DeviceInfo
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión
La DeviceInfo tabla del esquema de búsqueda avanzada contiene información sobre los dispositivos de la organización, incluida la versión del sistema operativo, los usuarios activos y el nombre del equipo. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
ClientVersion |
string |
Versión del agente o sensor de punto de conexión que se ejecuta en el dispositivo |
PublicIP |
string |
Dirección IP pública que usa el dispositivo incorporado para conectarse al servicio Microsoft Defender para punto de conexión. Podría ser la dirección IP del propio dispositivo, un dispositivo NAT o un proxy. |
OSArchitecture |
string |
Arquitectura del sistema operativo que se ejecuta en el dispositivo |
OSPlatform |
string |
Plataforma del sistema operativo que se ejecuta en el dispositivo. Esto indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7. |
OSBuild |
long |
Compilación de la versión del sistema operativo que se ejecuta en el dispositivo |
IsAzureADJoined |
boolean |
Indicador booleano de si el dispositivo está unido al Microsoft Entra ID |
JoinType |
string |
Tipo de combinación Microsoft Entra ID del dispositivo |
AadDeviceId |
string |
Identificador único del dispositivo en Microsoft Entra ID |
LoggedOnUsers |
string |
Lista de todos los usuarios que han iniciado sesión en el dispositivo en el momento del evento en formato de matriz JSON |
RegistryDeviceTag |
string |
Etiqueta de dispositivo agregada a través del Registro |
OSVersion |
string |
Versión del sistema operativo que se ejecuta en el dispositivo |
MachineGroup |
string |
Grupo de máquinas del dispositivo. El control de acceso basado en rol usa este grupo para determinar el acceso al dispositivo. |
ReportId |
long |
Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
OnboardingStatus |
string |
Indica si el dispositivo está incorporado actualmente o no para Microsoft Defender para punto de conexión o si no se admite el dispositivo. |
AdditionalFields |
string |
Información adicional sobre el evento en formato de matriz JSON |
DeviceCategory |
string |
Clasificación más amplia que agrupa determinados tipos de dispositivos en las siguientes categorías: Punto de conexión, Dispositivo de red, IoT, Desconocido |
DeviceType |
string |
Tipo de dispositivo basado en el propósito y la funcionalidad, como dispositivo de red, estación de trabajo, servidor, móvil, consola de juegos o impresora |
DeviceSubtype |
string |
Modificador adicional para ciertos tipos de dispositivos, por ejemplo, un dispositivo móvil puede ser una tableta o un smartphone; solo está disponible si la detección de dispositivos encuentra suficiente información sobre este atributo. |
Model |
string |
Nombre del modelo o número del producto del proveedor o fabricante, solo disponible si la detección de dispositivos encuentra suficiente información sobre este atributo. |
Vendor |
string |
Nombre del proveedor o fabricante del producto, solo disponible si la detección de dispositivos encuentra suficiente información sobre este atributo. |
OSDistribution |
string |
Distribución de la plataforma del sistema operativo, como Ubuntu o RedHat para plataformas Linux |
OSVersionInfo |
string |
Información adicional sobre la versión del sistema operativo, como el nombre popular, el nombre de código o el número de versión |
MergedDeviceIds |
string |
Identificadores de dispositivo anteriores asignados al mismo dispositivo |
MergedToDeviceId |
string |
El identificador de dispositivo más reciente asignado a un dispositivo |
IsInternetFacing |
boolean |
Indica si el dispositivo está orientado a Internet |
SensorHealthState |
string |
Indica el estado del sensor EDR del dispositivo, si se incorpora a Microsoft Defender Para punto de conexión |
IsExcluded |
bool |
Determina si el dispositivo está actualmente excluido de Microsoft Defender para las experiencias de administración de vulnerabilidades |
ExclusionReason |
string |
Indica el motivo de la exclusión del dispositivo |
ExposureLevel |
string |
El nivel de vulnerabilidad del dispositivo a la explotación en función de su puntuación de exposición; puede ser: Baja, Media, Alta |
AssetValue |
string |
Prioridad o valor asignado al dispositivo en relación con su importancia en la computación de la puntuación de exposición de la organización; puede ser: Bajo, Normal (predeterminado), Alto |
DeviceManualTags |
string |
Etiquetas de dispositivo creadas manualmente mediante la interfaz de usuario del portal o la API pública |
DeviceDynamicTags |
string |
Etiquetas de dispositivo agregadas y eliminadas dinámicamente en función de reglas dinámicas |
ConnectivityType |
string |
Tipo de conectividad desde el dispositivo a la nube |
HostDeviceId |
string |
Id. de dispositivo del dispositivo que ejecuta Subsistema de Windows para Linux |
AzureResourceId |
string |
Identificador único del recurso de Azure asociado al dispositivo |
AwsResourceName |
string |
Identificador único específico de los dispositivos de Amazon Web Services, que contiene el nombre del recurso de Amazon |
GcpFullResourceName |
string |
Identificador único específico de los dispositivos de Google Cloud Platform, que contiene una combinación de zona e identificador para GCP |
La DeviceInfo tabla proporciona información del dispositivo basada en informes periódicos o señales (latidos) de un dispositivo. Los informes completos se envían cada hora y cada vez que se produce un cambio en un latido anterior.
Puede usar la siguiente consulta de ejemplo para obtener el estado más reciente de un dispositivo:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.