DeviceInfo

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

DeviceInfo高度なハンティング スキーマのテーブルには、OS のバージョン、アクティブなユーザー、コンピューター名など、organization内のデバイスに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime イベントが記録された日付と時刻
DeviceId string サービス内のデバイスの一意識別子
DeviceName string デバイスの完全修飾ドメイン名 (FQDN)
ClientVersion string デバイスで実行されているエンドポイント エージェントまたはセンサーのバージョン
PublicIP string オンボードされたデバイスがMicrosoft Defender for Endpoint サービスに接続するために使用するパブリック IP アドレス。 これは、デバイス自体の IP アドレス、NAT デバイス、またはプロキシです。
OSArchitecture string デバイスで実行されているオペレーティング システムのアーキテクチャ
OSPlatform string デバイスで実行されているオペレーティング システムのプラットフォーム。 これは、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。
OSBuild long デバイスで実行されているオペレーティング システムのビルド バージョン
IsAzureADJoined boolean デバイスがMicrosoft Entra IDに参加しているかどうかを示すブール値インジケーター
JoinType string デバイスのMicrosoft Entra ID参加の種類
AadDeviceId string Microsoft Entra IDのデバイスの一意識別子
LoggedOnUsers string イベントの時点でデバイスにログオンしているすべてのユーザーの一覧を JSON 配列形式で示します
RegistryDeviceTag string レジストリを介して追加されたデバイス タグ
OSVersion string デバイスで実行されているオペレーティング システムのバージョン
MachineGroup string デバイスのマシン グループ。 このグループは、デバイスへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。
ReportId long 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。
OnboardingStatus string デバイスが現在オンボードされているかどうか、またはデバイスがサポートされていない場合は、エンドポイントMicrosoft Defenderするかどうかを示します
AdditionalFields string JSON 配列形式のイベントに関する追加情報
DeviceCategory string 特定のデバイスの種類を次のカテゴリにグループ化する広範な分類: エンドポイント、ネットワーク デバイス、IoT、Unknown
DeviceType string ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類
DeviceSubtype string 特定の種類のデバイス (モバイル デバイスなど) の追加修飾子は、タブレットやスマートフォンなどです。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます
Model string ベンダーまたは製造元の製品のモデル名または番号。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます
Vendor string 製品ベンダーまたは製造元の名前。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます
OSDistribution string Ubuntu や RedHat for Linux プラットフォームなどの OS プラットフォームの配布
OSVersionInfo string 一般的な名前、コード名、バージョン番号など、OS のバージョンに関する追加情報
MergedDeviceIds string 同じデバイスに割り当てられている以前のデバイス ID
MergedToDeviceId string デバイスに割り当てられた最新のデバイス ID
IsInternetFacing boolean デバイスがインターネットに接続されているかどうかを示します
SensorHealthState string デバイスの EDR センサーの正常性を示します (エンドポイントのMicrosoft Defenderにオンボードされている場合)
IsExcluded bool デバイスが脆弱性管理エクスペリエンスのMicrosoft Defenderから現在除外されているかどうかを判断します
ExclusionReason string デバイスの除外の理由を示します
ExposureLevel string 公開スコアに基づく悪用に対するデバイスの脆弱性のレベル。可能: 低、中、高
AssetValue string organizationの露出スコアを計算する場合の重要度に関連してデバイスに割り当てられた優先度または値。低、標準 (既定値)、高
DeviceManualTags string ポータル UI またはパブリック API を使用して手動で作成されたデバイス タグ
DeviceDynamicTags string 動的ルールに基づいて動的に追加および削除されたデバイス タグ
ConnectivityType string デバイスからクラウドへの接続の種類
HostDeviceId string Linux 用 Windows サブシステムを実行しているデバイスのデバイス ID
AzureResourceId string デバイスに関連付けられている Azure リソースの一意識別子

表は DeviceInfo 、デバイスからの定期的なレポートまたは信号 (ハートビート) に基づいてデバイス情報を提供します。 完全なレポートは、1 時間ごとに送信され、以前のハートビートに変更が発生するたびに送信されます。

次のサンプル クエリを使用して、デバイスの最新の状態を取得できます。

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId 

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします