이 문서에서는 Microsoft Sentinel 제공하는 각 기본 제공 관심 목록 템플릿에 사용되는 스키마에 대해 자세히 설명합니다. 자세한 내용은 Microsoft Sentinel 관심 목록 만들기를 참조하세요.
Microsoft Sentinel 관심 목록 템플릿은 현재 미리 보기로 제공됩니다. Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.
고가치 자산
높은 가치 자산 관심 목록에는 organization 중요한 가치가 있는 디바이스, 리소스 및 기타 자산이 나열되며 다음 필드가 포함됩니다.
| 필드 이름 | 형식 | 예제 | 필수/선택 사항 |
|---|---|---|---|
| 자산 유형 | String |
Device, Azure resource, AWS resource, URL, SPO, File share, Other |
필수 |
| 자산 ID | 자산 유형에 따라 문자열 | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls |
필수 |
| 자산 이름 | String | Microsoft.Storage/storageAccounts/purviewadls |
옵션 |
| 자산 FQDN | FQDN | Finance-SRv.local.microsoft.com |
필수 |
| IP 주소 | IP | 1.1.1.1 |
옵션 |
| 태그 | 목록 |
["SAW user","Blue Ocean team"] Microsoft Excel에서 만든 CSV 파일 또는 [""SAW user"",""Blue Ocean team""] 텍스트 편집기에서 만든 CSV 파일의 경우 |
옵션 |
VIP 사용자
VIP 사용자 관심 목록에는 organization 영향 값이 높은 직원의 사용자 계정이 나열되며 다음 값이 포함됩니다.
| 필드 이름 | 형식 | 예제 | 필수/선택 사항 |
|---|---|---|---|
| 사용자 식별자 | Uid | 52322ec8-6ebf-11eb-9439-0242ac130002 |
옵션 |
| 사용자 AAD 개체 ID | Sid | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
옵션 |
| 사용자 온-프레미스 Sid | Sid | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
옵션 |
| 사용자 계정 이름 | UPN | JeffL@seccxp.ninja |
필수 |
| 태그 | 목록 |
["SAW user","Blue Ocean team"] Microsoft Excel에서 만든 CSV 파일 또는 [""SAW user"",""Blue Ocean team""] 텍스트 편집기에서 만든 CSV 파일의 경우 |
옵션 |
네트워크 주소
네트워크 주소 관심 목록에는 IP 서브넷 및 해당 조직 컨텍스트가 나열되며 다음 필드가 포함됩니다.
| 필드 이름 | 형식 | 예제 | 필수/선택 사항 |
|---|---|---|---|
| IP 서브넷 | 서브넷 범위 | 198.51.100.0/24 |
필수 |
| 범위 이름 | String | DMZ |
옵션 |
| 태그 | 목록 |
["Example","Example"] Microsoft Excel에서 만든 CSV 파일 또는 [""Example"",""Example""] 텍스트 편집기에서 만든 CSV 파일의 경우 |
옵션 |
종결된 직원
종결된 직원 관심 목록에는 종료되었거나 종료될 직원의 사용자 계정이 나열되며 다음 필드가 포함됩니다.
| 필드 이름 | 형식 | 예제 | 필수/선택 사항 |
|---|---|---|---|
| 사용자 식별자 | Uid | 52322ec8-6ebf-11eb-9439-0242ac130002 |
옵션 |
| 사용자 AAD 개체 ID | Sid | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
옵션 |
| 사용자 온-프레미스 Sid | Sid | S-1-12-1-4141952679-1282074057-123 |
옵션 |
| 사용자 계정 이름 | UPN | JeffL@seccxp.ninja |
필수 |
| Userstate | String 또는 중 하나를 Notified 사용하는 것이 좋습니다. Terminated |
Terminated |
필수 |
| 알림 날짜 | 타임스탬프 - 일 UTC 형식을 사용하는 것이 좋습니다. |
2020-12-1 |
옵션 |
| 종료 날짜 | 타임스탬프 - 일 UTC 형식을 사용하는 것이 좋습니다. |
2021-01-01 |
필수 |
| 태그 | 목록 |
["SAW user","Amba Wolfs team"] Microsoft Excel에서 만든 CSV 파일 또는 [""SAW user"",""Amba Wolfs team""] 텍스트 편집기에서 만든 CSV 파일의 경우 |
옵션 |
ID 상관 관계
ID 상관 관계 관심 목록에는 동일한 사용자에 속한 관련 사용자 계정이 나열되며 다음 필드가 포함됩니다.
| 필드 이름 | 형식 | 예제 | 필수/선택 사항 |
|---|---|---|---|
| 사용자 식별자 | Uid | 52322ec8-6ebf-11eb-9439-0242ac130002 |
옵션 |
| 사용자 AAD 개체 ID | Sid | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
옵션 |
| 사용자 온-프레미스 Sid | Sid | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
옵션 |
| 사용자 계정 이름 | UPN | JeffL@seccxp.ninja |
필수 |
| 직원 ID | String | 8234123 |
옵션 |
| 전자 메일 | 전자 메일 | JeffL@seccxp.ninja |
옵션 |
| 연결된 권한 있는 계정 ID | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
옵션 |
| 연결된 권한 있는 계정 | UPN | Admin@seccxp.ninja |
옵션 |
| 태그 | 목록 |
["SAW user","Amba Wolfs team"] Microsoft Excel에서 만든 CSV 파일 또는 [""SAW user"",""Amba Wolfs team""]텍스트 편집기에서 만든 CSV 파일의 경우 |
옵션 |
서비스 계정
서비스 계정 관심 목록에는 서비스 계정 및 해당 소유자가 나열되며 다음 필드가 포함됩니다.
| 필드 이름 | 형식 | 예제 | 필수/선택 사항 |
|---|---|---|---|
| 서비스 식별자 | Uid | 1111-112123-12312312-123123123 |
옵션 |
| 서비스 AAD 개체 ID | Sid | 11123-123123-123123-123123 |
옵션 |
| 서비스 온-프레미스 Sid | Sid | S-1-12-1-3123123-123213123-12312312-2916039507 |
옵션 |
| 서비스 주체 이름 | UPN | myserviceprin@contoso.com |
필수 |
| 소유자 사용자 식별자 | Uid | 52322ec8-6ebf-11eb-9439-0242ac130002 |
옵션 |
| 소유자 사용자 AAD 개체 ID | Sid | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
옵션 |
| 소유자 사용자 온-프레미스 Sid | Sid | S-1-12-1-4141952679-1282074057-627758481-2916039507 |
옵션 |
| 소유자 사용자 계정 이름 | UPN | JeffL@seccxp.ninja |
필수 |
| 태그 | 목록 |
["Automation Account","GitHub Account"] Microsoft Excel에서 만든 CSV 파일 또는 [""Automation Account"",""GitHub Account""]텍스트 편집기에서 만든 CSV 파일의 경우 |
옵션 |
다음 단계
자세한 내용은 다음을 참조하세요.