Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A IdentityInfospeciális veszélyforrás-keresési séma táblázata a különböző szolgáltatásokból beszerzett felhasználói fiókokról tartalmaz információkat, beleértve a Microsoft Entra ID. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Ezt a táblát átnevezték innen: AccountInfo. Az átnevezések során a portálon mentett összes lekérdezés automatikusan frissül. Ellenőrizze a máshol mentett lekérdezéseket.
Microsoft Sentinel a táblázat kissé kibontott verzióját használja a Log Analyticsben. További információ: Microsoft Sentinel UEBA-referencia | IdentityInfo tábla
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Az alábbi séma az egyesített IdentityInfo séma, amely leegyszerűsít egy hasonló táblát Microsoft Sentinel log analyticsében és Microsoft Defender XDR speciális veszélyforrás-keresésben. A teljes oszlopkészlet azon Defender-portál-felhasználók számára érhető el, akik előkészítették Microsoft Sentinel és bekapcsolták a Felhasználó- és entitásviselkedés-elemzés (UEBA) szolgáltatást.
Azok a Defender-portálok felhasználói, akik nem előkészítettek egy Microsoft Sentinel-munkaterületet, amelyen be van kapcsolva az UEBA szolgáltatás, nem tekinthetik meg az UEBA-specifikus oszlopokat. Olvassa el az UEBA-specifikus oszlopokat.
Ezt a speciális veszélyforrás-keresési táblát Microsoft Defender for Identity vagy Microsoft Sentinel és Microsoft Entra ID rekordjai töltik fel. Ha a szervezete nem telepítette a szolgáltatást Microsoft Defender XDR, a táblát használó lekérdezések nem fognak működni, és nem adnak vissza eredményt. A Defender for Identity Defender XDR való üzembe helyezésével kapcsolatos további információkért olvassa el a Támogatott szolgáltatások üzembe helyezése című cikket.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp
*
|
datetime |
A sor adatbázisba való írásának dátuma és időpontja. Ez akkor használatos, ha minden identitáshoz több sor tartozik, például amikor változás észlelhető, vagy ha az utolsó adatbázissor hozzáadása óta eltelt 24 óra. |
ReportId
*
|
string |
Az esemény egyedi azonosítója |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
AccountUpn |
string |
A fiók egyszerű felhasználóneve (UPN) |
OnPremSid |
string |
A fiók helyszíni biztonsági azonosítója (SID) |
AccountDisplayName |
string |
A címjegyzékben megjelenített fiókfelhasználó neve. Általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja. |
AccountName |
string |
A fiók felhasználóneve |
AccountDomain
*
|
string |
A fiók tartománya |
CriticalityLevel |
int |
A fiók kritikussági pontszáma |
Type
*
|
string |
Identitás típusa; lehetséges értékek: Felhasználó, ServiceAccount |
DistinguishedName
*
|
sztring | A felhasználó megkülönböztető neve |
CloudSid |
string |
A fiók felhőbeli biztonsági azonosítója |
GivenName |
string |
A fiókfelhasználó utóneve vagy utóneve |
Surname |
string |
A fiókfelhasználó vezetékneve, családi neve vagy vezetékneve |
Department |
string |
Annak a részlegnek a neve, amelyhez a fiókfelhasználó tartozik |
JobTitle |
string |
A fiókfelhasználó beosztása |
EmailAddress |
string |
A fiók SMTP-címe |
SipProxyAddress |
string |
A fiók voice over IP (VOIP) munkamenet-kezdeményezési protokolljának (SIP) címe |
Address |
string |
A fiókfelhasználó címe |
City |
string |
Város, ahol a fiókfelhasználó található |
Country |
string |
A fiók felhasználójának országa/régiója |
IsAccountEnabled |
boolean |
Azt jelzi, hogy a fiók engedélyezve van-e vagy sem |
Manager
*
|
string |
A fiókfelhasználó listavezetője |
Phone
*
|
string |
A fiókfelhasználó felsorolt telefonszáma |
CreatedDateTime
*
|
datetime |
A fiókfelhasználó létrehozásának dátuma és időpontja |
ChangeSource
*
|
string |
Azonosítja, hogy melyik identitásszolgáltató vagy folyamat váltotta ki az új sor hozzáadását. Az érték például System-UserPersistence egy automatizált folyamat által hozzáadott sorokhoz lesz felhasználva. |
BlastRadius |
string |
Számítás a felhasználó szervezeti fában elfoglalt helye és a felhasználó Microsoft Entra szerepkörei és engedélyei alapján; lehetséges értékek: Alacsony, Közepes, Magas |
CompanyName |
string |
Annak a vállalatnak a neve, amelynek a felhasználója dolgozik |
DeletedDateTime |
datetime |
A felhasználói fiók törlésének dátuma és időpontja |
EmployeeId |
string |
A szervezet által a felhasználóhoz rendelt alkalmazott azonosítója |
OtherMailAddresses |
dynamic |
A felhasználói fiók további e-mail-címei |
RiskLevel |
string |
Microsoft Entra ID felhasználói fiók kockázati szintje; lehetséges értékek: Alacsony, Közepes, Magas |
RiskLevelDetails |
string |
A Microsoft Entra ID kockázati szinttel kapcsolatos részletek |
State |
string |
A bejelentkezés helyszínének állapota, ha elérhető |
Tags
*
|
dynamic |
A Fiókfelhasználóhoz a Defender for Identity által hozzárendelt címkék |
AssignedRoles
*
|
dynamic |
A csak Microsoft Entra identitások esetében a fiókfelhasználóhoz rendelt szerepkörök |
PrivilegedEntraPimRoles (Előzetes verzió) ** |
dynamic |
Pillanatkép a fiók kiemelt szerepkör-hozzárendelési ütemezéséről és jogosultsági ütemezéséről a Microsoft Entra Privileged Identity Management által karbantartott módon (az aktivált hozzárendelések kivételével) |
TenantId |
string |
A szervezet Microsoft Entra ID példányát jelképező egyedi azonosító |
SourceSystem
*
|
string |
A rekord forrásrendszere |
OnPremObjectId |
string |
A felhasználó Active Directory-objektumazonosítója |
TenantMembershipType |
string |
Felhasználó típusa a Microsoft Entra ID; lehetséges értékek: Vendég, Tag |
RiskStatus |
string |
A felhasználó kockázatának állapota; lehetséges értékek: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
A felhasználói fiók biztonsági attribútumai az Active Directory-tartományban |
IdentityEnvironment |
string |
Környezet, ahol az identitást használják; lehetséges értékek: CloudOnly, Hibrid, Helyszíni |
SourceProviders |
dynamic |
Az identitáshoz tartozó fiókok forrásszolgáltatói; lehetséges értékek: ActiveDirectory, EntraID, Okta |
GroupMembership |
dynamic |
Microsoft Entra ID csoportok, ahol a felhasználói fiók tag |
* Csak Microsoft Defender for Identity, Microsoft Defender for Cloud Apps vagy Végponthoz készült Microsoft Defender P2 licenccel rendelkező bérlők számára érhető el.
** Csak Microsoft Defender for Identity bérlők számára érhető el.
UEBA-specifikus oszlopok
Ha a Microsoft Defender portált használja, de még nem előkészített egy Microsoft Sentinel-munkaterületet, amelyen az UEBA szolgáltatás be van kapcsolva, az alábbi oszlopok nem érhetők el a IdentityInfo táblázatban:
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesRiskLevelRiskLevelDetailsStateTags
Az UEBA-val kapcsolatos további információkért lásd: Advanced threat detection with User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel. Az UEBA különböző adatforrásairól további információt Microsoft Sentinel UEBA-referencia című témakörben talál.
Kapcsolódó cikkek
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.