DeviceInfo
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint
A DeviceInfo
tabela no esquema de investigação avançada contém informações sobre os dispositivos na organização, incluindo a versão do SO, os utilizadores ativos e o nome do computador. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Última data e hora registadas para o dispositivo |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
ClientVersion |
string |
Versão do agente de ponto final ou sensor em execução no dispositivo |
PublicIP |
string |
Endereço IP público utilizado pelo dispositivo integrado para ligar ao serviço Microsoft Defender para Endpoint. Este pode ser o endereço IP do próprio dispositivo, um dispositivo NAT ou um proxy. |
OSArchitecture |
string |
Arquitetura do sistema operativo em execução no dispositivo |
OSPlatform |
string |
Plataforma do sistema operativo em execução no dispositivo. Isto indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7. |
OSBuild |
long |
Compilar a versão do sistema operativo em execução no dispositivo |
IsAzureADJoined |
boolean |
Indicador booleano de se o dispositivo está associado ao Microsoft Entra ID |
JoinType |
string |
O tipo de associação Microsoft Entra ID do dispositivo |
AadDeviceId |
string |
Identificador exclusivo do dispositivo no Microsoft Entra ID |
LoggedOnUsers |
string |
Lista de todos os utilizadores com sessão iniciada no dispositivo no momento do evento no formato de matriz JSON |
RegistryDeviceTag |
string |
Etiqueta de dispositivo adicionada através do registo |
OSVersion |
string |
Versão do sistema operativo em execução no dispositivo |
MachineGroup |
string |
Grupo de máquinas do dispositivo. Este grupo é utilizado pelo controlo de acesso baseado em funções para determinar o acesso ao dispositivo. |
ReportId |
long |
Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
OnboardingStatus |
string |
Indica se o dispositivo está atualmente integrado ou não para Microsoft Defender Para Ponto Final ou se o dispositivo não é suportado |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
DeviceCategory |
string |
Classificação mais ampla que agrupa determinados tipos de dispositivo nas seguintes categorias: Ponto final, Dispositivo de rede, IoT, Desconhecido |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora |
DeviceSubtype |
string |
Modificador adicional para determinados tipos de dispositivos, por exemplo, um dispositivo móvel pode ser um tablet ou um smartphone; disponível apenas se a deteção de dispositivos encontrar informações suficientes sobre este atributo |
Model |
string |
Nome do modelo ou número do produto do fornecedor ou fabricante, apenas disponível se a deteção de dispositivos encontrar informações suficientes sobre este atributo |
Vendor |
string |
Nome do fabricante ou fornecedor do produto, apenas disponível se a deteção de dispositivos encontrar informações suficientes sobre este atributo |
OSDistribution |
string |
Distribuição da plataforma do SO, como ubuntu ou plataformas RedHat para Linux |
OSVersionInfo |
string |
Informações adicionais sobre a versão do SO, como o nome popular, o nome do código ou o número da versão |
MergedDeviceIds |
string |
IDs de dispositivo anteriores que foram atribuídos ao mesmo dispositivo |
MergedToDeviceId |
string |
O ID de dispositivo mais recente atribuído a um dispositivo |
IsInternetFacing |
boolean |
Indica se o dispositivo tem acesso à Internet |
SensorHealthState |
string |
Indica o estado de funcionamento do sensor EDR do dispositivo, se estiver integrado no Microsoft Defender Para Ponto Final |
IsExcluded |
bool |
Determina se o dispositivo está atualmente excluído do Microsoft Defender para experiências de Gestão de Vulnerabilidades |
ExclusionReason |
string |
Indica o motivo da exclusão de dispositivos |
ExposureLevel |
string |
O nível de vulnerabilidade do dispositivo à exploração com base na sua pontuação de exposição; pode ser: Baixo, Médio, Alto |
AssetValue |
string |
Prioridade ou valor atribuído ao dispositivo em relação à sua importância na computação da classificação de exposição da organização; pode ser: Baixo, Normal (Predefinição), Alto |
DeviceManualTags |
string |
Etiquetas de dispositivo criadas manualmente com a IU do portal ou a API pública |
DeviceDynamicTags |
string |
Etiquetas de dispositivo adicionadas e removidas dinamicamente com base em regras dinâmicas |
ConnectivityType |
string |
Tipo de conectividade do dispositivo para a cloud |
HostDeviceId |
string |
ID do dispositivo em execução Subsistema Windows para Linux |
AzureResourceId |
string |
Identificador exclusivo do recurso do Azure associado ao dispositivo |
AwsResourceName |
string |
Identificador exclusivo específico para dispositivos Amazon Web Services, que contém o nome do recurso amazon |
GcpFullResourceName |
string |
Identificador exclusivo específico para dispositivos google Cloud Platform, que contém uma combinação de zona e ID para GCP |
A DeviceInfo
tabela fornece informações do dispositivo com base em relatórios periódicos ou sinais (heartbeats) de um dispositivo. Os relatórios completos são enviados a cada hora e sempre que ocorre uma alteração a um heartbeat anterior.
Pode utilizar a seguinte consulta de exemplo para obter o estado mais recente de um dispositivo:
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.