Esquemas de plantillas de listas de control integradas de Microsoft Sentinel (versión preliminar)
En este artículo se especifican los esquemas que se usan en cada plantilla de lista de reproducción integrada proporcionada por Microsoft Sentinel. Para más información, consulte Creación de listas de control en Microsoft Sentinel.
Las plantillas de listas de reproducción de Microsoft Sentinel están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
La lista de reproducción Recursos de alto valor enumera los dispositivos, recursos y otros recursos que tienen un valor crítico en la organización, e incluye los siguientes campos:
Nombre del campo | Formato | Ejemplo | Obligatorio/Opcional |
---|---|---|---|
Tipo de recurso | String | Device , Azure resource , AWS resource , URL , SPO , File share , Other |
Mandatory |
Id. de recurso | Cadena, depende del tipo de recurso | /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Mandatory |
Nombre de recurso | String | Microsoft.Storage/storageAccounts/purviewadls |
Opcional |
Nombre de dominio completo de recurso | FQDN | Finance-SRv.local.microsoft.com |
Mandatory |
Dirección IP | IP | 1.1.1.1 |
Opcional |
Etiquetas | List | ["SAW user","Blue Ocean team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Blue Ocean team""] para archivos CSV creados en un editor de texto |
Opcionales |
La lista de reproducción Usuarios VIP enumera las cuentas de usuario de los empleados que tienen un valor de alto impacto en la organización e incluye los siguientes valores:
Nombre de campo | Formato | Ejemplo | Obligatorio/Opcional |
---|---|---|---|
Identificador de usuario | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
Identificador de objeto AAD de usuario | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcional |
Sid local de usuario | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Nombre principal del usuario | UPN | JeffL@seccxp.ninja |
Mandatory |
Etiquetas | List | ["SAW user","Blue Ocean team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Blue Ocean team""] para archivos CSV creados en un editor de texto |
Opcionales |
En la lista de reproducción Direcciones de red se enumeran las subredes IP y sus respectivos contextos organizativos, e incluye los siguientes campos:
Nombre del campo | Formato | Ejemplo | Obligatorio/Opcional |
---|---|---|---|
Subred IP | Rango de subred | 198.51.100.0/24 |
Mandatory |
Nombre de rango | String | DMZ |
Opcional |
Etiquetas | List | ["Example","Example"] para archivos CSV creados en Microsoft Excel o [""Example"",""Example""] para archivos CSV creados en un editor de texto |
Opcionales |
En la lista de lista Empleados terminados se enumeran las cuentas de usuario de los empleados que se han terminado, o están a punto de terminarse, e incluye los campos siguientes:
Nombre del campo | Formato | Ejemplo | Obligatorio/Opcional |
---|---|---|---|
Identificador de usuario | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
Identificador de objeto AAD de usuario | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcional |
Sid local de usuario | SID | S-1-12-1-4141952679-1282074057-123 |
Opcional |
Nombre principal del usuario | UPN | JeffL@seccxp.ninja |
Mandatory |
Estado de usuario | Cadena Se recomienda usar Notified o Terminated |
Terminated |
Mandatory |
Fecha de notificación | Marca de tiempo: día Se recomienda usar el formato UTC. |
2020-12-1 |
Opcional |
Fecha de terminación | Marca de tiempo: día Se recomienda usar el formato UTC. |
2021-01-01 |
Mandatory |
Etiquetas | List | ["SAW user","Amba Wolfs team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Amba Wolfs team""] para archivos CSV creados en un editor de texto |
Opcionales |
La lista de reproducción Correlación de identidades enumera las cuentas de usuario relacionadas que pertenecen a la misma persona e incluye los siguientes campos:
Nombre del campo | Formato | Ejemplo | Obligatorio/Opcional |
---|---|---|---|
Identificador de usuario | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
Identificador de objeto AAD de usuario | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcional |
Sid local de usuario | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Nombre principal del usuario | UPN | JeffL@seccxp.ninja |
Mandatory |
Id. de empleado | String | 8234123 |
Opcional |
Correo electrónico | Correo electrónico | JeffL@seccxp.ninja |
Opcional |
Id. de cuenta con privilegios asociada | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Cuenta con privilegios asociada | UPN | Admin@seccxp.ninja |
Opcional |
Etiquetas | List | ["SAW user","Amba Wolfs team"] para archivos CSV creados en Microsoft Excel o [""SAW user"",""Amba Wolfs team""] para archivos CSV creados en un editor de texto |
Opcionales |
La lista de reproducción Cuentas de servicio enumera las cuentas de servicio y sus propietarios, e incluye los siguientes campos:
Nombre del campo | Formato | Ejemplo | Obligatorio/Opcional |
---|---|---|---|
Identificador de servicio | UID | 1111-112123-12312312-123123123 |
Opcional |
Id. de objeto AAD de servicio | SID | 11123-123123-123123-123123 |
Opcional |
Sid local de servicio | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Opcional |
Nombre de entidad de seguridad de servicio | UPN | myserviceprin@contoso.com |
Mandatory |
Identificador de usuario propietario | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Opcional |
Identificador de objeto AAD de usuario propietario | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e |
Opcional |
Sid local de usuario propietario | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Opcional |
Nombre principal de usuario propietario | UPN | JeffL@seccxp.ninja |
Mandatory |
Etiquetas | List | ["Automation Account","GitHub Account"] para archivos CSV creados en Microsoft Excel o [""Automation Account"",""GitHub Account""] para archivos CSV creados en un editor de texto |
Opcionales |
Para obtener más información, vea