DeviceInfo
下表是 Azure Sentinel 適用於端點的 Microsoft Defender 的一部分。 下表包含計算機資訊,包括OS資訊。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| AadDeviceId |
字串 |
Azure Active Directory 中裝置的唯一標識碼。 |
| AdditionalFields |
dynamic |
有關實體或事件的其他資訊。 |
| AssetValue |
字串 |
指出使用者指派的裝置值。 |
| AwsResourceName |
字串 |
與裝置相關聯的AWS資源唯一標識碼。 |
| AzureResourceId |
字串 |
與裝置相關聯之 Azure 資源的唯一標識碼。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| ClientVersion |
字串 |
計算機上執行的端點代理程式或感測器版本。 |
| DeviceCategory |
字串 |
將特定裝置類型分組在下列類別之下的更廣泛分類:端點、網路裝置、IoT、未知。 |
| DeviceDynamicTags |
字串 |
根據動態規則,新增和移除裝置標籤。 |
| DeviceId |
字串 |
服務中裝置的唯一標識符。 |
| DeviceManualTags |
字串 |
使用入口網站 UI 或公用 API 手動建立的裝置標籤。 |
| DeviceName |
字串 |
裝置的完整功能變數名稱(FQDN)。 |
| DeviceObjectId |
字串 |
Azure AD 中裝置的唯一標識碼。 |
| DeviceSubtype |
字串 |
特定類型裝置的其他修飾詞,例如,行動裝置可以是平板電腦或智能手機;只有在裝置探索找到這個屬性的足夠資訊時,才能使用。 |
| DeviceType |
字串 |
以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機。 |
| ExclusionReason |
字串 |
指出裝置排除的原因。 |
| ExposureLevel |
字串 |
指出裝置的曝光程度。 |
| GcpFullResourceName |
字串 |
與裝置相關聯的AWS資源唯一標識碼。 |
| IsAzureADJoined |
bool |
布爾值指標,指出計算機是否已加入 Azure Active Directory。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費 |
| IsExcluded |
bool |
判斷裝置目前是否從 Microsoft Defender for Vulnerability Management 體驗中排除。 |
| IsInternetFacing |
bool |
指出裝置是否面向因特網。 |
| JoinType |
字串 |
裝置的 Azure Active Directory 加入類型。 |
| LoggedOnUsers |
dynamic |
以 JSON 陣語格式在事件時登入電腦的所有使用者清單。 |
| MachineGroup |
字串 |
用來判斷計算機存取權並套用群組特定設定的計算機群組。 |
| MergedDeviceIds |
字串 |
先前指派給相同裝置的裝置標識碼。 |
| MergedToDeviceId |
字串 |
指派給裝置的最新裝置標識碼。 |
| Model |
字串 |
只有裝置探索找到這個屬性的足夠資訊時,才能從廠商或製造商取得產品型號或編號。 |
| OnboardingStatus |
字串 |
指出裝置目前是否已上線,以 適用於端點的 Microsoft Defender 或不支援裝置。 |
| OSArchitecture |
字串 |
在電腦上執行的作業系統架構。 |
| OSBuild |
long |
在機器上執行的作業系統組建版本。 |
| OSDistribution |
字串 |
OS 平臺的散發,例如適用於 Linux 平臺的 Ubuntu 或 RedHat。 |
| OSPlatform |
字串 |
在電腦上執行的作業系統平臺。 這表示特定的操作系統,包括相同系列中的變化,例如 Windows 10 和 Windows 7。 |
| OSVersion |
字串 |
計算機上執行的作業系統版本。 |
| OSVersionInfo |
字串 |
OS 版本的其他資訊,例如熱門名稱、程式代碼名稱或版本號碼。 |
| PublicIP |
字串 |
上線計算機用來連線到 Windows Defender ATP 服務的公用 IP 位址。 這可能是計算機本身、NAT 裝置或 Proxy 的 IP 位址。 |
| RegistryDeviceTag |
字串 |
透過登錄新增的裝置標籤。 |
| ReportId |
long |
以重複計數器為基礎的事件標識碼。 若要識別唯一事件,此數據行必須與 ComputerName 和 EventTime 數據行搭配使用。 |
| SensorHealthState |
字串 |
指出裝置 EDR 感測器的健康情況,如果已上線至適用於端點的 Defender Microsoft。 |
| SourceSystem |
字串 |
收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| TenantId |
字串 |
Log Analytics 工作區標識符 |
| TimeGenerated |
Datetime |
端點上的 MDE 代理程式記錄事件的日期和時間。 |
| 型別 |
string |
資料表的名稱 |
| 廠商 |
字串 |
產品廠商或製造商的名稱,只有在裝置探索找到有關此屬性的足夠資訊時,才能使用。 |