Microsoft Defender para punto de conexión s (MDE) tabla de información de red del dispositivo. Esta tabla contiene propiedades de red de máquinas, incluidos adaptadores, direcciones IP y MAC, así como redes y dominios conectados.
Atributos de tabla
Attribute
Valor
Tipos de recursos
-
Categorías
Seguridad
Soluciones
Información de seguridad
Registro básico
No
Transformación en tiempo de ingesta
Sí
Consultas de ejemplo
-
Columnas
Columna
Type
Descripción
_BilledSize
real
Tamaño del registro en bytes
ConnectedNetworks
dinámico
Redes a las que está conectado el adaptador. Cada elemento JSON de la matriz contiene el nombre de red, la categoría (público, privado o dominio), una descripción y una marca que indica si está conectado públicamente a Internet.
DefaultGateways
dinámico
Direcciones de puerta de enlace predeterminadas en formato de matriz JSON.
DeviceId
string
Identificador único del dispositivo en el servicio.
DeviceName
string
Nombre de dominio completo (FQDN) del dispositivo.
DnsAddresses
dinámico
Direcciones del servidor DNS en formato de matriz JSON.
IPAddresses
dinámico
Matriz JSON que contiene todas las direcciones IP asignadas al adaptador, junto con su prefijo de subred respectivo y la clase IP (RFC 1918 y RFC 4291).
IPv4Dhcp
string
Dirección IPv4 del servidor DHCP configurado.
IPv6Dhcp
string
Dirección IPv6 del servidor DHCP configurado.
_IsBillable
string
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
MacAddress
string
Dirección MAC del adaptador de red.
MachineGroup
string
Grupo de máquinas al que está asociada esta máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina.
NetworkAdapterName
string
Nombre del adaptador de red.
NetworkAdapterStatus
string
Estado operativo del adaptador de red.
NetworkAdapterType
string
Tipo de adaptador de red.
NetworkAdapterVendor
string
Nombre del fabricante o proveedor del adaptador de red.
ReportId
long
Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName o Timestamp.
SourceSystem
string
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
TenantId
string
Id. del área de trabajo de Log Analytics
TimeGenerated
datetime
Fecha y hora en que el agente de MDE registró el evento en el punto de conexión.
TunnelType
string
Protocolo de tunelización, cuando la interfaz se usa para este propósito, por ejemplo 6to4, Teredo, ISATAP, PPTP, SSTP y SSH.