Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La IdentityInfo tabella nello schema di ricerca avanzata contiene informazioni sugli account utente ottenuti da vari servizi, tra cui Microsoft Entra ID. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Questa tabella è stata rinominata da AccountInfo. Durante le ridenominazioni, tutte le query salvate nel portale vengono aggiornate automaticamente. Controllare le query salvate altrove.
Microsoft Sentinel usa una versione leggermente espansa di questa tabella in Log Analytics. Per altre informazioni, vedere Microsoft Sentinel riferimento UEBA | Tabella IdentityInfo
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
Lo schema seguente è lo schema unificato IdentityInfo che semplifica una tabella simile nell'analisi dei log di Microsoft Sentinel e in Microsoft Defender XDR ricerca avanzata. Il set completo di colonne è disponibile per gli utenti del portale di Defender che hanno eseguito l'onboarding Microsoft Sentinel e attivato il servizio User and Entity Behavior Analytics (UEBA).
Gli utenti del portale di Defender che non hanno eseguito l'onboarding di un'area di lavoro Microsoft Sentinel con il servizio UEBA attivato non possono visualizzare colonne specifiche di UEBA. Leggere le colonne specifiche di UEBA.
Questa tabella di ricerca avanzata viene popolata da record di Microsoft Defender per identità o Microsoft Sentinel e Microsoft Entra ID. Se l'organizzazione non ha distribuito il servizio in Microsoft Defender XDR, le query che usano la tabella non funzioneranno o restituiscono risultati. Per altre informazioni su come distribuire Defender per identità in Defender XDR, vedere Distribuire i servizi supportati.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp
*
|
datetime |
Data e ora in cui la riga è stata scritta nel database. Viene usato quando sono presenti più righe per ogni identità, ad esempio quando viene rilevata una modifica o se sono passate 24 ore dall'aggiunta dell'ultima riga di database. |
ReportId
*
|
string |
Identificatore univoco per l'evento |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
OnPremSid |
string |
Identificatore di sicurezza locale (SID) dell'account |
AccountDisplayName |
string |
Nome dell'utente dell'account visualizzato nella rubrica. In genere una combinazione di un nome specificato o di un nome, un iniziale centrale e un cognome o un cognome. |
AccountName |
string |
Nome utente dell'account |
AccountDomain
*
|
string |
Dominio dell'account |
CriticalityLevel |
int |
Punteggio di criticità dell'account |
Type
*
|
string |
Tipo di identità; valori possibili: User, ServiceAccount |
DistinguishedName
*
|
stringa | Nome distinto dell'utente |
CloudSid |
string |
Identificatore di sicurezza cloud dell'account |
GivenName |
string |
Nome specificato o nome dell'utente dell'account |
Surname |
string |
Cognome, nome della famiglia o cognome dell'utente dell'account |
Department |
string |
Nome del reparto a cui appartiene l'utente dell'account |
JobTitle |
string |
Titolo del processo dell'utente dell'account |
EmailAddress |
string |
Indirizzo SMTP dell'account |
SipProxyAddress |
string |
Indirizzo SIP (Session Initiation Protocol) voice over IP (VOIP) dell'account |
Address |
string |
Indirizzo dell'utente dell'account |
City |
string |
Città in cui si trova l'utente dell'account |
Country |
string |
Paese/area geografica in cui si trova l'utente dell'account |
IsAccountEnabled |
boolean |
Indica se l'account è abilitato o meno |
Manager
*
|
string |
Il responsabile elencato dell'utente dell'account |
Phone
*
|
string |
Numero di telefono elencato dell'utente dell'account |
CreatedDateTime
*
|
datetime |
Data e ora di creazione dell'utente dell'account |
ChangeSource
*
|
string |
Identifica il provider di identità o il processo che ha attivato l'aggiunta della nuova riga. Ad esempio, il System-UserPersistence valore viene usato per tutte le righe aggiunte da un processo automatizzato. |
BlastRadius |
string |
Calcolo basato sulla posizione dell'utente nell'albero dell'organizzazione e sui ruoli e le autorizzazioni Microsoft Entra dell'utente; valori possibili: Basso, Medio, Alto |
CompanyName |
string |
Nome della società per cui l'utente lavora |
DeletedDateTime |
datetime |
Data e ora di eliminazione dell'account utente |
EmployeeId |
string |
Identificatore dipendente assegnato all'utente dall'organizzazione |
OtherMailAddresses |
dynamic |
Indirizzi di posta elettronica aggiuntivi dell'account utente |
RiskLevel |
string |
Microsoft Entra ID livello di rischio dell'account utente; valori possibili: Basso, Medio, Alto |
RiskLevelDetails |
string |
Dettagli relativi al livello di rischio Microsoft Entra ID |
State |
string |
Stato in cui si è verificato l'accesso, se disponibile |
Tags
*
|
dynamic |
Tag assegnati all'utente dell'account da Defender per identità |
AssignedRoles
*
|
dynamic |
Per le identità di sola Microsoft Entra, i ruoli assegnati all'utente dell'account |
PrivilegedEntraPimRoles (Anteprima) ** |
dynamic |
Snapshot delle pianificazioni delle assegnazioni di ruolo con privilegi e delle pianificazioni di idoneità per l'account come gestito da Microsoft Entra Privileged Identity Management (escluse le assegnazioni attivate) |
TenantId |
string |
Identificatore univoco che rappresenta l'istanza dell'organizzazione di Microsoft Entra ID |
SourceSystem
*
|
string |
Sistema di origine per il record |
OnPremObjectId |
string |
ID oggetto Active Directory dell'utente |
TenantMembershipType |
string |
Tipo di utente in Microsoft Entra ID; valori possibili: Guest, Member |
RiskStatus |
string |
Stato del rischio dell'utente; valori possibili: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue |
UserAccountControl |
string |
Attributi di sicurezza dell'account utente nel dominio di Active Directory |
IdentityEnvironment |
string |
Ambiente in cui viene usata l'identità; valori possibili: CloudOnly, Hybrid, Locale |
SourceProviders |
dynamic |
Provider di origine degli account per l'identità; valori possibili: ActiveDirectory, EntraID, Okta |
GroupMembership |
dynamic |
Microsoft Entra ID gruppi in cui l'account utente è membro |
* Disponibile solo per i tenant con licenze P2 Microsoft Defender per identità, Microsoft Defender for Cloud Apps o Microsoft Defender per endpoint.
** Disponibile solo per i tenant con Microsoft Defender per identità.
Colonne specifiche di UEBA
Se si usa il portale di Microsoft Defender ma non è stato eseguito l'onboarding di un'area di lavoro Microsoft Sentinel con il servizio UEBA attivato, le colonne seguenti non sono disponibili nella IdentityInfo tabella:
BlastRadiusCompanyNameDeletedDateTimeEmployeeIdOtherMailAddressesRiskLevelRiskLevelDetailsStateTags
Per altre informazioni su UEBA, vedere Rilevamento avanzato delle minacce con UEBA (User and Entity Behavior Analytics) in Microsoft Sentinel. Per altre informazioni sulle diverse origini dati in UEBA, vedere Microsoft Sentinel riferimento UEBA.
Articoli correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.