In Microsoft Sentinel integrierte Watchlistvorlagenschemas (Vorschau)

In diesem Artikel erfahren Sie mehr über die Schemas, die in jeder integrierten Watchlistvorlage in Microsoft Sentinel verwendet werden. Weitere Informationen finden Sie unter Erstellen von Watchlists in Microsoft Sentinel.

Die Microsoft Sentinel-Watchlistvorlagen befinden sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Anlagen mit hohem Wert

In der Watchlist „Anlagen mit hohem Wert“ sind Geräte, Ressourcen und andere Ressourcen aufgeführt, die einen kritischen Wert in der Organisation haben. Sie enthält die folgenden Felder:

Feldname Format Beispiel Obligatorisch/Optional
Datenobjekttyp String Device, Azure resource, AWS resource, URL, SPO, File share, Other Obligatorisch.
Ressourcen-ID Zeichenfolge, abhängig vom Ressourcentyp /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls Obligatorisch.
Datenobjektname String Microsoft.Storage/storageAccounts/purviewadls Optional
Ressourcen-FQDN FQDN Finance-SRv.local.microsoft.com Obligatorisch.
IP-Adresse IP 1.1.1.1 Optional
Tags Liste ["SAW user","Blue Ocean team"] für CSV-Dateien, die in Microsoft Excel oder [""SAW user"",""Blue Ocean team""] für CSV-Dateien erstellt wurden, die in einem Text-Editor erstellt wurden Optional

VIP-Benutzer

Die Watchlist VIP-Benutzer listet Benutzerkonten von Mitarbeitern auf, die einen hohen Auswirkungswert in der Organisation haben, und enthält die folgenden Werte:

Feldname Format Beispiel Obligatorisch/Optional
Benutzerbezeichner UID 52322ec8-6ebf-11eb-9439-0242ac130002 Optional
Benutzer-AAD-Objekt-ID SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Optional
Benutzer-ON-PREM-SID SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Optional
Benutzerprinzipalname UPN JeffL@seccxp.ninja Obligatorisch.
Tags Liste ["SAW user","Blue Ocean team"] für CSV-Dateien, die in Microsoft Excel oder [""SAW user"",""Blue Ocean team""] für CSV-Dateien erstellt wurden, die in einem Text-Editor erstellt wurden Optional

Netzwerkadressen

Die Überwachungsliste der Netzwerkadressen listet IP-Subnetze und deren jeweiligen Organisationskontexte auf und umfasst die folgenden Felder:

Feldname Format Beispiel Obligatorisch/Optional
IP-Subnetz Subnetzbereich 198.51.100.0/24 Obligatorisch.
Bereichsname String DMZ Optional
Tags Liste ["Example","Example"] für CSV-Dateien, die in Microsoft Excel oder [""Example"",""Example""] für CSV-Dateien erstellt wurden, die in einem Text-Editor erstellt wurden Optional

Ausgeschiedene Mitarbeiter

Die Watchlist Ausgeschiedene Mitarbeiter listet Benutzerkonten von Mitarbeitern auf, die ausgeschieden sind oder ausscheiden werden, und enthält die folgenden Felder:

Feldname Format Beispiel Obligatorisch/Optional
Benutzerbezeichner UID 52322ec8-6ebf-11eb-9439-0242ac130002 Optional
Benutzer-AAD-Objekt-ID SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Optional
Benutzer-ON-PREM-SID SID S-1-12-1-4141952679-1282074057-123 Optional
Benutzerprinzipalname UPN JeffL@seccxp.ninja Obligatorisch.
UserState String

Es wird Notified oder Terminated empfohlen.
Terminated Obligatorisch.
Benachrichtigungsdatum Zeitstempel - Tag

Es wird empfohlen, das UTC-Format zu verwenden.
2020-12-1 Optional
Kündigungsdatum Zeitstempel - Tag

Es wird empfohlen, das UTC-Format zu verwenden.
2021-01-01 Obligatorisch.
Tags Liste ["SAW user","Amba Wolfs team"] für CSV-Dateien, die in Microsoft Excel oder [""SAW user"",""Amba Wolfs team""] für CSV-Dateien erstellt wurden, die in einem Text-Editor erstellt wurden Optional

Identitätskorrelation

Die Watchlist Identitätskorrelation listet verwandte Benutzerkonten auf, zur selben Person gehören, und enthält die folgenden Felder:

Feldname Format Beispiel Obligatorisch/Optional
Benutzerbezeichner UID 52322ec8-6ebf-11eb-9439-0242ac130002 Optional
Benutzer-AAD-Objekt-ID SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Optional
Benutzer-ON-PREM-SID SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Optional
Benutzerprinzipalname UPN JeffL@seccxp.ninja Obligatorisch.
Mitarbeiter-ID String 8234123 Optional
E-Mail Email JeffL@seccxp.ninja Optional
Zugeordnete privilegierte Konto-ID UID/SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Optional
Zugeordnetes privilegiertes Konto UPN Admin@seccxp.ninja Optional
Tags Liste ["SAW user","Amba Wolfs team"] für CSV-Dateien, die in Microsoft Excel oder [""SAW user"",""Amba Wolfs team""]für CSV-Dateien erstellt wurden, die in einem Text-Editor erstellt wurden Optional

Dienstkonten

Die Watchlist Dienstkonten listet Dienstkonten und deren Besitzer auf und enthält die folgenden Felder:

Feldname Format Beispiel Obligatorisch/Optional
Dienstbezeichner UID 1111-112123-12312312-123123123 Optional
Dienst-AAD-Objekt-ID SID 11123-123123-123123-123123 Optional
Dienst-ON-PREM-SID SID S-1-12-1-3123123-123213123-12312312-2916039507 Optional
Dienstprinzipalname UPN myserviceprin@contoso.com Obligatorisch.
Benutzer-ID des Besitzers UID 52322ec8-6ebf-11eb-9439-0242ac130002 Optional
Benutzer-AAD-Objekt-ID des Besitzers SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Optional
Benutzer-ON-PREM-SID des Besitzers SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Optional
Benutzerprinzipalname des Besitzers UPN JeffL@seccxp.ninja Obligatorisch.
Tags Liste ["Automation Account","GitHub Account"] für CSV-Dateien, die in Microsoft Excel oder [""Automation Account"",""GitHub Account""]für CSV-Dateien erstellt wurden, die in einem Text-Editor erstellt wurden Optional

Nächste Schritte

Weitere Informationen finden Sie unter