IdentityInfo
進IdentityInfo階搜捕架構中的數據表包含從各種服務取得之用戶帳戶的相關信息,包括 Microsoft Entra ID。 使用這個參考來建立從此表格取回之資訊的查詢。
此資料表已從 重新命名 AccountInfo。 在重新命名期間,會自動更新儲存在入口網站中的所有查詢。 檢查您已儲存在其他地方的查詢。
Microsoft Sentinel 在Log Analytics中使用此數據表稍微展開的版本。 如需詳細資訊,請參閱 Microsoft Sentinel UEBA 參考 |IdentityInfo 數據表
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp
*
|
datetime |
行寫入資料庫的日期和時間。 當每個身分識別有多行時,例如偵測到變更時,或是自從新增最後一個資料庫行之後已經過了 24 小時,就會使用此值。 |
ReportId
*
|
string |
事件的唯一標識碼 |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountUpn |
string |
帳戶的UPN) (用戶主體名稱 |
OnPremSid |
string |
帳戶的內部部署安全標識碼 (SID) |
AccountDisplayName |
string |
通訊錄中顯示的帳戶用戶名稱。 通常是指定或名字、中間初始名稱和姓氏或姓氏的組合。 |
AccountName |
string |
帳戶的用戶名稱 |
AccountDomain
*
|
string |
帳戶的網域 |
Type
*
|
string |
記錄類型 |
DistinguishedName
*
|
字串 | 用戶的 辨別名稱 |
CloudSid |
string |
帳戶的雲端安全標識碼 |
GivenName |
string |
指定帳戶用戶的名稱或名字 |
Surname |
string |
帳戶使用者的姓氏、姓氏或姓氏 |
Department |
string |
帳戶用戶所屬的部門名稱 |
JobTitle |
string |
帳戶用戶的職稱 |
EmailAddress |
string |
帳戶的 SMTP 位址 |
SipProxyAddress |
string |
透過IP語音 (VOIP) 工作階段初始通訊協定 (帳戶的 SIP) 位址 |
Address |
string |
帳戶用戶的位址 |
City |
string |
帳戶使用者所在的城市 |
Country |
string |
帳戶使用者所在的國家/地區 |
IsAccountEnabled |
boolean |
指出帳戶是否已啟用 |
Manager
*
|
string |
帳戶使用者的列出管理員 |
Phone
*
|
string |
帳戶使用者的列出電話號碼 |
CreatedDateTime
*
|
datetime |
建立帳戶使用者的日期和時間 |
SourceProvider
*
|
string |
身分識別的來源,例如 Microsoft Entra ID、Active Directory 或從 Active Directory 同步至 Azure Active Directory 的混合式身分識別 |
ChangeSource
*
|
string |
識別哪些識別提供者或進程觸發了新數據列的新增。 例如,此 System-UserPersistence 值用於自動化進程新增的任何數據列。 |
Tags
*
|
dynamic |
適用於身分識別的 Defender 指派給帳戶用戶的標籤 |
AssignedRoles
*
|
dynamic |
針對僅限 Microsoft Entra 身分識別,指派給帳戶使用者的角色 |
TenantId |
string |
代表貴組織實例的唯一標識碼 Microsoft Entra ID |
SourceSystem
*
|
string |
記錄的來源系統 |
* 僅適用於具有 適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 或 適用於端點的 Microsoft Defender P2 授權的租使用者。
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。