Compartir a través de


DeviceInfo

Se aplica a:

  • Microsoft Defender XDR
  • Microsoft Defender para punto de conexión

La DeviceInfo tabla del esquema de búsqueda avanzada contiene información sobre los dispositivos de la organización, incluida la versión del sistema operativo, los usuarios activos y el nombre del equipo. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Última fecha y hora registradas para el dispositivo
DeviceId string Identificador único del dispositivo en el servicio
DeviceName string Nombre de dominio completo (FQDN) del dispositivo
ClientVersion string Versión del agente o sensor de punto de conexión que se ejecuta en el dispositivo
PublicIP string Dirección IP pública que usa el dispositivo incorporado para conectarse al servicio Microsoft Defender para punto de conexión. Podría ser la dirección IP del propio dispositivo, un dispositivo NAT o un proxy.
OSArchitecture string Arquitectura del sistema operativo que se ejecuta en el dispositivo
OSPlatform string Plataforma del sistema operativo que se ejecuta en el dispositivo. Esto indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7.
OSBuild long Compilación de la versión del sistema operativo que se ejecuta en el dispositivo
IsAzureADJoined boolean Indicador booleano de si el dispositivo está unido al Microsoft Entra ID
JoinType string Tipo de combinación Microsoft Entra ID del dispositivo
AadDeviceId string Identificador único del dispositivo en Microsoft Entra ID
LoggedOnUsers string Lista de todos los usuarios que han iniciado sesión en el dispositivo en el momento del evento en formato de matriz JSON
RegistryDeviceTag string Etiqueta de dispositivo agregada a través del Registro
OSVersion string Versión del sistema operativo que se ejecuta en el dispositivo
MachineGroup string Grupo de máquinas del dispositivo. El control de acceso basado en rol usa este grupo para determinar el acceso al dispositivo.
ReportId long Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp.
OnboardingStatus string Indica si el dispositivo está incorporado actualmente o no para Microsoft Defender para punto de conexión o si no se admite el dispositivo.
AdditionalFields string Información adicional sobre el evento en formato de matriz JSON
DeviceCategory string Clasificación más amplia que agrupa determinados tipos de dispositivos en las siguientes categorías: Punto de conexión, Dispositivo de red, IoT, Desconocido
DeviceType string Tipo de dispositivo basado en el propósito y la funcionalidad, como dispositivo de red, estación de trabajo, servidor, móvil, consola de juegos o impresora
DeviceSubtype string Modificador adicional para ciertos tipos de dispositivos, por ejemplo, un dispositivo móvil puede ser una tableta o un smartphone; solo está disponible si la detección de dispositivos encuentra suficiente información sobre este atributo.
Model string Nombre del modelo o número del producto del proveedor o fabricante, solo disponible si la detección de dispositivos encuentra suficiente información sobre este atributo.
Vendor string Nombre del proveedor o fabricante del producto, solo disponible si la detección de dispositivos encuentra suficiente información sobre este atributo.
OSDistribution string Distribución de la plataforma del sistema operativo, como Ubuntu o RedHat para plataformas Linux
OSVersionInfo string Información adicional sobre la versión del sistema operativo, como el nombre popular, el nombre de código o el número de versión
MergedDeviceIds string Identificadores de dispositivo anteriores asignados al mismo dispositivo
MergedToDeviceId string El identificador de dispositivo más reciente asignado a un dispositivo
IsInternetFacing boolean Indica si el dispositivo está orientado a Internet
SensorHealthState string Indica el estado del sensor EDR del dispositivo, si se incorpora a Microsoft Defender Para punto de conexión
IsExcluded bool Determina si el dispositivo está actualmente excluido de Microsoft Defender para las experiencias de administración de vulnerabilidades
ExclusionReason string Indica el motivo de la exclusión del dispositivo
ExposureLevel string El nivel de vulnerabilidad del dispositivo a la explotación en función de su puntuación de exposición; puede ser: Baja, Media, Alta
AssetValue string Prioridad o valor asignado al dispositivo en relación con su importancia en la computación de la puntuación de exposición de la organización; puede ser: Bajo, Normal (predeterminado), Alto
DeviceManualTags string Etiquetas de dispositivo creadas manualmente mediante la interfaz de usuario del portal o la API pública
DeviceDynamicTags string Etiquetas de dispositivo agregadas y eliminadas dinámicamente en función de reglas dinámicas
ConnectivityType string Tipo de conectividad desde el dispositivo a la nube
HostDeviceId string Id. de dispositivo del dispositivo que ejecuta Subsistema de Windows para Linux
AzureResourceId string Identificador único del recurso de Azure asociado al dispositivo
AwsResourceName string Identificador único específico de los dispositivos de Amazon Web Services, que contiene el nombre del recurso de Amazon
GcpFullResourceName string Identificador único específico de los dispositivos de Google Cloud Platform, que contiene una combinación de zona e identificador para GCP

La DeviceInfo tabla proporciona información del dispositivo basada en informes periódicos o señales (latidos) de un dispositivo. Los informes completos se envían cada hora y cada vez que se produce un cambio en un latido anterior.

Puede usar la siguiente consulta de ejemplo para obtener el estado más reciente de un dispositivo:

// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.