Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tabulka IdentityInfo ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o uživatelských účtech získaných z různých služeb, včetně Microsoft Entra ID. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Tato tabulka byla přejmenována z .AccountInfo Během přejmenování se automaticky aktualizují všechny dotazy uložené na portálu. Zkontrolujte dotazy, které jste uložili jinam.
Microsoft Sentinel používá mírně rozšířenou verzi této tabulky v Log Analytics. Další informace najdete v referenčních informacích Microsoft Sentinel UEBA.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
Následující schéma je sjednocené IdentityInfo schéma, které zjednodušuje podobnou tabulku v Microsoft Sentinel Log Analytics a v Microsoft Defender XDR rozšířené proaktivní vyhledávání. Úplná sada sloupců je k dispozici pro uživatele portálu Defender, kteří nasadili Microsoft Sentinel a zapnuli službu UEBA (User and Entity Behavior Analytics).
Uživatelé portálu Defender, kteří neregistrují pracovní prostor Microsoft Sentinel se zapnutou službou UEBA, nemůžou zobrazit sloupce specifické pro UEBA. Čtení sloupců specifických pro UEBA
Tato rozšířená tabulka proaktivního vyhledávání je naplněná záznamy z Microsoft Defender for Identity nebo Microsoft Sentinel a Microsoft Entra ID. Pokud vaše organizace nenasadí službu v Microsoft Defender XDR, dotazy, které používají tabulku, nefungují nebo nevrací žádné výsledky. Další informace o tom, jak nasadit Defender for Identity v Defender XDR, najdete v tématu Nasazení podporovaných služeb.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp
*
|
datetime |
Datum a čas zápisu řádku do databáze. Používá se v případě, že pro každou identitu existuje více řádků, například při zjištění změny nebo v případě, že od přidání posledního řádku databáze uplynulo 24 hodin. |
ReportId
*
|
string |
Jedinečný identifikátor události |
AccountObjectId |
string |
Jedinečný identifikátor účtu v Microsoft Entra ID |
AccountUpn |
string |
Hlavní název uživatele (UPN) účtu |
OnPremSid |
string |
Místní identifikátor zabezpečení (SID) účtu |
AccountDisplayName |
string |
Jméno uživatele účtu zobrazeného v adresáři Obvykle se jedná o kombinaci křestního jména nebo jména, prostřední iniciály a příjmení nebo příjmení. |
AccountName |
string |
Uživatelské jméno účtu |
AccountDomain
*
|
string |
Doména účtu |
CriticalityLevel |
int |
Skóre závažnosti účtu |
Type
*
|
string |
Typ identity; možné hodnoty: User, ServiceAccount |
DistinguishedName
*
|
řetězec | Rozlišující jméno uživatele |
CloudSid |
string |
Identifikátor zabezpečení cloudu účtu |
GivenName |
string |
Křestní jméno nebo jméno uživatele účtu |
Surname |
string |
Příjmení, příjmení nebo příjmení uživatele účtu |
Department |
string |
Název oddělení, do kterého uživatel účtu patří |
JobTitle |
string |
Pracovní pozice uživatele účtu |
EmailAddress |
string |
Adresa SMTP účtu |
SipProxyAddress |
string |
Adresa protokolu VOIP (Voice over IP) session initiation protocol (SIP) účtu |
Address |
string |
Adresa uživatele účtu |
City |
string |
Město, ve kterém se uživatel účtu nachází |
Country |
string |
Země/oblast, ve které se uživatel účtu nachází |
IsAccountEnabled |
boolean |
Označuje, jestli je účet povolený, nebo ne. |
Manager
*
|
string |
Uvedený správce uživatele účtu |
Phone
*
|
string |
Uvedené telefonní číslo uživatele účtu |
CreatedDateTime
*
|
datetime |
Datum a čas vytvoření uživatele účtu |
ChangeSource
*
|
string |
Určuje, který zprostředkovatel identity nebo proces aktivoval přidání nového řádku. Hodnota se System-UserPersistence například použije pro všechny řádky přidané automatizovaným procesem. |
BlastRadius
**
|
string |
Výpočet založený na pozici uživatele ve stromu organizace a Microsoft Entra rolí a oprávnění uživatele; možné hodnoty: Nízká, Střední, Vysoká |
CompanyName
**
|
string |
Název společnosti, pro kterou uživatel pracuje |
DeletedDateTime
**
|
datetime |
Datum a čas odstranění uživatelského účtu |
EmployeeId
**
|
string |
Identifikátor zaměstnance přiřazený uživateli organizací |
OtherMailAddresses
**
|
dynamic |
Další e-mailové adresy uživatelského účtu |
RiskLevel |
string |
Microsoft Entra ID úroveň rizika uživatelského účtu; možné hodnoty: Nízká, Střední, Vysoká |
RiskLevelDetails |
string |
Podrobnosti týkající se Microsoft Entra ID úrovně rizika |
State
**
|
string |
Stav, kde došlo k přihlášení, pokud je k dispozici |
Tags
*
|
dynamic |
Značky přiřazené uživateli účtu službou Defender for Identity |
AssignedRoles
*
|
dynamic |
U identit od Microsoft Entra pouze role přiřazené uživateli účtu |
PrivilegedEntraPimRoles (Preview) *** |
dynamic |
Snímek plánů přiřazení privilegovaných rolí a plánů způsobilosti pro účet, které spravuje Microsoft Entra Privileged Identity Management (s výjimkou aktivovaných přiřazení) |
TenantId |
string |
Jedinečný identifikátor představující instanci Microsoft Entra ID vaší organizace |
SourceSystem
*
|
string |
Zdrojový systém záznamu |
OnPremObjectId |
string |
ID objektu služby služba Active Directory uživatele |
TenantMembershipType |
string |
Typ uživatele v Microsoft Entra ID; možné hodnoty: Host, Člen |
RiskStatus |
string |
Stav rizika uživatele; možné hodnoty: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
Atributy zabezpečení uživatelského účtu v doméně služby služba Active Directory |
IdentityEnvironment |
string |
Prostředí, ve kterém se identita používá; možné hodnoty: CloudOnly, Hybrid, On-premises |
SourceProviders |
dynamic |
Zdrojová zprostředkovatelé účtů pro identitu; možné hodnoty: ActiveDirectory, EntraID, Okta |
GroupMembership
**
|
dynamic |
Microsoft Entra ID skupin, ve kterých je uživatelský účet členem |
* K dispozici pouze pro tenanty s licencováním Microsoft Defender for Identity, Microsoft Defender for Cloud Apps nebo Microsoft Defender for Endpoint P2.
** K dispozici pouze pro tenanty s Microsoft Sentinel. Další informace o aktuálnosti a omezeních těchto sloupců najdete v referenčních informacích Microsoft Sentinel UEBA.
K dispozici pouze pro tenanty s Microsoft Defender for Identity.
Sloupce specifické pro UEBA
Pokud používáte portál Microsoft Defender, ale nepřipojíte Microsoft Sentinel pracovní prostor se zapnutou službou UEBA, nejsou v IdentityInfo tabulce dostupné následující sloupce:
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesTagsStateGroupMembership
Další informace o rozhraní UEBA najdete v tématu Pokročilá detekce hrozeb pomocí analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinel. Další informace o různých zdrojích dat v UEBA najdete v referenčních informacích k Microsoft Sentinel UEBA.
Související články
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.