IdentityInfo
高级搜寻架构中的表包含有关从各种服务(包括Microsoft Entra ID)获取的用户帐户的信息。 使用此参考来构建从此表返回信息的查询。
此表已从 AccountInfo重命名。 在重命名期间,门户中保存的所有查询都会自动更新。 检查保存在其他位置的查询。
Microsoft Sentinel在 Log Analytics 中使用此表的略微扩展版本。 有关详细信息,请参阅 Microsoft Sentinel UEBA 参考 |IdentityInfo 表
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
以下架构是统IdentityInfo一架构,可简化Microsoft Sentinel日志分析和Microsoft Defender XDR高级搜寻中的类似表。 完整的列集适用于已加入Microsoft Sentinel并启用了用户和实体行为分析 (UEBA) 服务的 Defender 门户用户。
尚未加入已启用 UEBA 服务的Microsoft Sentinel工作区的 Defender 门户用户无法查看特定于 UEBA 的列。 读取 特定于 UEBA 的列。
此高级搜寻表由Microsoft Defender for Identity或Microsoft Sentinel和Microsoft Entra ID的记录填充。 如果组织尚未在 Microsoft Defender XDR 中部署服务,则使用该表的查询将不起作用或返回任何结果。 有关如何在 Defender XDR 中部署 Defender for Identity 的详细信息,请阅读部署受支持的服务。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp
*
|
datetime |
行写入数据库的日期和时间。 如果每个标识有多个行,例如检测到更改时,或者自添加最后一个数据库行以来已过去 24 小时,则使用此方法。 |
ReportId
*
|
string |
事件的唯一标识符 |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
OnPremSid |
string |
本地安全标识符 (帐户的 SID) |
AccountDisplayName |
string |
通讯簿中显示的帐户用户的名称。 通常,是给定或名字、中间首字母和姓氏的组合。 |
AccountName |
string |
帐户的用户名 |
AccountDomain
*
|
string |
帐户的域 |
CriticalityLevel |
int |
帐户的严重性分数 |
Type
*
|
string |
标识类型;可能的值:User、ServiceAccount |
DistinguishedName
*
|
string | 用户的 可分辨名称 |
CloudSid |
string |
帐户的云安全标识符 |
GivenName |
string |
帐户用户的给定名称或名字 |
Surname |
string |
帐户用户的姓氏、姓氏或姓氏 |
Department |
string |
帐户用户所属的部门的名称 |
JobTitle |
string |
帐户用户的职务 |
EmailAddress |
string |
帐户的 SMTP 地址 |
SipProxyAddress |
string |
IP (VOIP) 会话发起协议 (帐户的 SIP) 地址 |
Address |
string |
帐户用户的地址 |
City |
string |
帐户用户所在的城市 |
Country |
string |
帐户用户所在的国家/地区 |
IsAccountEnabled |
boolean |
指示帐户是否已启用 |
Manager
*
|
string |
帐户用户的列出的经理 |
Phone
*
|
string |
帐户用户列出的电话号码 |
CreatedDateTime
*
|
datetime |
创建帐户用户的日期和时间 |
ChangeSource
*
|
string |
标识哪个标识提供者或进程触发了新行的添加。 例如,值 System-UserPersistence 用于自动化进程添加的任何行。 |
BlastRadius |
string |
基于用户在组织树中的位置以及用户Microsoft Entra角色和权限的计算;可能的值:低、中、高 |
CompanyName |
string |
用户工作的公司的名称 |
DeletedDateTime |
datetime |
删除用户帐户的日期和时间 |
EmployeeId |
string |
组织分配给用户的员工标识符 |
OtherMailAddresses |
dynamic |
用户帐户的其他电子邮件地址 |
RiskLevel |
string |
Microsoft Entra ID用户帐户的风险级别;可能的值:低、中、高 |
RiskLevelDetails |
string |
有关Microsoft Entra ID风险级别的详细信息 |
State |
string |
登录发生时的状态(如果可用) |
Tags
*
|
dynamic |
Defender for Identity 分配给帐户用户的标记 |
AssignedRoles
*
|
dynamic |
对于仅限Microsoft Entra的标识,分配给帐户用户的角色 |
PrivilegedEntraPimRoles (预览版) ** |
dynamic |
帐户的特权角色分配计划和资格计划的快照,由Microsoft Entra Privileged Identity Management (维护,不包括激活的分配) |
TenantId |
string |
表示组织的Microsoft Entra ID实例的唯一标识符 |
SourceSystem
*
|
string |
记录的源系统 |
OnPremObjectId |
string |
用户的 Active Directory 对象 ID |
TenantMembershipType |
string |
用户键入Microsoft Entra ID;可能的值:Guest、Member |
RiskStatus |
string |
用户风险的状态;可能的值:None、ConfirmedSafe、Remediated、Dismissed、AtRisk、ConfirmedCompromised、UnknownFutureValue |
UserAccountControl |
string |
Active Directory 域中用户帐户的安全属性 |
IdentityEnvironment |
string |
使用标识的环境;可能的值:CloudOnly、混合、本地 |
SourceProviders |
dynamic |
标识帐户的源提供程序;可能的值:ActiveDirectory、EntraID、Okta |
GroupMembership |
dynamic |
Microsoft Entra ID用户帐户是成员的组 |
* 仅适用于具有Microsoft Defender for Identity、Microsoft Defender for Cloud Apps或Microsoft Defender for Endpoint P2 许可的租户。
** 仅适用于具有Microsoft Defender for Identity的租户。
特定于 UEBA 的列
如果使用 Microsoft Defender 门户,但尚未在启用 UEBA 服务的情况下载入Microsoft Sentinel工作区,则表中没有以下列:IdentityInfo
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesRiskLevelRiskLevelDetailsStateTags
有关 UEBA 的详细信息,请阅读 Microsoft Sentinel 中的高级威胁检测与用户和实体行为分析 (UEBA) 。 有关 UEBA 中不同数据源的详细信息,请阅读 UEBA 参考Microsoft Sentinel。
相关文章
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。