你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 内置的监视列表模板架构(预览版)
本文详细介绍了 Microsoft Sentinel 提供的每个内置监视列表模板中使用的架构。 有关详细信息,请参阅在 Microsoft Sentinel 中创建监视列表。
Microsoft Sentinel 监视列表模板目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
高价值资产
“高价值资产”监视列表列出组织中具有重要价值的设备、资源和其他资产,此监视列表包括以下字段:
字段名称 | 格式 | 示例 | 必需/可选 |
---|---|---|---|
资产类型 | 字符串 | Device , Azure resource , AWS resource , URL , SPO , File share , Other |
必需 |
资产 ID | 字符串,视资产类型而定 | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
必需 |
资产名称 | 字符串 | Microsoft.Storage/storageAccounts/purviewadls |
可选 |
资产 FQDN | FQDN | Finance-SRv.local.microsoft.com |
必需 |
IP 地址 | IP | 1.1.1.1 |
可选 |
标记 | 列表 | ["SAW user","Blue Ocean team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Blue Ocean team""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
VIP 用户
“VIP 用户”监视列表列出组织中影响力较高的员工的用户帐户,此监视列表包括以下值:
字段名称 | 格式 | 示例 | 必需/可选 |
---|---|---|---|
用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
用户本地 SID | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
用户主体名称 | UPN | JeffL@seccxp.ninja |
必需 |
标记 | 列表 | ["SAW user","Blue Ocean team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Blue Ocean team""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
网络地址
网络地址监视列表列出了 IP 子网及其各自的组织上下文,并包含以下字段:
字段名称 | 格式 | 示例 | 必需/可选 |
---|---|---|---|
IP 子网 | 子网范围 | 198.51.100.0/24 |
必需 |
范围名 | 字符串 | DMZ |
可选 |
标记 | 列表 | ["Example","Example"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""Example"",""Example""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
离职的员工
“离职的员工”监视列表列出已离职或即将离职的员工的用户帐户,此监视列表包括以下字段:
字段名称 | 格式 | 示例 | 必需/可选 |
---|---|---|---|
用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
用户本地 SID | SID | S-1-12-1-4141952679-1282074057-123 |
可选 |
用户主体名称 | UPN | JeffL@seccxp.ninja |
必需 |
UserState | String 建议使用 Notified 或 Terminated |
Terminated |
必需 |
通知日期 | 时间戳 - 具体日期 建议使用 UTC 格式 |
2020-12-1 |
可选 |
终止日期 | 时间戳 - 具体日期 建议使用 UTC 格式 |
2021-01-01 |
必需 |
标记 | 列表 | ["SAW user","Amba Wolfs team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Amba Wolfs team""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
标识相关
“标识相关”监视列表列出属于同一人员的相关用户帐户,此监视列表包括以下字段:
字段名称 | 格式 | 示例 | 必需/可选 |
---|---|---|---|
用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
用户本地 SID | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
用户主体名称 | UPN | JeffL@seccxp.ninja |
必需 |
员工 ID | 字符串 | 8234123 |
可选 |
电子邮件 | JeffL@seccxp.ninja |
可选 | |
关联的特权帐户 ID | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
关联的特权帐户 | UPN | Admin@seccxp.ninja |
可选 |
标记 | 列表 | ["SAW user","Amba Wolfs team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Amba Wolfs team""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
服务帐户
“服务帐户”监视列表列出服务帐户及其所有者,此监视列表包括以下字段:
字段名称 | 格式 | 示例 | 必需/可选 |
---|---|---|---|
服务标识符 | UID | 1111-112123-12312312-123123123 |
可选 |
服务 AAD 对象 ID | SID | 11123-123123-123123-123123 |
可选 |
服务本地 SID | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
可选 |
服务主体名称 | UPN | myserviceprin@contoso.com |
必需 |
所有者用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
所有者用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
所有者用户本地 SID | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
所有者用户主体名称 | UPN | JeffL@seccxp.ninja |
必需 |
标记 | 列表 | ["Automation Account","GitHub Account"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""Automation Account"",""GitHub Account""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
后续步骤
有关详细信息,请参阅