Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette table fait partie de Microsoft Defender pour Endpoint avec Azure Sentinel. Ce tableau contient des informations sur l’ordinateur, y compris les informations sur le système d’exploitation.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| ID de périphérique AAD | chaîne | Identificateur unique de l’appareil dans Azure Active Directory. |
| AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
| Valeur d'actif | chaîne | Indique la valeur d'un appareil telle qu'attribuée par l'utilisateur. |
| AwsResourceName | chaîne | Identificateur unique de la ressource AWS associée à l’appareil. |
| AzureResourceId | chaîne | Identificateur unique de la ressource Azure associée à l’appareil. |
| AzureVmId | chaîne | Identificateur unique affecté à l’appareil dans Azure. |
| AzureVmSubscriptionId | chaîne | Identificateur unique de l’abonnement Azure associé à l’appareil. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| ClientVersion | chaîne | Version de l’agent de point de terminaison ou du capteur s’exécutant sur l’ordinateur. |
| CloudPlatforms | chaîne | Les plateformes cloud Thse auxquelles appartient l’appareil peuvent être Azure, Amazon Web Services, Google Cloud Platform et Azure Arc. |
| Catégorie d'appareil | chaîne | Classification plus large qui regroupe certains types d’appareils sous les catégories suivantes : point de terminaison, appareil réseau, IoT, Inconnu. |
| DeviceDynamicTags | chaîne | Balises d’appareil ajoutées et supprimées dynamiquement en fonction de règles dynamiques. |
| DeviceId | chaîne | Identificateur unique de l’appareil dans le service. |
| DeviceManualTags | chaîne | Balises d’appareil créées manuellement à l’aide de l’interface utilisateur du portail ou de l’API publique. |
| Nom du dispositif | chaîne | Nom de domaine complet (FQDN) de l’appareil. |
| DeviceObjectId | chaîne | Identificateur unique de l’appareil dans Azure AD. |
| DeviceSubType | chaîne | Modificateur supplémentaire pour certains types d’appareils, par exemple, un appareil mobile peut être une tablette ou un smartphone ; disponible uniquement si la découverte d’appareils trouve suffisamment d’informations sur cet attribut. |
| Type d'appareil | chaîne | Type d’appareil basé sur l’objectif et les fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante. |
| Raison d'Exclusion | chaîne | Indique la raison de l’exclusion de l’appareil. |
| Niveau d'exposition | chaîne | Indique le niveau d’exposition d’un appareil. |
| GcpFullResourceName | chaîne | Identificateur unique de la ressource AWS associée à l’appareil. |
| HardwareUuid | chaîne | Identificateur unique universel (UUID) du matériel de l’appareil. |
| HostDeviceId | chaîne | Identifiant de l'appareil exécutant le sous-système Windows pour Linux. |
| IsAzureADJoined | bool | Indicateur booléen indiquant si la machine est jointe à Azure Active Directory. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsExcluded | bool | Détermine si l’appareil est actuellement exclu des expériences microsoft Defender pour la gestion des vulnérabilités. |
| IsInternetFacing | bool | Indique si l’appareil est accessible sur Internet. |
| IsTransient | bool | Indique si cet appareil est classé comme temporaire ou de courte durée en fonction de la fréquence d’apparence de l’appareil sur le réseau. |
| Type de jointure | chaîne | Type de jointure Azure Active Directory de l’appareil. |
| LoggedOnUsers | dynamique | Liste de tous les utilisateurs connectés à l’ordinateur au moment de l’événement au format de tableau JSON. |
| MachineGroup | chaîne | Groupe d’ordinateurs utilisé pour déterminer l’accès à l’ordinateur et appliquer des paramètres spécifiques au groupe. |
| MergedDeviceIds | chaîne | Précédents ID d’appareil qui ont été attribués au même appareil. |
| MergedToDeviceId | chaîne | ID d’appareil le plus récent affecté à un appareil. |
| MitigationStatus | chaîne | Indique l’action d’atténuation appliquée à un appareil. |
| Modèle | chaîne | Nom du modèle ou numéro du produit du fournisseur ou du fabricant, disponible uniquement si la détection d’appareils trouve suffisamment d’informations à propos de cet attribut. |
| OnboardingStatus | chaîne | Indique si l’appareil est actuellement intégré ou non à Microsoft Defender pour point de terminaison ou si l’appareil n’est pas pris en charge. |
| OSArchitecture | chaîne | Architecture du système d’exploitation s’exécutant sur l’ordinateur. |
| OSBuild | long | Générez la version du système d’exploitation s’exécutant sur l’ordinateur. |
| OsBuildRevision | chaîne | Générer le numéro de révision du système d’exploitation s’exécutant sur l’ordinateur. |
| OSDistribution | chaîne | Distribution de la plateforme du système d’exploitation, telle que Ubuntu ou RedHat pour les plateformes Linux. |
| OSPlatform | chaîne | Plateforme du système d’exploitation s’exécutant sur l’ordinateur. Cela indique des systèmes d’exploitation spécifiques, y compris des variantes au sein de la même famille, telles que Windows 10 et Windows 7. |
| Version du système d’exploitation | chaîne | Version du système d’exploitation s’exécutant sur l’ordinateur. |
| OSVersionInfo | chaîne | Informations supplémentaires sur la version du système d’exploitation, telles que le nom populaire, le nom du code ou le numéro de version. |
| PublicIP | chaîne | Adresse IP publique utilisée par l’ordinateur intégré pour se connecter au service Windows Defender ATP. Il peut s’agir de l’adresse IP de l’ordinateur lui-même, d’un appareil NAT ou d’un proxy. |
| RegistryDeviceTag | chaîne | Balise d’appareil ajoutée via le Registre. |
| ReportId | long | Identificateur d’événement basé sur un compteur répétitif. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| SensorHealthState | chaîne | Indique l’intégrité du capteur EDR de l’appareil, si elle est intégrée à Microsoft Defender For Endpoint. |
| SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Identifiant du locataire | chaîne | ID de l’espace de travail Log Analytics |
| TimeGenerated | date et heure | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Catégorie | chaîne | Le nom de la table |
| Fournisseur | chaîne | Nom du fournisseur ou du fabricant du produit, disponible uniquement si la détection de l'appareil trouve suffisamment d'informations pertinentes concernant cet attribut. |