DeviceInfo
注:
Microsoft 365 Defender を体験してみませんか? Microsoft 365 Defenderを評価してパイロットする方法の詳細については、こちらを参照してください。
適用対象:
- Microsoft 365 Defender
- Microsoft Defender for Endpoint
DeviceInfo高度なハンティング スキーマの表には、OS バージョン、アクティブ ユーザー、コンピューター名など、組織内のデバイスに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
DeviceId |
string |
コンピューターの一意識別子 |
DeviceName |
string |
コンピューターの完全修飾ドメイン名 (FQDN) |
ClientVersion |
string |
コンピューターで実行されているエンドポイント エージェントまたはセンサーのバージョン |
PublicIP |
string |
オンボードされたマシンがMicrosoft Defender for Endpoint サービスに接続するために使用するパブリック IP アドレス。 これは、マシン自体、NAT デバイス、またはプロキシの IP アドレスである可能性があります。 |
OSArchitecture |
string |
コンピューターで実行されているオペレーティング システムのアーキテクチャです。 |
OSPlatform |
string |
コンピューターで実行されているオペレーティング システムのプラットフォームです。 これは、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
OSBuild |
string |
コンピューターで実行されているオペレーティング システムのビルド バージョン |
IsAzureADJoined |
boolean |
マシンが Azure Active Directory に参加しているかどうかを示すブールインジケーター |
AadDeviceId |
string |
Azure AD のデバイスの一意の識別子 |
LoggedOnUsers |
string |
イベント発生時にマシンにログオンしているすべてのユーザーの一覧 (JSON 配列形式) |
RegistryDeviceTag |
string |
レジストリを介して追加されたマシン タグ |
OSVersion |
string |
コンピューターで実行されているオペレーティング システムのバージョンです。 |
MachineGroup |
string |
マシンのマシン グループ。 このグループは、ロールベースのアクセス制御によってマシンへのアクセスを決定するために使用されます |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
OnboardingStatus |
string |
デバイスが現在オンボードされているか、Microsoft Defender for Endpointされていないか、デバイスがサポートされていないかどうかを示します。 |
AdditionalFields |
string |
JSON 配列形式のイベントに関する追加情報 |
DeviceCategory |
string |
特定のデバイスの種類を次のカテゴリにグループ化する広範な分類: エンドポイント、ネットワーク デバイス、IoT、不明 |
DeviceType |
string |
ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなど、目的と機能に基づくデバイスの種類 |
DeviceSubType |
string |
モバイル デバイスは、タブレットやスマートフォンなど、特定の種類のデバイスの追加修飾子です。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
Model |
string |
ベンダーまたは製造元からの製品のモデル名または番号。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
Vendor |
string |
デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できる、製品ベンダーまたは製造元の名前 |
OSDistribution |
string |
Ubuntu や RedHat for Linux プラットフォームなどの OS プラットフォームの配布 |
OSVersionInfo |
string |
一般的な名前、コード名、バージョン番号など、OS バージョンに関する追加情報 |
MergedDeviceIds |
string |
同じデバイスに割り当てられている以前のデバイス ID |
MergedToDeviceId |
string |
デバイスに割り当てられた最新のデバイス ID |
この表は DeviceInfo 、デバイスからの定期的なレポートまたはシグナルであるハートビートに基づくデバイス情報を提供します。 15 分ごとに、デバイスは、頻繁に変化する属性 LoggedOnUsers(. 1 日に 1 回、デバイスの属性を含む完全なハートビートが送信されます。
次のサンプル クエリを使用して、デバイスの最新の状態を取得できます。
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId