DeviceInfo
此表是 Azure Sentinel 终结点Microsoft Defender的一部分。 此表包含计算机信息,包括 OS 信息。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时间转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AadDeviceId | 字符串 | Azure Active Directory 中设备的唯一标识符。 |
| AdditionalFields | dynamic | 有关实体或事件的其他信息。 |
| AssetValue | 字符串 | 指示用户分配的设备值。 |
| _BilledSize | real | 记录大小(以字节为单位) |
| ClientVersion | 字符串 | 计算机上运行的终结点代理或传感器的版本。 |
| DeviceCategory | 字符串 | 将某些设备类型分组到以下类别下的更广泛的分类:终结点、网络设备、IoT、未知。 |
| DeviceId | string | 服务中设备的唯一标识符。 |
| DeviceName | 字符串 | 设备的 FQDN) (完全限定的域名。 |
| DeviceObjectId | 字符串 | Azure AD 中设备的唯一标识符。 |
| DeviceSubtype | 字符串 | 某些类型的设备的其他修饰符,例如,移动设备可以是平板电脑或智能手机;仅在设备发现找到有关此属性的足够信息时可用。 |
| DeviceType | 字符串 | 基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动设备、游戏主机或打印机。 |
| ExclusionReason | 字符串 | 指示设备排除的原因。 |
| ExposureLevel | 字符串 | 指示设备的曝光级别。 |
| IsAzureADJoined | bool | 指示计算机是否已加入 Azure Active Directory 的布尔指示器。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| IsExcluded | bool | 确定设备当前是否被排除在漏洞管理体验Microsoft Defender之外。 |
| IsInternetFacing | bool | 指示设备是否面向 Internet。 |
| JoinType | 字符串 | 设备的 Azure Active Directory 联接类型。 |
| LoggedOnUsers | dynamic | 事件发生时在计算机上登录的所有用户的列表,采用 JSON 数组格式。 |
| MachineGroup | 字符串 | 用于确定计算机访问权限和应用组特定设置的计算机组。 |
| MergedDeviceIds | 字符串 | 以前已分配给同一设备的设备 ID。 |
| MergedToDeviceId | 字符串 | 分配给设备的最新设备 ID。 |
| 型号 | 字符串 | 供应商或制造商提供的产品的型号或编号,仅在设备发现找到有关此属性的足够信息时才可用。 |
| OnboardingStatus | 字符串 | 指示设备当前是否已载入Microsoft Defender for Endpoint或设备是否不受支持。 |
| OSArchitecture | 字符串 | 计算机上运行的操作系统的体系结构。 |
| OSBuild | long | 计算机上运行的操作系统的内部版本。 |
| OSDistribution | 字符串 | OS 平台的分发,例如适用于 Linux 平台的 Ubuntu 或 RedHat。 |
| OSPlatform | 字符串 | 计算机上运行的操作系统的平台。 这表示特定操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7。 |
| OSVersion | 字符串 | 计算机上运行的操作系统的版本。 |
| OSVersionInfo | 字符串 | 有关 OS 版本的其他信息,例如常用名称、代码名或版本号。 |
| PublicIP | 字符串 | 加入的计算机用于连接到Windows Defender ATP 服务的公共 IP 地址。 这可能是计算机本身、NAT 设备或代理的 IP 地址。 |
| RegistryDeviceTag | 字符串 | 通过注册表添加的设备标记。 |
| ReportId | long | 基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 ComputerName 和 EventTime 列结合使用。 |
| SensorHealthState | 字符串 | 指示设备的 EDR 传感器的运行状况(如果已载入到 Microsoft Defender For Endpoint)。 |
| SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager对于 Windows 代理,对于直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 终结点上的 MDE 代理记录事件的日期和时间。 |
| 类型 | 字符串 | 表的名称 |
| Vendor | 字符串 | 产品供应商或制造商的名称,仅在设备发现找到有关此属性的足够信息时可用。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈