IdentityInfo
Tabela IdentityInfo w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o kontach użytkowników uzyskanych z różnych usług, w tym Tożsamość Microsoft Entra. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Nazwa tej tabeli została zmieniona na .AccountInfo Podczas zmieniania nazw wszystkie zapytania zapisane w portalu są automatycznie aktualizowane. Sprawdź zapytania zapisane w innym miejscu.
Microsoft Sentinel używa nieco rozszerzonej wersji tej tabeli w usłudze Log Analytics. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel UEBA | Tabela IdentityInfo
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp
*
|
datetime |
Data i godzina zapisu wiersza w bazie danych. Jest to używane, gdy istnieje wiele wierszy dla każdej tożsamości, na przykład po wykryciu zmiany lub po upływie 24 godzin od dodania ostatniego wiersza bazy danych. |
ReportId
*
|
string |
Unikatowy identyfikator zdarzenia |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta |
OnPremSid |
string |
Lokalny identyfikator zabezpieczeń (SID) konta |
AccountDisplayName |
string |
Nazwa użytkownika konta wyświetlanego w książce adresowej. Zazwyczaj kombinacja danego lub imienia, środkowego inicjała i nazwiska lub nazwiska. |
AccountName |
string |
Nazwa użytkownika konta |
AccountDomain
*
|
string |
Domena konta |
Type
*
|
string |
Typ rekordu |
DistinguishedName
*
|
ciąg | Nazwa wyróżniająca użytkownika |
CloudSid |
string |
Identyfikator zabezpieczeń konta w chmurze |
GivenName |
string |
Imię lub imię użytkownika konta |
Surname |
string |
Nazwisko, nazwisko lub nazwisko użytkownika konta |
Department |
string |
Nazwa działu, do którego należy użytkownik konta |
JobTitle |
string |
Stanowisko użytkownika konta |
EmailAddress |
string |
Adres SMTP konta |
SipProxyAddress |
string |
Adres protokołu inicjowania sesji (SIP) protokołu voice over IP (VOIP) konta |
Address |
string |
Adres użytkownika konta |
City |
string |
Miasto, w którym znajduje się użytkownik konta |
Country |
string |
Kraj/region, w którym znajduje się użytkownik konta |
IsAccountEnabled |
boolean |
Wskazuje, czy konto jest włączone, czy nie |
Manager
*
|
string |
Menedżer wymieniony na liście użytkownika konta |
Phone
*
|
string |
Podany numer telefonu użytkownika konta |
CreatedDateTime
*
|
datetime |
Data i godzina utworzenia użytkownika konta |
SourceProvider
*
|
string |
Źródło tożsamości, takie jak Tożsamość Microsoft Entra, Active Directory lub tożsamość hybrydowa zsynchronizowana z usługi Active Directory do usługi Azure Active Directory |
ChangeSource
*
|
string |
Określa, który dostawca tożsamości lub proces wyzwolił dodanie nowego wiersza. Na przykład System-UserPersistence wartość jest używana dla wierszy dodanych przez zautomatyzowany proces. |
Tags
*
|
dynamic |
Tagi przypisane do użytkownika konta przez usługę Defender for Identity |
AssignedRoles
*
|
dynamic |
W przypadku tożsamości tylko z Microsoft Entra role przypisane do użytkownika konta |
TenantId |
string |
Unikatowy identyfikator reprezentujący wystąpienie Tożsamość Microsoft Entra w organizacji |
SourceSystem
*
|
string |
System źródłowy rekordu |
* Dostępne tylko dla dzierżaw z licencjami Microsoft Defender for Identity, Microsoft Defender for Cloud Apps lub Ochrona punktu końcowego w usłudze Microsoft Defender P2.
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.