DeviceInfo
Bemærk!
Vil du opleve Microsoft Defender XDR? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft Defender XDR.
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Tabellen DeviceInfo i det avancerede jagtskema indeholder oplysninger om enheder i organisationen, herunder operativsystemversion, aktive brugere og computernavn. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
DeviceId |
string |
Entydigt id for enheden i tjenesten |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
ClientVersion |
string |
Version af slutpunktsagenten eller -sensoren, der kører på enheden |
PublicIP |
string |
Offentlig IP-adresse, der bruges af den onboardede enhed til at oprette forbindelse til Microsoft Defender for Endpoint-tjenesten. Det kan være IP-adressen på selve enheden, en NAT-enhed eller en proxy. |
OSArchitecture |
string |
Arkitekturen i operativsystemet, der kører på enheden |
OSPlatform |
string |
Platform for det operativsystem, der kører på enheden. Dette angiver specifikke operativsystemer, herunder variationer inden for den samme familie, f.eks. Windows 11, Windows 10 og Windows 7. |
OSBuild |
long |
Opret version af operativsystemet, der kører på enheden |
IsAzureADJoined |
boolean |
Boolesk indikator for, om enheden er tilsluttet Microsoft Entra ID |
JoinType |
string |
Enhedens Microsoft Entra ID joinforbindelsestype |
AadDeviceId |
string |
Entydigt id for enheden i Microsoft Entra ID |
LoggedOnUsers |
string |
Liste over alle brugere, der er logget på enheden på tidspunktet for hændelsen i JSON-matrixformat |
RegistryDeviceTag |
string |
Enhedsmærke tilføjet via registreringsdatabasen |
OSVersion |
string |
Version af operativsystemet, der kører på enheden |
MachineGroup |
string |
Computergruppe for enheden. Denne gruppe bruges af rollebaseret adgangskontrol til at bestemme adgangen til enheden. |
ReportId |
long |
Hændelses-id baseret på en gentaget tæller. Hvis du vil identificere entydige hændelser, skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp. |
OnboardingStatus |
string |
Angiver, om enheden i øjeblikket er onboardet til Microsoft Defender For Endpoint, eller om enheden ikke understøttes |
AdditionalFields |
string |
Yderligere oplysninger om hændelsen i JSON-matrixformat |
DeviceCategory |
string |
Bredere klassificering, der grupperer visse enhedstyper under følgende kategorier: Slutpunkt, Netværksenhed, IoT, Ukendt |
DeviceType |
string |
Enhedstype baseret på formål og funktionalitet, f.eks. netværksenhed, arbejdsstation, server, mobil, spillekonsol eller printer |
DeviceSubtype |
string |
Yderligere modifikator til visse typer enheder, for eksempel kan en mobilenhed være en tablet eller en smartphone; kun tilgængelig, hvis enhedsregistreringen finder tilstrækkelige oplysninger om denne attribut |
Model |
string |
Modelnavn eller produktnummer fra leverandøren eller producenten, kun tilgængeligt, hvis enhedsregistreringen finder tilstrækkelige oplysninger om denne attribut |
Vendor |
string |
Navnet på produktleverandøren eller -producenten, kun tilgængelig, hvis enhedsregistreringen finder tilstrækkelige oplysninger om denne attribut |
OSDistribution |
string |
Distribution af OS-platformen, f.eks. Ubuntu- eller RedHat til Linux-platforme |
OSVersionInfo |
string |
Yderligere oplysninger om operativsystemversionen, f.eks. det populære navn, kodenavn eller versionsnummer |
MergedDeviceIds |
string |
Tidligere enheds-id'er, der er tildelt den samme enhed |
MergedToDeviceId |
string |
Det nyeste enheds-id, der er tildelt en enhed |
IsInternetFacing |
boolean |
Angiver, om enheden er på internettet |
SensorHealthState |
string |
Angiver tilstanden af enhedens EDR-sensor, hvis den er onboardet til Microsoft Defender For Endpoint |
IsExcluded |
bool |
Bestemmer, om enheden i øjeblikket er udelukket fra Microsoft Defender i forbindelse med oplevelser med administration af sårbarheder |
ExclusionReason |
string |
Angiver årsagen til enhedsudeladelse |
ExposureLevel |
string |
Enhedens sårbarhed over for udnyttelse baseret på dens eksponeringsscore; kan være: Lav, Mellem, Høj |
AssetValue |
string |
Prioritet eller værdi, der er tildelt enheden i forhold til dens betydning for beregning af organisationens eksponeringsscore; kan være: Lav, Normal (standard), Høj |
DeviceManualTags |
string |
Enhedskoder, der er oprettet manuelt ved hjælp af portalbrugergrænsefladen eller den offentlige API |
DeviceDynamicTags |
string |
Enhedskoder tilføjes og fjernes dynamisk baseret på dynamiske regler |
ConnectivityType |
string |
Forbindelsestype fra enheden til skyen |
HostDeviceId |
string |
Enheds-id for den enhed, der kører Windows-undersystem til Linux |
Tabellen DeviceInfo indeholder enhedsoplysninger baseret på periodiske rapporter eller signaler (impulser) fra en enhed. Komplette rapporter sendes hver time, og hver gang en ændring sker med en tidligere impuls.
Du kan bruge følgende eksempelforespørgsel til at få den nyeste tilstand for en enhed:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om