Поделиться через

DeviceInfo

  • Статья

Область применения:

  • Microsoft Defender XDR
  • Microsoft Defender для конечной точки

Таблица DeviceInfo в схеме расширенной охоты содержит сведения об устройствах в организации, включая версию ОС, активных пользователей и имя компьютера. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
DeviceId string Уникальный идентификатор устройства в службе
DeviceName string Полное доменное имя (FQDN) устройства
ClientVersion string Версия агента конечной точки или датчика, работающего на устройстве
PublicIP string Общедоступный IP-адрес, используемый подключенным устройством для подключения к службе Microsoft Defender для конечной точки. Это может быть IP-адрес самого устройства, устройство NAT или прокси-сервер.
OSArchitecture string Архитектура операционной системы, работающей на устройстве
OSPlatform string Платформа операционной системы, работающей на устройстве. Это указывает на определенные операционные системы, включая варианты в пределах одного семейства, такие как Windows 11, Windows 10 и Windows 7.
OSBuild long Сборка версии операционной системы, работающей на устройстве
IsAzureADJoined boolean Логический индикатор присоединения устройства к Microsoft Entra ID
JoinType string Тип соединения Microsoft Entra ID устройства
AadDeviceId string Уникальный идентификатор устройства в Microsoft Entra ID
LoggedOnUsers string Список всех пользователей, зарегистрированных на устройстве во время события в формате массива JSON
RegistryDeviceTag string Тег устройства, добавленный через реестр
OSVersion string Версия операционной системы, работающей на устройстве
MachineGroup string Группа компьютеров устройства. Эта группа используется управлением доступом на основе ролей для определения доступа к устройству.
ReportId long Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp.
OnboardingStatus string Указывает, подключено ли устройство к Microsoft Defender для конечной точки или устройство не поддерживается.
AdditionalFields string Дополнительные сведения о событии в формате массива JSON
DeviceCategory string Более широкая классификация, сгруппировка определенных типов устройств по следующим категориям: Конечная точка, Сетевое устройство, IoT, Unknown
DeviceType string Тип устройства в зависимости от назначения и функциональности, например сетевое устройство, рабочая станция, сервер, мобильные устройства, игровая консоль или принтер
DeviceSubtype string Дополнительный модификатор для некоторых типов устройств, например, мобильное устройство может быть планшетом или смартфоном; Доступно только в том случае, если обнаружение устройств находит достаточно сведений об этом атрибуте
Model string Имя модели или номер продукта от поставщика или производителя, доступные только в том случае, если обнаружение устройств находит достаточно сведений об этом атрибуте.
Vendor string Имя поставщика или производителя продукта, доступно только в том случае, если обнаружение устройства находит достаточно сведений об этом атрибуте.
OSDistribution string Распространение платформы ОС, например Ubuntu или RedHat для платформ Linux
OSVersionInfo string Дополнительные сведения о версии ОС, такие как популярное имя, кодовое имя или номер версии
MergedDeviceIds string Предыдущие идентификаторы устройств, назначенные тому же устройству
MergedToDeviceId string Последний идентификатор устройства, назначенный устройству
IsInternetFacing boolean Указывает, подключено ли устройство к Интернету.
SensorHealthState string Указывает работоспособность датчика EDR устройства, если он подключен к Microsoft Defender для конечной точки.
IsExcluded bool Определяет, исключается ли устройство из Microsoft Defender для управления уязвимостями.
ExclusionReason string Указывает причину исключения устройства.
ExposureLevel string Уровень уязвимости устройства к эксплуатации на основе его оценки уязвимости; может быть: Низкий, Средний, Высокий
AssetValue string Приоритет или значение, присвоенное устройству в связи с его важностью при вычислении оценки воздействия организации; может быть: Низкий, Обычный (по умолчанию), Высокий
DeviceManualTags string Теги устройств, созданные вручную с помощью пользовательского интерфейса портала или общедоступного API
DeviceDynamicTags string Теги устройств, добавляемые и удаляемые динамически на основе динамических правил
ConnectivityType string Тип подключения устройства к облаку
HostDeviceId string Идентификатор устройства, на котором выполняется подсистема Windows для Linux
AzureResourceId string Уникальный идентификатор ресурса Azure, связанного с устройством
AwsResourceName string Уникальный идентификатор, характерный для устройств Amazon Web Services, содержащий имя ресурса Amazon
GcpFullResourceName string Уникальный идентификатор, характерный для устройств Google Cloud Platform, содержащий сочетание зоны и идентификатора для GCP

В DeviceInfo таблице представлены сведения об устройстве на основе периодических отчетов или сигналов (пульса) от устройства. Полные отчеты отправляются каждый час и при каждом изменении предыдущего пульса.

Чтобы получить последнее состояние устройства, можно использовать следующий пример запроса:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.