Sentinel-bevakningslistmallarna finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tillgångar med högt värde
Bevakningslistan för högvärdestillgångar visar enheter, resurser och andra tillgångar som har ett kritiskt värde i organisationen och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Tillgångstyp | String | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Obligatorisk |
| Tillgångs-ID | Sträng, beroende på tillgångstyp | /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Obligatorisk |
| Tillgångsnamn | String | Microsoft.Storage/storageAccounts/purviewadls |
Valfritt |
| Tillgångs-FQDN | FQDN | Finance-SRv.local.microsoft.com |
Obligatorisk |
| IP-adress | IP | 1.1.1.1 |
Valfritt |
| Taggar | List | ["SAW user","Blue Ocean team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Blue Ocean team""] för CSV-filer som skapats i en textredigerare |
Valfritt |
VIP-användare
Vip-användares visningslista visar användarkonton för anställda som har högt påverkansvärde i organisationen och innehåller följande värden:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Användaridentifierare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Användar-AAD-objekt-ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Valfritt |
| Användarens lokala sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Användarens huvudnamn | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| Taggar | List | ["SAW user","Blue Ocean team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Blue Ocean team""] för CSV-filer som skapats i en textredigerare |
Valfritt |
Nätverksadresser
Bevakningslistan Nätverksadresser visar IP-undernät och deras respektive organisationskontexter och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| IP-undernät | Undernätsintervall | 198.51.100.0/24 |
Obligatorisk |
| Områdesnamn | String | DMZ |
Valfritt |
| Taggar | List | ["Example","Example"] för CSV-filer som skapats i Microsoft Excel eller [""Example"",""Example""] för CSV-filer som skapats i en textredigerare |
Valfritt |
Uppsagda anställda
Bevakningslistan Avslutade anställda visar användarkonton för anställda som har avslutats eller håller på att avslutas och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Användaridentifierare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Användar-AAD-objekt-ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Valfritt |
| Användarens lokala sid | SID | S-1-12-1-4141952679-1282074057-123 |
Valfritt |
| Användarens huvudnamn | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| UserState | Sträng Vi rekommenderar att du använder antingen Notified eller Terminated |
Terminated |
Obligatorisk |
| Meddelandedatum | Tidsstämpel – dag Vi rekommenderar att du använder UTC-formatet |
2020-12-1 |
Valfritt |
| Slutdatum | Tidsstämpel – dag Vi rekommenderar att du använder UTC-formatet |
2021-01-01 |
Obligatorisk |
| Taggar | List | ["SAW user","Amba Wolfs team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Amba Wolfs team""] för CSV-filer som skapats i en textredigerare |
Valfritt |
Identitetskorrelation
I bevakningslistan för identitet korrelation visas relaterade användarkonton som tillhör samma person och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Användaridentifierare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Användar-AAD-objekt-ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Valfritt |
| Användarens lokala sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Användarens huvudnamn | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| Medarbetar-ID | String | 8234123 |
Valfritt |
| E-post | JeffL@seccxp.ninja |
Valfritt | |
| Associerat privilegierat konto-ID | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Associerat privilegierat konto | UPN | Admin@seccxp.ninja |
Valfritt |
| Taggar | List | ["SAW user","Amba Wolfs team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Amba Wolfs team""]för CSV-filer som skapats i en textredigerare |
Valfritt |
Tjänstkonton
Bevakningslistan för tjänstkonton visar en lista över tjänstkonton och deras ägare och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Tjänstidentifierare | UID | 1111-112123-12312312-123123123 |
Valfritt |
| Tjänst-AAD-objekt-ID | SID | 11123-123123-123123-123123 |
Valfritt |
| Service On-Prem Sid | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Valfritt |
| Tjänstens huvudnamn | UPN | myserviceprin@contoso.com |
Obligatorisk |
| Användaridentifierare för ägare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Ägaranvändaren AAD-objekt-ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Valfritt |
| Användaranvändaranvändar-on-prem sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Användarens huvudnamn för ägare | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| Taggar | List | ["Automation Account","GitHub Account"] för CSV-filer som skapats i Microsoft Excel eller [""Automation Account"",""GitHub Account""]för CSV-filer som skapats i en textredigerare |
Valfritt |
Nästa steg
Mer information finns i ,