Partilhar via


DeviceInfo

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender para Endpoint

A DeviceInfo tabela no esquema de investigação avançada contém informações sobre os dispositivos na organização, incluindo a versão do SO, os utilizadores ativos e o nome do computador. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Última data e hora registadas para o dispositivo
DeviceId string Identificador exclusivo do dispositivo no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
ClientVersion string Versão do agente de ponto final ou sensor em execução no dispositivo
PublicIP string Endereço IP público utilizado pelo dispositivo integrado para ligar ao serviço Microsoft Defender para Endpoint. Este pode ser o endereço IP do próprio dispositivo, um dispositivo NAT ou um proxy.
OSArchitecture string Arquitetura do sistema operativo em execução no dispositivo
OSPlatform string Plataforma do sistema operativo em execução no dispositivo. Isto indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7.
OSBuild long Compilar a versão do sistema operativo em execução no dispositivo
IsAzureADJoined boolean Indicador booleano de se o dispositivo está associado ao Microsoft Entra ID
JoinType string O tipo de associação Microsoft Entra ID do dispositivo
AadDeviceId string Identificador exclusivo do dispositivo no Microsoft Entra ID
LoggedOnUsers string Lista de todos os utilizadores com sessão iniciada no dispositivo no momento do evento no formato de matriz JSON
RegistryDeviceTag string Etiqueta de dispositivo adicionada através do registo
OSVersion string Versão do sistema operativo em execução no dispositivo
MachineGroup string Grupo de máquinas do dispositivo. Este grupo é utilizado pelo controlo de acesso baseado em funções para determinar o acesso ao dispositivo.
ReportId long Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp.
OnboardingStatus string Indica se o dispositivo está atualmente integrado ou não para Microsoft Defender Para Ponto Final ou se o dispositivo não é suportado
AdditionalFields string Informações adicionais sobre o evento no formato de matriz JSON
DeviceCategory string Classificação mais ampla que agrupa determinados tipos de dispositivo nas seguintes categorias: Ponto final, Dispositivo de rede, IoT, Desconhecido
DeviceType string Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora
DeviceSubtype string Modificador adicional para determinados tipos de dispositivos, por exemplo, um dispositivo móvel pode ser um tablet ou um smartphone; disponível apenas se a deteção de dispositivos encontrar informações suficientes sobre este atributo
Model string Nome do modelo ou número do produto do fornecedor ou fabricante, apenas disponível se a deteção de dispositivos encontrar informações suficientes sobre este atributo
Vendor string Nome do fabricante ou fornecedor do produto, apenas disponível se a deteção de dispositivos encontrar informações suficientes sobre este atributo
OSDistribution string Distribuição da plataforma do SO, como ubuntu ou plataformas RedHat para Linux
OSVersionInfo string Informações adicionais sobre a versão do SO, como o nome popular, o nome do código ou o número da versão
MergedDeviceIds string IDs de dispositivo anteriores que foram atribuídos ao mesmo dispositivo
MergedToDeviceId string O ID de dispositivo mais recente atribuído a um dispositivo
IsInternetFacing boolean Indica se o dispositivo tem acesso à Internet
SensorHealthState string Indica o estado de funcionamento do sensor EDR do dispositivo, se estiver integrado no Microsoft Defender Para Ponto Final
IsExcluded bool Determina se o dispositivo está atualmente excluído do Microsoft Defender para experiências de Gestão de Vulnerabilidades
ExclusionReason string Indica o motivo da exclusão de dispositivos
ExposureLevel string O nível de vulnerabilidade do dispositivo à exploração com base na sua pontuação de exposição; pode ser: Baixo, Médio, Alto
AssetValue string Prioridade ou valor atribuído ao dispositivo em relação à sua importância na computação da classificação de exposição da organização; pode ser: Baixo, Normal (Predefinição), Alto
DeviceManualTags string Etiquetas de dispositivo criadas manualmente com a IU do portal ou a API pública
DeviceDynamicTags string Etiquetas de dispositivo adicionadas e removidas dinamicamente com base em regras dinâmicas
ConnectivityType string Tipo de conectividade do dispositivo para a cloud
HostDeviceId string ID do dispositivo em execução Subsistema Windows para Linux
AzureResourceId string Identificador exclusivo do recurso do Azure associado ao dispositivo
AwsResourceName string Identificador exclusivo específico para dispositivos Amazon Web Services, que contém o nome do recurso amazon
GcpFullResourceName string Identificador exclusivo específico para dispositivos google Cloud Platform, que contém uma combinação de zona e ID para GCP

A DeviceInfo tabela fornece informações do dispositivo com base em relatórios periódicos ou sinais (heartbeats) de um dispositivo. Os relatórios completos são enviados a cada hora e sempre que ocorre uma alteração a um heartbeat anterior.

Pode utilizar a seguinte consulta de exemplo para obter o estado mais recente de um dispositivo:

// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.