DeviceInfo
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
Tabellen DeviceInfo i det avancerade jaktschemat innehåller information om enheter i organisationen, inklusive operativsystemversion, aktiva användare och datornamn. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
DeviceId |
string |
Unik identifierare för enheten i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
ClientVersion |
string |
Version av slutpunktsagenten eller sensorn som körs på enheten |
PublicIP |
string |
Offentlig IP-adress som används av den registrerade enheten för att ansluta till Microsoft Defender för Endpoint-tjänsten. Detta kan vara IP-adressen för själva enheten, en NAT-enhet eller en proxy. |
OSArchitecture |
string |
Arkitektur för det operativsystem som körs på enheten |
OSPlatform |
string |
Plattform för operativsystemet som körs på enheten. Detta anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
OSBuild |
long |
Skapa version av operativsystemet som körs på enheten |
IsAzureADJoined |
boolean |
Boolesk indikator på om enheten är ansluten till Microsoft Entra ID |
JoinType |
string |
Enhetens Microsoft Entra ID kopplingstyp |
AadDeviceId |
string |
Unik identifierare för enheten i Microsoft Entra ID |
LoggedOnUsers |
string |
Lista över alla användare som är inloggade på enheten vid tidpunkten för händelsen i JSON-matrisformat |
RegistryDeviceTag |
string |
Enhetstagg som lagts till via registret |
OSVersion |
string |
Version av operativsystemet som körs på enheten |
MachineGroup |
string |
Enhetens datorgrupp. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till enheten. |
ReportId |
long |
Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
OnboardingStatus |
string |
Anger om enheten för närvarande är registrerad eller inte för att Microsoft Defender för slutpunkten eller om enheten inte stöds |
AdditionalFields |
string |
Ytterligare information om händelsen i JSON-matrisformat |
DeviceCategory |
string |
Bredare klassificering som grupperar vissa enhetstyper under följande kategorier: Slutpunkt, Nätverksenhet, IoT, Okänd |
DeviceType |
string |
Typ av enhet baserat på syfte och funktionalitet, till exempel nätverksenhet, arbetsstation, server, mobil, spelkonsol eller skrivare |
DeviceSubtype |
string |
Ytterligare modifierare för vissa typer av enheter, till exempel en mobil enhet kan vara en surfplatta eller en smartphone; endast tillgängligt om enhetsidentifiering hittar tillräckligt med information om det här attributet |
Model |
string |
Modellnamn eller nummer på produkten från leverantören eller tillverkaren, endast tillgängligt om enhetsidentifieringen hittar tillräckligt med information om det här attributet |
Vendor |
string |
Namnet på produktleverantören eller tillverkaren, endast tillgängligt om enhetsidentifieringen hittar tillräckligt med information om det här attributet |
OSDistribution |
string |
Distribution av OS-plattformen, till exempel Ubuntu eller RedHat för Linux-plattformar |
OSVersionInfo |
string |
Ytterligare information om operativsystemversionen, till exempel det populära namnet, kodnamnet eller versionsnumret |
MergedDeviceIds |
string |
Tidigare enhets-ID:n som har tilldelats till samma enhet |
MergedToDeviceId |
string |
Det senaste enhets-ID:t som tilldelats en enhet |
IsInternetFacing |
boolean |
Anger om enheten är internetuppkopplad |
SensorHealthState |
string |
Anger hälsotillståndet för enhetens EDR-sensor, om den registreras i Microsoft Defender för slutpunkten |
IsExcluded |
bool |
Avgör om enheten för närvarande är exkluderad från Microsoft Defender för sårbarhetshantering |
ExclusionReason |
string |
Anger orsaken till enhetsundantag |
ExposureLevel |
string |
Enhetens sårbarhetsnivå för utnyttjande baserat på exponeringspoängen. kan vara: Låg, Medel, Hög |
AssetValue |
string |
Prioritet eller värde som tilldelats enheten i förhållande till dess betydelse vid beräkning av organisationens exponeringspoäng. kan vara: Låg, Normal (standard), Hög |
DeviceManualTags |
string |
Enhetstaggar som skapats manuellt med hjälp av portalens användargränssnitt eller offentliga API |
DeviceDynamicTags |
string |
Enhetstaggar har lagts till och tagits bort dynamiskt baserat på dynamiska regler |
ConnectivityType |
string |
Typ av anslutning från enheten till molnet |
HostDeviceId |
string |
Enhets-ID för enheten som kör Windows-undersystem för Linux |
AzureResourceId |
string |
Unik identifierare för Den Azure-resurs som är associerad med enheten |
AwsResourceName |
string |
Unik identifierare som är specifik för Amazon Web Services-enheter som innehåller Amazon-resursnamnet |
GcpFullResourceName |
string |
Unik identifierare som är specifik för Google Cloud Platform-enheter som innehåller en kombination av zon och ID för GCP |
Tabellen DeviceInfo innehåller enhetsinformation baserat på periodiska rapporter eller signaler (pulsslag) från en enhet. Fullständiga rapporter skickas varje timme och varje gång en ändring sker i ett tidigare pulsslag.
Du kan använda följande exempelfråga för att hämta det senaste tillståndet för en enhet:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.