DeviceInfo
Cette table fait partie de Microsoft Defender pour les points de terminaison avec Azure Sentinel. Ce tableau contient des informations sur l’ordinateur, y compris des informations sur le système d’exploitation.
Attributs de table
Attribut | Valeur |
---|---|
Types de ressource | - |
Catégories | Sécurité |
Solutions | SecurityInsights |
Journal de base | No |
Transformation au moment de l’ingestion | Yes |
Exemples de requêtes | - |
Colonnes
Colonne | Type | Description |
---|---|---|
AadDeviceId | string | Identificateur unique de l’appareil dans Azure Active Directory. |
AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
AssetValue | string | Indique la valeur d’un appareil affectée par l’utilisateur. |
_BilledSize | real | Taille de l’enregistrement en octets |
ClientVersion | string | Version de l’agent de point de terminaison ou du capteur en cours d’exécution sur l’ordinateur. |
DeviceCategory | string | Classification plus large qui regroupe certains types d’appareils sous les catégories suivantes : Point de terminaison, Appareil réseau, IoT, Inconnu. |
deviceId | string | Identificateur unique de l’appareil dans le service. |
DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
DeviceObjectId | string | Identificateur unique de l’appareil dans Azure AD. |
DeviceSubtype | string | Modificateur supplémentaire pour certains types d’appareils, par exemple, un appareil mobile peut être une tablette ou un smartphone ; Disponible uniquement si la découverte d’appareil trouve suffisamment d’informations sur cet attribut. |
DeviceType | string | Type d’appareil en fonction de l’objectif et des fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante. |
ExclusionReason | string | Indique la raison de l’exclusion d’appareil. |
ExposureLevel | string | Indique le niveau d’exposition d’un appareil. |
IsAzureADJoined | bool | Indicateur booléen indiquant si la machine est jointe à Azure Active Directory. |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
IsExcluded | bool | Détermine si l’appareil est actuellement exclu de Microsoft Defender pour les expériences de gestion des vulnérabilités. |
IsInternetFacing | bool | Indique si l’appareil est accessible sur Internet. |
JoinType | string | Type de jointure Azure Active Directory de l’appareil. |
LoggedOnUsers | dynamique | Liste de tous les utilisateurs qui sont connectés sur l’ordinateur au moment de l’événement au format de tableau JSON. |
MachineGroup | string | Groupe d’ordinateurs utilisé pour déterminer l’accès à la machine et appliquer des paramètres spécifiques au groupe. |
MergedDeviceIds | string | ID d’appareil précédents qui ont été attribués au même appareil. |
MergedToDeviceId | string | ID d’appareil le plus récent attribué à un appareil. |
Modéliser | string | Nom du modèle ou numéro du produit du fournisseur ou du fabricant, disponible uniquement si la découverte d’appareil trouve suffisamment d’informations sur cet attribut. |
OnboardingStatus | string | Indique si l’appareil est actuellement intégré ou non à Microsoft Defender pour point de terminaison ou si l’appareil n’est pas pris en charge. |
OSArchitecture | string | Architecture du système d’exploitation en cours d’exécution sur l’ordinateur. |
OSBuild | long | Version de build du système d’exploitation en cours d’exécution sur l’ordinateur. |
OSDistribution | string | Distribution de la plateforme du système d’exploitation, telle que les plateformes Ubuntu ou RedHat pour Linux. |
OSPlatform | string | Plateforme du système d’exploitation en cours d’exécution sur l’ordinateur. Cela indique des systèmes d’exploitation spécifiques, y compris les variantes au sein de la même famille, comme Windows 10 et Windows 7. |
OSVersion | string | Version du système d’exploitation s’exécutant sur l’ordinateur. |
OSVersionInfo | string | Informations supplémentaires sur la version du système d’exploitation, telles que le nom populaire, le nom de code ou le numéro de version. |
PublicIP | string | Adresse IP publique utilisée par l’ordinateur intégré pour se connecter au service ATP Windows Defender. Il peut s’agir de l’adresse IP de la machine elle-même, d’un appareil NAT ou d’un proxy. |
RegistryDeviceTag | string | Balise d’appareil ajoutée via le Registre. |
ReportId | long | Identificateur d’événement basé sur un compteur répétiteur. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
SensorHealthState | string | Indique l’intégrité du capteur EDR de l’appareil, s’il est intégré à Microsoft Defender pour point de terminaison. |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
TenantId | string | ID de l’espace de travail Log Analytics |
TimeGenerated | DATETIME | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
Type | string | Le nom de la table |
Fournisseur | string | Nom du fournisseur ou du fabricant du produit, disponible uniquement si la découverte d’appareil trouve suffisamment d’informations sur cet attribut. |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour