Del via

DeviceInfo

  • Artikel

Gælder for:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

Tabellen DeviceInfo i det avancerede jagtskema indeholder oplysninger om enheder i organisationen, herunder operativsystemversion, aktive brugere og computernavn. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Seneste dato og klokkeslæt, der er registreret for enheden
DeviceId string Entydigt id for enheden i tjenesten
DeviceName string Fuldt domænenavn (FQDN) for enheden
ClientVersion string Version af slutpunktsagenten eller -sensoren, der kører på enheden
PublicIP string Offentlig IP-adresse, der bruges af den onboardede enhed til at oprette forbindelse til Microsoft Defender for Endpoint-tjenesten. Det kan være IP-adressen på selve enheden, en NAT-enhed eller en proxy.
OSArchitecture string Arkitekturen i operativsystemet, der kører på enheden
OSPlatform string Platform for det operativsystem, der kører på enheden. Dette angiver specifikke operativsystemer, herunder variationer inden for den samme familie, f.eks. Windows 11, Windows 10 og Windows 7.
OSBuild long Opret version af operativsystemet, der kører på enheden
IsAzureADJoined boolean Boolesk indikator for, om enheden er tilsluttet Microsoft Entra ID
JoinType string Enhedens Microsoft Entra ID joinforbindelsestype
AadDeviceId string Entydigt id for enheden i Microsoft Entra ID
LoggedOnUsers string Liste over alle brugere, der er logget på enheden på tidspunktet for hændelsen i JSON-matrixformat
RegistryDeviceTag string Enhedsmærke tilføjet via registreringsdatabasen
OSVersion string Version af operativsystemet, der kører på enheden
MachineGroup string Computergruppe for enheden. Denne gruppe bruges af rollebaseret adgangskontrol til at bestemme adgangen til enheden.
ReportId long Hændelses-id baseret på en gentaget tæller. Hvis du vil identificere entydige hændelser, skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp.
OnboardingStatus string Angiver, om enheden i øjeblikket er onboardet til Microsoft Defender For Endpoint, eller om enheden ikke understøttes
AdditionalFields string Yderligere oplysninger om hændelsen i JSON-matrixformat
DeviceCategory string Bredere klassificering, der grupperer visse enhedstyper under følgende kategorier: Slutpunkt, Netværksenhed, IoT, Ukendt
DeviceType string Enhedstype baseret på formål og funktionalitet, f.eks. netværksenhed, arbejdsstation, server, mobil, spillekonsol eller printer
DeviceSubtype string Yderligere modifikator til visse typer enheder, for eksempel kan en mobilenhed være en tablet eller en smartphone; kun tilgængelig, hvis enhedsregistreringen finder tilstrækkelige oplysninger om denne attribut
Model string Modelnavn eller produktnummer fra leverandøren eller producenten, kun tilgængeligt, hvis enhedsregistreringen finder tilstrækkelige oplysninger om denne attribut
Vendor string Navnet på produktleverandøren eller -producenten, kun tilgængelig, hvis enhedsregistreringen finder tilstrækkelige oplysninger om denne attribut
OSDistribution string Distribution af OS-platformen, f.eks. Ubuntu- eller RedHat til Linux-platforme
OSVersionInfo string Yderligere oplysninger om operativsystemversionen, f.eks. det populære navn, kodenavn eller versionsnummer
MergedDeviceIds string Tidligere enheds-id'er, der er tildelt den samme enhed
MergedToDeviceId string Det nyeste enheds-id, der er tildelt en enhed
IsInternetFacing boolean Angiver, om enheden er på internettet
SensorHealthState string Angiver tilstanden af enhedens EDR-sensor, hvis den er onboardet til Microsoft Defender For Endpoint
IsExcluded bool Bestemmer, om enheden i øjeblikket er udelukket fra Microsoft Defender i forbindelse med oplevelser med administration af sårbarheder
ExclusionReason string Angiver årsagen til enhedsudeladelse
ExposureLevel string Enhedens sårbarhed over for udnyttelse baseret på dens eksponeringsscore; kan være: Lav, Mellem, Høj
AssetValue string Prioritet eller værdi, der er tildelt enheden i forhold til dens betydning for beregning af organisationens eksponeringsscore; kan være: Lav, Normal (standard), Høj
DeviceManualTags string Enhedskoder, der er oprettet manuelt ved hjælp af portalbrugergrænsefladen eller den offentlige API
DeviceDynamicTags string Enhedskoder tilføjes og fjernes dynamisk baseret på dynamiske regler
ConnectivityType string Forbindelsestype fra enheden til skyen
HostDeviceId string Enheds-id for den enhed, der kører Windows-undersystem til Linux
AzureResourceId string Entydigt id for den Azure-ressource, der er knyttet til enheden
AwsResourceName string Entydigt id, der er specifikt for Amazon Web Services-enheder, og som indeholder Amazon-ressourcenavnet
GcpFullResourceName string Entydigt id, der er specifikt for Google Cloud Platform-enheder, og som indeholder en kombination af zone og id for GCP

Tabellen DeviceInfo indeholder enhedsoplysninger baseret på periodiske rapporter eller signaler (impulser) fra en enhed. Komplette rapporter sendes hver time, og hver gang en ændring sker med en tidligere impuls.

Du kan bruge følgende eksempelforespørgsel til at få den nyeste tilstand for en enhed:

// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.