DeviceInfo
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceInfo高级搜寻架构中的表包含有关组织中设备的信息,包括 OS 版本、活动用户和计算机名称。 使用此参考来构建从此表返回信息的查询。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
ClientVersion |
string |
设备上运行的终结点代理或传感器的版本 |
PublicIP |
string |
已载入设备用于连接到Microsoft Defender for Endpoint服务的公共 IP 地址。 这可能是设备本身、NAT 设备或代理的 IP 地址。 |
OSArchitecture |
string |
设备上运行的操作系统的体系结构 |
OSPlatform |
string |
在设备上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如Windows 11、Windows 10和 Windows 7。 |
OSBuild |
long |
在设备上运行的操作系统的内部版本 |
IsAzureADJoined |
boolean |
指示设备是否已加入Microsoft Entra ID的布尔指示器 |
JoinType |
string |
设备的Microsoft Entra ID联接类型 |
AadDeviceId |
string |
Microsoft Entra ID中设备的唯一标识符 |
LoggedOnUsers |
string |
事件发生时在设备上登录的所有用户的列表,采用 JSON 数组格式 |
RegistryDeviceTag |
string |
通过注册表添加的设备标记 |
OSVersion |
string |
设备上运行的操作系统版本 |
MachineGroup |
string |
设备的计算机组。 基于角色的访问控制使用此组来确定对设备的访问权限。 |
ReportId |
long |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
OnboardingStatus |
string |
指示设备当前是否已载入,以Microsoft Defender For Endpoint,或者设备是否不受支持 |
AdditionalFields |
string |
有关 JSON 数组格式的事件的其他信息 |
DeviceCategory |
string |
按以下类别对某些设备类型进行分组的更广泛分类:终结点、网络设备、IoT、未知 |
DeviceType |
string |
基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动设备、游戏主机或打印机 |
DeviceSubtype |
string |
某些类型的设备的其他修饰符,例如,移动设备可以是平板电脑或智能手机;仅当设备发现找到有关此属性的足够信息时可用 |
Model |
string |
供应商或制造商提供的产品的型号或编号,仅在设备发现找到有关此属性的足够信息时才可用 |
Vendor |
string |
产品供应商或制造商的名称,仅在设备发现找到有关此属性的足够信息时才可用 |
OSDistribution |
string |
OS 平台的分发,例如适用于 Linux 平台的 Ubuntu 或 RedHat |
OSVersionInfo |
string |
有关 OS 版本的其他信息,例如常用名称、代码名称或版本号 |
MergedDeviceIds |
string |
以前已分配给同一设备的设备 ID |
MergedToDeviceId |
string |
分配给设备的最新设备 ID |
IsInternetFacing |
boolean |
指示设备是否面向 Internet |
SensorHealthState |
string |
指示设备的 EDR 传感器的运行状况(如果载入到 Microsoft Defender For Endpoint) |
IsExcluded |
bool |
确定设备当前是否被排除在漏洞管理体验Microsoft Defender之外 |
ExclusionReason |
string |
指示设备排除的原因 |
ExposureLevel |
string |
设备的漏洞利用级别取决于其暴露分数;可以是:低、中、高 |
AssetValue |
string |
分配给设备的优先级或值,与设备在计算组织曝光分数时的重要性相关;可以是:低、正常 (默认) 、高 |
DeviceManualTags |
string |
使用门户 UI 或公共 API 手动创建的设备标记 |
DeviceDynamicTags |
string |
基于动态规则动态添加和删除的设备标记 |
ConnectivityType |
string |
从设备到云的连接类型 |
HostDeviceId |
string |
运行适用于 Linux 的 Windows 子系统的设备的设备 ID |
AzureResourceId |
string |
与设备关联的 Azure 资源的唯一标识符 |
该 DeviceInfo 表根据定期报告或信号提供设备信息, (设备) 检测信号。 每隔一小时和每次更改上一个检测信号时发送一次完整报告。
可以使用以下示例查询来获取设备的最新状态:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈