IdentityInfo

• Si applica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La IdentityInfo tabella nello schema di ricerca avanzata contiene informazioni sugli account utente ottenuti da vari servizi, tra cui Microsoft Entra ID. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.

Questa tabella è stata rinominata da AccountInfo. Durante le ridenominazioni, tutte le query salvate nel portale vengono aggiornate automaticamente. Controllare le query salvate altrove.

Microsoft Sentinel usa una versione leggermente espansa di questa tabella in Log Analytics. Per altre informazioni, vedere Informazioni di riferimento su UEBA di Microsoft Sentinel | Tabella IdentityInfo

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Nome colonna	Tipo di dati	Descrizione
Timestamp *	datetime	Data e ora in cui la riga è stata scritta nel database. Viene usato quando sono presenti più righe per ogni identità, ad esempio quando viene rilevata una modifica o se sono passate 24 ore dall'aggiunta dell'ultima riga di database.
ReportId *	string	Identificatore univoco per l'evento
AccountObjectId	string	Identificatore univoco per l'account in Microsoft Entra ID
AccountUpn	string	Nome dell'entità utente (UPN) dell'account
OnPremSid	string	Identificatore di sicurezza locale (SID) dell'account
AccountDisplayName	string	Nome dell'utente dell'account visualizzato nella rubrica. In genere una combinazione di un nome specificato o di un nome, un iniziale centrale e un cognome o un cognome.
AccountName	string	Nome utente dell'account
AccountDomain *	string	Dominio dell'account
Type *	string	Tipo di record
DistinguishedName *	stringa	Nome distinto dell'utente
CloudSid	string	Identificatore di sicurezza cloud dell'account
GivenName	string	Nome specificato o nome dell'utente dell'account
Surname	string	Cognome, nome della famiglia o cognome dell'utente dell'account
Department	string	Nome del reparto a cui appartiene l'utente dell'account
JobTitle	string	Titolo del processo dell'utente dell'account
EmailAddress	string	Indirizzo SMTP dell'account
SipProxyAddress	string	Indirizzo SIP (Session Initiation Protocol) voice over IP (VOIP) dell'account
Address	string	Indirizzo dell'utente dell'account
City	string	Città in cui si trova l'utente dell'account
Country	string	Paese/area geografica in cui si trova l'utente dell'account
IsAccountEnabled	boolean	Indica se l'account è abilitato o meno
Manager *	string	Il responsabile elencato dell'utente dell'account
Phone *	string	Numero di telefono elencato dell'utente dell'account
CreatedDateTime *	datetime	Data e ora di creazione dell'utente dell'account
SourceProvider *	string	Origine dell'identità, ad esempio Microsoft Entra ID, Active Directory o un'identità ibrida sincronizzata da Active Directory ad Azure Active Directory
ChangeSource *	string	Identifica il provider di identità o il processo che ha attivato l'aggiunta della nuova riga. Ad esempio, il System-UserPersistence valore viene usato per tutte le righe aggiunte da un processo automatizzato.
Tags *	dynamic	Tag assegnati all'utente dell'account da Defender per identità
AssignedRoles *	dynamic	Per le identità di sola Microsoft Entra, i ruoli assegnati all'utente dell'account
TenantId	string	Identificatore univoco che rappresenta l'istanza dell'organizzazione di Microsoft Entra ID
SourceSystem *	string	Sistema di origine per il record

* Disponibile solo per i tenant con licenze P2 Microsoft Defender per identità, Microsoft Defender for Cloud Apps o Microsoft Defender per endpoint.

Argomenti correlati

• Panoramica della rilevazione avanzata
• Capire il linguaggio delle query
• Utilizzare le query condivise
• Cercare tra dispositivi, posta elettronica, app e identità
• Comprendere lo schema
• Applicare le procedure consigliate per le query

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.