DeviceInfo
적용 대상:
- Microsoft Defender XDR
- 엔드포인트용 Microsoft Defender
고급 헌팅 스키마의 테이블에는 DeviceInfo OS 버전, 활성 사용자 및 컴퓨터 이름을 포함하여 organization 디바이스에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
DeviceId |
string |
서비스의 디바이스에 대한 고유 식별자 |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
ClientVersion |
string |
디바이스에서 실행되는 엔드포인트 에이전트 또는 센서의 버전 |
PublicIP |
string |
온보딩된 디바이스에서 엔드포인트용 Microsoft Defender 서비스에 연결하는 데 사용하는 공용 IP 주소입니다. 디바이스 자체, NAT 디바이스 또는 프록시의 IP 주소일 수 있습니다. |
OSArchitecture |
string |
디바이스에서 실행되는 운영 체제의 아키텍처 |
OSPlatform |
string |
디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이는 Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함한 특정 운영 체제를 나타냅니다. |
OSBuild |
long |
디바이스에서 실행되는 운영 체제의 빌드 버전 |
IsAzureADJoined |
boolean |
디바이스가 Microsoft Entra ID 조인되는지 여부를 나타내는 부울 표시기 |
JoinType |
string |
디바이스의 Microsoft Entra ID 조인 유형 |
AadDeviceId |
string |
Microsoft Entra ID 디바이스의 고유 식별자 |
LoggedOnUsers |
string |
이벤트 당시 디바이스에 로그온한 모든 사용자 목록(JSON 배열 형식) |
RegistryDeviceTag |
string |
레지스트리를 통해 추가된 디바이스 태그 |
OSVersion |
string |
디바이스에서 실행되는 운영 체제의 버전 |
MachineGroup |
string |
디바이스의 컴퓨터 그룹입니다. 이 그룹은 역할 기반 액세스 제어에서 디바이스에 대한 액세스를 결정하는 데 사용됩니다. |
ReportId |
long |
반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 DeviceName 및 Timestamp 열과 함께 사용해야 합니다. |
OnboardingStatus |
string |
디바이스가 현재 온보딩되었는지 여부를 나타내거나 엔드포인트용으로 Microsoft Defender 디바이스가 지원되지 않는지 여부를 나타냅니다. |
AdditionalFields |
string |
JSON 배열 형식의 이벤트에 대한 추가 정보 |
DeviceCategory |
string |
엔드포인트, 네트워크 디바이스, IoT, 알 수 없음 범주에서 특정 디바이스 유형을 그룹화하는 광범위한 분류 |
DeviceType |
string |
네트워크 디바이스, 워크스테이션, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능에 따라 디바이스 유형 |
DeviceSubtype |
string |
특정 유형의 디바이스에 대한 추가 한정자(예: 모바일 디바이스는 태블릿 또는 스마트폰일 수 있습니다.) 디바이스 검색에서 이 특성에 대한 충분한 정보를 찾은 경우에만 사용할 수 있습니다. |
Model |
string |
공급업체 또는 제조업체의 모델 이름 또는 제품 수이며, 디바이스 검색에서 이 특성에 대한 충분한 정보를 찾은 경우에만 사용할 수 있습니다. |
Vendor |
string |
제품 공급업체 또는 제조업체의 이름이며, 디바이스 검색에서 이 특성에 대한 충분한 정보를 찾은 경우에만 사용할 수 있습니다. |
OSDistribution |
string |
Linux용 Ubuntu 또는 RedHat 플랫폼과 같은 OS 플랫폼 배포 |
OSVersionInfo |
string |
인기 있는 이름, 코드 이름 또는 버전 번호와 같은 OS 버전에 대한 추가 정보 |
MergedDeviceIds |
string |
동일한 디바이스에 할당된 이전 디바이스 ID |
MergedToDeviceId |
string |
디바이스에 할당된 최신 디바이스 ID |
IsInternetFacing |
boolean |
디바이스가 인터넷 연결인지 여부를 나타냅니다. |
SensorHealthState |
string |
엔드포인트용 Microsoft Defender 온보딩된 경우 디바이스의 EDR 센서 상태를 나타냅니다. |
IsExcluded |
bool |
디바이스가 현재 취약성 관리 환경에 대한 Microsoft Defender 제외되었는지 확인합니다. |
ExclusionReason |
string |
디바이스 제외 이유를 나타냅니다. |
ExposureLevel |
string |
노출 점수에 따라 악용에 대한 디바이스의 취약성 수준; 낮음, 중간, 높음 |
AssetValue |
string |
organization 노출 점수를 계산하는 중요도와 관련하여 디바이스에 할당된 우선 순위 또는 값입니다. 낮음, 보통(기본값), 높음 |
DeviceManualTags |
string |
포털 UI 또는 공용 API를 사용하여 수동으로 만든 디바이스 태그 |
DeviceDynamicTags |
string |
동적 규칙에 따라 동적으로 추가 및 제거된 디바이스 태그 |
ConnectivityType |
string |
디바이스에서 클라우드로의 연결 유형 |
HostDeviceId |
string |
Linux용 Windows 하위 시스템 실행 중인 디바이스의 디바이스 ID |
AzureResourceId |
string |
디바이스와 연결된 Azure 리소스의 고유 식별자 |
AwsResourceName |
string |
Amazon 리소스 이름을 포함하는 Amazon Web Services 디바이스와 관련된 고유 식별자 |
GcpFullResourceName |
string |
GCP에 대한 영역과 ID의 조합을 포함하는 Google Cloud Platform 디바이스와 관련된 고유 식별자 |
테이블은 DeviceInfo 디바이스의 주기적인 보고서 또는 신호(하트비트)를 기반으로 디바이스 정보를 제공합니다. 전체 보고서는 이전 하트비트에 변경이 발생할 때마다 매시간 전송됩니다.
다음 샘플 쿼리를 사용하여 디바이스의 최신 상태를 가져올 수 있습니다.
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.