Fix/Update Microsoft Sentinel Account Entity Naming to avoid inconsistent account identification in incidents and alerts

Veröffentlicht am

05

.

11

.

2025

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Bis zum 1. Juli 2026 aktualisieren Sie die Microsoft Sentinel-Analyseregeln, Automatisierungen, Arbeitsmappen und Abfragen, um die neue Namenspriorität für Konten zu verwenden: UPN-Präfix → Name → Anzeigename. Ein Nichtaktualisieren kann zu Problemen bei Vorfällen, Warnungen, Dashboards und Playbooks führen, die Kontonamen referenzieren.

Am 19. November 2025 aktualisiert: Wir haben den Zeitpunkt dieser Änderung unten aktualisiert. Vielen Dank für Ihre Geduld.

Ab dem 1. Juli 2026 kann es zu Problemen kommen, wenn Sie Ihre Analytikregeln, Automatisierungsregeln/Playbooks, Arbeitsmappen, Hunting-Abfragen oder benutzerdefinierten Integrationen nicht aktualisiert haben, um eine Prioritätenbewertung bei der Benennung von Kontoentitäten zu berücksichtigen. Wir haben die Logik zur Benennung von Kontoentitäten in Microsoft Sentinel-Vorfällen und -Warnungen standardisiert, wobei die Priorität der Kontoentitätsbenennung lautet: UPN-Präfix → Name → Anzeigename. Bitte aktualisieren Sie Ihre Abfragen und Automatisierungen, um das neue Prioritätsmuster zu verwenden.

Sie erhalten diese Nachricht, weil unsere Berichte darauf hinweisen, dass Ihre Organisation Microsoft Sentinel-Vorfälle, Warnungen (AlertV3) oder damit verbundene Automatisierung verwendet.

[Wann dies geschieht:]

1. Juli 2026 (zuvor 13. Februar 2026)

[Wie sich dies auf Ihre Organisation auswirkt:]

Wenn Sie dieses Problem nicht beheben, können folgende Abfragen, Automatisierungen, Dashboards und Berichte, die sich auf Kontonamen beziehen, betroffen sein:

  • Analytik (KQL), die nach Kontonamen filtern, diese verknüpfen oder normalisieren
  • Automatisierungsregeln & Playbooks (z. B. Logic Apps), die Account.Name zuordnen oder mit anderen Identitätsfeldern vergleichen
  • Arbeitsmappen & Dashboards, die den Kontonamen anzeigen oder nach diesem Wert aggregieren
  • Hunting-Abfragen, die Kontenidentitätsfelder zusammenfassen oder parsen
  • Alle Benutzer oder Systeme, die den Anzeigenamen als Kontoidentifikator verwenden

[Was Sie zur Vorbereitung tun müssen:]

Zur Behebung dieses Problems müssen Sie Ihre KQL-Abfragen und Automatisierungslogik so aktualisieren, dass das neue prioritätenbewusste Muster für die Benennung von Kontoentitäten verwendet wird. Verwenden Sie speziell ein Coalesce-Muster (z. B. coalesce(Name, DisplayName)) an allen Stellen, an denen Sie den Kontonamen referenzieren, und validieren Sie Ihre Arbeitsmappen, Dashboards und Playbooks anhand der neuen Logik. Testen Sie Änderungen vor dem Rollout in einer Nicht-Produktivumgebung.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH