Share via

A Microsoft Sentinel beépített figyelőlistasablon-sémái (előzetes verzió)

  • Cikk

Ez a cikk a Microsoft Sentinel által biztosított minden beépített figyelőlistasablonban használt sémákat ismerteti. További információ: Figyelőlisták létrehozása a Microsoft Sentinelben.

A Microsoft Sentinel figyelőlistasablonjai jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Nagy értékű eszközök

A Nagy értékű objektumok figyelőlista azokat az eszközöket, erőforrásokat és egyéb eszközöket sorolja fel, amelyek kritikus értékkel rendelkeznek a szervezetben, és a következő mezőket tartalmazza:

Mezőnév Format Példa Kötelező/nem kötelező
Eszköz típusa Sztring Device, Azure resource, AWS resource, URL, SPO, File share, Other Kötelező
Eszközazonosító Sztring az eszköz típusától függően /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls Kötelező
Eszköz neve Sztring Microsoft.Storage/storageAccounts/purviewadls Választható
Eszköz teljes tartománya FQDN Finance-SRv.local.microsoft.com Kötelező
IP Address IP 1.1.1.1 Választható
Címkék List ["SAW user","Blue Ocean team"] a Microsoft Excelben létrehozott CSV-fájlokhoz vagy [""SAW user"",""Blue Ocean team""] szövegszerkesztőben létrehozott CSV-fájlokhoz Választható

VIP-felhasználók

A VIP-felhasználók figyelőlistája azoknak az alkalmazottaknak a felhasználói fiókjait sorolja fel, akik nagy hatással vannak a szervezetre, és a következő értékeket tartalmazzák:

Mezőnév Format Példa Kötelező/nem kötelező
Felhasználói azonosító UID 52322ec8-6ebf-11eb-9439-0242ac130002 Választható
Felhasználói AAD-objektumazonosító SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Választható
Felhasználó helyszíni biztonsági azonosítója SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Választható
Egyszerű felhasználónév UPN JeffL@seccxp.ninja Kötelező
Címkék List ["SAW user","Blue Ocean team"] a Microsoft Excelben létrehozott CSV-fájlokhoz vagy [""SAW user"",""Blue Ocean team""] szövegszerkesztőben létrehozott CSV-fájlokhoz Választható

Hálózati címek

A Hálózati címek figyelőlista az IP-alhálózatokat és azok szervezeti környezeteit sorolja fel, és a következő mezőket tartalmazza:

Mezőnév Format Példa Kötelező/nem kötelező
IP-alhálózat Alhálózati tartomány 198.51.100.0/24 Kötelező
Tartomány neve Sztring DMZ Választható
Címkék List ["Example","Example"] a Microsoft Excelben létrehozott CSV-fájlokhoz vagy [""Example"",""Example""] szövegszerkesztőben létrehozott CSV-fájlokhoz Választható

Megszüntetett alkalmazottak

A Megszüntetett alkalmazottak figyelőlista azoknak az alkalmazottaknak a felhasználói fiókjait sorolja fel, akik már vagy hamarosan leálltak, és a következő mezőket tartalmazzák:

Mezőnév Format Példa Kötelező/nem kötelező
Felhasználói azonosító UID 52322ec8-6ebf-11eb-9439-0242ac130002 Választható
Felhasználói AAD-objektumazonosító SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Választható
Felhasználó helyszíni biztonsági azonosítója SID S-1-12-1-4141952679-1282074057-123 Választható
Egyszerű felhasználónév UPN JeffL@seccxp.ninja Kötelező
UserState Karakterlánc

Azt javasoljuk, hogy használja a NotifiedTerminated		 Terminated Kötelező
Értesítés dátuma Időbélyeg – nap

Azt javasoljuk, hogy az UTC formátumot használja		 2020-12-1 Választható
A felmondás dátuma Időbélyeg – nap

Azt javasoljuk, hogy az UTC formátumot használja		 2021-01-01 Kötelező
Címkék List ["SAW user","Amba Wolfs team"] a Microsoft Excelben létrehozott CSV-fájlokhoz vagy [""SAW user"",""Amba Wolfs team""] szövegszerkesztőben létrehozott CSV-fájlokhoz Választható

Identitás-korreláció

Az Identitás korrelációs figyelőlistája felsorolja azokat a kapcsolódó felhasználói fiókokat, amelyek ugyanahhoz a személyhez tartoznak, és a következő mezőket tartalmazza:

Mezőnév Format Példa Kötelező/nem kötelező
Felhasználói azonosító UID 52322ec8-6ebf-11eb-9439-0242ac130002 Választható
Felhasználói AAD-objektumazonosító SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Választható
Felhasználó helyszíni biztonsági azonosítója SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Választható
Egyszerű felhasználónév UPN JeffL@seccxp.ninja Kötelező
Alkalmazott azonosítója Sztring 8234123 Választható
E-mail Email JeffL@seccxp.ninja Választható
Társított kiemelt fiók azonosítója UID/SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Választható
Társított kiemelt fiók UPN Admin@seccxp.ninja Választható
Címkék List ["SAW user","Amba Wolfs team"] a Microsoft Excelben létrehozott CSV-fájlokhoz vagy [""SAW user"",""Amba Wolfs team""]szövegszerkesztőben létrehozott CSV-fájlokhoz Választható

Szolgáltatásfiókok

A Szolgáltatásfiókok figyelőlista felsorolja a szolgáltatásfiókokat és azok tulajdonosait, és a következő mezőket tartalmazza:

Mezőnév Format Példa Kötelező/nem kötelező
Szolgáltatásazonosító UID 1111-112123-12312312-123123123 Választható
Szolgáltatás AAD-objektumazonosítója SID 11123-123123-123123-123123 Választható
Szolgáltatás helyszíni biztonsági azonosítója SID S-1-12-1-3123123-123213123-12312312-2916039507 Választható
Egyszerű szolgáltatás neve UPN myserviceprin@contoso.com Kötelező
Tulajdonos felhasználói azonosítója UID 52322ec8-6ebf-11eb-9439-0242ac130002 Választható
Tulajdonos felhasználó AAD-objektumazonosítója SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Választható
Tulajdonosi felhasználó helyszíni biztonsági azonosítója SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Választható
Tulajdonos egyszerű felhasználóneve UPN JeffL@seccxp.ninja Kötelező
Címkék List ["Automation Account","GitHub Account"] a Microsoft Excelben létrehozott CSV-fájlokhoz vagy [""Automation Account"",""GitHub Account""]szövegszerkesztőben létrehozott CSV-fájlokhoz Választható

További lépések

További információ: ,