table d’informations réseau des appareils Microsoft Defender pour point de terminaison s (MDE). Ce tableau contient les propriétés réseau des machines, notamment les cartes, les adresses IP et MAC, ainsi que les réseaux et domaines connectés.
Attributs de table
Attribut
Valeur
Types de ressources
-
Catégories
Sécurité
Solutions
SecurityInsights
Journal de base
Non
Transformation au moment de l’ingestion
Oui
Exemples de requêtes
-
Colonnes
Colonne
Type
Description
_BilledSize
real
Taille de l’enregistrement en octets
ConnectedNetworks
dynamic
Réseaux auxquels l’adaptateur est connecté. Chaque élément JSON du tableau contient le nom du réseau, la catégorie (public, privé ou domaine), une description et un indicateur indiquant s’il est connecté publiquement à Internet.
DefaultGateways
dynamic
Adresses de passerelle par défaut au format de tableau JSON.
DeviceId
string
Identificateur unique de l’appareil dans le service.
DeviceName
string
Nom de domaine complet (FQDN) de l’appareil.
DnsAddresses
dynamic
Adresses de serveur DNS au format de tableau JSON.
IPAddresses
dynamic
Tableau JSON contenant toutes les adresses IP affectées à l’adaptateur, ainsi que leur préfixe de sous-réseau respectif et la classe IP (RFC 1918 &RFC 4291).
IPv4Dhcp
string
Adresse IPv4 du serveur DHCP configuré.
IPv6Dhcp
string
Adresse IPv6 du serveur DHCP configuré.
_IsBillable
string
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
MacAddress
string
Adresse MAC de la carte réseau.
MachineGroup
string
Groupe d’ordinateurs auquel cet ordinateur est associé. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur.
NetworkAdapterName
string
Nom de la carte réseau.
NetworkAdapterStatus
string
État opérationnel de la carte réseau.
NetworkAdapterType
string
Type de carte réseau.
NetworkAdapterVendor
string
Nom du fabricant ou du fournisseur de la carte réseau.
ReportId
long
Identificateur d’événement basé sur un compteur répétitif. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et/ou Timestamp.
SourceSystem
string
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
TenantId
string
ID de l’espace de travail Log Analytics
TimeGenerated
DATETIME
Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison.
TunnelType
string
Protocole de tunneling, lorsque l’interface est utilisée à cet effet, par exemple 6to4, Teredo, ISATAP, PPTP, SSTP et SSH.