deviceEvidence 资源类型
Namespace:microsoft.graph.security
警报中报告的设备。
继承自 alertEvidence。
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| azureAdDeviceId | String | Microsoft Entra加入设备时通过Microsoft Entra ID分配给设备的唯一标识符。 |
| defenderAvStatus | microsoft.graph.security.defenderAvStatus | Defender 反恶意软件引擎的状态。 可取值包括:notReporting、disabled、notUpdated、updated、unknown、notSupported、unknownFutureValue。 |
| deviceDnsName | String | 设备的完全限定域名 (FQDN) 。 |
| dnsDomain | String | 此计算机所属的 DNS 域。 用点分隔的标签序列。 |
| firstSeenDateTime | DateTimeOffset | 首次看到设备的日期和时间。 |
| healthStatus | microsoft.graph.security.deviceHealthStatus | 设备的运行状况状态。 可取值包括:active、inactive、impairedCommunication、noSensorData、noSensorDataImpairedCommunication、unknown、unknownFutureValue。 |
| hostName | String | 不带域后缀的主机名。 |
| ipInterfaces | 字符串集合 | 警报期间设备的 IP 接口。 |
| loggedOnUsers | microsoft.graph.security.loggedOnUser 集合 | 在发出警报期间在计算机上登录的用户。 |
| mdeDeviceId | String | 通过Microsoft Defender for Endpoint分配给设备的唯一标识符。 |
| ntDomain | String | Microsoft Windows 网络中计算机的逻辑分组。 |
| onboardingStatus | microsoft.graph.security.onboardingStatus | 计算机载入到Microsoft Defender for Endpoint的状态。 可能的值包括 insufficientInfo、onboarded、canBeOnboarded、unsupported、unknownFutureValue。 |
| osBuild | Int64 | 设备运行的操作系统的内部版本。 |
| osPlatform | String | 设备运行的操作系统平台。 |
| rbacGroupId | Int32 | 基于角色的访问控制 (RBAC) 设备组的 ID。 |
| rbacGroupName | String | RBAC 设备组的名称。 |
| riskScore | microsoft.graph.security.deviceRiskScore | 由Microsoft Defender for Endpoint评估的风险评分。 可能的值包括 none、informational、low、medium、high、unknownFutureValue。 |
| version | String | 操作系统平台的版本。 |
| vmMetadata | microsoft.graph.security.vmMetadata | 运行Microsoft Defender for Endpoint的虚拟机 (VM) 的元数据。 |
defenderAvStatus 值
| 成员 | 说明 |
|---|---|
| notReporting | Defender 反恶意软件引擎不报告。 |
| 禁用 | 已禁用 Defender 反恶意软件引擎。 |
| notUpdated | Defender 反恶意软件引擎不是最新的。 |
| 更新 | Defender 反恶意软件引擎是最新的。 |
| unknown | Defender 反恶意软件引擎的状态未知。 |
| notSupported | 此平台上不支持 Defender 反恶意软件引擎。 |
| unknownFutureValue | unknownFutureValue 用于可进化枚举模式。 |
deviceHealthStatus 值
| 成员 | 说明 |
|---|---|
| 积极 | 设备处于活动状态,并向所有通道报告。 |
| 无效 | 设备不向任何通道报告。 |
| 受损通信 | 设备未连接到 CnC。 |
| noSensorData | 设备未发送遥测数据。 |
| noSensorDataImpairedCommunication | 设备未连接到 CnC 且未发送遥测数据。 |
| unknown | 设备状态未知 |
| unknownFutureValue | unknownFutureValue 用于可进化枚举模式。 |
deviceRiskScore 值
| 成员 | 说明 |
|---|---|
| 无 | 没有与此设备相关的警报。 |
| 信息 | 设备仅具有“信息”级别警报。 |
| 低 | 设备仅具有“低”或“信息性”警报。 |
| 中等 | 设备具有“中等”或更低严重性警报。 |
| 高 | 设备具有“高”严重性警报,存在风险。 |
| unknownFutureValue | unknownFutureValue 用于可进化枚举模式。 |
onboardingStatus 值
| 成员 | 说明 |
|---|---|
| unknown | 未知的载入状态 |
| insufficientInfo | 无法确定载入状态。 |
| 已载入 | 设备已载入服务。 |
| canBeOnboarded | 设备有资格加入服务。 |
| 支持 | 服务不支持设备。 |
| unknownFutureValue | unknownFutureValue 用于可进化枚举模式。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.security.deviceEvidence",
"azureAdDeviceId": "String",
"createdDateTime": "String (timestamp)",
"defenderAvStatus": "String",
"detailedRoles": ["String"],
"deviceDnsName": "String",
"dnsDomain": "String",
"firstSeenDateTime": "String (timestamp)",
"healthStatus": "String",
"hostName": "String",
"ipInterfaces": ["String"],
"loggedOnUsers": [{"@odata.type": "microsoft.graph.security.loggedOnUser"}],
"mdeDeviceId": "String",
"ntDomain": "String",
"onboardingStatus": "String",
"osBuild": "Int64",
"osPlatform": "String",
"rbacGroupId": "Int32",
"rbacGroupName": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"riskScore": "String",
"roles": ["String"],
"tags": ["String"],
"verdict": "String",
"version": "String",
"vmMetadata": {"@odata.type": "microsoft.graph.security.vmMetadata"}
}