IdentityInfo
Таблица IdentityInfo в схеме расширенной охоты содержит сведения об учетных записях пользователей, полученных из различных служб, включая Microsoft Entra ID. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Эта таблица была переименована из AccountInfo. Во время переименования все запросы, сохраненные на портале, обновляются автоматически. Проверьте запросы, сохраненные в другом месте.
Microsoft Sentinel использует немного расширенную версию этой таблицы в Log Analytics. Дополнительные сведения см. в справочнике по UEBA Microsoft Sentinel | Таблица IdentityInfo
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp
*
|
datetime |
Дата и время записи строки в базу данных. Используется при наличии нескольких строк для каждого удостоверения, например при обнаружении изменения или если прошло 24 часа с момента добавления последней строки базы данных. |
ReportId
*
|
string |
Уникальный идентификатор события |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
OnPremSid |
string |
Локальный идентификатор безопасности (SID) учетной записи |
AccountDisplayName |
string |
Имя пользователя учетной записи, отображаемое в адресной книге. Как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии. |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain
*
|
string |
Домен учетной записи |
Type
*
|
string |
Тип записи |
DistinguishedName
*
|
string | Различающееся имя пользователя |
CloudSid |
string |
Идентификатор облачной безопасности учетной записи |
GivenName |
string |
Имя или имя пользователя учетной записи |
Surname |
string |
Фамилия, фамилия или фамилия пользователя учетной записи |
Department |
string |
Название отдела, к которому принадлежит пользователь учетной записи |
JobTitle |
string |
Должность пользователя учетной записи |
EmailAddress |
string |
SMTP-адрес учетной записи |
SipProxyAddress |
string |
SIP-адрес учетной записи для протокола sip-сеанса голосовой связи по IP-адресу |
Address |
string |
Адрес пользователя учетной записи |
City |
string |
Город, в котором находится пользователь учетной записи |
Country |
string |
Страна или регион, в которых находится пользователь учетной записи |
IsAccountEnabled |
boolean |
Указывает, включена ли учетная запись. |
Manager
*
|
string |
Указанный менеджер пользователя учетной записи |
Phone
*
|
string |
Указанный номер телефона пользователя учетной записи |
CreatedDateTime
*
|
datetime |
Дата и время создания пользователя учетной записи |
SourceProvider
*
|
string |
Источник удостоверения, например Microsoft Entra ID, Active Directory или гибридное удостоверение, синхронизированное из Active Directory в Azure Active Directory. |
ChangeSource
*
|
string |
Определяет, какой поставщик удостоверений или процесс активировал добавление новой строки. Например, значение используется для любых строк, System-UserPersistence добавленных автоматическим процессом. |
Tags
*
|
dynamic |
Теги, назначенные пользователю учетной записи Defender для удостоверений |
AssignedRoles
*
|
dynamic |
Для удостоверений, доступных только для Microsoft Entra, роли, назначенные пользователю учетной записи |
TenantId |
string |
Уникальный идентификатор, представляющий экземпляр Microsoft Entra ID вашей организации |
SourceSystem
*
|
string |
Исходная система для записи |
* Доступно только для клиентов с лицензированием Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps или Microsoft Defender для конечной точки P2.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.