DeviceInfo
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt
Tabellen DeviceInfo i det avanserte jaktskjemaet inneholder informasjon om enheter i organisasjonen, inkludert OS-versjon, aktive brukere og datamaskinnavn. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Siste dato og klokkeslett registrert for enheten |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
ClientVersion |
string |
Versjon av endepunktagenten eller sensoren som kjører på enheten |
PublicIP |
string |
Offentlig IP-adresse som brukes av den innebygde enheten til å koble til Microsoft Defender for endepunkt-tjenesten. Dette kan være IP-adressen til selve enheten, en NAT-enhet eller en proxy. |
OSArchitecture |
string |
Arkitekturen til operativsystemet som kjører på enheten |
OSPlatform |
string |
Plattformen for operativsystemet som kjører på enheten. Dette indikerer bestemte operativsystemer, inkludert variasjoner i samme familie, for eksempel Windows 11, Windows 10 og Windows 7. |
OSBuild |
long |
Bygg versjonen av operativsystemet som kjører på enheten |
IsAzureADJoined |
boolean |
Boolsk indikator for om enheten er koblet til Microsoft Entra ID |
JoinType |
string |
Enhetens Microsoft Entra ID sammenføyningstype |
AadDeviceId |
string |
Unik identifikator for enheten i Microsoft Entra ID |
LoggedOnUsers |
string |
Liste over alle brukere som er logget på enheten på tidspunktet for hendelsen i JSON-matriseformat |
RegistryDeviceTag |
string |
Enhetskode lagt til via registeret |
OSVersion |
string |
Versjonen av operativsystemet som kjører på enheten |
MachineGroup |
string |
Maskingruppe for enheten. Denne gruppen brukes av rollebasert tilgangskontroll til å bestemme tilgang til enheten. |
ReportId |
long |
Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser. |
OnboardingStatus |
string |
Angir om enheten er pålastet eller ikke skal Microsoft Defender For endepunkt, eller om enheten ikke støttes |
AdditionalFields |
string |
Tilleggsinformasjon om hendelsen i JSON-matriseformat |
DeviceCategory |
string |
Bredere klassifisering som grupperer visse enhetstyper under følgende kategorier: Endpoint, Network device, IoT, Unknown |
DeviceType |
string |
Enhetstype basert på formål og funksjonalitet, for eksempel nettverksenhet, arbeidsstasjon, server, mobil, spillkonsoll eller skriver |
DeviceSubtype |
string |
Tilleggsendring for visse typer enheter, for eksempel en mobil enhet, kan være et nettbrett eller en smarttelefon. bare tilgjengelig hvis enhetssøk finner nok informasjon om dette attributtet |
Model |
string |
Modellnavn eller -nummer for produktet fra leverandøren eller produsenten, bare tilgjengelig hvis enhetsoppdagelse finner nok informasjon om dette attributtet |
Vendor |
string |
Navnet på produktleverandøren eller produsenten, bare tilgjengelig hvis enhetsoppdagelse finner nok informasjon om dette attributtet |
OSDistribution |
string |
Distribusjon av OS-plattformen, for eksempel Ubuntu eller RedHat for Linux-plattformer |
OSVersionInfo |
string |
Tilleggsinformasjon om OS-versjonen, for eksempel det populære navnet, kodenavnet eller versjonsnummeret |
MergedDeviceIds |
string |
Tidligere enhets-ID-er som er tilordnet til samme enhet |
MergedToDeviceId |
string |
Den nyeste enhets-ID-en som er tilordnet til en enhet |
IsInternetFacing |
boolean |
Angir om enheten er vendt mot Internett |
SensorHealthState |
string |
Angir tilstanden til enhetens EDR-sensor, hvis den er innebygd i Microsoft Defender for endepunkt |
IsExcluded |
bool |
Bestemmer om enheten for øyeblikket er ekskludert fra Microsoft Defender for opplevelser for sikkerhetsbehandling |
ExclusionReason |
string |
Angir årsaken til enhetsutelukkelse |
ExposureLevel |
string |
Enhetens nivå av sårbarhet for utnyttelse basert på eksponeringspoengsummen; kan være: Lav, Middels, Høy |
AssetValue |
string |
Prioritet eller verdi tilordnet enheten i forhold til hvor viktig den er når det gjelder databehandling av organisasjonens eksponeringspoengsum. kan være: Lav, normal (standard), høy |
DeviceManualTags |
string |
Enhetskoder som er opprettet manuelt ved hjelp av portalgrensesnittet eller offentlig API |
DeviceDynamicTags |
string |
Enhetskoder som er lagt til og fjernet dynamisk basert på dynamiske regler |
ConnectivityType |
string |
Type tilkobling fra enheten til skyen |
HostDeviceId |
string |
Enhets-ID for enheten som kjører Windows-undersystem for Linux |
AzureResourceId |
string |
Unik identifikator for Azure-ressursen som er knyttet til enheten |
AwsResourceName |
string |
Unik identifikator som er spesifikk for Amazon Web Services-enheter, som inneholder Amazon-ressursnavnet |
GcpFullResourceName |
string |
Unik identifikator som er spesifikk for Google Cloud Platform-enheter, som inneholder en kombinasjon av sone og ID for GCP |
Tabellen DeviceInfo gir enhetsinformasjon basert på periodiske rapporter eller signaler (hjerteslag) fra en enhet. Fullstendige rapporter sendes hver time, og hver gang en endring skjer med et tidligere livstegn.
Du kan bruke følgende eksempelspørring for å få den nyeste tilstanden til en enhet:
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.