Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Schemas beschrieben, die in jeder integrierten Watchlistvorlage verwendet werden, die von Microsoft Sentinel bereitgestellt wird. Weitere Informationen finden Sie unter Erstellen von Watchlists in Microsoft Sentinel.
Die Microsoft Sentinel Watchlistvorlagen befinden sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Hochwertige Ressourcen
Die Watchlist "High Value Assets" listet Geräte, Ressourcen und andere Ressourcen auf, die einen kritischen Wert im organization haben, und enthält die folgenden Felder:
| Feldname | Format | Beispiel | Obligatorisch/Optional |
|---|---|---|---|
| Medienobjekttyp | Zeichenfolge |
Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Erforderlich |
| Ressourcen-ID | Zeichenfolge, abhängig vom Ressourcentyp | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Erforderlich |
| Ressourcenname | Zeichenfolge | Microsoft.Storage/storageAccounts/purviewadls |
Optional |
| Ressourcen-FQDN | FQDN | Finance-SRv.local.microsoft.com |
Erforderlich |
| IP-Adresse | IP | 1.1.1.1 |
Optional |
| Tags | Auflisten |
["SAW user","Blue Ocean team"] für in Microsoft Excel erstellte CSV-Dateien oder [""SAW user"",""Blue Ocean team""] für CSV-Dateien, die in einem Text-Editor erstellt wurden |
Optional |
VIP-Benutzer
Die Watchlist VIP-Benutzer listet Benutzerkonten von Mitarbeitern auf, die einen hohen Auswirkungswert im organization haben, und enthält die folgenden Werte:
| Feldname | Format | Beispiel | Obligatorisch/Optional |
|---|---|---|---|
| Benutzer-ID | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optional |
| Benutzer-AAD-Objekt-ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Optional |
| Lokale Sid für Benutzer | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optional |
| Benutzerprinzipalname | UPN | JeffL@seccxp.ninja |
Erforderlich |
| Tags | Auflisten |
["SAW user","Blue Ocean team"] für in Microsoft Excel erstellte CSV-Dateien oder [""SAW user"",""Blue Ocean team""] für CSV-Dateien, die in einem Text-Editor erstellt wurden |
Optional |
Netzwerkadressen
Die Watchlist Netzwerkadressen listet IP-Subnetze und ihre jeweiligen Organisationskontexte auf und enthält die folgenden Felder:
| Feldname | Format | Beispiel | Obligatorisch/Optional |
|---|---|---|---|
| IP-Subnetz | Subnetzbereich | 198.51.100.0/24 |
Erforderlich |
| Bereichsname | Zeichenfolge | DMZ |
Optional |
| Tags | Auflisten |
["Example","Example"] für in Microsoft Excel erstellte CSV-Dateien oder [""Example"",""Example""] für CSV-Dateien, die in einem Text-Editor erstellt wurden |
Optional |
Gekündigte Mitarbeiter
Die Watchlist "Beendete Mitarbeiter" listet Benutzerkonten von Mitarbeitern auf, die gekündigt wurden oder werden, und enthält die folgenden Felder:
| Feldname | Format | Beispiel | Obligatorisch/Optional |
|---|---|---|---|
| Benutzer-ID | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optional |
| Benutzer-AAD-Objekt-ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Optional |
| Lokale Sid für Benutzer | SID | S-1-12-1-4141952679-1282074057-123 |
Optional |
| Benutzerprinzipalname | UPN | JeffL@seccxp.ninja |
Erforderlich |
| Userstate | Zeichenfolge Es wird empfohlen, entweder Notified oder zu verwenden. Terminated |
Terminated |
Erforderlich |
| Benachrichtigungsdatum | Zeitstempel - Tag Es wird empfohlen, das UTC-Format zu verwenden. |
2020-12-1 |
Optional |
| Beendigungsdatum | Zeitstempel - Tag Es wird empfohlen, das UTC-Format zu verwenden. |
2021-01-01 |
Erforderlich |
| Tags | Auflisten |
["SAW user","Amba Wolfs team"] für in Microsoft Excel erstellte CSV-Dateien oder [""SAW user"",""Amba Wolfs team""] für CSV-Dateien, die in einem Text-Editor erstellt wurden |
Optional |
Identitätskorrelation
Die Watchlist Identitätskorrelation listet verwandte Benutzerkonten auf, die zu derselben Person gehören, und enthält die folgenden Felder:
| Feldname | Format | Beispiel | Obligatorisch/Optional |
|---|---|---|---|
| Benutzer-ID | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optional |
| Benutzer-AAD-Objekt-ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Optional |
| Lokale Sid für Benutzer | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optional |
| Benutzerprinzipalname | UPN | JeffL@seccxp.ninja |
Erforderlich |
| Mitarbeiter-ID | Zeichenfolge | 8234123 |
Optional |
JeffL@seccxp.ninja |
Optional | ||
| Zugeordnete ID des privilegierten Kontos | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optional |
| Zugeordnetes privilegiertes Konto | UPN | Admin@seccxp.ninja |
Optional |
| Tags | Auflisten |
["SAW user","Amba Wolfs team"] für in Microsoft Excel erstellte CSV-Dateien oder [""SAW user"",""Amba Wolfs team""]für CSV-Dateien, die in einem Text-Editor erstellt wurden |
Optional |
Dienstkonten
Die Watchlist Dienstkonten listet Dienstkonten und deren Besitzer auf und enthält die folgenden Felder:
| Feldname | Format | Beispiel | Obligatorisch/Optional |
|---|---|---|---|
| Dienstbezeichner | UID | 1111-112123-12312312-123123123 |
Optional |
| Dienst-AAD-Objekt-ID | SID | 11123-123123-123123-123123 |
Optional |
| Lokale Dienst-Sid | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Optional |
| Dienstprinzipalname | UPN | myserviceprin@contoso.com |
Erforderlich |
| Benutzer-ID des Besitzers | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optional |
| AAD-Objekt-ID des Besitzerbenutzers | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Optional |
| Lokale Sid des Besitzerbenutzers | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optional |
| Benutzerprinzipalname des Besitzers | UPN | JeffL@seccxp.ninja |
Erforderlich |
| Tags | Auflisten |
["Automation Account","GitHub Account"] für in Microsoft Excel erstellte CSV-Dateien oder [""Automation Account"",""GitHub Account""]für CSV-Dateien, die in einem Text-Editor erstellt wurden |
Optional |
Nächste Schritte
Weitere Informationen finden Sie unter: