DeviceInfo
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceInfo
高度なハンティング スキーマのテーブルには、OS のバージョン、アクティブなユーザー、コンピューター名など、organization内のデバイスに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
列名 | データ型 | 説明 |
---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
ClientVersion |
string |
デバイスで実行されているエンドポイント エージェントまたはセンサーのバージョン |
PublicIP |
string |
オンボードされたデバイスがMicrosoft Defender for Endpoint サービスに接続するために使用するパブリック IP アドレス。 これは、デバイス自体の IP アドレス、NAT デバイス、またはプロキシです。 |
OSArchitecture |
string |
デバイスで実行されているオペレーティング システムのアーキテクチャ |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 これは、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
OSBuild |
long |
デバイスで実行されているオペレーティング システムのビルド バージョン |
IsAzureADJoined |
boolean |
デバイスがMicrosoft Entra IDに参加しているかどうかを示すブール値インジケーター |
JoinType |
string |
デバイスのMicrosoft Entra ID参加の種類 |
AadDeviceId |
string |
Microsoft Entra IDのデバイスの一意識別子 |
LoggedOnUsers |
string |
イベントの時点でデバイスにログオンしているすべてのユーザーの一覧を JSON 配列形式で示します |
RegistryDeviceTag |
string |
レジストリを介して追加されたデバイス タグ |
OSVersion |
string |
デバイスで実行されているオペレーティング システムのバージョン |
MachineGroup |
string |
デバイスのマシン グループ。 このグループは、デバイスへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。 |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
OnboardingStatus |
string |
デバイスが現在オンボードされているかどうか、またはデバイスがサポートされていない場合は、エンドポイントMicrosoft Defenderするかどうかを示します |
AdditionalFields |
string |
JSON 配列形式のイベントに関する追加情報 |
DeviceCategory |
string |
特定のデバイスの種類を次のカテゴリにグループ化する広範な分類: エンドポイント、ネットワーク デバイス、IoT、Unknown |
DeviceType |
string |
ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類 |
DeviceSubtype |
string |
特定の種類のデバイス (モバイル デバイスなど) の追加修飾子は、タブレットやスマートフォンなどです。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
Model |
string |
ベンダーまたは製造元の製品のモデル名または番号。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
Vendor |
string |
製品ベンダーまたは製造元の名前。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
OSDistribution |
string |
Ubuntu や RedHat for Linux プラットフォームなどの OS プラットフォームの配布 |
OSVersionInfo |
string |
一般的な名前、コード名、バージョン番号など、OS のバージョンに関する追加情報 |
MergedDeviceIds |
string |
同じデバイスに割り当てられている以前のデバイス ID |
MergedToDeviceId |
string |
デバイスに割り当てられた最新のデバイス ID |
IsInternetFacing |
boolean |
デバイスがインターネットに接続されているかどうかを示します |
SensorHealthState |
string |
デバイスの EDR センサーの正常性を示します (エンドポイントのMicrosoft Defenderにオンボードされている場合) |
IsExcluded |
bool |
デバイスが脆弱性管理エクスペリエンスのMicrosoft Defenderから現在除外されているかどうかを判断します |
ExclusionReason |
string |
デバイスの除外の理由を示します |
ExposureLevel |
string |
公開スコアに基づく悪用に対するデバイスの脆弱性のレベル。可能: 低、中、高 |
AssetValue |
string |
organizationの露出スコアを計算する場合の重要度に関連してデバイスに割り当てられた優先度または値。低、標準 (既定値)、高 |
DeviceManualTags |
string |
ポータル UI またはパブリック API を使用して手動で作成されたデバイス タグ |
DeviceDynamicTags |
string |
動的ルールに基づいて動的に追加および削除されたデバイス タグ |
ConnectivityType |
string |
デバイスからクラウドへの接続の種類 |
HostDeviceId |
string |
Linux 用 Windows サブシステムを実行しているデバイスのデバイス ID |
AzureResourceId |
string |
デバイスに関連付けられている Azure リソースの一意識別子 |
AwsResourceName |
string |
Amazon リソース名を含む Amazon Web Services デバイスに固有の一意の識別子 |
GcpFullResourceName |
string |
GCP のゾーンと ID の組み合わせを含む、Google Cloud Platform デバイスに固有の一意の識別子 |
表は DeviceInfo
、デバイスからの定期的なレポートまたは信号 (ハートビート) に基づいてデバイス情報を提供します。 完全なレポートは、1 時間ごとに送信され、以前のハートビートに変更が発生するたびに送信されます。
次のサンプル クエリを使用して、デバイスの最新の状態を取得できます。
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。