DeviceInfo
適用於:
- Microsoft Defender XDR
- 適用於端點的 Microsoft Defender
進 DeviceInfo 階 搜捕 架構中的數據表包含組織中裝置的相關信息,包括操作系統版本、作用中使用者和計算機名稱。 使用這個參考來建立從此表格取回之資訊的查詢。
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
DeviceId |
string |
服務中裝置的唯一識別碼 |
DeviceName |
string |
裝置的 FQDN) (完整功能變數名稱 |
ClientVersion |
string |
在裝置上執行的端點代理程式或感測器版本 |
PublicIP |
string |
上線裝置用來連線到 適用於端點的 Microsoft Defender 服務的公用IP位址。 這可能是裝置本身、NAT 裝置或 Proxy 的 IP 位址。 |
OSArchitecture |
string |
在裝置上執行之作業系統的架構 |
OSPlatform |
string |
在裝置上執行之作業系統的平臺。 這表示特定的操作系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。 |
OSBuild |
long |
在裝置上執行的作業系統組建版本 |
IsAzureADJoined |
boolean |
指出裝置是否已加入 Microsoft Entra ID |
JoinType |
string |
裝置的 Microsoft Entra ID 聯結類型 |
AadDeviceId |
string |
Microsoft Entra ID 中裝置的唯一標識符 |
LoggedOnUsers |
string |
以 JSON 陣語格式在事件發生時登入裝置的所有使用者清單 |
RegistryDeviceTag |
string |
透過登錄新增的裝置標籤 |
OSVersion |
string |
在裝置上執行的作業系統版本 |
MachineGroup |
string |
裝置的計算機群組。 角色型訪問控制會使用此群組來判斷裝置的存取權。 |
ReportId |
long |
以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此數據行必須與 DeviceName 和 Timestamp 數據行搭配使用。 |
OnboardingStatus |
string |
指出裝置目前是否已上線或未 Microsoft Defender 端點,或裝置是否不受支援 |
AdditionalFields |
string |
JSON 數位格式事件的其他相關信息 |
DeviceCategory |
string |
依下列類別將特定裝置類型分組的更廣泛分類:端點、網路裝置、IoT、未知 |
DeviceType |
string |
以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機 |
DeviceSubtype |
string |
特定裝置類型的其他修飾詞,例如,行動裝置可以是Tablet或智慧型手機;只有在裝置探索找到有關此屬性的足夠資訊時才可使用 |
Model |
string |
廠商或製造商的產品型號名稱或編號,只有在裝置探索找到有關此屬性的足夠資訊時才可使用 |
Vendor |
string |
產品廠商或製造商的名稱,只有在裝置探索找到有關此屬性的足夠資訊時才能使用 |
OSDistribution |
string |
OS 平台的分佈,例如Ubuntu或 RedHat for Linux 平臺 |
OSVersionInfo |
string |
操作系統版本的其他資訊,例如熱門名稱、程式代碼名稱或版本號碼 |
MergedDeviceIds |
string |
先前已指派給相同裝置的裝置標識碼 |
MergedToDeviceId |
string |
指派給裝置的最新裝置標識碼 |
IsInternetFacing |
boolean |
指出裝置是否面向因特網 |
SensorHealthState |
string |
指出裝置 EDR 感測器的健康情況,如果已上線至 Microsoft Defender For Endpoint |
IsExcluded |
bool |
判斷裝置目前是否從弱點管理體驗的 Microsoft Defender 排除 |
ExclusionReason |
string |
指出裝置排除的原因 |
ExposureLevel |
string |
裝置的弱點層級會根據其暴露程度分數進行惡意探索;可以是:低、中、高 |
AssetValue |
string |
指派給裝置的優先順序或值,相對於其在計算組織暴露程度分數方面的重要性;可以是:Low、Normal (Default) 、High |
DeviceManualTags |
string |
使用入口網站 UI 或公用 API 手動建立的裝置標籤 |
DeviceDynamicTags |
string |
根據動態規則動態新增和移除裝置標籤 |
ConnectivityType |
string |
從裝置到雲端的連線類型 |
HostDeviceId |
string |
執行 Windows 子系統 Linux 版 裝置的裝置標識碼 |
AzureResourceId |
string |
與裝置相關聯之 Azure 資源的唯一標識碼 |
AwsResourceName |
string |
Amazon Web Services 裝置專屬的唯一標識碼,其中包含 Amazon 資源名稱 |
GcpFullResourceName |
string |
Google 雲端平台裝置專屬的唯一標識符,其中包含 GCP 的區域和標識碼組合 |
此 DeviceInfo 數據表會根據定期報告或訊號提供裝置資訊, (從裝置) 活動訊號。 完成報告會每小時傳送一次,每次變更先前的活動訊號時都會傳送。
您可以使用下列範例查詢來取得裝置的最新狀態:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。