Microsoft Sentinel 組み込みウォッチリストのテンプレートのスキーマ (プレビュー)

この記事では、Microsoft Sentinel が提供する各組み込みウォッチリストのテンプレート内で使用されるスキーマについて詳しく説明します。詳細については、「Microsoft Sentinel でウォッチリストを作成する」を参照してください。

Microsoft Sentinel ウォッチリストのテンプレートは、現在プレビューの段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

価値の高い資産

価値の高い資産ウォッチリストには、組織内で重要な価値を持つデバイス、リソースなどの資産が一覧表示され、次のフィールドが含まれています。

フィールド名	Format	例	必須/省略可能
資産の種類	String	`Device`, `Azure resource`, `AWS resource`, `URL`, `SPO`, `File share`, `Other`	Mandatory
資産 ID	文字列。資産の種類によって異なります	`/subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls`	Mandatory
資産名	String	`Microsoft.Storage/storageAccounts/purviewadls`	省略可能
資産の完全修飾ドメイン名	FQDN	`Finance-SRv.local.microsoft.com`	Mandatory
IP アドレス	IP	`1.1.1.1`	省略可能
タグ	一覧取得	`["SAW user","Blue Ocean team"]` Microsoft Excel で作成された CSV ファイル、または `[""SAW user"",""Blue Ocean team""]` テキストエディターで作成された CSV ファイルの場合	省略可能

VIP ユーザーウォッチリストには、組織内で大きな影響を与える従業員のユーザーアカウントが一覧表示され、次の値が含まれています。

フィールド名	Format	例	必須/省略可能
ユーザー ID	UID	`52322ec8-6ebf-11eb-9439-0242ac130002`	省略可能
ユーザー AAD オブジェクト ID	SID	`03fa4b4e-dc26-426f-87b7-98e0c9e2955e`	省略可能
ユーザーオンプレミス SID	SID	`S-1-12-1-4141952679-1282074057-627758481-2916039507`	省略可能
ユーザープリンシパル名	UPN	`JeffL@seccxp.ninja`	Mandatory
タグ	一覧取得	`["SAW user","Blue Ocean team"]` Microsoft Excel で作成された CSV ファイル、または `[""SAW user"",""Blue Ocean team""]` テキストエディターで作成された CSV ファイルの場合	省略可能

[ネットワークアドレス] ウォッチリストには、IP サブネットとそれぞれの組織コンテキストが一覧表示され、次のフィールドが含まれます。

フィールド名	Format	例	必須/省略可能
IP サブネット	サブネット範囲	`198.51.100.0/24`	Mandatory
範囲名	String	`DMZ`	省略可能
タグ	一覧取得	`["Example","Example"]` Microsoft Excel で作成された CSV ファイル、または `[""Example"",""Example""]` テキストエディターで作成された CSV ファイルの場合	省略可能

退職した従業員ウォッチリストには、退職した従業員または退職しようとしている従業員が一覧表示され、次のフィールドが含まれています。

フィールド名	Format	例	必須/省略可能
ユーザー ID	UID	`52322ec8-6ebf-11eb-9439-0242ac130002`	省略可能
ユーザー AAD オブジェクト ID	SID	`03fa4b4e-dc26-426f-87b7-98e0c9e2955e`	省略可能
ユーザーオンプレミス SID	SID	`S-1-12-1-4141952679-1282074057-123`	省略可能
ユーザープリンシパル名	UPN	`JeffL@seccxp.ninja`	Mandatory
UserState	文字列 `Notified` または `Terminated` を使用することをお勧めします	`Terminated`	Mandatory
通知日	タイムスタンプ - 日 UTC 形式を使用することをお勧めします	`2020-12-1`	省略可能
退職日	タイムスタンプ - 日 UTC 形式を使用することをお勧めします	`2021-01-01`	Mandatory
タグ	一覧取得	`["SAW user","Amba Wolfs team"]` Microsoft Excel で作成された CSV ファイル、または `[""SAW user"",""Amba Wolfs team""]` テキストエディターで作成された CSV ファイルの場合	省略可能

ID 相関関係ウォッチリストには、同じユーザーに属する関連ユーザーアカウントが一覧表示され、次のフィールドが含まれます。

フィールド名	Format	例	必須/省略可能
ユーザー ID	UID	`52322ec8-6ebf-11eb-9439-0242ac130002`	省略可能
ユーザー AAD オブジェクト ID	SID	`03fa4b4e-dc26-426f-87b7-98e0c9e2955e`	省略可能
ユーザーオンプレミス SID	SID	`S-1-12-1-4141952679-1282074057-627758481-2916039507`	省略可能
ユーザープリンシパル名	UPN	`JeffL@seccxp.ninja`	Mandatory
従業員 ID	String	`8234123`	省略可能
電子メール	Email	`JeffL@seccxp.ninja`	省略可能
関連付けられている特権アカウント ID	UID/SID	`S-1-12-1-4141952679-1282074057-627758481-2916039507`	省略可能
関連付けられている特権アカウント	UPN	`Admin@seccxp.ninja`	省略可能
タグ	一覧取得	`["SAW user","Amba Wolfs team"]` Microsoft Excel で作成された CSV ファイル、または `[""SAW user"",""Amba Wolfs team""]`テキストエディターで作成された CSV ファイルの場合	省略可能

サービスアカウントウォッチリストには、サービスアカウントとその所有者が一覧表示され、次のフィールドが含まれています。

フィールド名	Format	例	必須/省略可能
サービス識別子	UID	`1111-112123-12312312-123123123`	省略可能
サービス AAD オブジェクト ID	SID	`11123-123123-123123-123123`	省略可能
サービスのオンプレミス SID	SID	`S-1-12-1-3123123-123213123-12312312-2916039507`	省略可能
サービスプリンシパル名	UPN	`myserviceprin@contoso.com`	Mandatory
所有者のユーザー ID	UID	`52322ec8-6ebf-11eb-9439-0242ac130002`	省略可能
所有者のユーザー AAD オブジェクト ID	SID	`03fa4b4e-dc26-426f-87b7-98e0c9e2955e`	省略可能
所有者のユーザーオンプレミス SID	SID	`S-1-12-1-4141952679-1282074057-627758481-2916039507`	省略可能
所有者のユーザープリンシパル名	UPN	`JeffL@seccxp.ninja`	Mandatory
タグ	一覧取得	`["Automation Account","GitHub Account"]` Microsoft Excel で作成された CSV ファイル、または `[""Automation Account"",""GitHub Account""]`テキストエディターで作成された CSV ファイルの場合	省略可能

詳細については、次のトピックを参照してください。