Compartilhar via


DeviceInfo

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender para Ponto de Extremidade

A DeviceInfo tabela no esquema de caça avançado contém informações sobre dispositivos na organização, incluindo versão do sistema operacional, usuários ativos e nome do computador. Use essa referência para criar consultas que retornam informações dessa tabela.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
DeviceId string Identificador exclusivo para o dispositivo no serviço
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo
ClientVersion string Versão do agente de ponto de extremidade ou sensor em execução no dispositivo
PublicIP string Endereço IP público usado pelo dispositivo integrado para se conectar ao serviço Microsoft Defender para Ponto de Extremidade. Esse pode ser o endereço IP do próprio dispositivo, um dispositivo NAT ou um proxy.
OSArchitecture string Arquitetura do sistema operacional em execução no dispositivo
OSPlatform string Plataforma do sistema operacional em execução no dispositivo. Isso indica sistemas operacionais específicos, incluindo variações na mesma família, como Windows 11, Windows 10 e Windows 7.
OSBuild long Compilar versão do sistema operacional em execução no dispositivo
IsAzureADJoined boolean Indicador booliano de se o dispositivo está ingressado no Microsoft Entra ID
JoinType string O tipo de junção Microsoft Entra ID do dispositivo
AadDeviceId string Identificador exclusivo para o dispositivo no Microsoft Entra ID
LoggedOnUsers string Lista de todos os usuários conectados ao dispositivo no momento do evento no formato de matriz JSON
RegistryDeviceTag string Marca de dispositivo adicionada por meio do registro
OSVersion string Versão do sistema operacional em execução no dispositivo
MachineGroup string Grupo de máquinas do dispositivo. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao dispositivo.
ReportId long Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp.
OnboardingStatus string Indica se o dispositivo está integrado ou não para Microsoft Defender Para Ponto de Extremidade ou se o dispositivo não tem suporte
AdditionalFields string Informações adicionais sobre o evento no formato de matriz JSON
DeviceCategory string Classificação mais ampla que agrupa determinados tipos de dispositivo nas seguintes categorias: Ponto de Extremidade, Dispositivo de Rede, IoT, Desconhecido
DeviceType string Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, celular, console de jogos ou impressora
DeviceSubtype string Modificador adicional para determinados tipos de dispositivos, por exemplo, um dispositivo móvel pode ser um tablet ou um smartphone; disponível somente se a descoberta do dispositivo encontrar informações suficientes sobre esse atributo
Model string Nome do modelo ou número do produto do fornecedor ou fabricante, disponível somente se a descoberta do dispositivo encontrar informações suficientes sobre esse atributo
Vendor string Nome do fornecedor ou fabricante do produto, disponível somente se a descoberta do dispositivo encontrar informações suficientes sobre esse atributo
OSDistribution string Distribuição da plataforma do sistema operacional, como Ubuntu ou RedHat para plataformas Linux
OSVersionInfo string Informações adicionais sobre a versão do sistema operacional, como o nome popular, o nome do código ou o número da versão
MergedDeviceIds string IDs de dispositivo anteriores que foram atribuídas ao mesmo dispositivo
MergedToDeviceId string A ID do dispositivo mais recente atribuída a um dispositivo
IsInternetFacing boolean Indica se o dispositivo está voltado para a Internet
SensorHealthState string Indica a integridade do sensor EDR do dispositivo, se integrado a Microsoft Defender Para Ponto de Extremidade
IsExcluded bool Determina se o dispositivo está atualmente excluído do Microsoft Defender para experiências de Gerenciamento de Vulnerabilidades
ExclusionReason string Indica o motivo da exclusão do dispositivo
ExposureLevel string O nível de vulnerabilidade do dispositivo à exploração com base em sua pontuação de exposição; pode ser: Baixo, Médio, Alto
AssetValue string Prioridade ou valor atribuído ao dispositivo em relação à sua importância na computação da pontuação de exposição da organização; pode ser: baixo, normal (padrão), alto
DeviceManualTags string Marcas de dispositivo criadas manualmente usando a interface do usuário do portal ou a API pública
DeviceDynamicTags string Marcas de dispositivo adicionadas e removidas dinamicamente com base em regras dinâmicas
ConnectivityType string Tipo de conectividade do dispositivo para a nuvem
HostDeviceId string ID do dispositivo em execução Subsistema do Windows para Linux
AzureResourceId string Identificador exclusivo do recurso do Azure associado ao dispositivo
AwsResourceName string Identificador exclusivo específico para dispositivos do Amazon Web Services, contendo o nome do recurso da Amazon
GcpFullResourceName string Identificador exclusivo específico para dispositivos do Google Cloud Platform, contendo uma combinação de zona e ID para GCP

A DeviceInfo tabela fornece informações do dispositivo com base em relatórios periódicos ou sinais (pulsações) de um dispositivo. Relatórios completos são enviados a cada hora e sempre que uma alteração acontece com um batimento cardíaco anterior.

Você pode usar a seguinte consulta de exemplo para obter o estado mais recente de um dispositivo:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId 

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.