DeviceInfo
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A DeviceInfo
tabela no esquema de caça avançado contém informações sobre dispositivos na organização, incluindo versão do sistema operacional, usuários ativos e nome do computador. Use essa referência para criar consultas que retornam informações dessa tabela.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
ClientVersion |
string |
Versão do agente de ponto de extremidade ou sensor em execução no dispositivo |
PublicIP |
string |
Endereço IP público usado pelo dispositivo integrado para se conectar ao serviço Microsoft Defender para Ponto de Extremidade. Esse pode ser o endereço IP do próprio dispositivo, um dispositivo NAT ou um proxy. |
OSArchitecture |
string |
Arquitetura do sistema operacional em execução no dispositivo |
OSPlatform |
string |
Plataforma do sistema operacional em execução no dispositivo. Isso indica sistemas operacionais específicos, incluindo variações na mesma família, como Windows 11, Windows 10 e Windows 7. |
OSBuild |
long |
Compilar versão do sistema operacional em execução no dispositivo |
IsAzureADJoined |
boolean |
Indicador booliano de se o dispositivo está ingressado no Microsoft Entra ID |
JoinType |
string |
O tipo de junção Microsoft Entra ID do dispositivo |
AadDeviceId |
string |
Identificador exclusivo para o dispositivo no Microsoft Entra ID |
LoggedOnUsers |
string |
Lista de todos os usuários conectados ao dispositivo no momento do evento no formato de matriz JSON |
RegistryDeviceTag |
string |
Marca de dispositivo adicionada por meio do registro |
OSVersion |
string |
Versão do sistema operacional em execução no dispositivo |
MachineGroup |
string |
Grupo de máquinas do dispositivo. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao dispositivo. |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
OnboardingStatus |
string |
Indica se o dispositivo está integrado ou não para Microsoft Defender Para Ponto de Extremidade ou se o dispositivo não tem suporte |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
DeviceCategory |
string |
Classificação mais ampla que agrupa determinados tipos de dispositivo nas seguintes categorias: Ponto de Extremidade, Dispositivo de Rede, IoT, Desconhecido |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, celular, console de jogos ou impressora |
DeviceSubtype |
string |
Modificador adicional para determinados tipos de dispositivos, por exemplo, um dispositivo móvel pode ser um tablet ou um smartphone; disponível somente se a descoberta do dispositivo encontrar informações suficientes sobre esse atributo |
Model |
string |
Nome do modelo ou número do produto do fornecedor ou fabricante, disponível somente se a descoberta do dispositivo encontrar informações suficientes sobre esse atributo |
Vendor |
string |
Nome do fornecedor ou fabricante do produto, disponível somente se a descoberta do dispositivo encontrar informações suficientes sobre esse atributo |
OSDistribution |
string |
Distribuição da plataforma do sistema operacional, como Ubuntu ou RedHat para plataformas Linux |
OSVersionInfo |
string |
Informações adicionais sobre a versão do sistema operacional, como o nome popular, o nome do código ou o número da versão |
MergedDeviceIds |
string |
IDs de dispositivo anteriores que foram atribuídas ao mesmo dispositivo |
MergedToDeviceId |
string |
A ID do dispositivo mais recente atribuída a um dispositivo |
IsInternetFacing |
boolean |
Indica se o dispositivo está voltado para a Internet |
SensorHealthState |
string |
Indica a integridade do sensor EDR do dispositivo, se integrado a Microsoft Defender Para Ponto de Extremidade |
IsExcluded |
bool |
Determina se o dispositivo está atualmente excluído do Microsoft Defender para experiências de Gerenciamento de Vulnerabilidades |
ExclusionReason |
string |
Indica o motivo da exclusão do dispositivo |
ExposureLevel |
string |
O nível de vulnerabilidade do dispositivo à exploração com base em sua pontuação de exposição; pode ser: Baixo, Médio, Alto |
AssetValue |
string |
Prioridade ou valor atribuído ao dispositivo em relação à sua importância na computação da pontuação de exposição da organização; pode ser: baixo, normal (padrão), alto |
DeviceManualTags |
string |
Marcas de dispositivo criadas manualmente usando a interface do usuário do portal ou a API pública |
DeviceDynamicTags |
string |
Marcas de dispositivo adicionadas e removidas dinamicamente com base em regras dinâmicas |
ConnectivityType |
string |
Tipo de conectividade do dispositivo para a nuvem |
HostDeviceId |
string |
ID do dispositivo em execução Subsistema do Windows para Linux |
AzureResourceId |
string |
Identificador exclusivo do recurso do Azure associado ao dispositivo |
AwsResourceName |
string |
Identificador exclusivo específico para dispositivos do Amazon Web Services, contendo o nome do recurso da Amazon |
GcpFullResourceName |
string |
Identificador exclusivo específico para dispositivos do Google Cloud Platform, contendo uma combinação de zona e ID para GCP |
A DeviceInfo
tabela fornece informações do dispositivo com base em relatórios periódicos ou sinais (pulsações) de um dispositivo. Relatórios completos são enviados a cada hora e sempre que uma alteração acontece com um batimento cardíaco anterior.
Você pode usar a seguinte consulta de exemplo para obter o estado mais recente de um dispositivo:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.