Del via

DeviceInfo

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR
  • Microsoft Defender for endepunkt

Tabellen DeviceInfo i det avanserte jaktskjemaet inneholder informasjon om enheter i organisasjonen, inkludert OS-versjon, aktive brukere og datamaskinnavn. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslett hendelsen ble registrert
DeviceId string Unik identifikator for enheten i tjenesten
DeviceName string Fullstendig domenenavn (FQDN) på enheten
ClientVersion string Versjon av endepunktagenten eller sensoren som kjører på enheten
PublicIP string Offentlig IP-adresse som brukes av den innebygde enheten til å koble til Microsoft Defender for endepunkt-tjenesten. Dette kan være IP-adressen til selve enheten, en NAT-enhet eller en proxy.
OSArchitecture string Arkitekturen til operativsystemet som kjører på enheten
OSPlatform string Plattformen for operativsystemet som kjører på enheten. Dette indikerer bestemte operativsystemer, inkludert variasjoner i samme familie, for eksempel Windows 11, Windows 10 og Windows 7.
OSBuild long Bygg versjonen av operativsystemet som kjører på enheten
IsAzureADJoined boolean Boolsk indikator for om enheten er koblet til Microsoft Entra ID
JoinType string Enhetens Microsoft Entra ID sammenføyningstype
AadDeviceId string Unik identifikator for enheten i Microsoft Entra ID
LoggedOnUsers string Liste over alle brukere som er logget på enheten på tidspunktet for hendelsen i JSON-matriseformat
RegistryDeviceTag string Enhetskode lagt til via registeret
OSVersion string Versjonen av operativsystemet som kjører på enheten
MachineGroup string Maskingruppe for enheten. Denne gruppen brukes av rollebasert tilgangskontroll til å bestemme tilgang til enheten.
ReportId long Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser.
OnboardingStatus string Angir om enheten er pålastet eller ikke skal Microsoft Defender For endepunkt, eller om enheten ikke støttes
AdditionalFields string Tilleggsinformasjon om hendelsen i JSON-matriseformat
DeviceCategory string Bredere klassifisering som grupperer visse enhetstyper under følgende kategorier: Endpoint, Network device, IoT, Unknown
DeviceType string Enhetstype basert på formål og funksjonalitet, for eksempel nettverksenhet, arbeidsstasjon, server, mobil, spillkonsoll eller skriver
DeviceSubtype string Tilleggsendring for visse typer enheter, for eksempel en mobil enhet, kan være et nettbrett eller en smarttelefon. bare tilgjengelig hvis enhetssøk finner nok informasjon om dette attributtet
Model string Modellnavn eller -nummer for produktet fra leverandøren eller produsenten, bare tilgjengelig hvis enhetsoppdagelse finner nok informasjon om dette attributtet
Vendor string Navnet på produktleverandøren eller produsenten, bare tilgjengelig hvis enhetsoppdagelse finner nok informasjon om dette attributtet
OSDistribution string Distribusjon av OS-plattformen, for eksempel Ubuntu eller RedHat for Linux-plattformer
OSVersionInfo string Tilleggsinformasjon om OS-versjonen, for eksempel det populære navnet, kodenavnet eller versjonsnummeret
MergedDeviceIds string Tidligere enhets-ID-er som er tilordnet til samme enhet
MergedToDeviceId string Den nyeste enhets-ID-en som er tilordnet til en enhet
IsInternetFacing boolean Angir om enheten er vendt mot Internett
SensorHealthState string Angir tilstanden til enhetens EDR-sensor, hvis den er innebygd i Microsoft Defender for endepunkt
IsExcluded bool Bestemmer om enheten for øyeblikket er ekskludert fra Microsoft Defender for opplevelser for sikkerhetsbehandling
ExclusionReason string Angir årsaken til enhetsutelukkelse
ExposureLevel string Enhetens nivå av sårbarhet for utnyttelse basert på eksponeringspoengsummen; kan være: Lav, Middels, Høy
AssetValue string Prioritet eller verdi tilordnet enheten i forhold til hvor viktig den er når det gjelder databehandling av organisasjonens eksponeringspoengsum. kan være: Lav, normal (standard), høy
DeviceManualTags string Enhetskoder som er opprettet manuelt ved hjelp av portalgrensesnittet eller offentlig API
DeviceDynamicTags string Enhetskoder som er lagt til og fjernet dynamisk basert på dynamiske regler
ConnectivityType string Type tilkobling fra enheten til skyen
HostDeviceId string Enhets-ID for enheten som kjører Windows-undersystem for Linux
AzureResourceId string Unik identifikator for Azure-ressursen som er knyttet til enheten
AwsResourceName string Unik identifikator som er spesifikk for Amazon Web Services-enheter, som inneholder Amazon-ressursnavnet
GcpFullResourceName string Unik identifikator som er spesifikk for Google Cloud Platform-enheter, som inneholder en kombinasjon av sone og ID for GCP

Tabellen DeviceInfo gir enhetsinformasjon basert på periodiske rapporter eller signaler (hjerteslag) fra en enhet. Fullstendige rapporter sendes hver time, og hver gang en endring skjer med et tidligere livstegn.

Du kan bruke følgende eksempelspørring for å få den nyeste tilstanden til en enhet:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.