Ingebouwde sjabloonschema's voor volglijsten van Microsoft Sentinel (preview)
In dit artikel worden de schema's beschreven die worden gebruikt in elke ingebouwde volglijstsjabloon die wordt geleverd door Microsoft Sentinel. Zie Volglijsten maken in Microsoft Sentinel voor meer informatie.
De volglijstsjablonen van Microsoft Sentinel zijn momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Activa met hoge waarde
In de watchlist High Value Assets worden apparaten, resources en andere assets vermeld die een kritieke waarde in de organisatie hebben, en bevat de volgende velden:
| Veldnaam | Format | Voorbeeld | Verplicht/optioneel |
|---|---|---|---|
| Assettype | String | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Verplicht |
| Asset-id | Tekenreeks, afhankelijk van het assettype | /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Verplicht |
| Assetnaam | String | Microsoft.Storage/storageAccounts/purviewadls |
Optioneel |
| FQDN-asset | FQDN | Finance-SRv.local.microsoft.com |
Verplicht |
| IP-adres | IP | 1.1.1.1 |
Optioneel |
| Tags | List | ["SAW user","Blue Ocean team"] voor CSV-bestanden die zijn gemaakt in Microsoft Excel of [""SAW user"",""Blue Ocean team""] voor CSV-bestanden die zijn gemaakt in een teksteditor |
Optioneel |
VIP-gebruikers
De watchlist vip-gebruikers bevat gebruikersaccounts van werknemers met een hoge impact in de organisatie en bevat de volgende waarden:
| Veldnaam | Format | Voorbeeld | Verplicht/optioneel |
|---|---|---|---|
| Gebruikers-id | GEBRUIKERS-ID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optioneel |
| AAD-object-id van gebruiker | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Optioneel |
| On-premises sid van gebruiker | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optioneel |
| User Principal Name | UPN | JeffL@seccxp.ninja |
Verplicht |
| Tags | List | ["SAW user","Blue Ocean team"] voor CSV-bestanden die zijn gemaakt in Microsoft Excel of [""SAW user"",""Blue Ocean team""] voor CSV-bestanden die zijn gemaakt in een teksteditor |
Optioneel |
Netwerkadressen
In de volglijst netwerkadressen worden IP-subnetten en hun respectieve organisatiecontexten vermeld, en bevat de volgende velden:
| Veldnaam | Format | Voorbeeld | Verplicht/optioneel |
|---|---|---|---|
| IP-subnet | Subnetbereik | 198.51.100.0/24 |
Verplicht |
| Bereiknaam | String | DMZ |
Optioneel |
| Tags | List | ["Example","Example"] voor CSV-bestanden die zijn gemaakt in Microsoft Excel of [""Example"",""Example""] voor CSV-bestanden die zijn gemaakt in een teksteditor |
Optioneel |
Beëindigde werknemers
In de volglijst Beëindigde werknemers worden gebruikersaccounts weergegeven van werknemers die op het punt staan of die binnenkort worden beëindigd en bevat de volgende velden:
| Veldnaam | Format | Voorbeeld | Verplicht/optioneel |
|---|---|---|---|
| Gebruikers-id | GEBRUIKERS-ID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optioneel |
| AAD-object-id van gebruiker | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Optioneel |
| On-premises sid van gebruiker | SID | S-1-12-1-4141952679-1282074057-123 |
Optioneel |
| User Principal Name | UPN | JeffL@seccxp.ninja |
Verplicht |
| UserState | Tekenreeks We raden u aan een van Notified beide te gebruiken of Terminated |
Terminated |
Verplicht |
| Meldingsdatum | Tijdstempel - dag We raden u aan om de UTC-indeling te gebruiken |
2020-12-1 |
Optioneel |
| Beëindigingsdatum | Tijdstempel - dag We raden u aan om de UTC-indeling te gebruiken |
2021-01-01 |
Verplicht |
| Tags | List | ["SAW user","Amba Wolfs team"] voor CSV-bestanden die zijn gemaakt in Microsoft Excel of [""SAW user"",""Amba Wolfs team""] voor CSV-bestanden die zijn gemaakt in een teksteditor |
Optioneel |
Identiteitscorrelatie
De watchlist Identity Correlation vermeldt gerelateerde gebruikersaccounts die tot dezelfde persoon behoren en bevat de volgende velden:
| Veldnaam | Format | Voorbeeld | Verplicht/optioneel |
|---|---|---|---|
| Gebruikers-id | GEBRUIKERS-ID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optioneel |
| AAD-object-id van gebruiker | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Optioneel |
| On-premises sid van gebruiker | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optioneel |
| User Principal Name | UPN | JeffL@seccxp.ninja |
Verplicht |
| Werknemer-id | String | 8234123 |
Optioneel |
| E-mailen | E-mailadres | JeffL@seccxp.ninja |
Optioneel |
| Gekoppelde bevoegde account-id | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optioneel |
| Gekoppeld privileged-account | UPN | Admin@seccxp.ninja |
Optioneel |
| Tags | List | ["SAW user","Amba Wolfs team"] voor CSV-bestanden die zijn gemaakt in Microsoft Excel of [""SAW user"",""Amba Wolfs team""]voor CSV-bestanden die zijn gemaakt in een teksteditor |
Optioneel |
Serviceaccounts
De volglijst voor serviceaccounts bevat serviceaccounts en hun eigenaren en bevat de volgende velden:
| Veldnaam | Format | Voorbeeld | Verplicht/optioneel |
|---|---|---|---|
| Service-id | GEBRUIKERS-ID | 1111-112123-12312312-123123123 |
Optioneel |
| AAD-object-id van service | SID | 11123-123123-123123-123123 |
Optioneel |
| On-premises service-sid | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Optioneel |
| Service Principal Name | UPN | myserviceprin@contoso.com |
Verplicht |
| Gebruikers-id van eigenaar | GEBRUIKERS-ID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Optioneel |
| AAD-object-id van eigenaargebruiker | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Optioneel |
| On-premises sid van eigenaargebruiker | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Optioneel |
| User Principal Name van eigenaar | UPN | JeffL@seccxp.ninja |
Verplicht |
| Tags | List | ["Automation Account","GitHub Account"] voor CSV-bestanden die zijn gemaakt in Microsoft Excel of [""Automation Account"",""GitHub Account""]voor CSV-bestanden die zijn gemaakt in een teksteditor |
Optioneel |
Volgende stappen
Zie voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor