IdentityInfo

• Gjelder for:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tabellen IdentityInfo i skjemaet for avansert jakt inneholder informasjon om brukerkontoer hentet fra ulike tjenester, inkludert Microsoft Entra ID. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Denne tabellen har fått nytt navn fra AccountInfo. Under gi nytt navn oppdateres alle spørringer som er lagret i portalen, automatisk. Kontroller spørringer du har lagret et annet sted.

Microsoft Sentinel bruker en litt utvidet versjon av denne tabellen i Log Analytics. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel UEBA-referanse | IdentityInfo-tabell

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Kolonnenavn	Datatype	Beskrivelse
Timestamp *	datetime	Datoen og klokkeslettet da linjen ble skrevet til databasen. Dette brukes når det finnes flere linjer for hver identitet, for eksempel når en endring oppdages, eller hvis det har gått 24 timer siden den siste databaselinjen ble lagt til.
ReportId *	string	Unik identifikator for hendelsen
AccountObjectId	string	Unik identifikator for kontoen i Microsoft Entra ID
AccountUpn	string	Brukerhovednavn (UPN) for kontoen
OnPremSid	string	Lokal sikkerhetsidentifikator (SID) for kontoen
AccountDisplayName	string	Navnet på kontobrukeren som vises i adresseboken. Vanligvis en kombinasjon av et gitt eller fornavn, en mellom initial, og et etternavn eller etternavn.
AccountName	string	Brukernavn for kontoen
AccountDomain *	string	Domene for kontoen
Type *	string	Type post
DistinguishedName *	Streng	Brukerens unike navn
CloudSid	string	Skysikkerhetsidentifikator for kontoen
GivenName	string	Angitt navn eller fornavn på kontobrukeren
Surname	string	Etternavn, familienavn eller etternavn for kontobrukeren
Department	string	Navnet på avdelingen som kontobrukeren tilhører
JobTitle	string	Stilling for kontobrukeren
EmailAddress	string	SMTP-adresse for kontoen
SipProxyAddress	string	SIP-adresse (Voice over IP) for øktinitieringsprotokoll (VOIP) for kontoen
Address	string	Adresse til kontobrukeren
City	string	Poststed der kontobrukeren befinner seg
Country	string	Land/område der kontobrukeren befinner seg
IsAccountEnabled	boolean	Angir om kontoen er aktivert eller ikke
Manager *	string	Den oppførte lederen for kontobrukeren
Phone *	string	Det oppførte telefonnummeret til kontobrukeren
CreatedDateTime *	datetime	Dato og klokkeslett da kontobrukeren ble opprettet
SourceProvider *	string	Identitetens kilde, for eksempel Microsoft Entra ID, Active Directory eller en hybrid identitet synkronisert fra Active Directory til Azure Active Directory
ChangeSource *	string	Identifiserer hvilken identitetsleverandør eller prosess som utløste tillegget av den nye raden. Verdien brukes for eksempel System-UserPersistence for alle rader som legges til av en automatisert prosess.
Tags *	dynamic	Merker tilordnet kontobrukeren av Defender for Identity
AssignedRoles *	dynamic	For identiteter fra Microsoft Entra-only, rollene som er tilordnet til kontobrukeren
TenantId	string	Unik identifikator som representerer organisasjonens forekomst av Microsoft Entra ID
SourceSystem *	string	Kildesystemet for posten

* Bare tilgjengelig for leiere med Microsoft Defender for identitet, Microsoft Defender for Cloud Apps eller Microsoft Defender for endepunkt P2-lisensiering.

Beslektede emner

• Oversikt over avansert jakt
• Lær spørringsspråket
• Bruke delte spørringer
• Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
• Forstå skjemaet
• Bruk anbefalte fremgangsmåter for spørring

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.