IdentityInfo
De IdentityInfo
tabel in het geavanceerde opsporingsschema bevat informatie over gebruikersaccounts die zijn verkregen van verschillende services, waaronder Microsoft Entra ID. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
De naam van deze tabel is gewijzigd in AccountInfo
. Tijdens het wijzigen van de naam worden alle query's die in de portal zijn opgeslagen, automatisch bijgewerkt. Controleer query's die u ergens anders hebt opgeslagen.
Microsoft Sentinel gebruikt een enigszins uitgebreide versie van deze tabel in Log Analytics. Zie Microsoft Sentinel UEBA-verwijzing voor meer informatie | Tabel IdentityInfo
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
Kolomnaam | Gegevenstype: | Beschrijving |
---|---|---|
Timestamp
*
|
datetime |
De datum en tijd waarop de regel naar de database is geschreven. Dit wordt gebruikt wanneer er meerdere regels voor elke identiteit zijn, bijvoorbeeld wanneer een wijziging wordt gedetecteerd of als er 24 uur zijn verstreken sinds de laatste databaseregel is toegevoegd. |
ReportId
*
|
string |
Unieke id voor de gebeurtenis |
AccountObjectId |
string |
Unieke id voor het account in Microsoft Entra ID |
AccountUpn |
string |
UPN (User Principal Name) van het account |
OnPremSid |
string |
On-premises beveiligings-id (SID) van het account |
AccountDisplayName |
string |
De naam van de accountgebruiker die wordt weergegeven in het adresboek. Meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam. |
AccountName |
string |
Gebruikersnaam van het account |
AccountDomain
*
|
string |
Domein van het account |
Type
*
|
string |
Type record |
DistinguishedName
*
|
reeks | De DN-naam van de gebruiker |
CloudSid |
string |
Cloudbeveiligings-id van het account |
GivenName |
string |
Voornaam of voornaam van de accountgebruiker |
Surname |
string |
Achternaam, familienaam of achternaam van de accountgebruiker |
Department |
string |
Naam van de afdeling waartoe de accountgebruiker behoort |
JobTitle |
string |
Functie van de accountgebruiker |
EmailAddress |
string |
SMTP-adres van het account |
SipProxyAddress |
string |
VOIP-adres (Voice over IP) session initiation protocol (SIP) van het account |
Address |
string |
Adres van de accountgebruiker |
City |
string |
Plaats waar de accountgebruiker zich bevindt |
Country |
string |
Land/regio waar de accountgebruiker zich bevindt |
IsAccountEnabled |
boolean |
Geeft aan of het account is ingeschakeld of niet |
Manager
*
|
string |
De vermelde manager van de accountgebruiker |
Phone
*
|
string |
Het vermelde telefoonnummer van de accountgebruiker |
CreatedDateTime
*
|
datetime |
Datum en tijd waarop de accountgebruiker is gemaakt |
SourceProvider
*
|
string |
De bron van de identiteit, zoals Microsoft Entra ID, Active Directory of een hybride identiteit die vanuit Active Directory is gesynchroniseerd met Azure Active Directory |
ChangeSource
*
|
string |
Hiermee wordt aangegeven welke id-provider of welk proces de toevoeging van de nieuwe rij heeft geactiveerd. De waarde wordt bijvoorbeeld System-UserPersistence gebruikt voor rijen die zijn toegevoegd door een geautomatiseerd proces. |
Tags
*
|
dynamic |
Tags die zijn toegewezen aan de accountgebruiker door Defender for Identity |
AssignedRoles
*
|
dynamic |
Voor identiteiten van Microsoft Entra alleen, de rollen die zijn toegewezen aan de accountgebruiker |
TenantId |
string |
Unieke id die het exemplaar van Microsoft Entra ID van uw organisatie vertegenwoordigt |
SourceSystem
*
|
string |
Het bronsysteem voor de record |
* Alleen beschikbaar voor tenants met Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- of Microsoft Defender voor Eindpunt P2-licentie.
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.