IdentityInfo
A IdentityInfo
tabela no esquema de caça avançado contém informações sobre contas de usuário obtidas de vários serviços, incluindo Microsoft Entra ID. Use essa referência para criar consultas que retornam informações dessa tabela.
Esta tabela foi renomeada de AccountInfo
. Durante as renomeações, todas as consultas salvas no portal são atualizadas automaticamente. Verifique as consultas salvas em outro lugar.
O Microsoft Sentinel usa uma versão ligeiramente expandida desta tabela no Log Analytics. Para obter mais informações, consulte Referência ueba do Microsoft Sentinel | Tabela IdentityInfo
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp * |
datetime |
A data e a hora em que a linha foi gravada no banco de dados. Isso é usado quando há várias linhas para cada identidade, como quando uma alteração é detectada ou se 24 horas se passaram desde que a última linha de banco de dados foi adicionada. |
ReportId * |
string |
Identificador exclusivo para o evento |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta |
OnPremSid |
string |
SID (identificador de segurança local) da conta |
AccountDisplayName |
string |
Nome do usuário da conta exibido no catálogo de endereços. Normalmente, uma combinação de um determinado ou primeiro nome, uma inicial intermediária e um sobrenome ou sobrenome. |
AccountName |
string |
Nome de usuário da conta |
AccountDomain * |
string |
Domínio da conta |
Type * |
string |
Tipo de registro |
DistinguishedName * |
string | O nome diferenciado do usuário |
CloudSid |
string |
Identificador de segurança na nuvem da conta |
GivenName |
string |
Nome ou primeiro nome do usuário da conta |
Surname |
string |
Sobrenome, nome da família ou sobrenome do usuário da conta |
Department |
string |
Nome do departamento ao qual o usuário da conta pertence |
JobTitle |
string |
Título de trabalho do usuário da conta |
EmailAddress |
string |
Endereço SMTP da conta |
SipProxyAddress |
string |
Endereço SIP (protocolo de iniciação de sessão) de IP de voz (VOIP) da conta |
Address |
string |
Endereço do usuário da conta |
City |
string |
Cidade em que o usuário da conta está localizado |
Country |
string |
País/Região em que o usuário da conta está localizado |
IsAccountEnabled |
boolean |
Indica se a conta está habilitada ou não |
Manager * |
string |
O gerenciador listado do usuário da conta |
Phone * |
string |
O número de telefone listado do usuário da conta |
CreatedDateTime * |
datetime |
Data e hora em que o usuário da conta foi criado |
SourceProvider * |
string |
A origem da identidade, como Microsoft Entra ID, Active Directory ou uma identidade híbrida sincronizada do Active Directory para o Azure Active Directory |
ChangeSource * |
string |
Identifica qual provedor ou processo de identidade disparou a adição da nova linha. Por exemplo, o System-UserPersistence valor é usado para todas as linhas adicionadas por um processo automatizado. |
Tags * |
dynamic |
Marcas atribuídas ao usuário da conta pelo Defender para Identidade |
AssignedRoles * |
dynamic |
Para identidades somente Microsoft Entra, as funções atribuídas ao usuário da conta |
TenantId |
string |
Identificador exclusivo que representa a instância de Microsoft Entra ID da sua organização |
SourceSystem * |
string |
O sistema de origem do registro |
* Disponível apenas para locatários com licenciamento de Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem ou Microsoft Defender para Ponto de Extremidade P2.
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de