Megosztás a következőn keresztül:


DeviceInfo

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • Végponthoz készült Microsoft Defender

A DeviceInfospeciális veszélyforrás-keresési séma táblázata információkat tartalmaz a szervezet eszközeiről, beleértve az operációs rendszer verzióját, az aktív felhasználókat és a számítógép nevét. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
DeviceId string Az eszköz egyedi azonosítója a szolgáltatásban
DeviceName string Az eszköz teljes tartományneve (FQDN)
ClientVersion string Az eszközön futó végpontügynök vagy -érzékelő verziója
PublicIP string Az előkészített eszköz által a Végponthoz készült Microsoft Defender szolgáltatáshoz való csatlakozáshoz használt nyilvános IP-cím. Ez lehet magának az eszköznek az IP-címe, egy NAT-eszköz vagy egy proxy.
OSArchitecture string Az eszközön futó operációs rendszer architektúrája
OSPlatform string Az eszközön futó operációs rendszer platformja. Ez adott operációs rendszereket jelez, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7-et.
OSBuild long Az eszközön futó operációs rendszer buildverziója
IsAzureADJoined boolean Logikai jelzés arról, hogy az eszköz csatlakozik-e a Microsoft Entra ID
JoinType string Az eszköz Microsoft Entra ID illesztés típusa
AadDeviceId string Az eszköz egyedi azonosítója a Microsoft Entra ID
LoggedOnUsers string Az eszközön az esemény időpontjában JSON-tömb formátumban bejelentkezett összes felhasználó listája
RegistryDeviceTag string Eszközcímke hozzáadva a beállításjegyzéken keresztül
OSVersion string Az eszközön futó operációs rendszer verziója
MachineGroup string Az eszköz gépcsoportja. Ezt a csoportot a szerepköralapú hozzáférés-vezérlés használja az eszközhöz való hozzáférés meghatározásához.
ReportId long Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni.
OnboardingStatus string Azt jelzi, hogy az eszköz jelenleg regisztrálva van-e, vagy nem Microsoft Defender végponthoz, vagy az eszköz nem támogatott
AdditionalFields string További információ az eseményről JSON-tömbformátumban
DeviceCategory string Szélesebb körű besorolás, amely a következő kategóriákba sorol be bizonyos eszköztípusokat: Végpont, Hálózati eszköz, IoT, Ismeretlen
DeviceType string Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján
DeviceSubtype string Bizonyos típusú eszközök további módosítói, például a mobileszköz lehet táblagép vagy okostelefon; csak akkor érhető el, ha az eszközfelderítés elegendő információt talál erről az attribútumról
Model string A gyártótól származó termék modellneve vagy száma, csak akkor érhető el, ha az eszközfelderítés elegendő információt talál erről az attribútumról
Vendor string A termék gyártójának neve, csak akkor érhető el, ha az eszközfelderítés elegendő információt talál erről az attribútumról
OSDistribution string Az operációsrendszer-platform terjesztése, például Ubuntu vagy RedHat Linux-platformokhoz
OSVersionInfo string További információ az operációs rendszer verziójáról, például a népszerű névről, a kódnévről vagy a verziószámról
MergedDeviceIds string Az ugyanahhoz az eszközhöz rendelt korábbi eszközazonosítók
MergedToDeviceId string Az eszközhöz rendelt legújabb eszközazonosító
IsInternetFacing boolean Azt jelzi, hogy az eszköz internetkapcsolattal rendelkező-e
SensorHealthState string Az eszköz EDR-érzékelőjének állapotát jelzi, ha a végponthoz Microsoft Defender van regisztrálva
IsExcluded bool Megállapítja, hogy az eszköz jelenleg ki van-e zárva a biztonságirés-kezelési szolgáltatások Microsoft Defender
ExclusionReason string Az eszközkizárás okát jelzi
ExposureLevel string Az eszköz sebezhetőségi szintje a sebezhetőségi pontszáma alapján; Lehet: Alacsony, Közepes, Magas
AssetValue string Az eszközhöz rendelt prioritás vagy érték a szervezet expozíciós pontszámának kiszámításában betöltött fontosságához viszonyítva; Lehet: Alacsony, Normál (alapértelmezett), Magas
DeviceManualTags string Manuálisan létrehozott eszközcímkék a portál felhasználói felületén vagy a nyilvános API-val
DeviceDynamicTags string Dinamikus szabályok alapján hozzáadott és eltávolított eszközcímkék
ConnectivityType string Az eszköz és a felhő közötti kapcsolat típusa
HostDeviceId string A Linuxos Windows-alrendszer futó eszköz eszközazonosítója
AzureResourceId string Az eszközhöz társított Azure-erőforrás egyedi azonosítója
AwsResourceName string Az Amazon Web Services-eszközökre jellemző egyedi azonosító, amely tartalmazza az Amazon-erőforrás nevét
GcpFullResourceName string A Google Cloud Platform-eszközökre jellemző egyedi azonosító, amely a GCP zónájának és azonosítójának kombinációját tartalmazza

A DeviceInfo táblázat eszközinformációkat biztosít az eszközről származó rendszeres jelentések vagy jelek (szívverések) alapján. A teljes jelentéseket óránként küldi el a rendszer, és minden alkalommal, amikor változás történik egy korábbi szívveréssel.

A következő mintalekérdezés segítségével lekérheti az eszköz legújabb állapotát:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId 

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.