DeviceInfo
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
A DeviceInfo
speciális veszélyforrás-keresési séma táblázata információkat tartalmaz a szervezet eszközeiről, beleértve az operációs rendszer verzióját, az aktív felhasználókat és a számítógép nevét. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
ClientVersion |
string |
Az eszközön futó végpontügynök vagy -érzékelő verziója |
PublicIP |
string |
Az előkészített eszköz által a Végponthoz készült Microsoft Defender szolgáltatáshoz való csatlakozáshoz használt nyilvános IP-cím. Ez lehet magának az eszköznek az IP-címe, egy NAT-eszköz vagy egy proxy. |
OSArchitecture |
string |
Az eszközön futó operációs rendszer architektúrája |
OSPlatform |
string |
Az eszközön futó operációs rendszer platformja. Ez adott operációs rendszereket jelez, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7-et. |
OSBuild |
long |
Az eszközön futó operációs rendszer buildverziója |
IsAzureADJoined |
boolean |
Logikai jelzés arról, hogy az eszköz csatlakozik-e a Microsoft Entra ID |
JoinType |
string |
Az eszköz Microsoft Entra ID illesztés típusa |
AadDeviceId |
string |
Az eszköz egyedi azonosítója a Microsoft Entra ID |
LoggedOnUsers |
string |
Az eszközön az esemény időpontjában JSON-tömb formátumban bejelentkezett összes felhasználó listája |
RegistryDeviceTag |
string |
Eszközcímke hozzáadva a beállításjegyzéken keresztül |
OSVersion |
string |
Az eszközön futó operációs rendszer verziója |
MachineGroup |
string |
Az eszköz gépcsoportja. Ezt a csoportot a szerepköralapú hozzáférés-vezérlés használja az eszközhöz való hozzáférés meghatározásához. |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
OnboardingStatus |
string |
Azt jelzi, hogy az eszköz jelenleg regisztrálva van-e, vagy nem Microsoft Defender végponthoz, vagy az eszköz nem támogatott |
AdditionalFields |
string |
További információ az eseményről JSON-tömbformátumban |
DeviceCategory |
string |
Szélesebb körű besorolás, amely a következő kategóriákba sorol be bizonyos eszköztípusokat: Végpont, Hálózati eszköz, IoT, Ismeretlen |
DeviceType |
string |
Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján |
DeviceSubtype |
string |
Bizonyos típusú eszközök további módosítói, például a mobileszköz lehet táblagép vagy okostelefon; csak akkor érhető el, ha az eszközfelderítés elegendő információt talál erről az attribútumról |
Model |
string |
A gyártótól származó termék modellneve vagy száma, csak akkor érhető el, ha az eszközfelderítés elegendő információt talál erről az attribútumról |
Vendor |
string |
A termék gyártójának neve, csak akkor érhető el, ha az eszközfelderítés elegendő információt talál erről az attribútumról |
OSDistribution |
string |
Az operációsrendszer-platform terjesztése, például Ubuntu vagy RedHat Linux-platformokhoz |
OSVersionInfo |
string |
További információ az operációs rendszer verziójáról, például a népszerű névről, a kódnévről vagy a verziószámról |
MergedDeviceIds |
string |
Az ugyanahhoz az eszközhöz rendelt korábbi eszközazonosítók |
MergedToDeviceId |
string |
Az eszközhöz rendelt legújabb eszközazonosító |
IsInternetFacing |
boolean |
Azt jelzi, hogy az eszköz internetkapcsolattal rendelkező-e |
SensorHealthState |
string |
Az eszköz EDR-érzékelőjének állapotát jelzi, ha a végponthoz Microsoft Defender van regisztrálva |
IsExcluded |
bool |
Megállapítja, hogy az eszköz jelenleg ki van-e zárva a biztonságirés-kezelési szolgáltatások Microsoft Defender |
ExclusionReason |
string |
Az eszközkizárás okát jelzi |
ExposureLevel |
string |
Az eszköz sebezhetőségi szintje a sebezhetőségi pontszáma alapján; Lehet: Alacsony, Közepes, Magas |
AssetValue |
string |
Az eszközhöz rendelt prioritás vagy érték a szervezet expozíciós pontszámának kiszámításában betöltött fontosságához viszonyítva; Lehet: Alacsony, Normál (alapértelmezett), Magas |
DeviceManualTags |
string |
Manuálisan létrehozott eszközcímkék a portál felhasználói felületén vagy a nyilvános API-val |
DeviceDynamicTags |
string |
Dinamikus szabályok alapján hozzáadott és eltávolított eszközcímkék |
ConnectivityType |
string |
Az eszköz és a felhő közötti kapcsolat típusa |
HostDeviceId |
string |
A Linuxos Windows-alrendszer futó eszköz eszközazonosítója |
AzureResourceId |
string |
Az eszközhöz társított Azure-erőforrás egyedi azonosítója |
AwsResourceName |
string |
Az Amazon Web Services-eszközökre jellemző egyedi azonosító, amely tartalmazza az Amazon-erőforrás nevét |
GcpFullResourceName |
string |
A Google Cloud Platform-eszközökre jellemző egyedi azonosító, amely a GCP zónájának és azonosítójának kombinációját tartalmazza |
A DeviceInfo
táblázat eszközinformációkat biztosít az eszközről származó rendszeres jelentések vagy jelek (szívverések) alapján. A teljes jelentéseket óránként küldi el a rendszer, és minden alkalommal, amikor változás történik egy korábbi szívveréssel.
A következő mintalekérdezés segítségével lekérheti az eszköz legújabb állapotát:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.