DeviceInfo
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
הטבלה DeviceInfo
בסכימת הציד המתקדמות מכילה מידע אודות מכשירים בארגון, כולל גירסת מערכת ההפעלה, המשתמשים הפעילים ושמות המחשב. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
שם עמודה | סוג נתונים | תיאור |
---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
ClientVersion |
string |
גירסה של סוכן נקודת הקצה או החיישן הפועלים במכשיר |
PublicIP |
string |
כתובת IP ציבורית המשמשת את המכשיר הרשום כדי להתחבר Microsoft Defender עבור נקודת קצה השירות. זו יכולה להיות כתובת ה- IP של המכשיר עצמו, התקן NAT או Proxy. |
OSArchitecture |
string |
ארכיטקטורה של מערכת ההפעלה הפועלת במכשיר |
OSPlatform |
string |
פלטפורמת מערכת ההפעלה הפועלת במכשיר. הדבר מציין מערכות הפעלה ספציפיות, כולל וריאציות בתוך אותה משפחה, כגון Windows 11, Windows 10 ו- Windows 7. |
OSBuild |
long |
גירסת Build של מערכת ההפעלה הפועלת במכשיר |
IsAzureADJoined |
boolean |
מחוון בוליאני המציין אם המכשיר מצורף Microsoft Entra מזהה |
JoinType |
string |
סוג הצירוף Microsoft Entra מזהה של המכשיר |
AadDeviceId |
string |
מזהה ייחודי עבור המכשיר Microsoft Entra מזהה |
LoggedOnUsers |
string |
רשימה של כל המשתמשים המחוברים במכשיר בזמן האירוע בתבנית מערך JSON |
RegistryDeviceTag |
string |
תגית מכשיר נוספה דרך הרישום |
OSVersion |
string |
גירסת מערכת ההפעלה הפועלת במכשיר |
MachineGroup |
string |
קבוצת המכונה של המכשיר. קבוצה זו משמשת בקרת גישה מבוססת תפקידים כדי לקבוע את הגישה למכשיר. |
ReportId |
long |
מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp. |
OnboardingStatus |
string |
ציון אם ההתקן מחובר כעת או לא Microsoft Defender עבור נקודת קצה או אם ההתקן אינו נתמך |
AdditionalFields |
string |
מידע נוסף אודות האירוע בתבנית מערך JSON |
DeviceCategory |
string |
סיווג רחב יותר שמקבץ סוגי מכשירים מסוימים תחת הקטגוריות הבאות: נקודת קצה, התקן רשת, IoT, לא ידוע |
DeviceType |
string |
סוג המכשיר בהתבסס על המטרה והפונקציונליות, כגון התקן רשת, תחנת עבודה, שרת, מכשירים ניידים, קונסולת משחקים או מדפסת |
DeviceSubtype |
string |
צירוף נוסף עבור סוגים מסוימים של מכשירים, לדוגמה, מכשיר נייד יכול להיות Tablet או טלפון חכם; זמין רק אם גילוי המכשיר מוצא מספיק מידע אודות תכונה זו |
Model |
string |
שם או מספר דגם של המוצר מהספק או מהיצרן, זמין רק אם גילוי המכשיר מוצא מספיק מידע אודות תכונה זו |
Vendor |
string |
שם ספק המוצר או היצרן, זמין רק אם גילוי המכשיר מוצא מספיק מידע אודות תכונה זו |
OSDistribution |
string |
הפצה של פלטפורמת מערכת ההפעלה, כגון Ubuntu או RedHat עבור פלטפורמות Linux |
OSVersionInfo |
string |
מידע נוסף אודות גירסת מערכת ההפעלה, כגון השם הפופולרי, שם הקוד או מספר הגירסה |
MergedDeviceIds |
string |
זהים קודמים של המכשיר שהוקצו לאותו מכשיר |
MergedToDeviceId |
string |
מזהה המכשיר העדכני ביותר שהוקצה למכשיר |
IsInternetFacing |
boolean |
מציין אם המכשיר פונה לאינטרנט |
SensorHealthState |
string |
ציון תקינות חיישן ה- EDR של המכשיר, אם הוא מחובר Microsoft Defender עבור נקודת קצה |
IsExcluded |
bool |
קובע אם המכשיר אינו כלול כעת ב- Microsoft Defender עבור חוויות ניהול פגיעויות |
ExclusionReason |
string |
מציין את הסיבה להכללת מכשיר |
ExposureLevel |
string |
רמת הפגיעות של המכשיר לניצול בהתבסס על ניקוד החשיפה שלו; יכול להיות: נמוך, בינוני, גבוה |
AssetValue |
string |
עדיפות או ערך שהוקצו למכשיר ביחס חשיבותו בחישוב ניקוד החשיפה של הארגון; יכול להיות: נמוך, רגיל (ברירת מחדל), גבוה |
DeviceManualTags |
string |
תגיות מכשיר שנוצרו באופן ידני באמצעות ממשק המשתמש של הפורטל או ה- API הציבורי |
DeviceDynamicTags |
string |
תגיות מכשיר נוספו והוסרו באופן דינאמי בהתבסס על כללים דינאמיים |
ConnectivityType |
string |
סוג הקישוריות מהמכשיר לענן |
HostDeviceId |
string |
מזהה המכשיר של המכשיר שבו פועל מערכת משנה של Windows עבור Linux |
AzureResourceId |
string |
מזהה ייחודי של משאב Azure המשויך למכשיר |
AwsResourceName |
string |
מזהה ייחודי ספציפי למכשירי Amazon Web Services, המכיל את שם המשאב Amazon |
GcpFullResourceName |
string |
מזהה ייחודי ספציפי למכשירי Google Cloud Platform, המכיל שילוב של אזור ומזהה עבור GCP |
הטבלה DeviceInfo
מספקת פרטי מכשיר בהתבסס על דוחות תקופתיים או אותות (פעימות) ממכשיר. הדוחות המלאים נשלחים כל שעה ובכל פעם ששינוי מתרחש לפעימות קודמות.
באפשרותך להשתמש בשאילתה לדוגמה הבאה כדי לקבל את המצב העדכני ביותר של מכשיר:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.