DeviceInfo

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

  • Microsoft 365 Defender
  • Microsoft Defender für Endpunkt

Die DeviceInfo Tabelle im Schema "Erweiterte Suche" enthält Informationen zu Geräten in der Organisation, einschließlich Betriebssystemversion, aktiven Benutzern und Computernamen. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
DeviceId string Eindeutiger Bezeichner für den Computer im Dienst
DeviceName string Vollqualifizierter Domänenname (FQDN) des Computers
ClientVersion string Version des Endpunkt-Agents oder -Sensors, der auf dem Computer ausgeführt wird
PublicIP string Öffentliche IP-Adresse, die vom integrierten Computer zum Herstellen einer Verbindung mit dem Microsoft Defender für Endpunkt-Dienst verwendet wird. Dies kann die IP-Adresse des Computers selbst, ein NAT-Gerät oder ein Proxy sein.
OSArchitecture string Die Architektur des Betriebssystem, das auf dem Computer ausgeführt wird.
OSPlatform string Die Plattform des Betriebssystem, das auf dem Computer ausgeführt wird. Dies gibt bestimmte Betriebssysteme an, einschließlich Variationen innerhalb derselben Familie, z. B. Windows 11, Windows 10 und Windows 7.
OSBuild string Buildversion des Betriebssystems, das auf dem Computer ausgeführt wird
IsAzureADJoined boolean Boolescher Indikator, ob der Computer mit dem Azure Active Directory
AadDeviceId string Eindeutiger Bezeichner für das Gerät in Azure AD
LoggedOnUsers string Liste aller Benutzer, die zum Zeitpunkt des Ereignisses auf dem Computer im JSON-Arrayformat angemeldet sind
RegistryDeviceTag string Computertag, das über die Registrierung hinzugefügt wurde
OSVersion string Die Version des Betriebssystem, das auf dem Computer ausgeführt wird.
MachineGroup string Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen.
ReportId long Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten "DeviceName" und "Timestamp" verwendet werden.
OnboardingStatus string Gibt an, ob das Gerät derzeit in Microsoft Defender für Endpunkt integriert ist oder nicht oder ob das Gerät nicht unterstützt wird.
AdditionalFields string Zusätzliche Informationen zum Ereignis im JSON-Arrayformat
DeviceCategory string Umfassendere Klassifizierung, die bestimmte Gerätetypen unter den folgenden Kategorien gruppiert: Endpunkt, Netzwerkgerät, IoT, Unbekannt
DeviceType string Gerätetyp basierend auf Zweck und Funktionalität, z. B. Netzwerkgerät, Arbeitsstation, Server, Mobil, Spielekonsole oder Drucker
DeviceSubType string Zusätzliche Modifizierer für bestimmte Gerätetypen, z. B. ein mobiles Gerät kann ein Tablet oder ein Smartphone sein; nur verfügbar, wenn die Geräteermittlung genügend Informationen zu diesem Attribut findet
Model string Modellname oder -nummer des Produkts vom Hersteller oder Hersteller, nur verfügbar, wenn geräteermittlung genügend Informationen zu diesem Attribut findet
Vendor string Name des Produktherstellers oder -herstellers, nur verfügbar, wenn geräteermittlung genügend Informationen zu diesem Attribut findet
OSDistribution string Verteilung der Betriebssystemplattform, z. B. Ubuntu oder RedHat für Linux-Plattformen
OSVersionInfo string Zusätzliche Informationen zur Betriebssystemversion, z. B. der beliebte Name, Codename oder Versionsnummer
MergedDeviceIds string Vorherige Geräte-IDs, die demselben Gerät zugewiesen wurden
MergedToDeviceId string Die neueste Geräte-ID, die einem Gerät zugewiesen wurde

Die DeviceInfo Tabelle enthält Geräteinformationen basierend auf Takten, bei denen es sich um regelmäßige Berichte oder Signale von einem Gerät handelt. Alle 15 Minuten sendet das Gerät einen teilweisen Takt, der sich häufig ändernde Attribute wie LoggedOnUsers enthält. Einmal täglich wird ein vollständiger Takt mit den Attributen des Geräts gesendet.

Sie können die folgende Beispielabfrage verwenden, um den neuesten Status eines Geräts abzurufen:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId