Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die IdentityInfo
Tabelle im Schema der erweiterten Suche enthält Informationen zu Benutzerkonten, die von verschiedenen Diensten abgerufen wurden, einschließlich Microsoft Entra ID. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Diese Tabelle wurde von AccountInfo
umbenannt. Während der Umbenennung werden alle im Portal gespeicherten Abfragen automatisch aktualisiert. Überprüfen Sie Abfragen, die Sie an anderer Stelle gespeichert haben.
Microsoft Sentinel verwendet eine leicht erweiterte Version dieser Tabelle in Log Analytics. Weitere Informationen finden Sie unter Microsoft Sentinel UEBA-Referenz | IdentityInfo-Tabelle
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
Das folgende Schema ist das einheitliche IdentityInfo
Schema, das eine ähnliche Tabelle in Microsoft Sentinel Log Analytics und in Microsoft Defender XDR erweiterten Hunting optimiert. Der vollständige Spaltensatz steht benutzern im Defender-Portal zur Verfügung, die Microsoft Sentinel integriert und den UEBA-Dienst (User and Entity Behavior Analytics) aktiviert haben.
Benutzer im Defender-Portal, die kein Onboarding für einen Microsoft Sentinel Arbeitsbereich mit aktiviertem UEBA-Dienst vorgenommen haben, können UEBA-spezifische Spalten nicht anzeigen. Lesen sie UEBA-spezifische Spalten.
Diese Tabelle für die erweiterte Suche wird mit Datensätzen aus Microsoft Defender for Identity oder Microsoft Sentinel und Microsoft Entra ID aufgefüllt. Wenn Ihr organization den Dienst nicht in Microsoft Defender XDR bereitgestellt hat, funktionieren Abfragen, die die Tabelle verwenden, nicht oder geben keine Ergebnisse zurück. Weitere Informationen zum Bereitstellen von Defender for Identity in Defender XDR finden Sie unter Bereitstellen unterstützter Dienste.
Spaltenname | Datentyp | Beschreibung |
---|---|---|
Timestamp
*
|
datetime |
Das Datum und die Uhrzeit, zu dem die Zeile in die Datenbank geschrieben wurde. Dies wird verwendet, wenn für jede Identität mehrere Zeilen vorhanden sind, z. B. wenn eine Änderung erkannt wird, oder wenn seit dem Hinzufügen der letzten Datenbankzeile 24 Stunden vergangen sind. |
ReportId
*
|
string |
Eindeutiger Bezeichner für das Ereignis |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos |
OnPremSid |
string |
Lokale Sicherheits-ID (SID) des Kontos |
AccountDisplayName |
string |
Der Name des Kontobenutzers, der im Adressbuch angezeigt wird. In der Regel eine Kombination aus einem vornamen oder einem Vornamen, einem zweiten Vornamen und einem Nachnamen oder Nachnamen. |
AccountName |
string |
Benutzername des Kontos |
AccountDomain
*
|
string |
Domäne des Kontos |
CriticalityLevel |
int |
Die Kritikalitätsbewertung des Kontos |
Type
*
|
string |
Art der Identität; Mögliche Werte: User, ServiceAccount |
DistinguishedName
*
|
string | Der Distinguished Name des Benutzers |
CloudSid |
string |
Cloudsicherheits-ID des Kontos |
GivenName |
string |
Angegebener Name oder Vorname des Kontobenutzers |
Surname |
string |
Nachname, Nachname oder Nachname des Kontobenutzers |
Department |
string |
Name der Abteilung, zu der der Kontobenutzer gehört |
JobTitle |
string |
Position des Kontobenutzers |
EmailAddress |
string |
SMTP-Adresse des Kontos |
SipProxyAddress |
string |
SIP-Adresse (Voice over IP)-Sitzungsinitiierungsprotokoll (VoIP) des Kontos |
Address |
string |
Adresse des Kontobenutzers |
City |
string |
Ort, in dem sich der Kontobenutzer befindet |
Country |
string |
Land/Region, in dem sich der Kontobenutzer befindet |
IsAccountEnabled |
boolean |
Gibt an, ob das Konto aktiviert ist oder nicht. |
Manager
*
|
string |
Der aufgeführte Manager des Kontobenutzers |
Phone
*
|
string |
Die aufgeführte Telefonnummer des Kontobenutzers |
CreatedDateTime
*
|
datetime |
Datum und Uhrzeit der Erstellung des Kontobenutzers |
ChangeSource
*
|
string |
Gibt an, welcher Identitätsanbieter oder Prozess das Hinzufügen der neuen Zeile ausgelöst hat. Der Wert wird beispielsweise für alle Zeilen verwendet, die System-UserPersistence von einem automatisierten Prozess hinzugefügt werden. |
BlastRadius |
string |
Eine Berechnung, die auf der Position des Benutzers in der Organisationsstruktur und der Microsoft Entra Rollen und Berechtigungen des Benutzers basiert; mögliche Werte: Niedrig, Mittel, Hoch |
CompanyName |
string |
Name des Unternehmens, für das der Benutzer arbeitet |
DeletedDateTime |
datetime |
Datum und Uhrzeit des Löschens des Benutzerkontos |
EmployeeId |
string |
Mitarbeiter-ID, die dem Benutzer vom organization zugewiesen wird |
OtherMailAddresses |
dynamic |
Zusätzliche E-Mail-Adressen des Benutzerkontos |
RiskLevel |
string |
Microsoft Entra ID Risikostufe des Benutzerkontos; mögliche Werte: Niedrig, Mittel, Hoch |
RiskLevelDetails |
string |
Details zur Microsoft Entra ID Risikostufe |
State |
string |
Status, in dem die Anmeldung erfolgt ist, falls verfügbar |
Tags
*
|
dynamic |
Tags, die dem Kontobenutzer von Defender for Identity zugewiesen wurden |
AssignedRoles
*
|
dynamic |
Für Identitäten aus nur Microsoft Entra die Rollen, die dem Kontobenutzer zugewiesen sind |
PrivilegedEntraPimRoles (Vorschau) ** |
dynamic |
Eine Momentaufnahme von Zeitplänen für privilegierte Rollenzuweisungen und Berechtigungszeitpläne für das Konto, die von Microsoft Entra Privileged Identity Management verwaltet werden (ohne aktivierte Zuweisungen) |
TenantId |
string |
Eindeutiger Bezeichner, der die instance der Microsoft Entra ID Ihrer organization darstellt |
SourceSystem
*
|
string |
Das Quellsystem für den Datensatz |
OnPremObjectId |
string |
Active Directory-Objekt-ID des Benutzers |
TenantMembershipType |
string |
Benutzertyp in Microsoft Entra ID; mögliche Werte: Gast, Mitglied |
RiskStatus |
string |
Status des Risikos des Benutzers; mögliche Werte: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
Sicherheitsattribute des Benutzerkontos in der Active Directory-Domäne |
IdentityEnvironment |
string |
Umgebung, in der die Identität verwendet wird; mögliche Werte: CloudOnly, Hybrid, Lokal |
SourceProviders |
dynamic |
Quellanbieter der Konten für die Identität; mögliche Werte: ActiveDirectory, EntraID, Okta |
GroupMembership |
dynamic |
Microsoft Entra ID Gruppen, bei denen das Benutzerkonto Mitglied ist |
* Nur für Mandanten mit Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- oder Microsoft Defender for Endpoint P2-Lizenzierung verfügbar.
** Nur für Mandanten mit Microsoft Defender for Identity verfügbar.
UEBA-spezifische Spalten
Wenn Sie das Microsoft Defender-Portal verwenden, aber noch kein Microsoft Sentinel Arbeitsbereich mit aktiviertem UEBA-Dienst integriert haben, sind die folgenden Spalten in Ihrer IdentityInfo
Tabelle nicht verfügbar:
BlastRadius
CompanyName
DeletedDateTime
EmployeeId
OtherMailAddresses
RiskLevel
RiskLevelDetails
State
Tags
Weitere Informationen zu UEBA finden Sie unter Erweiterte Bedrohungserkennung mit Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel. Weitere Informationen zu den verschiedenen Datenquellen in UEBA finden Sie Microsoft Sentinel UEBA-Referenz.
Verwandte Artikel
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.