高度なハンティング スキーマのIdentityInfo テーブルには、Microsoft Entra IDなど、さまざまなサービスから取得されたユーザー アカウントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
このテーブルの名前は AccountInfo から変更されました。 名前の変更中に、ポータルに保存されたすべてのクエリが自動的に更新されます。 他の場所に保存したクエリを確認します。
Microsoft Sentinelでは、Log Analytics でこのテーブルの少し拡張されたバージョンを使用します。 詳細については、「UEBA リファレンスのMicrosoft Sentinel |IdentityInfo テーブル
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
次のスキーマは、Microsoft Sentinelのログ分析と高度なハンティングの同様のテーブルMicrosoft Defender XDR効率化する統合IdentityInfo スキーマです。 列の完全なセットは、Microsoft Sentinelオンボードされ、User and Entity Behavior Analytics (UEBA) サービスをオンにした Defender ポータル ユーザーが使用できます。
UEBA サービスが有効になっているMicrosoft Sentinel ワークスペースをオンボードしていない Defender ポータル ユーザーは、UEBA 固有の列を表示できません。 UEBA 固有の列を読み取る。
この高度なハンティング テーブルは、Microsoft Defender for IdentityまたはMicrosoft SentinelおよびMicrosoft Entra IDからのレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRで Defender for Identity を展開する方法の詳細については、「サポートされているサービスをデプロイする」を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp
*
|
datetime |
行がデータベースに書き込まれた日時。 これは、変更が検出されたときや、最後のデータベース行が追加されてから 24 時間が経過した場合など、ID ごとに複数の行がある場合に使用されます。 |
ReportId
*
|
string |
イベントの一意識別子 |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
OnPremSid |
string |
アカウントのオンプレミスセキュリティ識別子 (SID) |
AccountDisplayName |
string |
アドレス帳に表示されるアカウント ユーザーの名前。 通常、特定の名前または名、中間の頭文字、姓または姓の組み合わせ。 |
AccountName |
string |
アカウントのユーザー名 |
AccountDomain
*
|
string |
アカウントのドメイン |
CriticalityLevel |
int |
アカウントの重要度スコア |
Type
*
|
string |
ID の種類。指定できる値: User, ServiceAccount |
DistinguishedName
*
|
string | ユーザーの 識別名 |
CloudSid |
string |
アカウントのクラウド セキュリティ識別子 |
GivenName |
string |
アカウント ユーザーの名前または名を指定します |
Surname |
string |
アカウント ユーザーの姓、姓、または姓 |
Department |
string |
アカウント ユーザーが属している部署の名前 |
JobTitle |
string |
アカウント ユーザーの役職 |
EmailAddress |
string |
アカウントの SMTP アドレス |
SipProxyAddress |
string |
アカウントの音声オーバー IP (VOIP) セッション開始プロトコル (SIP) アドレス |
Address |
string |
アカウント ユーザーのアドレス |
City |
string |
アカウント ユーザーが配置されている市区町村 |
Country |
string |
アカウント ユーザーが配置されている国/地域 |
IsAccountEnabled |
boolean |
アカウントが有効かどうかを示します |
Manager
*
|
string |
アカウント ユーザーの一覧に表示されるマネージャー |
Phone
*
|
string |
アカウント ユーザーの一覧に表示されている電話番号 |
CreatedDateTime
*
|
datetime |
アカウント ユーザーが作成された日時 |
ChangeSource
*
|
string |
新しい行の追加をトリガーした ID プロバイダーまたはプロセスを識別します。 たとえば、 System-UserPersistence 値は、自動化されたプロセスによって追加されたすべての行に使用されます。 |
BlastRadius |
string |
組織ツリー内のユーザーの位置とユーザーのMicrosoft Entraロールとアクセス許可に基づく計算。使用可能な値: 低、中、高 |
CompanyName |
string |
ユーザーが働いている会社の名前 |
DeletedDateTime |
datetime |
ユーザー アカウントが削除された日時 |
EmployeeId |
string |
organizationによってユーザーに割り当てられた従業員識別子 |
OtherMailAddresses |
dynamic |
ユーザー アカウントの追加の電子メール アドレス |
RiskLevel |
string |
ユーザー アカウントのリスク レベルをMicrosoft Entra IDします。使用可能な値: 低、中、高 |
RiskLevelDetails |
string |
Microsoft Entra IDリスク レベルに関する詳細 |
State |
string |
サインインが発生した状態 (使用可能な場合) |
Tags
*
|
dynamic |
Defender for Identity によってアカウント ユーザーに割り当てられたタグ |
AssignedRoles
*
|
dynamic |
Microsoft Entra専用の ID の場合、アカウント ユーザーに割り当てられたロール |
PrivilegedEntraPimRoles (プレビュー) ** |
dynamic |
Microsoft Entra Privileged Identity Managementによって管理されるアカウントの特権ロールの割り当てスケジュールと適格性スケジュールのスナップショット (アクティブ化された割り当てを除く) |
TenantId |
string |
organizationの Microsoft Entra ID インスタンスを表す一意識別子 |
SourceSystem
*
|
string |
レコードのソース システム |
OnPremObjectId |
string |
ユーザーの Active Directory オブジェクト ID |
TenantMembershipType |
string |
Microsoft Entra IDのユーザーの種類。使用可能な値: ゲスト、メンバー |
RiskStatus |
string |
ユーザーのリスクの状態。可能な値: None、ConfirmedSafe、Remediated、Dismissed、AtRisk、ConfirmedCompromised、UnknownFutureValue |
UserAccountControl |
string |
Active Directory ドメイン内のユーザー アカウントのセキュリティ属性 |
IdentityEnvironment |
string |
ID が使用される環境。使用可能な値: CloudOnly、Hybrid、オンプレミス |
SourceProviders |
dynamic |
ID のアカウントのソース プロバイダー。指定できる値: ActiveDirectory、EntraID、Okta |
GroupMembership |
dynamic |
ユーザー アカウントがメンバーであるグループをMicrosoft Entra IDする |
* Microsoft Defender for Identity、Microsoft Defender for Cloud Apps、または Microsoft Defender for Endpoint P2 ライセンスを持つテナントでのみ使用できます。
** Microsoft Defender for Identityを持つテナントでのみ使用できます。
UEBA 固有の列
Microsoft Defender ポータルを使用していても、UEBA サービスが有効になっているMicrosoft Sentinel ワークスペースをオンボードしていない場合、次の列はIdentityInfo テーブルでは使用できません。
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesRiskLevelRiskLevelDetailsStateTags
UEBA の詳細については、Microsoft Sentinelの「ユーザーとエンティティの動作分析 (UEBA) による高度な脅威検出」を参照してください。 UEBA のさまざまなデータ ソースの詳細については、UEBA リファレンスMicrosoft Sentinel参照してください。
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。