Microsoft Sentinel 內建關注清單範本架構 (預覽)
本文詳細說明 Microsoft Sentinel 提供的每個內建監看清單範本中使用的架構。 如需詳細資訊,請參閱 在 Microsoft Sentinel 中建立監看清單。
Microsoft Sentinel 關注清單範本目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
高價值資產
高價值資產關注清單會列出組織中具有重要價值的裝置、資源和其他資產,並包含下欄欄位:
| 欄位名稱 | [格式] | 範例 | 強制/選擇性 |
|---|---|---|---|
| 資產類型 | String | Device, Azure resource, AWS resource, URL, SPO, File share, Other |
必要 |
| 資產識別碼 | 字串,視資產類型而定 | /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
必要 |
| 資產名稱 | String | Microsoft.Storage/storageAccounts/purviewadls |
選擇性 |
| 資產 FQDN | FQDN | Finance-SRv.local.microsoft.com |
必要 |
| IP 位址 | IP | 1.1.1.1 |
選擇性 |
| Tags (標籤) | 清單 | ["SAW user","Blue Ocean team"] 適用于在 Microsoft Excel 中建立的 CSV 檔案,或 [""SAW user"",""Blue Ocean team""] 針對在文字編輯器中建立的 CSV 檔案 |
選擇性 |
VIP 使用者
VIP 使用者關注清單會列出組織中具有高影響力值的員工的使用者帳戶,並包含下列值:
| 欄位名稱 | [格式] | 範例 | 強制/選擇性 |
|---|---|---|---|
| 使用者識別碼 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
選擇性 |
| 使用者 AAD 物件識別碼 | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
選擇性 |
| 使用者內部部署 Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
選擇性 |
| 使用者主體名稱 | UPN | JeffL@seccxp.ninja |
必要 |
| Tags (標籤) | 清單 | ["SAW user","Blue Ocean team"] 適用于在 Microsoft Excel 中建立的 CSV 檔案,或 [""SAW user"",""Blue Ocean team""] 針對在文字編輯器中建立的 CSV 檔案 |
選擇性 |
網路位址
[網路位址] 監看清單會列出 IP 子網及其各自的組織內容,並包含下欄欄位:
| 欄位名稱 | [格式] | 範例 | 強制/選擇性 |
|---|---|---|---|
| IP 子網 | 子網路範圍 | 198.51.100.0/24 |
必要 |
| 範圍名稱 | String | DMZ |
選擇性 |
| Tags (標籤) | 清單 | ["Example","Example"] 適用于在 Microsoft Excel 中建立的 CSV 檔案,或 [""Example"",""Example""] 針對在文字編輯器中建立的 CSV 檔案 |
選擇性 |
已終止的員工
[已終止的員工] 監看清單會列出已終止或即將終止之員工的使用者帳戶,並包含下欄欄位:
| 欄位名稱 | [格式] | 範例 | 強制/選擇性 |
|---|---|---|---|
| 使用者識別碼 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
選擇性 |
| 使用者 AAD 物件識別碼 | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
選擇性 |
| 使用者內部部署 Sid | SID | S-1-12-1-4141952679-1282074057-123 |
選擇性 |
| 使用者主體名稱 | UPN | JeffL@seccxp.ninja |
必要 |
| UserState | 字串 我們建議使用 Notified 或 Terminated |
Terminated |
必要 |
| 通知日期 | 時間戳記 - 天 我們建議使用 UTC 格式 |
2020-12-1 |
選擇性 |
| 終止日期 | 時間戳記 - 天 我們建議使用 UTC 格式 |
2021-01-01 |
必要 |
| Tags (標籤) | 清單 | ["SAW user","Amba Wolfs team"] 適用于在 Microsoft Excel 中建立的 CSV 檔案,或 [""SAW user"",""Amba Wolfs team""] 針對在文字編輯器中建立的 CSV 檔案 |
選擇性 |
身分識別相互關聯
身分識別相互關聯關注清單會列出屬於相同人員的相關使用者帳戶,並包含下欄欄位:
| 欄位名稱 | [格式] | 範例 | 強制/選擇性 |
|---|---|---|---|
| 使用者識別碼 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
選擇性 |
| 使用者 AAD 物件識別碼 | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
選擇性 |
| 使用者內部部署 Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
選擇性 |
| 使用者主體名稱 | UPN | JeffL@seccxp.ninja |
必要 |
| 員工識別碼 | String | 8234123 |
選擇性 |
| 電子郵件 | JeffL@seccxp.ninja |
選擇性 | |
| 相關聯的特殊許可權帳戶識別碼 | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
選擇性 |
| 相關聯的特殊許可權帳戶 | UPN | Admin@seccxp.ninja |
選擇性 |
| Tags (標籤) | 清單 | ["SAW user","Amba Wolfs team"] 適用于在 Microsoft Excel 中建立的 CSV 檔案,或 [""SAW user"",""Amba Wolfs team""] 針對在文字編輯器中建立的 CSV 檔案 |
選擇性 |
服務帳戶
服務帳戶關注清單會列出服務帳戶及其擁有者,並包含下欄欄位:
| 欄位名稱 | [格式] | 範例 | 強制/選擇性 |
|---|---|---|---|
| 服務識別碼 | UID | 1111-112123-12312312-123123123 |
選擇性 |
| 服務 AAD 物件識別碼 | SID | 11123-123123-123123-123123 |
選擇性 |
| 內部部署服務 Sid | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
選擇性 |
| 服務主體名稱 | UPN | myserviceprin@contoso.com |
必要 |
| 擁有者使用者識別碼 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
選擇性 |
| 擁有者使用者 AAD 物件識別碼 | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
選擇性 |
| 擁有者使用者內部部署 Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
選擇性 |
| 擁有者使用者主體名稱 | UPN | JeffL@seccxp.ninja |
必要 |
| Tags (標籤) | 清單 | ["Automation Account","GitHub Account"] 適用于在 Microsoft Excel 中建立的 CSV 檔案,或 [""Automation Account"",""GitHub Account""] 針對在文字編輯器中建立的 CSV 檔案 |
選擇性 |
下一步
如需詳細資訊,請參閱: