Microsoft Sentinel schemi di modello watchlist predefiniti (anteprima)

Questo articolo descrive in dettaglio gli schemi usati in ogni modello watchlist predefinito fornito da Microsoft Sentinel. Per altre informazioni, vedere Creare elenchi di controllo in Microsoft Sentinel.

I modelli Microsoft Sentinel watchlist sono attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

Asset di valore elevato

L'elenco di controllo Asset con valore elevato elenca i dispositivi, le risorse e altri asset con valore critico nell'organizzazione e include i campi seguenti:

Nome del campo Formato Esempio Obbligatorio/Facoltativo
Tipo di asset Stringa Device, Azure resource, AWS resource, URL, SPO, File share, Other Obbligatorio
Asset Id Stringa, a seconda del tipo di asset /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls Obbligatorio
Nome asset Stringa Microsoft.Storage/storageAccounts/purviewadls Facoltativo
Asset FQDN FQDN Finance-SRv.local.microsoft.com Obbligatorio
Indirizzo IP IP 1.1.1.1 Facoltativo
Tag Elenco ["SAW user","Blue Ocean team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Blue Ocean team""] per i file CSV creati in un editor di testo Facoltativo

Utenti VIP

L'elenco di controllo Utenti VIP elenca gli account utente dei dipendenti che hanno un valore di impatto elevato nell'organizzazione e include i valori seguenti:

Nome del campo Formato Esempio Obbligatorio/Facoltativo
Identificatore utente UID 52322ec8-6ebf-11eb-9439-0242ac130002 Facoltativo
ID oggetto AAD utente SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Facoltativo
User On-Prem Sid SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Facoltativo
Nome dell'entità utente UPN JeffL@seccxp.ninja Obbligatorio
Tag Elenco ["SAW user","Blue Ocean team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Blue Ocean team""] per i file CSV creati in un editor di testo Facoltativo

Indirizzi di rete

L'elenco di controllo Indirizzi di rete elenca le subnet IP e i rispettivi contesti organizzativi e include i campi seguenti:

Nome del campo Formato Esempio Obbligatorio/Facoltativo
IP Subnet Intervallo subnet 198.51.100.0/24 Obbligatorio
Nome intervallo Stringa DMZ Facoltativo
Tag Elenco ["Example","Example"] per i file CSV creati in Microsoft Excel o [""Example"",""Example""] per i file CSV creati in un editor di testo Facoltativo

Dipendenti terminati

L'elenco di controllo Dipendenti terminati elenca gli account utente dei dipendenti che sono stati o stanno per essere terminati e includono i campi seguenti:

Nome del campo Formato Esempio Obbligatorio/Facoltativo
Identificatore utente UID 52322ec8-6ebf-11eb-9439-0242ac130002 Facoltativo
ID oggetto AAD utente SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Facoltativo
User On-Prem Sid SID S-1-12-1-4141952679-1282074057-123 Facoltativo
Nome dell'entità utente UPN JeffL@seccxp.ninja Obbligatorio
Userstate Stringa

È consigliabile usare Notified o Terminated		 Terminated Obbligatorio
Data di notifica Timestamp - giorno

È consigliabile usare il formato UTC		 2020-12-1 Facoltativo
Data di terminazione Timestamp - giorno

È consigliabile usare il formato UTC		 2021-01-01 Obbligatorio
Tag Elenco ["SAW user","Amba Wolfs team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Amba Wolfs team""] per i file CSV creati in un editor di testo Facoltativo

Correlazione dell'identità

L'elenco di controllo Correlazione identità elenca gli account utente correlati che appartengono alla stessa persona e include i campi seguenti:

Nome del campo Formato Esempio Obbligatorio/Facoltativo
Identificatore utente UID 52322ec8-6ebf-11eb-9439-0242ac130002 Facoltativo
ID oggetto AAD utente SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Facoltativo
User On-Prem Sid SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Facoltativo
Nome dell'entità utente UPN JeffL@seccxp.ninja Obbligatorio
ID dipendente Stringa 8234123 Facoltativo
Posta elettronica Posta elettronica JeffL@seccxp.ninja Facoltativo
ID account con privilegi associato UID/SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Facoltativo
Account con privilegi associato UPN Admin@seccxp.ninja Facoltativo
Tag Elenco ["SAW user","Amba Wolfs team"] per i file CSV creati in Microsoft Excel o [""SAW user"",""Amba Wolfs team""]per i file CSV creati in un editor di testo Facoltativo

Account del servizio

L'elenco di controllo Account del servizio elenca gli account del servizio e i relativi proprietari e include i campi seguenti:

Nome del campo Formato Esempio Obbligatorio/Facoltativo
Identificatore del servizio UID 1111-112123-12312312-123123123 Facoltativo
ID oggetto AAD del servizio SID 11123-123123-123123-123123 Facoltativo
Service On-Prem Sid SID S-1-12-1-3123123-123213123-12312312-2916039507 Facoltativo
Nome entità servizio UPN myserviceprin@contoso.com Obbligatorio
Identificatore utente proprietario UID 52322ec8-6ebf-11eb-9439-0242ac130002 Facoltativo
ID oggetto AAD utente proprietario SID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb Facoltativo
Proprietario utente on-prem Sid SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Facoltativo
Nome entità utente proprietario UPN JeffL@seccxp.ninja Obbligatorio
Tag Elenco ["Automation Account","GitHub Account"] per i file CSV creati in Microsoft Excel o [""Automation Account"",""GitHub Account""]per i file CSV creati in un editor di testo Facoltativo

Passaggi successivi

Per altre informazioni, vedere,

  • Last updated on