IdentityInfo
A IdentityInfo
speciális veszélyforrás-keresési séma táblázata a különböző szolgáltatásokból beszerzett felhasználói fiókokról tartalmaz információkat, beleértve a Microsoft Entra ID. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Ezt a táblát átnevezték innen: AccountInfo
. Az átnevezések során a portálon mentett összes lekérdezés automatikusan frissül. Ellenőrizze a máshol mentett lekérdezéseket.
Microsoft Sentinel a táblázat kissé kibontott verzióját használja a Log Analyticsben. További információ: Microsoft Sentinel UEBA-referencia | IdentityInfo tábla
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp
*
|
datetime |
A sor adatbázisba való írásának dátuma és időpontja. Ez akkor használatos, ha minden identitáshoz több sor tartozik, például amikor változás észlelhető, vagy ha az utolsó adatbázissor hozzáadása óta eltelt 24 óra. |
ReportId
*
|
string |
Az esemény egyedi azonosítója |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
AccountUpn |
string |
A fiók egyszerű felhasználóneve (UPN) |
OnPremSid |
string |
A fiók helyszíni biztonsági azonosítója (SID) |
AccountDisplayName |
string |
A címjegyzékben megjelenített fiókfelhasználó neve. Általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja. |
AccountName |
string |
A fiók felhasználóneve |
AccountDomain
*
|
string |
A fiók tartománya |
Type
*
|
string |
Rekord típusa |
DistinguishedName
*
|
sztring | A felhasználó megkülönböztető neve |
CloudSid |
string |
A fiók felhőbeli biztonsági azonosítója |
GivenName |
string |
A fiókfelhasználó utóneve vagy utóneve |
Surname |
string |
A fiókfelhasználó vezetékneve, családi neve vagy vezetékneve |
Department |
string |
Annak a részlegnek a neve, amelyhez a fiókfelhasználó tartozik |
JobTitle |
string |
A fiókfelhasználó beosztása |
EmailAddress |
string |
A fiók SMTP-címe |
SipProxyAddress |
string |
A fiók voice over IP (VOIP) munkamenet-kezdeményezési protokolljának (SIP) címe |
Address |
string |
A fiókfelhasználó címe |
City |
string |
Város, ahol a fiókfelhasználó található |
Country |
string |
A fiók felhasználójának országa/régiója |
IsAccountEnabled |
boolean |
Azt jelzi, hogy a fiók engedélyezve van-e vagy sem |
Manager
*
|
string |
A fiókfelhasználó listavezetője |
Phone
*
|
string |
A fiókfelhasználó felsorolt telefonszáma |
CreatedDateTime
*
|
datetime |
A fiókfelhasználó létrehozásának dátuma és időpontja |
SourceProvider
*
|
string |
Az identitás forrása, például Microsoft Entra ID, Active Directory vagy az Active Directoryból az Azure Active Directoryba szinkronizált hibrid identitás |
ChangeSource
*
|
string |
Azonosítja, hogy melyik identitásszolgáltató vagy folyamat váltotta ki az új sor hozzáadását. Az érték például System-UserPersistence egy automatizált folyamat által hozzáadott sorokhoz lesz felhasználva. |
Tags
*
|
dynamic |
A Fiókfelhasználóhoz a Defender for Identity által hozzárendelt címkék |
AssignedRoles
*
|
dynamic |
A csak Microsoft Entra identitások esetében a fiókfelhasználóhoz rendelt szerepkörök |
TenantId |
string |
A szervezet Microsoft Entra ID példányát jelképező egyedi azonosító |
SourceSystem
*
|
string |
A rekord forrásrendszere |
* Csak Microsoft Defender for Identity, Microsoft Defender for Cloud Apps vagy Végponthoz készült Microsoft Defender P2 licenccel rendelkező bérlők számára érhető el.
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp.
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.