你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 内置的监视列表模板架构(预览版)

本文详细介绍了 Microsoft Sentinel 提供的每个内置监视列表模板中使用的架构。 有关详细信息,请参阅在 Microsoft Sentinel 中创建监视列表

Microsoft Sentinel 监视列表模板目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

高价值资产

“高价值资产”监视列表列出组织中具有重要价值的设备、资源和其他资产,此监视列表包括以下字段:

字段名称 格式 示例 必需/可选
资产类型 字符串 Device, Azure resource, AWS resource, URL, SPO, File share, Other 必需
资产 ID 字符串,视资产类型而定 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls 必需
资产名称 字符串 Microsoft.Storage/storageAccounts/purviewadls 可选
资产 FQDN FQDN Finance-SRv.local.microsoft.com 必需
IP 地址 IP 1.1.1.1 可选
标记 列表 ["SAW user","Blue Ocean team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Blue Ocean team""] 用于在文本编辑器中创建的 CSV 文件 可选

VIP 用户

“VIP 用户”监视列表列出组织中影响力较高的员工的用户帐户,此监视列表包括以下值:

字段名称 格式 示例 必需/可选
用户标识符 UID 52322ec8-6ebf-11eb-9439-0242ac130002 可选
用户 AAD 对象 ID SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb 可选
用户本地 SID SID S-1-12-1-4141952679-1282074057-627758481-2916039507 可选
用户主体名称 UPN JeffL@seccxp.ninja 必需
标记 列表 ["SAW user","Blue Ocean team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Blue Ocean team""] 用于在文本编辑器中创建的 CSV 文件 可选

网络地址

网络地址监视列表列出了 IP 子网及其各自的组织上下文,并包含以下字段:

字段名称 格式 示例 必需/可选
IP 子网 子网范围 198.51.100.0/24 必需
范围名 字符串 DMZ 可选
标记 列表 ["Example","Example"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""Example"",""Example""] 用于在文本编辑器中创建的 CSV 文件 可选

离职的员工

“离职的员工”监视列表列出已离职或即将离职的员工的用户帐户,此监视列表包括以下字段:

字段名称 格式 示例 必需/可选
用户标识符 UID 52322ec8-6ebf-11eb-9439-0242ac130002 可选
用户 AAD 对象 ID SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb 可选
用户本地 SID SID S-1-12-1-4141952679-1282074057-123 可选
用户主体名称 UPN JeffL@seccxp.ninja 必需
UserState String

建议使用 NotifiedTerminated
Terminated 必需
通知日期 时间戳 - 具体日期

建议使用 UTC 格式
2020-12-1 可选
终止日期 时间戳 - 具体日期

建议使用 UTC 格式
2021-01-01 必需
标记 列表 ["SAW user","Amba Wolfs team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Amba Wolfs team""] 用于在文本编辑器中创建的 CSV 文件 可选

标识相关

“标识相关”监视列表列出属于同一人员的相关用户帐户,此监视列表包括以下字段:

字段名称 格式 示例 必需/可选
用户标识符 UID 52322ec8-6ebf-11eb-9439-0242ac130002 可选
用户 AAD 对象 ID SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb 可选
用户本地 SID SID S-1-12-1-4141952679-1282074057-627758481-2916039507 可选
用户主体名称 UPN JeffL@seccxp.ninja 必需
员工 ID 字符串 8234123 可选
Email 电子邮件 JeffL@seccxp.ninja 可选
关联的特权帐户 ID UID/SID S-1-12-1-4141952679-1282074057-627758481-2916039507 可选
关联的特权帐户 UPN Admin@seccxp.ninja 可选
标记 列表 ["SAW user","Amba Wolfs team"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Amba Wolfs team""]用于在文本编辑器中创建的 CSV 文件 可选

服务帐户

“服务帐户”监视列表列出服务帐户及其所有者,此监视列表包括以下字段:

字段名称 格式 示例 必需/可选
服务标识符 UID 1111-112123-12312312-123123123 可选
服务 AAD 对象 ID SID 11123-123123-123123-123123 可选
服务本地 SID SID S-1-12-1-3123123-123213123-12312312-2916039507 可选
服务主体名称 UPN myserviceprin@contoso.com 必需
所有者用户标识符 UID 52322ec8-6ebf-11eb-9439-0242ac130002 可选
所有者用户 AAD 对象 ID SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb 可选
所有者用户本地 SID SID S-1-12-1-4141952679-1282074057-627758481-2916039507 可选
所有者用户主体名称 UPN JeffL@seccxp.ninja 必需
标记 列表 ["Automation Account","GitHub Account"] 用于在 Microsoft Excel 中创建的 CSV 文件,或 [""Automation Account"",""GitHub Account""]用于在文本编辑器中创建的 CSV 文件 可选

后续步骤

有关详细信息,请参阅