IdentityInfo

Die IdentityInfo Tabelle im Schema der erweiterten Suche enthält Informationen zu Benutzerkonten, die von verschiedenen Diensten abgerufen wurden, einschließlich Microsoft Entra ID. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Diese Tabelle wurde von AccountInfoumbenannt. Während der Umbenennung werden alle im Portal gespeicherten Abfragen automatisch aktualisiert. Überprüfen Sie Abfragen, die Sie an anderer Stelle gespeichert haben.

Microsoft Sentinel verwendet eine leicht erweiterte Version dieser Tabelle in Log Analytics. Weitere Informationen finden Sie unter Microsoft Sentinel UEBA-Referenz | IdentityInfo-Tabelle

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp * datetime Das Datum und die Uhrzeit, zu dem die Zeile in die Datenbank geschrieben wurde.

Dies wird verwendet, wenn für jede Identität mehrere Zeilen vorhanden sind, z. B. wenn eine Änderung erkannt wird, oder wenn seit dem Hinzufügen der letzten Datenbankzeile 24 Stunden vergangen sind.
ReportId * string Eindeutiger Bezeichner für das Ereignis
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
OnPremSid string Lokale Sicherheits-ID (SID) des Kontos
AccountDisplayName string Der Name des Kontobenutzers, der im Adressbuch angezeigt wird. In der Regel eine Kombination aus einem vornamen oder einem Vornamen, einem zweiten Vornamen und einem Nachnamen oder Nachnamen.
AccountName string Benutzername des Kontos
AccountDomain * string Domäne des Kontos
Type * string Datensatztyp
DistinguishedName * string Der Distinguished Name des Benutzers
CloudSid string Cloudsicherheits-ID des Kontos
GivenName string Angegebener Name oder Vorname des Kontobenutzers
Surname string Nachname, Nachname oder Nachname des Kontobenutzers
Department string Name der Abteilung, zu der der Kontobenutzer gehört
JobTitle string Position des Kontobenutzers
EmailAddress string SMTP-Adresse des Kontos
SipProxyAddress string SIP-Adresse (Voice over IP)-Sitzungsinitiierungsprotokoll (VoIP) des Kontos
Address string Adresse des Kontobenutzers
City string Ort, in dem sich der Kontobenutzer befindet
Country string Land/Region, in dem sich der Kontobenutzer befindet
IsAccountEnabled boolean Gibt an, ob das Konto aktiviert ist oder nicht.
Manager * string Der aufgeführte Manager des Kontobenutzers
Phone * string Die aufgeführte Telefonnummer des Kontobenutzers
CreatedDateTime * datetime Datum und Uhrzeit der Erstellung des Kontobenutzers
SourceProvider * string Die Quelle der Identität, z. B. Microsoft Entra ID, Active Directory oder eine hybride Identität, die von Active Directory mit Azure Active Directory synchronisiert wird
ChangeSource * string Gibt an, welcher Identitätsanbieter oder Prozess das Hinzufügen der neuen Zeile ausgelöst hat. Der Wert wird beispielsweise für alle Zeilen verwendet, die System-UserPersistence von einem automatisierten Prozess hinzugefügt werden.
Tags * dynamic Tags, die dem Kontobenutzer von Defender for Identity zugewiesen wurden
AssignedRoles * dynamic Für Identitäten aus nur Microsoft Entra die Rollen, die dem Kontobenutzer zugewiesen sind
TenantId string Eindeutiger Bezeichner, der die instance der Microsoft Entra ID Ihrer organization darstellt
SourceSystem * string Das Quellsystem für den Datensatz

* Nur für Mandanten mit Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- oder Microsoft Defender for Endpoint P2-Lizenzierung verfügbar.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.