Freigeben über


IdentityInfo

Die IdentityInfo Tabelle im Schema der erweiterten Suche enthält Informationen zu Benutzerkonten, die von verschiedenen Diensten abgerufen wurden, einschließlich Microsoft Entra ID. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Diese Tabelle wurde von AccountInfoumbenannt. Während der Umbenennung werden alle im Portal gespeicherten Abfragen automatisch aktualisiert. Überprüfen Sie Abfragen, die Sie an anderer Stelle gespeichert haben.

Microsoft Sentinel verwendet eine leicht erweiterte Version dieser Tabelle in Log Analytics. Weitere Informationen finden Sie unter Microsoft Sentinel UEBA-Referenz | IdentityInfo-Tabelle

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Das folgende Schema ist das einheitliche IdentityInfo Schema, das eine ähnliche Tabelle in Microsoft Sentinel Log Analytics und in Microsoft Defender XDR erweiterten Hunting optimiert. Der vollständige Spaltensatz steht benutzern im Defender-Portal zur Verfügung, die Microsoft Sentinel integriert und den UEBA-Dienst (User and Entity Behavior Analytics) aktiviert haben.

Benutzer im Defender-Portal, die kein Onboarding für einen Microsoft Sentinel Arbeitsbereich mit aktiviertem UEBA-Dienst vorgenommen haben, können UEBA-spezifische Spalten nicht anzeigen. Lesen sie UEBA-spezifische Spalten.

Diese Tabelle für die erweiterte Suche wird mit Datensätzen aus Microsoft Defender for Identity oder Microsoft Sentinel und Microsoft Entra ID aufgefüllt. Wenn Ihr organization den Dienst nicht in Microsoft Defender XDR bereitgestellt hat, funktionieren Abfragen, die die Tabelle verwenden, nicht oder geben keine Ergebnisse zurück. Weitere Informationen zum Bereitstellen von Defender for Identity in Defender XDR finden Sie unter Bereitstellen unterstützter Dienste.

Spaltenname Datentyp Beschreibung
Timestamp * datetime Das Datum und die Uhrzeit, zu dem die Zeile in die Datenbank geschrieben wurde.

Dies wird verwendet, wenn für jede Identität mehrere Zeilen vorhanden sind, z. B. wenn eine Änderung erkannt wird, oder wenn seit dem Hinzufügen der letzten Datenbankzeile 24 Stunden vergangen sind.
ReportId * string Eindeutiger Bezeichner für das Ereignis
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
OnPremSid string Lokale Sicherheits-ID (SID) des Kontos
AccountDisplayName string Der Name des Kontobenutzers, der im Adressbuch angezeigt wird. In der Regel eine Kombination aus einem vornamen oder einem Vornamen, einem zweiten Vornamen und einem Nachnamen oder Nachnamen.
AccountName string Benutzername des Kontos
AccountDomain * string Domäne des Kontos
CriticalityLevel int Die Kritikalitätsbewertung des Kontos
Type * string Art der Identität; Mögliche Werte: User, ServiceAccount
DistinguishedName * string Der Distinguished Name des Benutzers
CloudSid string Cloudsicherheits-ID des Kontos
GivenName string Angegebener Name oder Vorname des Kontobenutzers
Surname string Nachname, Nachname oder Nachname des Kontobenutzers
Department string Name der Abteilung, zu der der Kontobenutzer gehört
JobTitle string Position des Kontobenutzers
EmailAddress string SMTP-Adresse des Kontos
SipProxyAddress string SIP-Adresse (Voice over IP)-Sitzungsinitiierungsprotokoll (VoIP) des Kontos
Address string Adresse des Kontobenutzers
City string Ort, in dem sich der Kontobenutzer befindet
Country string Land/Region, in dem sich der Kontobenutzer befindet
IsAccountEnabled boolean Gibt an, ob das Konto aktiviert ist oder nicht.
Manager * string Der aufgeführte Manager des Kontobenutzers
Phone * string Die aufgeführte Telefonnummer des Kontobenutzers
CreatedDateTime * datetime Datum und Uhrzeit der Erstellung des Kontobenutzers
ChangeSource * string Gibt an, welcher Identitätsanbieter oder Prozess das Hinzufügen der neuen Zeile ausgelöst hat. Der Wert wird beispielsweise für alle Zeilen verwendet, die System-UserPersistence von einem automatisierten Prozess hinzugefügt werden.
BlastRadius string Eine Berechnung, die auf der Position des Benutzers in der Organisationsstruktur und der Microsoft Entra Rollen und Berechtigungen des Benutzers basiert; mögliche Werte: Niedrig, Mittel, Hoch
CompanyName string Name des Unternehmens, für das der Benutzer arbeitet
DeletedDateTime datetime Datum und Uhrzeit des Löschens des Benutzerkontos
EmployeeId string Mitarbeiter-ID, die dem Benutzer vom organization zugewiesen wird
OtherMailAddresses dynamic Zusätzliche E-Mail-Adressen des Benutzerkontos
RiskLevel string Microsoft Entra ID Risikostufe des Benutzerkontos; mögliche Werte: Niedrig, Mittel, Hoch
RiskLevelDetails string Details zur Microsoft Entra ID Risikostufe
State string Status, in dem die Anmeldung erfolgt ist, falls verfügbar
Tags * dynamic Tags, die dem Kontobenutzer von Defender for Identity zugewiesen wurden
AssignedRoles * dynamic Für Identitäten aus nur Microsoft Entra die Rollen, die dem Kontobenutzer zugewiesen sind
PrivilegedEntraPimRoles (Vorschau) ** dynamic Eine Momentaufnahme von Zeitplänen für privilegierte Rollenzuweisungen und Berechtigungszeitpläne für das Konto, die von Microsoft Entra Privileged Identity Management verwaltet werden (ohne aktivierte Zuweisungen)
TenantId string Eindeutiger Bezeichner, der die instance der Microsoft Entra ID Ihrer organization darstellt
SourceSystem * string Das Quellsystem für den Datensatz
OnPremObjectId string Active Directory-Objekt-ID des Benutzers
TenantMembershipType string Benutzertyp in Microsoft Entra ID; mögliche Werte: Gast, Mitglied
RiskStatus string Status des Risikos des Benutzers; mögliche Werte: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue
UserAccountControl string Sicherheitsattribute des Benutzerkontos in der Active Directory-Domäne
IdentityEnvironment string Umgebung, in der die Identität verwendet wird; mögliche Werte: CloudOnly, Hybrid, Lokal
SourceProviders dynamic Quellanbieter der Konten für die Identität; mögliche Werte: ActiveDirectory, EntraID, Okta
GroupMembership dynamic Microsoft Entra ID Gruppen, bei denen das Benutzerkonto Mitglied ist

* Nur für Mandanten mit Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- oder Microsoft Defender for Endpoint P2-Lizenzierung verfügbar.
** Nur für Mandanten mit Microsoft Defender for Identity verfügbar.

UEBA-spezifische Spalten

Wenn Sie das Microsoft Defender-Portal verwenden, aber noch kein Microsoft Sentinel Arbeitsbereich mit aktiviertem UEBA-Dienst integriert haben, sind die folgenden Spalten in Ihrer IdentityInfo Tabelle nicht verfügbar:

  • BlastRadius
  • CompanyName
  • DeletedDateTime
  • EmployeeId
  • OtherMailAddresses
  • RiskLevel
  • RiskLevelDetails
  • State
  • Tags

Weitere Informationen zu UEBA finden Sie unter Erweiterte Bedrohungserkennung mit Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel. Weitere Informationen zu den verschiedenen Datenquellen in UEBA finden Sie Microsoft Sentinel UEBA-Referenz.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.