Freigeben über


DeviceInfo

Gilt für:

  • Microsoft Defender XDR
  • Microsoft Defender für Endpunkt

Die DeviceInfo Tabelle im Schema der erweiterten Suche enthält Informationen zu Geräten im organization, einschließlich Betriebssystemversion, aktiver Benutzer und Computername. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der letzten Aufzeichnung für das Gerät
DeviceId string Eindeutiger Bezeichner für das Gerät im Dienst
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
ClientVersion string Version des Endpunkt-Agents oder -Sensors, der auf dem Gerät ausgeführt wird
PublicIP string Öffentliche IP-Adresse, die vom integrierten Gerät verwendet wird, um eine Verbindung mit dem Microsoft Defender for Endpoint-Dienst herzustellen. Dies kann die IP-Adresse des Geräts selbst, ein NAT-Gerät oder ein Proxy sein.
OSArchitecture string Architektur des Betriebssystems, das auf dem Gerät ausgeführt wird
OSPlatform string Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird. Dies gibt bestimmte Betriebssysteme an, einschließlich Variationen innerhalb derselben Familie, z. B. Windows 11, Windows 10 und Windows 7.
OSBuild long Buildversion des Betriebssystems, das auf dem Gerät ausgeführt wird
IsAzureADJoined boolean Boolescher Indikator, ob das Gerät mit dem Microsoft Entra ID
JoinType string Der Microsoft Entra ID Jointyp des Geräts
AadDeviceId string Eindeutiger Bezeichner für das Gerät in Microsoft Entra ID
LoggedOnUsers string Liste aller Benutzer, die zum Zeitpunkt des Ereignisses auf dem Gerät angemeldet sind, im JSON-Arrayformat
RegistryDeviceTag string Gerätetag, das über die Registrierung hinzugefügt wurde
OSVersion string Version des Betriebssystems, das auf dem Gerät ausgeführt wird
MachineGroup string Computergruppe des Geräts. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf das Gerät zu bestimmen.
ReportId long Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden.
OnboardingStatus string Gibt an, ob das Gerät derzeit in Microsoft Defender Für Endpunkt integriert ist oder nicht, oder ob das Gerät nicht unterstützt wird.
AdditionalFields string Zusätzliche Informationen zum Ereignis im JSON-Arrayformat
DeviceCategory string Eine umfassendere Klassifizierung, die bestimmte Gerätetypen unter den folgenden Kategorien gruppiert: Endpunkt, Netzwerkgerät, IoT, Unbekannt
DeviceType string Gerätetyp basierend auf Zweck und Funktionalität, z. B. Netzwerkgerät, Arbeitsstation, Server, Mobilgerät, Spielkonsole oder Drucker
DeviceSubtype string Zusätzlicher Modifizierer für bestimmte Gerätetypen, z. B. ein mobiles Gerät kann ein Tablet oder ein Smartphone sein; nur verfügbar, wenn die Geräteermittlung genügend Informationen zu diesem Attribut findet
Model string Modellname oder -nummer des Produkts vom Anbieter oder Hersteller, nur verfügbar, wenn die Geräteermittlung genügend Informationen zu diesem Attribut findet
Vendor string Name des Produktanbieters oder -herstellers, nur verfügbar, wenn die Geräteermittlung genügend Informationen zu diesem Attribut findet
OSDistribution string Verteilung der Betriebssystemplattform, z. B. Ubuntu oder RedHat für Linux-Plattformen
OSVersionInfo string Zusätzliche Informationen zur Betriebssystemversion, z. B. der beliebte Name, der Codename oder die Versionsnummer
MergedDeviceIds string Vorherige Geräte-IDs, die demselben Gerät zugewiesen wurden
MergedToDeviceId string Die neueste Geräte-ID, die einem Gerät zugewiesen ist
IsInternetFacing boolean Gibt an, ob das Gerät mit Internetzugriff verbunden ist
SensorHealthState string Gibt die Integrität des EDR-Sensors des Geräts an, wenn das Onboarding in Microsoft Defender For Endpoint erfolgt ist.
IsExcluded bool Bestimmt, ob das Gerät derzeit von Microsoft Defender für die Sicherheitsrisikoverwaltung ausgeschlossen ist.
ExclusionReason string Gibt den Grund für den Geräteausschluss an
ExposureLevel string Der Grad der Ausnutzungsanfälligkeit des Geräts basierend auf seiner Expositionsbewertung; kann sein: Niedrig, Mittel, Hoch
AssetValue string Priorität oder Wert, die dem Gerät in Bezug auf seine Bedeutung bei der Berechnung der Organization-Expositionsbewertung zugewiesen wird; kann sein: Niedrig, Normal (Standard), Hoch
DeviceManualTags string Gerätetags, die manuell über die Portal-Benutzeroberfläche oder die öffentliche API erstellt werden
DeviceDynamicTags string Basierend auf dynamischen Regeln hinzugefügte und entfernte Gerätetags
ConnectivityType string Art der Konnektivität vom Gerät zur Cloud
HostDeviceId string Geräte-ID des Geräts, auf dem Windows-Subsystem für Linux ausgeführt wird
AzureResourceId string Eindeutiger Bezeichner der Azure-Ressource, die dem Gerät zugeordnet ist
AwsResourceName string Eindeutiger Bezeichner, der für Amazon Web Services-Geräte spezifisch ist und den Amazon-Ressourcennamen enthält
GcpFullResourceName string Eindeutiger Bezeichner, der für Google Cloud Platform-Geräte spezifisch ist und eine Kombination aus Zone und ID für GCP enthält

Die DeviceInfo Tabelle enthält Geräteinformationen basierend auf regelmäßigen Berichten oder Signalen (Takten) von einem Gerät. Vollständige Berichte werden stündlich und jedes Mal gesendet, wenn eine Änderung an einem vorherigen Heartbeat erfolgt.

Sie können die folgende Beispielabfrage verwenden, um den aktuellen Zustand eines Geräts abzurufen:

// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.