重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
本文详细介绍了Microsoft Sentinel 提供的每个内置监视列表模板中使用的架构。 有关详细信息,请参阅 Microsoft Sentinel 中创建监视列表。
Microsoft Sentinel 监视列表模板目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
高价值资产
高价值资产监视列表列出了组织中具有关键价值的设备、资源和其他资产,并包含以下字段:
| 字段名称 | 格式 | 示例: | 必需/可选 |
|---|---|---|---|
| 资产类型 | 字符串 |
Device、Azure resource、URL、SPO、File share、Other |
强制的 |
| 资产 ID | 字符串,具体取决于资产类型 | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
强制的 |
| 资产名称 | 字符串 | Microsoft.Storage/storageAccounts/purviewadls |
可选 |
| 资产 FQDN | FQDN | Finance-SRv.local.microsoft.com |
强制的 |
| IP 地址 | IP | 1.1.1.1 |
可选 |
| 标签 | 列表 |
["SAW user","Blue Ocean team"] 用于Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Blue Ocean team""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
VIP 用户
VIP 用户监视列表列出了组织中具有高影响力值的员工的用户帐户,并包含以下值:
| 字段名称 | 格式 | 示例: | 必需/可选 |
|---|---|---|---|
| 用户标识符 | 用户唯一标识 (UID) | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
| 用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
| 用户本地 Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
| 用户主体名称 | UPN | JeffL@seccxp.ninja |
强制的 |
| 标签 | 列表 |
["SAW user","Blue Ocean team"] 用于Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Blue Ocean team""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
网络地址
网络地址监视列表列出了 IP 子网及其各自的组织上下文,并包含以下字段:
| 字段名称 | 格式 | 示例: | 必需/可选 |
|---|---|---|---|
| IP 子网 | 子网范围 | 198.51.100.0/24 |
强制的 |
| 范围名称 | 字符串 | DMZ |
可选 |
| 标签 | 列表 |
["Example","Example"] 用于Microsoft Excel 中创建的 CSV 文件,或 [""Example"",""Example""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
已终止的员工
“已终止员工”监视列表列出了已终止或即将终止的员工的用户帐户,并包含以下字段:
| 字段名称 | 格式 | 示例: | 必需/可选 |
|---|---|---|---|
| 用户标识符 | 用户唯一标识 (UID) | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
| 用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
| 用户本地 Sid | SID | S-1-12-1-4141952679-1282074057-123 |
可选 |
| 用户主体名称 | UPN | JeffL@seccxp.ninja |
强制的 |
| UserState | 字符串 建议使用任一 Notified 或 Terminated |
Terminated |
强制的 |
| 通知日期 | 时间戳 - 天 建议使用 UTC 格式 |
2020-12-1 |
可选 |
| 终止日期 | 时间戳 - 天 建议使用 UTC 格式 |
2021-01-01 |
强制的 |
| 标签 | 列表 |
["SAW user","Amba Wolfs team"] 用于Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Amba Wolfs team""] 用于在文本编辑器中创建的 CSV 文件 |
可选 |
标识关联
Identity Correlation 监视列表列出了属于同一人员的相关用户帐户,并包含以下字段:
| 字段名称 | 格式 | 示例: | 必需/可选 |
|---|---|---|---|
| 用户标识符 | 用户唯一标识 (UID) | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
| 用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
| 用户本地 Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
| 用户主体名称 | UPN | JeffL@seccxp.ninja |
强制的 |
| 员工 ID | 字符串 | 8234123 |
可选 |
| 电子邮件 | JeffL@seccxp.ninja |
可选 | |
| 关联的特权帐户 ID | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
| 关联的特权帐户 | UPN | Admin@seccxp.ninja |
可选 |
| 标签 | 列表 |
["SAW user","Amba Wolfs team"] 用于Microsoft Excel 中创建的 CSV 文件,或 [""SAW user"",""Amba Wolfs team""]用于在文本编辑器中创建的 CSV 文件 |
可选 |
服务帐户
服务帐户监视列表列出了服务帐户及其所有者,并包含以下字段:
| 字段名称 | 格式 | 示例: | 必需/可选 |
|---|---|---|---|
| 服务标识符 | 用户唯一标识 (UID) | 1111-112123-12312312-123123123 |
可选 |
| 服务 AAD 对象 ID | SID | 11123-123123-123123-123123 |
可选 |
| 本地服务 Sid | SID | S-1-12-1-3123123-123213123-12312312-2916039507 |
可选 |
| 服务主体名称 | UPN | myserviceprin@contoso.com |
强制的 |
| 所有者用户标识符 | 用户唯一标识 (UID) | 52322ec8-6ebf-11eb-9439-0242ac130002 |
可选 |
| 所有者用户 AAD 对象 ID | SID | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
可选 |
| 所有者用户本地 Sid | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
可选 |
| 所有者用户主体名称 | UPN | JeffL@seccxp.ninja |
强制的 |
| 标签 | 列表 |
["Automation Account","GitHub Account"] 用于Microsoft Excel 中创建的 CSV 文件,或 [""Automation Account"",""GitHub Account""]用于在文本编辑器中创建的 CSV 文件 |
可选 |
后续步骤
有关详细信息,请参阅