IdentityInfo
IdentityInfo
高级搜寻架构中的表包含有关从各种服务(包括Microsoft Entra ID)获取的用户帐户的信息。 使用此参考来构建从此表返回信息的查询。
此表已从 AccountInfo重命名。 在重命名期间,门户中保存的所有查询都会自动更新。 检查保存在其他位置的查询。
Microsoft Sentinel在 Log Analytics 中使用此表的略微扩展版本。 有关详细信息,请参阅 Microsoft Sentinel UEBA 参考 |IdentityInfo 表
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp
*
|
datetime |
行写入数据库的日期和时间。 如果每个标识有多个行,例如检测到更改时,或者自添加最后一个数据库行以来已过去 24 小时,则使用此方法。 |
ReportId
*
|
string |
事件的唯一标识符 |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
OnPremSid |
string |
本地安全标识符 (帐户的 SID) |
AccountDisplayName |
string |
通讯簿中显示的帐户用户的名称。 通常,是给定或名字、中间首字母和姓氏的组合。 |
AccountName |
string |
帐户的用户名 |
AccountDomain
*
|
string |
帐户的域 |
Type
*
|
string |
记录类型 |
DistinguishedName
*
|
string | 用户的 可分辨名称 |
CloudSid |
string |
帐户的云安全标识符 |
GivenName |
string |
帐户用户的给定名称或名字 |
Surname |
string |
帐户用户的姓氏、姓氏或姓氏 |
Department |
string |
帐户用户所属的部门的名称 |
JobTitle |
string |
帐户用户的职务 |
EmailAddress |
string |
帐户的 SMTP 地址 |
SipProxyAddress |
string |
IP (VOIP) 会话发起协议 (帐户的 SIP) 地址 |
Address |
string |
帐户用户的地址 |
City |
string |
帐户用户所在的城市 |
Country |
string |
帐户用户所在的国家/地区 |
IsAccountEnabled |
boolean |
指示帐户是否已启用 |
Manager
*
|
string |
帐户用户的列出的经理 |
Phone
*
|
string |
帐户用户列出的电话号码 |
CreatedDateTime
*
|
datetime |
创建帐户用户的日期和时间 |
SourceProvider
*
|
string |
标识的源,例如Microsoft Entra ID、Active Directory 或从 Active Directory 同步到 Azure Active Directory 的混合标识 |
ChangeSource
*
|
string |
标识哪个标识提供者或进程触发了新行的添加。 例如,值 System-UserPersistence 用于自动化进程添加的任何行。 |
Tags
*
|
dynamic |
Defender for Identity 分配给帐户用户的标记 |
AssignedRoles
*
|
dynamic |
对于仅限Microsoft Entra的标识,分配给帐户用户的角色 |
TenantId |
string |
表示组织的Microsoft Entra ID实例的唯一标识符 |
SourceSystem
*
|
string |
记录的源系统 |
* 仅适用于具有Microsoft Defender for Identity、Microsoft Defender for Cloud Apps或Microsoft Defender for Endpoint P2 许可的租户。
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。