Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kehittyneen IdentityInfometsästysrakenteen taulukko sisältää tietoja eri palveluista saaduista käyttäjätileistä, mukaan lukien Microsoft Entra ID. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tämä taulukko on nimetty uudelleen kohteesta AccountInfo. Uudelleennimeämisen aikana kaikki portaaliin tallennetut kyselyt päivitetään automaattisesti. Tarkista muualla tallentamiasi kyselyitä.
Microsoft Sentinel käyttää tämän taulukon hieman laajennettua versiota Log Analyticsissa. Lisätietoja on kohdassa Microsoft Sentinel UEBA-viite.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
Seuraava rakenne on yhdistetty IdentityInfo rakenne, joka virtaviivaistaa samanlaisen taulukon Microsoft Sentinel lokianalyysissa ja Microsoft Defender XDR kehittyneessä metsästyksessä. Kaikki sarakkeet ovat käytettävissä Defender-portaalin käyttäjille, jotka ovat käynnistäneet Microsoft Sentinel ja ottavat käyttöön Käyttäjän ja entiteetin käyttäytymisanalytiikka (UEBA) -palvelun.
Defender-portaalin käyttäjät, jotka eivät ole Microsoft Sentinel työtilassa, jossa on käytössä UEBA-palvelu, eivät voi tarkastella UEBA-kohtaisia sarakkeita. Lue UEBA:lle määritetyt sarakkeet.
Tämä kehittynyt metsästystaulukko täytetään Microsoft Defender for Identity tai Microsoft Sentinel ja Microsoft Entra ID tietueilla. Jos organisaatiosi ei ota palvelua käyttöön Microsoft Defender XDR, taulukkoa käyttävät kyselyt eivät toimi tai palauta tuloksia. Lisätietoja Defender for Identityn käyttöönotosta Defender XDR on artikkelissa Tuettujen palveluiden käyttöönotto.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp
*
|
datetime |
Päivämäärä ja kellonaika, jolloin rivi kirjoitettiin tietokantaan. Tätä käytetään, kun kullakin käyttäjätiedoilla on useita rivejä, esimerkiksi kun muutos havaitaan tai jos viimeisen tietokantarivin lisäämisesta on kulunut 24 tuntia. |
ReportId
*
|
string |
Tapahtuman yksilöllinen tunnus |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
OnPremSid |
string |
Tilin paikallinen suojaustunnus (SID) |
AccountDisplayName |
string |
Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen alkukirjaimen ja sukunimen tai sukunimen yhdistelmä. |
AccountName |
string |
Tilin käyttäjänimi |
AccountDomain
*
|
string |
Tilin toimialue |
CriticalityLevel |
int |
Tilin kriittisyyspisteet |
Type
*
|
string |
Käyttäjätietojen tyyppi; mahdolliset arvot: User, ServiceAccount |
DistinguishedName
*
|
Merkkijono | Käyttäjän DN-nimi |
CloudSid |
string |
Tilin pilvipalvelun suojaustunnus |
GivenName |
string |
Tilin käyttäjän etu- tai etunimi |
Surname |
string |
Tilin käyttäjän sukunimi, sukunimi tai sukunimi |
Department |
string |
Sen osaston nimi, johon tilin käyttäjä kuuluu |
JobTitle |
string |
Tilin käyttäjän tehtävänimike |
EmailAddress |
string |
Tilin SMTP-osoite |
SipProxyAddress |
string |
Voice over IP (VOIP) -istunnon aloitusprotokollan (SIP) tiliosoite |
Address |
string |
Tilin käyttäjän osoite |
City |
string |
Kaupunki, jossa tilin käyttäjä sijaitsee |
Country |
string |
Maa tai alue, jossa tilin käyttäjä sijaitsee |
IsAccountEnabled |
boolean |
Ilmaisee, onko tili käytössä vai ei |
Manager
*
|
string |
Tilin käyttäjän luettelossa oleva esimies |
Phone
*
|
string |
Tilin käyttäjän luettelossa oleva puhelinnumero |
CreatedDateTime
*
|
datetime |
Päivämäärä ja kellonaika, jolloin tilin käyttäjä luotiin |
ChangeSource
*
|
string |
Määrittää, mikä tunnistetietopalvelu tai prosessi käynnisti uuden rivin lisäämisen. Arvoa käytetään esimerkiksi System-UserPersistence kaikille automatisoidun prosessin lisäämille riveille. |
BlastRadius
**
|
string |
Laskutoimitus, joka perustuu käyttäjän sijaintiin organisaatiopuussa ja käyttäjän Microsoft Entra rooleihin ja käyttöoikeuksiin; mahdollisiin arvoihin: Low, Medium, High |
CompanyName
**
|
string |
Sen yrityksen nimi, jossa käyttäjä työskentelee |
DeletedDateTime
**
|
datetime |
Päivämäärä ja kellonaika, jolloin käyttäjätili poistettiin |
EmployeeId
**
|
string |
Työntekijän tunnus, jonka organisaatio on määrittänyt käyttäjälle |
OtherMailAddresses
**
|
dynamic |
Käyttäjätilin lisäsähköpostiosoitteet |
RiskLevel |
string |
Microsoft Entra ID käyttäjätilin riskitaso; mahdolliset arvot: Pieni, Keskikokoinen, Suuri |
RiskLevelDetails |
string |
Microsoft Entra ID riskitasoa koskevat tiedot |
State
**
|
string |
Tila, jossa sisäänkirjautuminen tapahtui, jos käytettävissä |
Tags
*
|
dynamic |
Tunnisteet, jotka Defender on määrittänyt käyttäjätiedoilla tilin käyttäjälle |
AssignedRoles
*
|
dynamic |
Vain Microsoft Entra käyttäjätiedot tilikäyttäjälle määritetyt roolit |
PrivilegedEntraPimRoles (Esikatselu) *** |
dynamic |
Tilannevedos etuoikeutetuista roolimääritysaikatauluista ja tilin kelpoisuusaikatauluista Microsoft Entra Privileged Identity Management mukaisesti (aktivoituja varauksia lukuun ottamatta) |
TenantId |
string |
Yksilöivä tunniste, joka edustaa organisaatiosi Microsoft Entra ID esiintymää |
SourceSystem
*
|
string |
Tietueen lähdejärjestelmä |
OnPremObjectId |
string |
Käyttäjän Active Directory -objektitunnus |
TenantMembershipType |
string |
Käyttäjä kirjoittaa Microsoft Entra ID. Mahdolliset arvot: Vieras, Jäsen |
RiskStatus |
string |
Käyttäjän riskin tila. mahdolliset arvot: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
Active Directory -toimialueen käyttäjätilin suojausmääritteet |
IdentityEnvironment |
string |
Ympäristö, jossa käyttäjätietoja käytetään; mahdolliset arvot: CloudOnly, Hybrid, On-premises |
SourceProviders |
dynamic |
Käyttäjätietojen tilien lähteenä olevat palveluntarjoajat; mahdolliset arvot: ActiveDirectory, EntraID, Okta |
GroupMembership
**
|
dynamic |
Microsoft Entra ID ryhmät, joissa käyttäjätili on jäsen |
* Käytettävissä vain vuokraajille, joilla on Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- tai P2 Microsoft Defender for Endpoint käyttöoikeus.
** Käytettävissä vain vuokraajille, joilla on Microsoft Sentinel. Lisätietoja näiden sarakkeiden tuoreudesta ja rajoituksista on kohdassa Microsoft Sentinel UEBA-viite
Käytettävissä vain vuokraajille, joilla on Microsoft Defender for Identity.
UEBA-kohtaiset sarakkeet
Jos käytät Microsoft Defender portaalia, mutta et ota käyttöön Microsoft Sentinel työtilaa, jossa UEBA-palvelu on käytössä, seuraavat sarakkeet eivät ole käytettävissä taulukossasiIdentityInfo:
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesTagsStateGroupMembership
Lisätietoja UEBA:sta on kohdassa Kehittynyt uhkien tunnistaminen käyttäjän ja entiteetin käyttäytymisanalytiikan (UEBA) avulla Microsoft Sentinel. Lisätietoja UEBA:n eri tietolähteistä on kohdassa Microsoft Sentinel UEBA-viite.
Aiheeseen liittyviä artikkeleita
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.