DeviceInfo
Platí pro:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Tabulka DeviceInfo
ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o zařízeních v organizaci, včetně verze operačního systému, aktivních uživatelů a názvu počítače. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
Název sloupce | Datový typ | Popis |
---|---|---|
Timestamp |
datetime |
Poslední datum a čas zaznamenaný pro zařízení |
DeviceId |
string |
Jedinečný identifikátor zařízení ve službě |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
ClientVersion |
string |
Verze agenta koncového bodu nebo senzoru spuštěného na zařízení |
PublicIP |
string |
Veřejná IP adresa používaná onboardovaným zařízením pro připojení ke službě Microsoft Defender for Endpoint. Může to být IP adresa samotného zařízení, zařízení NAT nebo proxy server. |
OSArchitecture |
string |
Architektura operačního systému spuštěného na zařízení |
OSPlatform |
string |
Platforma operačního systému spuštěného na zařízení To označuje konkrétní operační systémy, včetně variant ve stejné rodině, jako jsou Windows 11, Windows 10 a Windows 7. |
OSBuild |
long |
Sestavení verze operačního systému spuštěného na zařízení |
IsAzureADJoined |
boolean |
Logický indikátor toho, jestli je zařízení připojené k Microsoft Entra ID |
JoinType |
string |
Typ připojení Microsoft Entra ID zařízení |
AadDeviceId |
string |
Jedinečný identifikátor zařízení v Microsoft Entra ID |
LoggedOnUsers |
string |
Seznam všech uživatelů, kteří jsou k zařízení přihlášeni v době události v poli formátu JSON |
RegistryDeviceTag |
string |
Značka zařízení přidaná prostřednictvím registru |
OSVersion |
string |
Verze operačního systému spuštěného na zařízení |
MachineGroup |
string |
Skupina počítačů zařízení. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k zařízení. |
ReportId |
long |
Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp. |
OnboardingStatus |
string |
Označuje, jestli je zařízení aktuálně onboardované nebo ne k Microsoft Defender Pro koncový bod nebo jestli zařízení není podporované. |
AdditionalFields |
string |
Další informace o události ve formátu pole JSON |
DeviceCategory |
string |
Širší klasifikace, která seskupuje určité typy zařízení do následujících kategorií: Koncový bod, Síťové zařízení, IoT, Neznámé |
DeviceType |
string |
Typ zařízení na základě účelu a funkčnosti, jako je síťové zařízení, pracovní stanice, server, mobilní zařízení, herní konzole nebo tiskárna |
DeviceSubtype |
string |
Další modifikátor pro určité typy zařízení, například mobilní zařízení může být tablet nebo smartphone; k dispozici pouze v případě, že zjišťování zařízení najde dostatek informací o tomto atributu |
Model |
string |
Název modelu nebo číslo produktu od dodavatele nebo výrobce, k dispozici pouze v případě, že zjišťování zařízení najde dostatek informací o tomto atributu |
Vendor |
string |
Název dodavatele nebo výrobce produktu, který je k dispozici pouze v případě, že zjišťování zařízení najde dostatek informací o tomto atributu |
OSDistribution |
string |
Distribuce platformy operačního systému, jako je Ubuntu nebo RedHat pro platformy Linux |
OSVersionInfo |
string |
Další informace o verzi operačního systému, jako je oblíbený název, název kódu nebo číslo verze |
MergedDeviceIds |
string |
Předchozí ID zařízení, která byla přiřazena ke stejnému zařízení |
MergedToDeviceId |
string |
Nejnovější ID zařízení přiřazené k zařízení |
IsInternetFacing |
boolean |
Označuje, jestli je zařízení přístupné z internetu. |
SensorHealthState |
string |
Indikuje stav senzoru EDR zařízení, pokud je nasazený do Microsoft Defender Pro koncový bod. |
IsExcluded |
bool |
Určuje, jestli je zařízení aktuálně vyloučené z Microsoft Defender pro prostředí správy ohrožení zabezpečení. |
ExclusionReason |
string |
Označuje důvod vyloučení zařízení. |
ExposureLevel |
string |
Úroveň ohrožení zabezpečení zařízení vůči zneužití na základě jeho skóre expozice; může být: Nízká, Střední, Vysoká |
AssetValue |
string |
Priorita nebo hodnota přiřazená zařízení ve vztahu k jeho důležitosti při výpočtu skóre expozice organizace; může být: Nízká, Normální (výchozí), Vysoká |
DeviceManualTags |
string |
Značky zařízení vytvořené ručně pomocí uživatelského rozhraní portálu nebo veřejného rozhraní API |
DeviceDynamicTags |
string |
Dynamické přidání a odebrání značek zařízení na základě dynamických pravidel |
ConnectivityType |
string |
Typ připojení ze zařízení do cloudu |
HostDeviceId |
string |
ID zařízení se systémem Subsystém Windows pro Linux |
AzureResourceId |
string |
Jedinečný identifikátor prostředku Azure přidruženého k zařízení |
AwsResourceName |
string |
Jedinečný identifikátor specifický pro zařízení Amazon Web Services obsahující název prostředku Amazon |
GcpFullResourceName |
string |
Jedinečný identifikátor specifický pro zařízení Google Cloud Platform, který obsahuje kombinaci zóny a ID pro GCP |
Tabulka DeviceInfo
obsahuje informace o zařízení na základě pravidelných sestav nebo signálů (prezenčních signálů) ze zařízení. Úplné sestavy se odesílají každou hodinu a pokaždé, když dojde ke změně předchozího prezenčních signálů.
K získání nejnovějšího stavu zařízení můžete použít následující ukázkový dotaz:
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.