Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица IdentityInfo в схеме расширенной охоты содержит сведения об учетных записях пользователей, полученных из различных служб, включая Microsoft Entra ID. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Эта таблица была переименована из AccountInfo. Во время переименования все запросы, сохраненные на портале, обновляются автоматически. Проверьте запросы, сохраненные в другом месте.
Microsoft Sentinel использует немного расширенную версию этой таблицы в Log Analytics. Дополнительные сведения см. в справочнике по UEBA Microsoft Sentinel | Таблица IdentityInfo
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Следующая схема является единой IdentityInfo схемой, которая упрощает аналогичную таблицу в Microsoft Sentinel log analytics и в Microsoft Defender XDR расширенной охоты. Полный набор столбцов доступен для пользователей портала Defender, которые подключены Microsoft Sentinel и включили службу аналитики поведения пользователей и сущностей (UEBA).
Пользователи портала Defender, не подключенные к рабочей области Microsoft Sentinel с включенной службой UEBA, не могут просматривать столбцы, относящиеся к UEBA. Чтение столбцов, относящихся к UEBA.
Эта расширенная таблица охоты заполняется записями из Microsoft Defender для удостоверений или Microsoft Sentinel и Microsoft Entra ID. Если ваша организация не развернула службу в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании Defender для удостоверений в Defender XDR см. в статье Развертывание поддерживаемых служб.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp
*
|
datetime |
Дата и время записи строки в базу данных. Используется при наличии нескольких строк для каждого удостоверения, например при обнаружении изменения или если прошло 24 часа с момента добавления последней строки базы данных. |
ReportId
*
|
string |
Уникальный идентификатор события |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
OnPremSid |
string |
Локальный идентификатор безопасности (SID) учетной записи |
AccountDisplayName |
string |
Имя пользователя учетной записи, отображаемое в адресной книге. Как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии. |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain
*
|
string |
Домен учетной записи |
CriticalityLevel |
int |
Оценка важности учетной записи |
Type
*
|
string |
Тип удостоверения; возможные значения: User, ServiceAccount |
DistinguishedName
*
|
string | Различающееся имя пользователя |
CloudSid |
string |
Идентификатор облачной безопасности учетной записи |
GivenName |
string |
Имя или имя пользователя учетной записи |
Surname |
string |
Фамилия, фамилия или фамилия пользователя учетной записи |
Department |
string |
Название отдела, к которому принадлежит пользователь учетной записи |
JobTitle |
string |
Должность пользователя учетной записи |
EmailAddress |
string |
SMTP-адрес учетной записи |
SipProxyAddress |
string |
SIP-адрес учетной записи для протокола sip-сеанса голосовой связи по IP-адресу |
Address |
string |
Адрес пользователя учетной записи |
City |
string |
Город, в котором находится пользователь учетной записи |
Country |
string |
Страна или регион, в которых находится пользователь учетной записи |
IsAccountEnabled |
boolean |
Указывает, включена ли учетная запись. |
Manager
*
|
string |
Указанный менеджер пользователя учетной записи |
Phone
*
|
string |
Указанный номер телефона пользователя учетной записи |
CreatedDateTime
*
|
datetime |
Дата и время создания пользователя учетной записи |
ChangeSource
*
|
string |
Определяет, какой поставщик удостоверений или процесс активировал добавление новой строки. Например, значение используется для любых строк, System-UserPersistence добавленных автоматическим процессом. |
BlastRadius |
string |
Вычисление на основе позиции пользователя в дереве организации и Microsoft Entra ролей и разрешений пользователя; возможные значения: Низкий, Средний, Высокий |
CompanyName |
string |
Название компании, в которой работает пользователь |
DeletedDateTime |
datetime |
Дата и время удаления учетной записи пользователя |
EmployeeId |
string |
Идентификатор сотрудника, назначенный пользователю организацией |
OtherMailAddresses |
dynamic |
Дополнительные адреса электронной почты учетной записи пользователя |
RiskLevel |
string |
Microsoft Entra ID уровень риска учетной записи пользователя; возможные значения: Низкий, Средний, Высокий |
RiskLevelDetails |
string |
Сведения об уровне риска Microsoft Entra ID |
State |
string |
Состояние, в котором выполнен вход (если доступно) |
Tags
*
|
dynamic |
Теги, назначенные пользователю учетной записи Defender для удостоверений |
AssignedRoles
*
|
dynamic |
Для удостоверений, доступных только для Microsoft Entra, роли, назначенные пользователю учетной записи |
PrivilegedEntraPimRoles (предварительная версия) ** |
dynamic |
Snapshot расписаний назначения привилегированных ролей и расписаний для учетной записи, поддерживаемых Microsoft Entra управление привилегированными пользователями (за исключением активированных назначений). |
TenantId |
string |
Уникальный идентификатор, представляющий экземпляр Microsoft Entra ID вашей организации |
SourceSystem
*
|
string |
Исходная система для записи |
OnPremObjectId |
string |
Идентификатор объекта Active Directory пользователя |
TenantMembershipType |
string |
Тип пользователя в Microsoft Entra ID; возможные значения: Guest, Member |
RiskStatus |
string |
Состояние риска пользователя; возможные значения: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
Атрибуты безопасности учетной записи пользователя в домене Active Directory |
IdentityEnvironment |
string |
Среда, в которой используется удостоверение; возможные значения: CloudOnly, Гибридная среда, Локальная среда |
SourceProviders |
dynamic |
Поставщики источников учетных записей для удостоверения; возможные значения: ActiveDirectory, EntraID, Okta |
GroupMembership |
dynamic |
Microsoft Entra ID группы, участником которых является учетная запись пользователя |
* Доступно только для клиентов с лицензированием Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps или Microsoft Defender для конечной точки P2.
** Доступно только для клиентов с Microsoft Defender для удостоверений.
Столбцы, относящиеся к UEBA
Если вы используете портал Microsoft Defender, но не включили рабочую область Microsoft Sentinel с включенной службой UEBA, в таблице недоступны IdentityInfo следующие столбцы:
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesRiskLevelRiskLevelDetailsStateTags
Дополнительные сведения о UEBA см. в статье Расширенное обнаружение угроз с помощью аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel. Дополнительные сведения о различных источниках данных в UEBA см. в Microsoft Sentinel справочнике по UEBA.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.