Esquemas de plantillas de listas de control integradas de Microsoft Sentinel (versión preliminar)

En este artículo se especifican los esquemas que se usan en cada plantilla de lista de reproducción integrada proporcionada por Microsoft Sentinel. Para más información, consulte Creación de listas de control en Microsoft Sentinel.

Las plantillas de listas de reproducción de Microsoft Sentinel están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Recursos de alto valor

La lista de reproducción Recursos de alto valor enumera los dispositivos, recursos y otros recursos que tienen un valor crítico en la organización, e incluye los siguientes campos:

Nombre del campo Formato Ejemplo Obligatorio/Opcional
Tipo de recurso String Device, Azure resource, AWS resource, URL, SPO, File share, Other Mandatory
Id. de recurso Cadena, depende del tipo de recurso /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls Mandatory
Nombre de recurso String Microsoft.Storage/storageAccounts/purviewadls Opcional
Nombre de dominio completo de recurso FQDN Finance-SRv.local.microsoft.com Mandatory
Dirección IP IP 1.1.1.1 Opcional
Etiquetas List ["SAW user","Blue Ocean team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Blue Ocean team""] para archivos CSV creados en un editor de texto Opcionales

Usuarios de VIP

La lista de reproducción Usuarios VIP enumera las cuentas de usuario de los empleados que tienen un valor de alto impacto en la organización e incluye los siguientes valores:

Nombre de campo Formato Ejemplo Obligatorio/Opcional
Identificador de usuario UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
Identificador de objeto AAD de usuario SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Opcional
Sid local de usuario SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Nombre principal del usuario UPN JeffL@seccxp.ninja Mandatory
Etiquetas List ["SAW user","Blue Ocean team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Blue Ocean team""] para archivos CSV creados en un editor de texto Opcionales

Direcciones de red

En la lista de reproducción Direcciones de red se enumeran las subredes IP y sus respectivos contextos organizativos, e incluye los siguientes campos:

Nombre del campo Formato Ejemplo Obligatorio/Opcional
Subred IP Rango de subred 198.51.100.0/24 Mandatory
Nombre de rango String DMZ Opcional
Etiquetas List ["Example","Example"] para archivos CSV creados en Microsoft Excel o [""Example"",""Example""] para archivos CSV creados en un editor de texto Opcionales

Empleados terminados

En la lista de lista Empleados terminados se enumeran las cuentas de usuario de los empleados que se han terminado, o están a punto de terminarse, e incluye los campos siguientes:

Nombre del campo Formato Ejemplo Obligatorio/Opcional
Identificador de usuario UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
Identificador de objeto AAD de usuario SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Opcional
Sid local de usuario SID S-1-12-1-4141952679-1282074057-123 Opcional
Nombre principal del usuario UPN JeffL@seccxp.ninja Mandatory
Estado de usuario Cadena

Se recomienda usar Notified o Terminated
Terminated Mandatory
Fecha de notificación Marca de tiempo: día

Se recomienda usar el formato UTC.
2020-12-1 Opcional
Fecha de terminación Marca de tiempo: día

Se recomienda usar el formato UTC.
2021-01-01 Mandatory
Etiquetas List ["SAW user","Amba Wolfs team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Amba Wolfs team""] para archivos CSV creados en un editor de texto Opcionales

Correlación de identidad

La lista de reproducción Correlación de identidades enumera las cuentas de usuario relacionadas que pertenecen a la misma persona e incluye los siguientes campos:

Nombre del campo Formato Ejemplo Obligatorio/Opcional
Identificador de usuario UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
Identificador de objeto AAD de usuario SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Opcional
Sid local de usuario SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Nombre principal del usuario UPN JeffL@seccxp.ninja Mandatory
Id. de empleado String 8234123 Opcional
Correo electrónico Correo electrónico JeffL@seccxp.ninja Opcional
Id. de cuenta con privilegios asociada UID/SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Cuenta con privilegios asociada UPN Admin@seccxp.ninja Opcional
Etiquetas List ["SAW user","Amba Wolfs team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Amba Wolfs team""]para archivos CSV creados en un editor de texto Opcionales

Cuentas de servicio

La lista de reproducción Cuentas de servicio enumera las cuentas de servicio y sus propietarios, e incluye los siguientes campos:

Nombre del campo Formato Ejemplo Obligatorio/Opcional
Identificador de servicio UID 1111-112123-12312312-123123123 Opcional
Id. de objeto AAD de servicio SID 11123-123123-123123-123123 Opcional
Sid local de servicio SID S-1-12-1-3123123-123213123-12312312-2916039507 Opcional
Nombre de entidad de seguridad de servicio UPN myserviceprin@contoso.com Mandatory
Identificador de usuario propietario UID 52322ec8-6ebf-11eb-9439-0242ac130002 Opcional
Identificador de objeto AAD de usuario propietario SID 03fa4b4e-dc26-426f-87b7-98e0c9e2955e Opcional
Sid local de usuario propietario SID S-1-12-1-4141952679-1282074057-627758481-2916039507 Opcional
Nombre principal de usuario propietario UPN JeffL@seccxp.ninja Mandatory
Etiquetas List ["Automation Account","GitHub Account"] para archivos CSV creados en Microsoft Excel o [""Automation Account"",""GitHub Account""]para archivos CSV creados en un editor de texto Opcionales

Pasos siguientes

Para obtener más información, vea