Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
IdentityInfo
Gelişmiş tehdit avcılığı şemasındaki tablo, Microsoft Entra ID dahil olmak üzere çeşitli hizmetlerden elde edilen kullanıcı hesapları hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
Bu tablo' dan AccountInfoyeniden adlandırıldı. Yeniden adlandırmalar sırasında portala kaydedilen tüm sorgular otomatik olarak güncelleştirilir. Başka bir yere kaydettiğiniz sorguları denetleyin.
Microsoft Sentinel Log Analytics'te bu tablonun biraz genişletilmiş bir sürümünü kullanır. Daha fazla bilgi için bkz. UEBA başvurusu Microsoft Sentinel.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
Aşağıdaki şema, Microsoft Sentinel günlük analizinde ve Microsoft Defender XDR gelişmiş avcılıkta benzer bir tabloyu kolaylaştıran birleşik IdentityInfo şemadır. Sütun kümesinin tamamı, Microsoft Sentinel ekleyip Kullanıcı ve Varlık Davranış Analizi (UEBA) hizmetini açan Defender portalı kullanıcıları için kullanılabilir.
UEBA hizmetinin açık olduğu bir Microsoft Sentinel çalışma alanını eklemeyen Defender portalı kullanıcıları UEBA'ya özgü sütunları görüntüleyemez. UEBA'ya özgü sütunları okuyun.
Bu gelişmiş tehdit avcılığı tablosu, Kimlik için Microsoft Defender veya Microsoft Sentinel ve Microsoft Entra ID kayıtlarıyla doldurulur. Kuruluşunuz hizmeti Microsoft Defender XDR dağıtmazsa, tabloyu kullanan sorgular çalışmaz veya herhangi bir sonuç döndürmez. Defender XDR'da Kimlik için Defender'ı dağıtma hakkında daha fazla bilgi için desteklenen hizmetleri dağıtma bölümüne bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp
*
|
datetime |
Satırın veritabanına yazıldığı tarih ve saat. Bu, her kimlik için bir değişiklik algılandığında veya son veritabanı satırının eklenmesinden bu yana 24 saat geçmiş olması gibi birden çok satır olduğunda kullanılır. |
ReportId
*
|
string |
Olayın benzersiz tanımlayıcısı |
AccountObjectId |
string |
Microsoft Entra ID'deki hesabın benzersiz tanımlayıcısı |
AccountUpn |
string |
Hesabın kullanıcı asıl adı (UPN) |
OnPremSid |
string |
Hesabın şirket içi güvenlik tanımlayıcısı (SID) |
AccountDisplayName |
string |
Adres defterinde görüntülenen hesap kullanıcısının adı. Genellikle belirli bir adın veya adın, ikinci bir adın ve soyadının veya soyadının birleşimidir. |
AccountName |
string |
Hesabın kullanıcı adı |
AccountDomain
*
|
string |
Hesabın etki alanı |
CriticalityLevel |
int |
Hesabın kritiklik puanı |
Type
*
|
string |
Kimlik türü; olası değerler: User, ServiceAccount |
DistinguishedName
*
|
dize | Kullanıcının ayırt edici adı |
CloudSid |
string |
Hesabın bulut güvenlik tanımlayıcısı |
GivenName |
string |
Hesap kullanıcısının adı veya adı |
Surname |
string |
Hesap kullanıcısının soyadı, aile adı veya soyadı |
Department |
string |
Hesap kullanıcısının ait olduğu bölümün adı |
JobTitle |
string |
Hesap kullanıcısının iş unvanı |
EmailAddress |
string |
Hesabın SMTP adresi |
SipProxyAddress |
string |
Hesabın IP üzerinden ses (VOIP) oturum başlatma protokolü (SIP) adresi |
Address |
string |
Hesap kullanıcısının adresi |
City |
string |
Hesap kullanıcısının bulunduğu şehir |
Country |
string |
Hesap kullanıcısının bulunduğu ülke/bölge |
IsAccountEnabled |
boolean |
Hesabın etkin olup olmadığını gösterir |
Manager
*
|
string |
Hesap kullanıcısının listelenen yöneticisi |
Phone
*
|
string |
Hesap kullanıcısının listelenen telefon numarası |
CreatedDateTime
*
|
datetime |
Hesap kullanıcısının oluşturulduğu tarih ve saat |
ChangeSource
*
|
string |
Yeni satırın eklenmesini tetikleyen kimlik sağlayıcısını veya işlemi tanımlar. Örneğin, System-UserPersistence değer otomatik bir işlem tarafından eklenen tüm satırlar için kullanılır. |
BlastRadius
**
|
string |
Kullanıcının kuruluş ağacındaki konumuna ve kullanıcının Microsoft Entra rollerine ve izinlerine dayalı hesaplama; olası değerler: Düşük, Orta, Yüksek |
CompanyName
**
|
string |
Kullanıcının çalıştığı şirketin adı |
DeletedDateTime
**
|
datetime |
Kullanıcı hesabının silindiği tarih ve saat |
EmployeeId
**
|
string |
Kuruluş tarafından kullanıcıya atanan çalışan tanımlayıcısı |
OtherMailAddresses
**
|
dynamic |
Kullanıcı hesabının ek e-posta adresleri |
RiskLevel |
string |
Kullanıcı hesabının risk düzeyini Microsoft Entra ID; olası değerler: Düşük, Orta, Yüksek |
RiskLevelDetails |
string |
Microsoft Entra ID risk düzeyiyle ilgili ayrıntılar |
State
**
|
string |
Varsa oturum açma işleminin gerçekleştiği durum |
Tags
*
|
dynamic |
Kimlik için Defender tarafından hesap kullanıcısına atanan etiketler |
AssignedRoles
*
|
dynamic |
Yalnızca Microsoft Entra kimlikler için hesap kullanıcısına atanan roller |
PrivilegedEntraPimRoles (Önizleme) *** |
dynamic |
Microsoft Entra Privileged Identity Management tarafından korunduğu şekilde hesap için ayrıcalıklı rol atama zamanlamalarının ve uygunluk zamanlamalarının anlık görüntüsü (etkinleştirilmiş atamalar hariç) |
TenantId |
string |
Kuruluşunuzun Microsoft Entra ID örneğini temsil eden benzersiz tanımlayıcı |
SourceSystem
*
|
string |
Kaydın kaynak sistemi |
OnPremObjectId |
string |
Kullanıcının Active Directory nesne kimliği |
TenantMembershipType |
string |
Microsoft Entra ID kullanıcı türü; olası değerler: Konuk, Üye |
RiskStatus |
string |
Kullanıcının riskinin durumu; olası değerler: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
Active Directory etki alanındaki kullanıcı hesabının güvenlik öznitelikleri |
IdentityEnvironment |
string |
Kimliğin kullanıldığı ortam; olası değerler: CloudOnly, Hibrit, Şirket içi |
SourceProviders |
dynamic |
Kimliğin hesaplarının kaynak sağlayıcıları; olası değerler: ActiveDirectory, EntraID, Okta |
GroupMembership
**
|
dynamic |
Kullanıcı hesabının üye olduğu grupları Microsoft Entra ID |
* Yalnızca Kimlik için Microsoft Defender, Microsoft Defender for Cloud Apps veya Uç Nokta için Microsoft Defender P2 lisansı olan kiracılar için kullanılabilir.
** Yalnızca Microsoft Sentinel sahip kiracılar için kullanılabilir. Bu sütunların yeniliği ve sınırlamaları hakkında daha fazla bilgi için bkz. UEBA başvurusu Microsoft Sentinel
Yalnızca Kimlik için Microsoft Defender sahip kiracılar için kullanılabilir.
UEBA'ya özgü sütunlar
Microsoft Defender portalını kullanıyorsanız ancak UEBA hizmeti açıkken bir Microsoft Sentinel çalışma alanı eklemediyseniz, tablonuzda IdentityInfo aşağıdaki sütunlar kullanılamaz:
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesTagsStateGroupMembership
UEBA hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi (UEBA) ile gelişmiş tehdit algılama. UEBA'daki farklı veri kaynakları hakkında daha fazla bilgi için bkz. UEBA başvurusu Microsoft Sentinel.
İlgili makaleler
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.