DeviceInfo
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender voor Eindpunt
De DeviceInfo tabel in het geavanceerde opsporingsschema bevat informatie over apparaten in de organisatie, waaronder de versie van het besturingssysteem, actieve gebruikers en de computernaam. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
DeviceId |
string |
Unieke id voor het apparaat in de service |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
ClientVersion |
string |
Versie van de eindpuntagent of sensor die op het apparaat wordt uitgevoerd |
PublicIP |
string |
Openbaar IP-adres dat door het onboardingapparaat wordt gebruikt om verbinding te maken met de Microsoft Defender voor Eindpunt-service. Dit kan het IP-adres van het apparaat zelf, een NAT-apparaat of een proxy zijn. |
OSArchitecture |
string |
Architectuur van het besturingssysteem dat op het apparaat wordt uitgevoerd |
OSPlatform |
string |
Platform van het besturingssysteem dat op het apparaat wordt uitgevoerd. Dit geeft specifieke besturingssystemen aan, inclusief variaties binnen dezelfde familie, zoals Windows 11, Windows 10 en Windows 7. |
OSBuild |
long |
Buildversie van het besturingssysteem dat wordt uitgevoerd op het apparaat |
IsAzureADJoined |
boolean |
Booleaanse indicator of het apparaat is gekoppeld aan de Microsoft Entra ID |
JoinType |
string |
Het Microsoft Entra ID jointype van het apparaat |
AadDeviceId |
string |
Unieke id voor het apparaat in Microsoft Entra ID |
LoggedOnUsers |
string |
Lijst met alle gebruikers die zijn aangemeld op het apparaat op het moment van de gebeurtenis in JSON-matrixindeling |
RegistryDeviceTag |
string |
Apparaattag toegevoegd via het register |
OSVersion |
string |
Versie van het besturingssysteem dat op het apparaat wordt uitgevoerd |
MachineGroup |
string |
Computergroep van het apparaat. Deze groep wordt gebruikt door op rollen gebaseerd toegangsbeheer om de toegang tot het apparaat te bepalen. |
ReportId |
long |
Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp. |
OnboardingStatus |
string |
Geeft aan of het apparaat momenteel al dan niet is toegevoegd aan Microsoft Defender voor eindpunt of dat het apparaat niet wordt ondersteund |
AdditionalFields |
string |
Aanvullende informatie over de gebeurtenis in JSON-matrixindeling |
DeviceCategory |
string |
Bredere classificatie die bepaalde apparaattypen onder de volgende categorieën groeperen: Eindpunt, Netwerkapparaat, IoT, Onbekend |
DeviceType |
string |
Type apparaat op basis van doel en functionaliteit, zoals netwerkapparaat, werkstation, server, mobiel, gameconsole of printer |
DeviceSubtype |
string |
Aanvullende aanpassingsfunctie voor bepaalde typen apparaten, bijvoorbeeld een mobiel apparaat kan een tablet of een smartphone zijn; alleen beschikbaar als apparaatdetectie voldoende informatie over dit kenmerk vindt |
Model |
string |
Modelnaam of nummer van het product van de leverancier of fabrikant, alleen beschikbaar als apparaatdetectie voldoende informatie over dit kenmerk vindt |
Vendor |
string |
Naam van de leverancier of fabrikant van het product, alleen beschikbaar als apparaatdetectie voldoende informatie over dit kenmerk vindt |
OSDistribution |
string |
Distributie van het besturingssysteemplatform, zoals Ubuntu of RedHat voor Linux-platforms |
OSVersionInfo |
string |
Aanvullende informatie over de versie van het besturingssysteem, zoals de populaire naam, codenaam of versienummer |
MergedDeviceIds |
string |
Eerdere apparaat-id's die zijn toegewezen aan hetzelfde apparaat |
MergedToDeviceId |
string |
De meest recente apparaat-id die is toegewezen aan een apparaat |
IsInternetFacing |
boolean |
Geeft aan of het apparaat internetgericht is |
SensorHealthState |
string |
Geeft de status van de EDR-sensor van het apparaat aan, indien onboarding naar Microsoft Defender voor eindpunt |
IsExcluded |
bool |
Bepaalt of het apparaat momenteel is uitgesloten van Microsoft Defender voor ervaringen met beheer van beveiligingsproblemen |
ExclusionReason |
string |
Geeft de reden voor apparaatuitsluiting aan |
ExposureLevel |
string |
Het kwetsbaarheidsniveau van het apparaat voor exploitatie op basis van de blootstellingsscore; kan zijn: Laag, Gemiddeld, Hoog |
AssetValue |
string |
Prioriteit of waarde die aan het apparaat is toegewezen in relatie tot het belang ervan bij het berekenen van de blootstellingsscore van de organisatie; kan zijn: Laag, Normaal (standaard), Hoog |
DeviceManualTags |
string |
Apparaattags die handmatig zijn gemaakt met behulp van de gebruikersinterface van de portal of de openbare API |
DeviceDynamicTags |
string |
Apparaattags die dynamisch zijn toegevoegd en verwijderd op basis van dynamische regels |
ConnectivityType |
string |
Type connectiviteit van het apparaat naar de cloud |
HostDeviceId |
string |
Apparaat-id van het apparaat waarop Windows-subsysteem voor Linux |
AzureResourceId |
string |
Unieke id van de Azure-resource die is gekoppeld aan het apparaat |
AwsResourceName |
string |
Unieke id die specifiek is voor Amazon Web Services-apparaten, met de naam van de Amazon-resource |
GcpFullResourceName |
string |
Unieke id die specifiek is voor Google Cloud Platform-apparaten, met een combinatie van zone en id voor GCP |
De DeviceInfo tabel bevat apparaatinformatie op basis van periodieke rapporten of signalen (heartbeats) van een apparaat. Volledige rapporten worden elk uur en telkens wanneer er een wijziging plaatsvindt in een eerdere heartbeat verzonden.
U kunt de volgende voorbeeldquery gebruiken om de meest recente status van een apparaat op te halen:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.