IdentityInfo
Tabellen IdentityInfo i det avancerade jaktschemat innehåller information om användarkonton som hämtats från olika tjänster, inklusive Microsoft Entra ID. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Den här tabellen har bytt namn från AccountInfo. Under namnbyten uppdateras alla frågor som sparas i portalen automatiskt. Kontrollera de frågor som du har sparat någon annanstans.
Microsoft Sentinel använder en något utökad version av den här tabellen i Log Analytics. Mer information finns i Microsoft Sentinel UEBA-referens | IdentityInfo-tabell
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp
*
|
datetime |
Datum och tid då raden skrevs till databasen. Detta används när det finns flera rader för varje identitet, till exempel när en ändring identifieras eller om 24 timmar har passerat sedan den senaste databasraden lades till. |
ReportId
*
|
string |
Unik identifierare för händelsen |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
OnPremSid |
string |
Lokal säkerhetsidentifierare (SID) för kontot |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Vanligtvis en kombination av ett givet eller förnamn, en mellan initial och ett efternamn eller efternamn. |
AccountName |
string |
Användarkontots användarnamn |
AccountDomain
*
|
string |
Domän för kontot |
Type
*
|
string |
Typ av post |
DistinguishedName
*
|
sträng | Användarens unika namn |
CloudSid |
string |
Molnsäkerhetsidentifierare för kontot |
GivenName |
string |
Kontoanvändarens förnamn eller förnamn |
Surname |
string |
Efternamn, familjenamn eller efternamn på kontoanvändaren |
Department |
string |
Namnet på den avdelning som kontoanvändaren tillhör |
JobTitle |
string |
Jobbtitel för kontoanvändaren |
EmailAddress |
string |
SMTP-adress för kontot |
SipProxyAddress |
string |
IP-adress (VOIP) för sessionsinitieringsprotokoll (SIP) för kontot |
Address |
string |
Adress för kontoanvändaren |
City |
string |
Ort där kontoanvändaren finns |
Country |
string |
Land/region där kontoanvändaren finns |
IsAccountEnabled |
boolean |
Anger om kontot är aktiverat eller inte |
Manager
*
|
string |
Kontoanvändarens hanterare i listan |
Phone
*
|
string |
Det angivna telefonnumret för kontoanvändaren |
CreatedDateTime
*
|
datetime |
Datum och tid då kontoanvändaren skapades |
SourceProvider
*
|
string |
Identitetens källa, till exempel Microsoft Entra ID, Active Directory eller en hybrididentitet som synkroniserats från Active Directory till Azure Active Directory |
ChangeSource
*
|
string |
Identifierar vilken identitetsprovider eller process som utlöste tillägget av den nya raden. Till exempel System-UserPersistence används värdet för alla rader som läggs till av en automatiserad process. |
Tags
*
|
dynamic |
Taggar som tilldelats kontoanvändaren av Defender for Identity |
AssignedRoles
*
|
dynamic |
För identiteter från endast Microsoft Entra tilldelas rollerna till kontoanvändaren |
TenantId |
string |
Unik identifierare som representerar organisationens instans av Microsoft Entra ID |
SourceSystem
*
|
string |
Källsystemet för posten |
* Endast tillgängligt för klienter med Microsoft Defender for Identity, Microsoft Defender for Cloud Apps- eller Microsoft Defender för Endpoint P2-licensiering.
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.