DeviceInfo
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison
Le DeviceInfo tableau du schéma de repérage avancé contient des informations sur les appareils du organization, notamment la version du système d’exploitation, les utilisateurs actifs et le nom de l’ordinateur. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
DeviceId |
string |
Identificateur unique de l’appareil dans le service |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
ClientVersion |
string |
Version de l’agent de point de terminaison ou du capteur en cours d’exécution sur l’appareil |
PublicIP |
string |
Adresse IP publique utilisée par l’appareil intégré pour se connecter au service Microsoft Defender pour point de terminaison. Il peut s’agir de l’adresse IP de l’appareil lui-même, d’un appareil NAT ou d’un proxy. |
OSArchitecture |
string |
Architecture du système d’exploitation en cours d’exécution sur l’appareil |
OSPlatform |
string |
Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Cela indique des systèmes d’exploitation spécifiques, y compris des variantes au sein de la même famille, telles que Windows 11, Windows 10 et Windows 7. |
OSBuild |
long |
Version de build du système d’exploitation en cours d’exécution sur l’appareil |
IsAzureADJoined |
boolean |
Indicateur booléen indiquant si l’appareil est joint au Microsoft Entra ID |
JoinType |
string |
Type de jointure Microsoft Entra ID de l’appareil |
AadDeviceId |
string |
Identificateur unique de l’appareil dans Microsoft Entra ID |
LoggedOnUsers |
string |
Liste de tous les utilisateurs qui sont connectés sur l’appareil au moment de l’événement au format tableau JSON |
RegistryDeviceTag |
string |
Balise d’appareil ajoutée par le biais du registre |
OSVersion |
string |
Version du système d’exploitation en cours d’exécution sur l’appareil |
MachineGroup |
string |
Groupe de machines de l’appareil. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’appareil. |
ReportId |
long |
Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp. |
OnboardingStatus |
string |
Indique si l’appareil est actuellement intégré ou non à Microsoft Defender pour point de terminaison ou si l’appareil n’est pas pris en charge |
AdditionalFields |
string |
Informations supplémentaires sur l’événement au format tableau JSON |
DeviceCategory |
string |
Classification plus large qui regroupe certains types d’appareils sous les catégories suivantes : Point de terminaison, Appareil réseau, IoT, Inconnu |
DeviceType |
string |
Type d’appareil en fonction de l’objectif et des fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante |
DeviceSubtype |
string |
Modificateur supplémentaire pour certains types d’appareils, par exemple, un appareil mobile peut être une tablette ou un smartphone ; disponible uniquement si la découverte d’appareil trouve suffisamment d’informations sur cet attribut |
Model |
string |
Nom du modèle ou numéro du produit du fournisseur ou du fabricant, disponible uniquement si la découverte de l’appareil trouve suffisamment d’informations sur cet attribut |
Vendor |
string |
Nom du fournisseur ou du fabricant du produit, disponible uniquement si la découverte d’appareil trouve suffisamment d’informations sur cet attribut |
OSDistribution |
string |
Distribution de la plateforme du système d’exploitation, telle que les plateformes Ubuntu ou RedHat pour Linux |
OSVersionInfo |
string |
Informations supplémentaires sur la version du système d’exploitation, telles que le nom populaire, le nom de code ou le numéro de version |
MergedDeviceIds |
string |
ID d’appareil précédents qui ont été affectés au même appareil |
MergedToDeviceId |
string |
ID d’appareil le plus récent attribué à un appareil |
IsInternetFacing |
boolean |
Indique si l’appareil est accessible sur Internet |
SensorHealthState |
string |
Indique l’intégrité du capteur EDR de l’appareil, s’il est intégré à Microsoft Defender pour point de terminaison |
IsExcluded |
bool |
Détermine si l’appareil est actuellement exclu de Microsoft Defender pour les expériences de gestion des vulnérabilités |
ExclusionReason |
string |
Indique la raison de l’exclusion d’appareil |
ExposureLevel |
string |
Le niveau de vulnérabilité de l’appareil à l’exploitation en fonction de son score d’exposition ; peut être : Faible, Moyen, Élevé |
AssetValue |
string |
Priorité ou valeur attribuée à l’appareil par rapport à son importance dans le calcul du score d’exposition de l’organization ; peut être : Faible, Normal (par défaut), Élevé |
DeviceManualTags |
string |
Étiquettes d’appareil créées manuellement à l’aide de l’interface utilisateur du portail ou de l’API publique |
DeviceDynamicTags |
string |
Ajout et suppression dynamique des étiquettes d’appareil en fonction de règles dynamiques |
ConnectivityType |
string |
Type de connectivité de l’appareil au cloud |
HostDeviceId |
string |
ID d’appareil de l’appareil exécutant Sous-système Windows pour Linux |
AzureResourceId |
string |
Identificateur unique de la ressource Azure associée à l’appareil |
AwsResourceName |
string |
Identificateur unique spécifique aux appareils Amazon Web Services, contenant le nom de la ressource Amazon |
GcpFullResourceName |
string |
Identificateur unique spécifique aux appareils Google Cloud Platform, contenant une combinaison de zone et d’ID pour GCP |
Le DeviceInfo tableau fournit des informations sur l’appareil en fonction de rapports ou de signaux périodiques (pulsations) provenant d’un appareil. Les rapports complets sont envoyés toutes les heures et chaque fois qu’une modification se produit sur une pulsation précédente.
Vous pouvez utiliser l’exemple de requête suivant pour obtenir l’état le plus récent d’un appareil :
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.