고급 헌팅 스키마의 테이블에는 IdentityInfo Microsoft Entra ID 비롯한 다양한 서비스에서 가져온 사용자 계정에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
이 테이블의 이름이 에서 바뀌었습니다 AccountInfo. 이름 바꾸기 중에 포털에 저장된 모든 쿼리가 자동으로 업데이트됩니다. 다른 곳에 저장한 쿼리를 확인합니다.
Microsoft Sentinel Log Analytics에서 이 테이블의 약간 확장된 버전을 사용합니다. 자세한 내용은 Microsoft Sentinel UEBA 참조 | IdentityInfo 테이블
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
다음 스키마는 Microsoft Sentinel 로그 분석 및 Microsoft Defender XDR 고급 헌팅에서 유사한 테이블을 간소화하는 통합 IdentityInfo 스키마입니다. 전체 열 집합은 Microsoft Sentinel 등록하고 UEBA(사용자 및 엔터티 동작 분석) 서비스를 설정한 Defender 포털 사용자가 사용할 수 있습니다.
UEBA 서비스가 켜져 있는 Microsoft Sentinel 작업 영역을 온보딩하지 않은 Defender 포털 사용자는 UEBA 관련 열을 볼 수 없습니다. UEBA 관련 열을 읽습니다.
이 고급 헌팅 테이블은 Microsoft Defender for Identity 또는 Microsoft Sentinel 레코드로 채워지고 Microsoft Entra ID. organization Microsoft Defender XDR 서비스를 배포하지 않은 경우 테이블을 사용하는 쿼리가 작동하지 않거나 결과를 반환하지 않습니다. Defender XDR Defender for Identity를 배포하는 방법에 대한 자세한 내용은 지원되는 서비스 배포를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp
*
|
datetime |
줄이 데이터베이스에 기록된 날짜 및 시간입니다. 이는 변경 내용이 검색된 경우 또는 마지막 데이터베이스 줄이 추가된 후 24시간이 경과한 경우와 같이 각 ID에 대해 여러 줄이 있는 경우에 사용됩니다. |
ReportId
*
|
string |
이벤트에 대한 고유 식별자 |
AccountObjectId |
string |
Microsoft Entra ID 계정의 고유 식별자 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
OnPremSid |
string |
계정의 온-프레미스 SID(보안 식별자) |
AccountDisplayName |
string |
주소록에 표시되는 계정 사용자의 이름입니다. 일반적으로 지정된 이름 또는 이름, 중간 이니셜 및 성 또는 성의 조합입니다. |
AccountName |
string |
계정의 사용자 이름 |
AccountDomain
*
|
string |
계정의 도메인 |
CriticalityLevel |
int |
계정의 중요도 점수 |
Type
*
|
string |
ID 유형; 가능한 값: User, ServiceAccount |
DistinguishedName
*
|
문자열 | 사용자의 고유 이름 |
CloudSid |
string |
계정의 클라우드 보안 식별자 |
GivenName |
string |
계정 사용자의 이름 또는 이름 지정 |
Surname |
string |
계정 사용자의 성, 가족 이름 또는 성 |
Department |
string |
계정 사용자가 속한 부서의 이름 |
JobTitle |
string |
계정 사용자의 직호 |
EmailAddress |
string |
계정의 SMTP 주소 |
SipProxyAddress |
string |
계정의 VOIP(Voice over IP) SIP(세션 시작 프로토콜) 주소 |
Address |
string |
계정 사용자의 주소 |
City |
string |
계정 사용자가 있는 도시 |
Country |
string |
계정 사용자가 있는 국가/지역 |
IsAccountEnabled |
boolean |
계정이 사용하도록 설정되어 있는지 여부를 나타냅니다. |
Manager
*
|
string |
계정 사용자의 나열된 관리자 |
Phone
*
|
string |
계정 사용자의 나열된 전화 번호 |
CreatedDateTime
*
|
datetime |
계정 사용자가 만들어진 날짜 및 시간 |
ChangeSource
*
|
string |
새 행의 추가를 트리거한 ID 공급자 또는 프로세스를 식별합니다. 예를 들어 System-UserPersistence 값은 자동화된 프로세스에서 추가된 모든 행에 사용됩니다. |
BlastRadius |
string |
조직 트리에서 사용자의 위치와 사용자의 Microsoft Entra 역할 및 권한에 따라 계산됩니다. 가능한 값: 낮음, 중간, 높음 |
CompanyName |
string |
사용자가 작업하는 회사의 이름 |
DeletedDateTime |
datetime |
사용자 계정이 삭제된 날짜 및 시간 |
EmployeeId |
string |
organization 의해 사용자에게 할당된 직원 식별자 |
OtherMailAddresses |
dynamic |
사용자 계정의 추가 이메일 주소 |
RiskLevel |
string |
사용자 계정의 위험 수준 Microsoft Entra ID. 가능한 값: 낮음, 중간, 높음 |
RiskLevelDetails |
string |
Microsoft Entra ID 위험 수준에 대한 세부 정보 |
State |
string |
로그인이 발생한 상태(사용 가능한 경우) |
Tags
*
|
dynamic |
Defender for Identity에서 계정 사용자에게 할당된 태그 |
AssignedRoles
*
|
dynamic |
Microsoft Entra 전용 ID의 경우 계정 사용자에게 할당된 역할 |
PrivilegedEntraPimRoles (미리 보기) ** |
dynamic |
Microsoft Entra Privileged Identity Management 유지 관리되는 계정에 대한 권한 있는 역할 할당 일정 및 자격 일정의 스냅샷(활성화된 할당 제외) |
TenantId |
string |
organization instance 나타내는 고유 식별자입니다Microsoft Entra ID |
SourceSystem
*
|
string |
레코드의 원본 시스템 |
OnPremObjectId |
string |
사용자의 Active Directory 개체 ID |
TenantMembershipType |
string |
Microsoft Entra ID 사용자 유형, 가능한 값: 게스트, 멤버 |
RiskStatus |
string |
사용자의 위험 상태; 가능한 값: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
Active Directory 도메인에 있는 사용자 계정의 보안 특성 |
IdentityEnvironment |
string |
ID가 사용되는 환경; 가능한 값: CloudOnly, 하이브리드, 온-프레미스 |
SourceProviders |
dynamic |
ID에 대한 계정의 원본 공급자 가능한 값: ActiveDirectory, EntraID, Okta |
GroupMembership |
dynamic |
사용자 계정이 멤버인 Microsoft Entra ID 그룹 |
* Microsoft Defender for Identity, Microsoft Defender for Cloud Apps 또는 엔드포인트용 Microsoft Defender P2 라이선스가 있는 테넌트에서만 사용할 수 있습니다.
** Microsoft Defender for Identity 있는 테넌트에서만 사용할 수 있습니다.
UEBA 관련 열
Microsoft Defender 포털을 사용하지만 UEBA 서비스가 켜져 있는 Microsoft Sentinel 작업 영역을 온보딩하지 않은 경우 테이블에서 다음 열을 사용할 수 IdentityInfo 없습니다.
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesRiskLevelRiskLevelDetailsStateTags
UEBA에 대한 자세한 내용은 Microsoft Sentinel UEBA(사용자 및 엔터티 동작 분석)를 사용하여 고급 위협 탐지를 참조하세요. UEBA의 다양한 데이터 원본에 대한 자세한 내용은 Microsoft Sentinel UEBA 참조를 참조하세요.
관련 문서
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.