IdentityInfo
Tabellen IdentityInfo i skjemaet for avansert jakt inneholder informasjon om brukerkontoer hentet fra ulike tjenester, inkludert Microsoft Entra ID. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Denne tabellen har fått nytt navn fra AccountInfo. Under gi nytt navn oppdateres alle spørringer som er lagret i portalen, automatisk. Kontroller spørringer du har lagret et annet sted.
Microsoft Sentinel bruker en litt utvidet versjon av denne tabellen i Log Analytics. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel UEBA-referanse | IdentityInfo-tabell
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp
*
|
datetime |
Datoen og klokkeslettet da linjen ble skrevet til databasen. Dette brukes når det finnes flere linjer for hver identitet, for eksempel når en endring oppdages, eller hvis det har gått 24 timer siden den siste databaselinjen ble lagt til. |
ReportId
*
|
string |
Unik identifikator for hendelsen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
OnPremSid |
string |
Lokal sikkerhetsidentifikator (SID) for kontoen |
AccountDisplayName |
string |
Navnet på kontobrukeren som vises i adresseboken. Vanligvis en kombinasjon av et gitt eller fornavn, en mellom initial, og et etternavn eller etternavn. |
AccountName |
string |
Brukernavn for kontoen |
AccountDomain
*
|
string |
Domene for kontoen |
Type
*
|
string |
Type post |
DistinguishedName
*
|
streng | Brukerens unike navn |
CloudSid |
string |
Skysikkerhetsidentifikator for kontoen |
GivenName |
string |
Angitt navn eller fornavn på kontobrukeren |
Surname |
string |
Etternavn, familienavn eller etternavn for kontobrukeren |
Department |
string |
Navnet på avdelingen som kontobrukeren tilhører |
JobTitle |
string |
Stilling for kontobrukeren |
EmailAddress |
string |
SMTP-adresse for kontoen |
SipProxyAddress |
string |
SIP-adresse (Voice over IP) for øktinitieringsprotokoll (VOIP) for kontoen |
Address |
string |
Adresse til kontobrukeren |
City |
string |
Poststed der kontobrukeren befinner seg |
Country |
string |
Land/område der kontobrukeren befinner seg |
IsAccountEnabled |
boolean |
Angir om kontoen er aktivert eller ikke |
Manager
*
|
string |
Den oppførte lederen for kontobrukeren |
Phone
*
|
string |
Det oppførte telefonnummeret til kontobrukeren |
CreatedDateTime
*
|
datetime |
Dato og klokkeslett da kontobrukeren ble opprettet |
SourceProvider
*
|
string |
Identitetens kilde, for eksempel Microsoft Entra ID, Active Directory eller en hybrid identitet synkronisert fra Active Directory til Azure Active Directory |
ChangeSource
*
|
string |
Identifiserer hvilken identitetsleverandør eller prosess som utløste tillegget av den nye raden. Verdien brukes for eksempel System-UserPersistence for alle rader som legges til av en automatisert prosess. |
Tags
*
|
dynamic |
Merker tilordnet kontobrukeren av Defender for Identity |
AssignedRoles
*
|
dynamic |
For identiteter fra Microsoft Entra-only, rollene som er tilordnet til kontobrukeren |
TenantId |
string |
Unik identifikator som representerer organisasjonens forekomst av Microsoft Entra ID |
SourceSystem
*
|
string |
Kildesystemet for posten |
* Bare tilgjengelig for leiere med Microsoft Defender for identitet, Microsoft Defender for Cloud Apps eller Microsoft Defender for endepunkt P2-lisensiering.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.