DeviceInfo
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceInfo
Kehittyneen metsästysrakenteen taulukko sisältää tietoja organisaation laitteista, mukaan lukien käyttöjärjestelmän versio, aktiiviset käyttäjät ja tietokoneen nimi. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
Sarakkeen nimi | Tietotyyppi | Kuvaus |
---|---|---|
Timestamp |
datetime |
Laitteen viimeisin tallennettu päivämäärä ja kellonaika |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
ClientVersion |
string |
Laitteessa käynnissä olevan päätepisteagentin tai tunnistimen versio |
PublicIP |
string |
Julkinen IP-osoite, jota perehdytyslaite käyttää yhteyden muodostamiseksi Microsoft Defender for Endpoint palveluun. Tämä voi olla laitteen, NAT-laitteen tai välityspalvelimen IP-osoite. |
OSArchitecture |
string |
Laitteessa toimivan käyttöjärjestelmän arkkitehtuuri |
OSPlatform |
string |
Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien samassa perheessä olevia muunnelmia, kuten Windows 11, Windows 10 ja Windows 7. |
OSBuild |
long |
Laitteessa suoritettavan käyttöjärjestelmän koontiversio |
IsAzureADJoined |
boolean |
Totuusarvoilmaisin siitä, onko laite liitetty Microsoft Entra ID |
JoinType |
string |
Laitteen Microsoft Entra ID liitostyyppi |
AadDeviceId |
string |
Laitteen yksilöllinen tunniste kohteessa Microsoft Entra ID |
LoggedOnUsers |
string |
Luettelo kaikista laitteessa kirjautuneiden käyttäjien luettelosta tapahtuman aikana JSON-matriisimuodossa |
RegistryDeviceTag |
string |
Laitetunniste lisätty rekisterin kautta |
OSVersion |
string |
Laitteessa suoritettavan käyttöjärjestelmän versio |
MachineGroup |
string |
Laitteen koneryhmä. Roolipohjainen käytönvalvonta käyttää tätä ryhmää laitteen käyttöoikeuksien määrittämiseen. |
ReportId |
long |
Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa. |
OnboardingStatus |
string |
Ilmaisee, onko laite tällä hetkellä käytössä vai ei, Microsoft Defender Päätepisteelle vai eikö laitetta tueta |
AdditionalFields |
string |
Lisätietoja tapahtumasta JSON-matriisimuodossa |
DeviceCategory |
string |
Laajempi luokitus, joka ryhmittelee tietyt laitetyypit seuraaviin luokkiin: Päätepiste, Verkkolaite, IoT, Tuntematon |
DeviceType |
string |
Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella |
DeviceSubtype |
string |
Lisämuokkaus tietyntyyppisille laitteille, esimerkiksi mobiililaitteelle voi olla tabletti tai älypuhelin; käytettävissä vain, jos laiteetsintä löytää tarpeeksi tietoja tästä määritteesta |
Model |
string |
Toimittajan tai valmistajan tuotteen mallinimi tai numero, käytettävissä vain, jos laiteetsintä löytää riittävästi tietoja tästä määritteestä |
Vendor |
string |
Tuotteen toimittajan tai valmistajan nimi, käytettävissä vain, jos laiteetsintä löytää riittävästi tietoja tästä määritteestä |
OSDistribution |
string |
Käyttöjärjestelmäympäristön, kuten Ubuntun tai RedHat for Linux -ympäristöjen, jakelu |
OSVersionInfo |
string |
Lisätietoja käyttöjärjestelmän versiosta, kuten suosittu nimi, koodin nimi tai versionumero |
MergedDeviceIds |
string |
Edelliset laitetunnukset, jotka on määritetty samalle laitteelle |
MergedToDeviceId |
string |
Laitteelle määritetty uusin laitetunnus |
IsInternetFacing |
boolean |
Ilmaisee, onko laite internetiin päin |
SensorHealthState |
string |
Ilmaisee laitteen EDR-tunnistimen kunnon, jos se on otettu Microsoft Defender Päätepisteelle |
IsExcluded |
bool |
Määrittää, onko laite tällä hetkellä pois Microsoft Defender heikkouksien hallintakokemuksissa |
ExclusionReason |
string |
Ilmaisee laitteen poissulkemisen syyn |
ExposureLevel |
string |
Laitteen haavoittuvuus riistolle sen altistumispisteiden perusteella; voi olla: pieni, keskikokoinen, suuri |
AssetValue |
string |
Laitteelle määritetty prioriteetti tai arvo suhteessa sen merkitykseen organisaation altistumispisteiden käsittelyssä; voi olla: pieni, normaali (oletus), suuri |
DeviceManualTags |
string |
Laitetunnisteet, jotka on luotu manuaalisesti portaalin käyttöliittymän tai julkisen ohjelmointirajapinnan avulla |
DeviceDynamicTags |
string |
Laitetunnisteet on lisätty ja poistettu dynaamisesti dynaamisten sääntöjen perusteella |
ConnectivityType |
string |
Yhteystyyppi laitteesta pilvipalveluun |
HostDeviceId |
string |
Windows-alijärjestelmä Linuxille käynnissä olevan laitteen laitetunnus |
AzureResourceId |
string |
Laitteeseen liittyvän Azure-resurssin yksilöllinen tunnus |
AwsResourceName |
string |
Amazon Web Services -laitteille määritetty yksilöllinen tunniste, joka sisältää Amazon-resurssin nimen |
GcpFullResourceName |
string |
Google Cloud Platform -laitteille määritetty yksilöllinen tunniste, joka sisältää vyöhykkeen ja tunnuksen yhdistelmän GCP:lle |
Taulukko DeviceInfo
sisältää laitetietoja, jotka perustuvat laitteen säännöllisiin raportteihin tai signaaleihin (sykkeet). Valmiit raportit lähetetään tunnin välein, ja aina kun edelliseen sykkeeksi tehdään muutos.
Voit käyttää seuraavaa mallikyselyä laitteen uusimman tilan saamiseksi:
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.