DeviceInfo
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
Tabela DeviceInfo w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o urządzeniach w organizacji, w tym o wersji systemu operacyjnego, aktywnych użytkownikach i nazwie komputera. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Ostatnia data i godzina zarejestrowana dla urządzenia |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
ClientVersion |
string |
Wersja agenta punktu końcowego lub czujnika uruchomionego na urządzeniu |
PublicIP |
string |
Publiczny adres IP używany przez dołączone urządzenie do nawiązywania połączenia z usługą Ochrona punktu końcowego w usłudze Microsoft Defender. Może to być adres IP samego urządzenia, urządzenia NAT lub serwera proxy. |
OSArchitecture |
string |
Architektura systemu operacyjnego działającego na urządzeniu |
OSPlatform |
string |
Platforma systemu operacyjnego działającego na urządzeniu. Wskazuje to określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7. |
OSBuild |
long |
Kompilacja wersji systemu operacyjnego działającego na urządzeniu |
IsAzureADJoined |
boolean |
Wskaźnik logiczny, czy urządzenie jest przyłączone do Tożsamość Microsoft Entra |
JoinType |
string |
Typ sprzężenia Tożsamość Microsoft Entra urządzenia |
AadDeviceId |
string |
Unikatowy identyfikator urządzenia w Tożsamość Microsoft Entra |
LoggedOnUsers |
string |
Lista wszystkich użytkowników zalogowanych na urządzeniu w czasie zdarzenia w formacie tablicy JSON |
RegistryDeviceTag |
string |
Tag urządzenia dodany za pośrednictwem rejestru |
OSVersion |
string |
Wersja systemu operacyjnego działającego na urządzeniu |
MachineGroup |
string |
Grupa maszyn urządzenia. Ta grupa jest używana przez kontrolę dostępu opartą na rolach do określania dostępu do urządzenia. |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
OnboardingStatus |
string |
Wskazuje, czy urządzenie jest obecnie dołączone do Microsoft Defender dla punktu końcowego lub czy urządzenie nie jest obsługiwane |
AdditionalFields |
string |
Dodatkowe informacje o zdarzeniu w formacie tablicy JSON |
DeviceCategory |
string |
Szersza klasyfikacja grup niektórych typów urządzeń w następujących kategoriach: Punkt końcowy, Urządzenie sieciowe, IoT, Nieznany |
DeviceType |
string |
Typ urządzenia w oparciu o przeznaczenie i funkcje, takie jak urządzenie sieciowe, stacja robocza, serwer, urządzenia przenośne, konsola do gier lub drukarka |
DeviceSubtype |
string |
Dodatkowy modyfikator dla niektórych typów urządzeń, na przykład urządzenie przenośne może być tabletem lub smartfonem; dostępne tylko wtedy, gdy odnajdywanie urządzeń znajdzie wystarczającą ilość informacji o tym atrybucie |
Model |
string |
Nazwa lub numer modelu produktu od dostawcy lub producenta jest dostępna tylko wtedy, gdy odnajdywanie urządzeń znajdzie wystarczająco dużo informacji o tym atrybucie |
Vendor |
string |
Nazwa dostawcy lub producenta produktu jest dostępna tylko wtedy, gdy odnajdywanie urządzeń znajdzie wystarczająco dużo informacji o tym atrybucie |
OSDistribution |
string |
Dystrybucja platformy systemu operacyjnego, takiej jak Ubuntu lub RedHat dla platform Linux |
OSVersionInfo |
string |
Dodatkowe informacje o wersji systemu operacyjnego, takie jak nazwa popularna, nazwa kodu lub numer wersji |
MergedDeviceIds |
string |
Poprzednie identyfikatory urządzeń, które zostały przypisane do tego samego urządzenia |
MergedToDeviceId |
string |
Najnowszy identyfikator urządzenia przypisany do urządzenia |
IsInternetFacing |
boolean |
Wskazuje, czy urządzenie jest połączone z Internetem |
SensorHealthState |
string |
Wskazuje kondycję czujnika EDR urządzenia, jeśli jest dołączony do Microsoft Defender dla punktu końcowego |
IsExcluded |
bool |
Określa, czy urządzenie jest obecnie wykluczone z Microsoft Defender dla środowisk zarządzania lukami w zabezpieczeniach |
ExclusionReason |
string |
Wskazuje przyczynę wykluczenia urządzenia |
ExposureLevel |
string |
Poziom podatności urządzenia na eksploatację na podstawie wskaźnika narażenia; może być: niski, średni, wysoki |
AssetValue |
string |
Priorytet lub wartość przypisana do urządzenia w odniesieniu do jego znaczenia w obliczaniu wskaźnika narażenia organizacji; może być: niski, normalny (domyślny), wysoki |
DeviceManualTags |
string |
Tagi urządzeń utworzone ręcznie przy użyciu interfejsu użytkownika portalu lub publicznego interfejsu API |
DeviceDynamicTags |
string |
Tagi urządzeń dodawane i usuwane dynamicznie na podstawie reguł dynamicznych |
ConnectivityType |
string |
Typ łączności z urządzenia do chmury |
HostDeviceId |
string |
Identyfikator urządzenia z systemem Podsystem Windows dla systemu Linux |
AzureResourceId |
string |
Unikatowy identyfikator zasobu platformy Azure skojarzonego z urządzeniem |
AwsResourceName |
string |
Unikatowy identyfikator specyficzny dla urządzeń amazon web services zawierający nazwę zasobu Amazon |
GcpFullResourceName |
string |
Unikatowy identyfikator specyficzny dla urządzeń google cloud platform zawierający kombinację strefy i identyfikatora dla GCP |
Tabela DeviceInfo zawiera informacje o urządzeniu oparte na okresowych raportach lub sygnałach (pulsach) z urządzenia. Pełne raporty są wysyłane co godzinę i za każdym razem, gdy zmiana ma miejsce w poprzednim pulsie.
Aby uzyskać najnowszy stan urządzenia, możesz użyć następującego przykładowego zapytania:
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.