Sdílet prostřednictvím


DeviceInfo

Platí pro:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

Tabulka DeviceInfo ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o zařízeních v organizaci, včetně verze operačního systému, aktivních uživatelů a názvu počítače. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.

Název sloupce Datový typ Popis
Timestamp datetime Datum a čas, kdy byla událost zaznamenána
DeviceId string Jedinečný identifikátor zařízení ve službě
DeviceName string Plně kvalifikovaný název domény (FQDN) zařízení
ClientVersion string Verze agenta koncového bodu nebo senzoru spuštěného na zařízení
PublicIP string Veřejná IP adresa používaná onboardovaným zařízením pro připojení ke službě Microsoft Defender for Endpoint. Může to být IP adresa samotného zařízení, zařízení NAT nebo proxy server.
OSArchitecture string Architektura operačního systému spuštěného na zařízení
OSPlatform string Platforma operačního systému spuštěného na zařízení To označuje konkrétní operační systémy, včetně variant ve stejné rodině, jako jsou Windows 11, Windows 10 a Windows 7.
OSBuild long Sestavení verze operačního systému spuštěného na zařízení
IsAzureADJoined boolean Logický indikátor toho, jestli je zařízení připojené k Microsoft Entra ID
JoinType string Typ připojení Microsoft Entra ID zařízení
AadDeviceId string Jedinečný identifikátor zařízení v Microsoft Entra ID
LoggedOnUsers string Seznam všech uživatelů, kteří jsou k zařízení přihlášeni v době události v poli formátu JSON
RegistryDeviceTag string Značka zařízení přidaná prostřednictvím registru
OSVersion string Verze operačního systému spuštěného na zařízení
MachineGroup string Skupina počítačů zařízení. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k zařízení.
ReportId long Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp.
OnboardingStatus string Označuje, jestli je zařízení aktuálně onboardované nebo ne k Microsoft Defender Pro koncový bod nebo jestli zařízení není podporované.
AdditionalFields string Další informace o události ve formátu pole JSON
DeviceCategory string Širší klasifikace, která seskupuje určité typy zařízení do následujících kategorií: Koncový bod, Síťové zařízení, IoT, Neznámé
DeviceType string Typ zařízení na základě účelu a funkčnosti, jako je síťové zařízení, pracovní stanice, server, mobilní zařízení, herní konzole nebo tiskárna
DeviceSubtype string Další modifikátor pro určité typy zařízení, například mobilní zařízení může být tablet nebo smartphone; k dispozici pouze v případě, že zjišťování zařízení najde dostatek informací o tomto atributu
Model string Název modelu nebo číslo produktu od dodavatele nebo výrobce, k dispozici pouze v případě, že zjišťování zařízení najde dostatek informací o tomto atributu
Vendor string Název dodavatele nebo výrobce produktu, který je k dispozici pouze v případě, že zjišťování zařízení najde dostatek informací o tomto atributu
OSDistribution string Distribuce platformy operačního systému, jako je Ubuntu nebo RedHat pro platformy Linux
OSVersionInfo string Další informace o verzi operačního systému, jako je oblíbený název, název kódu nebo číslo verze
MergedDeviceIds string Předchozí ID zařízení, která byla přiřazena ke stejnému zařízení
MergedToDeviceId string Nejnovější ID zařízení přiřazené k zařízení
IsInternetFacing boolean Označuje, jestli je zařízení přístupné z internetu.
SensorHealthState string Indikuje stav senzoru EDR zařízení, pokud je nasazený do Microsoft Defender Pro koncový bod.
IsExcluded bool Určuje, jestli je zařízení aktuálně vyloučené z Microsoft Defender pro prostředí správy ohrožení zabezpečení.
ExclusionReason string Označuje důvod vyloučení zařízení.
ExposureLevel string Úroveň ohrožení zabezpečení zařízení vůči zneužití na základě jeho skóre expozice; může být: Nízká, Střední, Vysoká
AssetValue string Priorita nebo hodnota přiřazená zařízení ve vztahu k jeho důležitosti při výpočtu skóre expozice organizace; může být: Nízká, Normální (výchozí), Vysoká
DeviceManualTags string Značky zařízení vytvořené ručně pomocí uživatelského rozhraní portálu nebo veřejného rozhraní API
DeviceDynamicTags string Dynamické přidání a odebrání značek zařízení na základě dynamických pravidel
ConnectivityType string Typ připojení ze zařízení do cloudu
HostDeviceId string ID zařízení se systémem Subsystém Windows pro Linux
AzureResourceId string Jedinečný identifikátor prostředku Azure přidruženého k zařízení
AwsResourceName string Jedinečný identifikátor specifický pro zařízení Amazon Web Services obsahující název prostředku Amazon
GcpFullResourceName string Jedinečný identifikátor specifický pro zařízení Google Cloud Platform, který obsahuje kombinaci zóny a ID pro GCP

Tabulka DeviceInfo obsahuje informace o zařízení na základě pravidelných sestav nebo signálů (prezenčních signálů) ze zařízení. Úplné sestavy se odesílají každou hodinu a pokaždé, když dojde ke změně předchozího prezenčních signálů.

K získání nejnovějšího stavu zařízení můžete použít následující ukázkový dotaz:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId 

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.