Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Den här artikeln beskriver de scheman som används i varje inbyggd visningslistemall som tillhandahålls av Microsoft Sentinel. Mer information finns i Skapa bevakningslistor i Microsoft Sentinel.
Microsoft Sentinel-bevakningslistmallarna finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tillgångar med högt värde
Bevakningslistan för högvärdestillgångar visar enheter, resurser och andra tillgångar som har ett kritiskt värde i organisationen och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Tillgångstyp | String | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
Obligatorisk |
| Tillgångs-ID | Sträng, beroende på tillgångstyp | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Obligatorisk |
| Tillgångsnamn | String | Microsoft.Storage/storageAccounts/purviewadls |
Valfritt |
| Tillgångs-FQDN | FQDN | Finance-SRv.local.microsoft.com |
Obligatorisk |
| IP-adress | IP | 1.1.1.1 |
Valfritt |
| Taggar | List | ["SAW user","Blue Ocean team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Blue Ocean team""] för CSV-filer som skapats i en textredigerare |
Valfritt |
VIP-användare
Vip-användares visningslista visar användarkonton för anställda som har högt påverkansvärde i organisationen och innehåller följande värden:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Användaridentifierare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Användar-AAD-objekt-ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Valfritt |
| Användarens lokala sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Användarens huvudnamn | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| Taggar | List | ["SAW user","Blue Ocean team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Blue Ocean team""] för CSV-filer som skapats i en textredigerare |
Valfritt |
Nätverksadresser
Bevakningslistan Nätverksadresser visar IP-undernät och deras respektive organisationskontexter och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| IP-undernät | Undernätsintervall | 198.51.100.0/24 |
Obligatorisk |
| Områdesnamn | String | DMZ |
Valfritt |
| Taggar | List | ["Example","Example"] för CSV-filer som skapats i Microsoft Excel eller [""Example"",""Example""] för CSV-filer som skapats i en textredigerare |
Valfritt |
Uppsagda anställda
Bevakningslistan Avslutade anställda visar användarkonton för anställda som har avslutats eller håller på att avslutas och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Användaridentifierare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Användar-AAD-objekt-ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Valfritt |
| Användarens lokala sid | SID | S-1-12-1-4141952679-1282074057-123 |
Valfritt |
| Användarens huvudnamn | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| UserState | Sträng Vi rekommenderar att du använder antingen Notified eller Terminated |
Terminated |
Obligatorisk |
| Meddelandedatum | Tidsstämpel – dag Vi rekommenderar att du använder UTC-formatet |
2020-12-1 |
Valfritt |
| Slutdatum | Tidsstämpel – dag Vi rekommenderar att du använder UTC-formatet |
2021-01-01 |
Obligatorisk |
| Taggar | List | ["SAW user","Amba Wolfs team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Amba Wolfs team""] för CSV-filer som skapats i en textredigerare |
Valfritt |
Identitetskorrelation
I bevakningslistan för identitet korrelation visas relaterade användarkonton som tillhör samma person och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Användaridentifierare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Användar-AAD-objekt-ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Valfritt |
| Användarens lokala sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Användarens huvudnamn | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| Medarbetar-ID | String | 8234123 |
Valfritt |
| E-post | JeffL@seccxp.ninja |
Valfritt | |
| Associerat privilegierat konto-ID | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Associerat privilegierat konto | UPN | Admin@seccxp.ninja |
Valfritt |
| Taggar | List | ["SAW user","Amba Wolfs team"] för CSV-filer som skapats i Microsoft Excel eller [""SAW user"",""Amba Wolfs team""]för CSV-filer som skapats i en textredigerare |
Valfritt |
Tjänstkonton
Bevakningslistan för tjänstkonton visar en lista över tjänstkonton och deras ägare och innehåller följande fält:
| Fältnamn | Format | Exempel | Obligatoriskt/valfritt |
|---|---|---|---|
| Tjänstidentifierare | UID | 1111-112123-12312312-123123123 |
Valfritt |
| Tjänst-AAD-objekt-ID | SID | 11123-123123-123123-123123 |
Valfritt |
| Service On-Prem Sid | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Valfritt |
| Tjänstens huvudnamn | UPN | myserviceprin@contoso.com |
Obligatorisk |
| Användaridentifierare för ägare | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Valfritt |
| Ägaranvändaren AAD-objekt-ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Valfritt |
| Användaranvändaranvändar-on-prem sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Valfritt |
| Användarens huvudnamn för ägare | UPN | JeffL@seccxp.ninja |
Obligatorisk |
| Taggar | List | ["Automation Account","GitHub Account"] för CSV-filer som skapats i Microsoft Excel eller [""Automation Account"",""GitHub Account""]för CSV-filer som skapats i en textredigerare |
Valfritt |
Nästa steg
Mer information finns i ,