Schémas de modèle Watchlist Microsoft Sentinel intégrés (préversion)
Cet article détaille les schémas utilisés dans chaque modèle Watchlist intégré fourni par Microsoft Sentinel. Pour plus d’informations, consultez Créer des listes de surveillance dans Microsoft Sentinel.
Les modèles Microsoft Sentinel Watchlist sont actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Ressources de valeur élevée
La Watchlist des Ressources de valeur élevée répertorie les appareils, les ressources et les autres ressources qui ont une valeur critique dans l’organisation, et comprend les champs suivants :
Nom du champ | Format | Exemple | Obligatoire/facultatif |
---|---|---|---|
Type de ressource | Chaîne | Device , Azure resource , AWS resource , URL , SPO , File share , Other |
Obligatoire |
ID de la ressource | Chaîne, selon le type de ressource | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
Obligatoire |
Nom de la ressource | String | Microsoft.Storage/storageAccounts/purviewadls |
Facultatif |
Nom de domaine complet de la ressource | FQDN | Finance-SRv.local.microsoft.com |
Obligatoire |
Adresse IP | IP | 1.1.1.1 |
Facultatif |
Balises | List | ["SAW user","Blue Ocean team"] pour les fichiers CSV créés dans Microsoft Excel ou [""SAW user"",""Blue Ocean team""] pour les fichiers CSV créés dans un éditeur de texte |
Facultatif |
Utilisateurs d’adresses IP virtuelles
La Watchlist Utilisateurs d’adresses IP virtuelles répertorie les comptes utilisateurs des employés ayant une valeur à fort impact au sein de l’organisation, et comprend les valeurs suivantes :
Nom du champ | Format | Exemple | Obligatoire/facultatif |
---|---|---|---|
Identificateur d’utilisateur | Identificateur d’utilisateur | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facultatif |
ID d’objet AAD de l’utilisateur | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Facultatif |
Sid local de l’utilisateur | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facultatif |
Nom d'utilisateur principal | UPN | JeffL@seccxp.ninja |
Obligatoire |
Balises | List | ["SAW user","Blue Ocean team"] pour les fichiers CSV créés dans Microsoft Excel ou [""SAW user"",""Blue Ocean team""] pour les fichiers CSV créés dans un éditeur de texte |
Facultatif |
Adresses réseau
La liste de surveillance adresses réseau répertorie les sous-réseaux IP et leurs contextes organisationnels respectifs, et inclut les champs suivants :
Nom du champ | Format | Exemple | Obligatoire/facultatif |
---|---|---|---|
Sous-réseau IP | Plage de sous-réseau | 198.51.100.0/24 |
Obligatoire |
Nom de la plage | String | DMZ |
Facultatif |
Balises | List | ["Example","Example"] pour les fichiers CSV créés dans Microsoft Excel ou [""Example"",""Example""] pour les fichiers CSV créés dans un éditeur de texte |
Facultatif |
Employés arrêtés
La watchlist Employés terminés répertorie les comptes d’utilisateurs des employés qui ont été ou qui sont sur le point d’être terminés, et comprend les champs suivants :
Nom du champ | Format | Exemple | Obligatoire/facultatif |
---|---|---|---|
Identificateur d’utilisateur | Identificateur d’utilisateur | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facultatif |
ID d’objet AAD de l’utilisateur | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Facultatif |
Sid local de l’utilisateur | SID | S-1-12-1-4141952679-1282074057-123 |
Facultatif |
Nom d'utilisateur principal | UPN | JeffL@seccxp.ninja |
Obligatoire |
UserState | String Nous vous recommandons d’utiliser soit Notified soitTerminated |
Terminated |
Obligatoire |
Date de notification | Horodatage - jour Nous vous recommandons d’utiliser le format UTC |
2020-12-1 |
Facultatif |
Date de fin | Horodatage - jour Nous vous recommandons d’utiliser le format UTC |
2021-01-01 |
Obligatoire |
Balises | List | ["SAW user","Amba Wolfs team"] pour les fichiers CSV créés dans Microsoft Excel ou [""SAW user"",""Amba Wolfs team""] pour les fichiers CSV créés dans un éditeur de texte |
Facultatif |
Corrélation d’identité
La Watchlist de corrélation des identités répertorie les comptes d’utilisateurs associés qui appartiennent à la même personne et comprend les champs suivants :
Nom du champ | Format | Exemple | Obligatoire/facultatif |
---|---|---|---|
Identificateur d’utilisateur | Identificateur d’utilisateur | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facultatif |
ID d’objet AAD de l’utilisateur | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Facultatif |
Sid local de l’utilisateur | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facultatif |
Nom d'utilisateur principal | UPN | JeffL@seccxp.ninja |
Obligatoire |
ID d’employé | String | 8234123 |
Facultatif |
Courrier électronique | Courrier | JeffL@seccxp.ninja |
Facultatif |
ID de Compte privilégié associé | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facultatif |
Compte privilégié associé | UPN | Admin@seccxp.ninja |
Facultatif |
Balises | List | ["SAW user","Amba Wolfs team"] pour les fichiers CSV créés dans Microsoft Excel ou [""SAW user"",""Amba Wolfs team""] pour les fichiers CSV créés dans un éditeur de texte |
Facultatif |
Comptes de service
La watchlist de Comptes de service répertorie les comptes de service et leurs propriétaires, et comprend les champs suivants :
Nom du champ | Format | Exemple | Obligatoire/facultatif |
---|---|---|---|
Identificateur du service | Identificateur d’utilisateur | 1111-112123-12312312-123123123 |
Facultatif |
ID d’objet AAD du service | SID | 11123-123123-123123-123123 |
Facultatif |
SID de service local | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
Facultatif |
Nom du principal de service | UPN | myserviceprin@contoso.com |
Obligatoire |
Identificateur de l'utilisateur propriétaire | Identificateur d’utilisateur | 52322ec8-6ebf-11eb-9439-0242ac130002 |
Facultatif |
ID d’objet AAD de l’utilisateur propriétaire | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Facultatif |
Sid local de l’utilisateur propriétaire | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
Facultatif |
Nom principal de l’utilisateur propriétaire | UPN | JeffL@seccxp.ninja |
Obligatoire |
Balises | List | ["Automation Account","GitHub Account"] pour les fichiers CSV créés dans Microsoft Excel ou [""Automation Account"",""GitHub Account""] pour les fichiers CSV créés dans un éditeur de texte |
Facultatif |
Étapes suivantes
Pour plus d'informations, consultez