IdentityInfo
La IdentityInfo
table du schéma de repérage avancé contient des informations sur les comptes d’utilisateur obtenus à partir de différents services, y compris Microsoft Entra ID. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Cette table a été renommée à partir de AccountInfo
. Pendant les renommages, toutes les requêtes enregistrées dans le portail sont automatiquement mises à jour. Vérifiez les requêtes que vous avez enregistrées ailleurs.
Microsoft Sentinel utilise une version légèrement développée de cette table dans Log Analytics. Pour plus d’informations, consultez Microsoft Sentinel référence UEBA | Table IdentityInfo
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
Nom de colonne | Type de données | Description |
---|---|---|
Timestamp
*
|
datetime |
Date et heure auxquelles la ligne a été écrite dans la base de données. Il est utilisé lorsqu’il existe plusieurs lignes pour chaque identité, par exemple lorsqu’une modification est détectée, ou si 24 heures se sont écoulées depuis l’ajout de la dernière ligne de base de données. |
ReportId
*
|
string |
Identificateur unique de l’événement |
AccountObjectId |
string |
Identificateur unique du compte dans Microsoft Entra ID |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
OnPremSid |
string |
Identificateur de sécurité (SID) local du compte |
AccountDisplayName |
string |
Nom de l’utilisateur du compte affiché dans le carnet d’adresses. En règle générale, il s’agit d’une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille. |
AccountName |
string |
Nom d’utilisateur du compte |
AccountDomain
*
|
string |
Domaine du compte |
Type
*
|
string |
Type d’enregistrement |
DistinguishedName
*
|
string | Nom unique de l’utilisateur |
CloudSid |
string |
Identificateur de sécurité cloud du compte |
GivenName |
string |
Prénom ou nom de l’utilisateur du compte |
Surname |
string |
Nom, nom de famille ou nom de l’utilisateur du compte |
Department |
string |
Nom du service auquel appartient l’utilisateur du compte |
JobTitle |
string |
Poste de l’utilisateur du compte |
EmailAddress |
string |
Adresse SMTP du compte |
SipProxyAddress |
string |
Adresse SIP (Voice over IP) du compte |
Address |
string |
Adresse de l’utilisateur du compte |
City |
string |
Ville où se trouve l’utilisateur du compte |
Country |
string |
Pays/région où se trouve l’utilisateur du compte |
IsAccountEnabled |
boolean |
Indique si le compte est activé ou non |
Manager
*
|
string |
Gestionnaire répertorié de l’utilisateur du compte |
Phone
*
|
string |
Numéro de téléphone répertorié de l’utilisateur du compte |
CreatedDateTime
*
|
datetime |
Date et heure de création de l’utilisateur du compte |
SourceProvider
*
|
string |
La source de l’identité, telle qu’Microsoft Entra ID, Active Directory ou une identité hybride synchronisée entre Active Directory et Azure Active Directory |
ChangeSource
*
|
string |
Identifie le fournisseur d’identité ou le processus qui a déclenché l’ajout de la nouvelle ligne. Par exemple, la System-UserPersistence valeur est utilisée pour toutes les lignes ajoutées par un processus automatisé. |
Tags
*
|
dynamic |
Balises attribuées à l’utilisateur du compte par Defender pour Identity |
AssignedRoles
*
|
dynamic |
Pour les identités de Microsoft Entra uniquement, les rôles attribués à l’utilisateur du compte |
TenantId |
string |
Identificateur unique représentant la instance de Microsoft Entra ID de votre organization |
SourceSystem
*
|
string |
Système source de l’enregistrement |
* Disponible uniquement pour les locataires disposant d’une licence P2 Microsoft Defender pour Identity, Microsoft Defender for Cloud Apps ou Microsoft Defender pour point de terminaison.
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.