DeviceInfo
이 테이블은 Azure Sentinel을 사용하는 엔드포인트에 대한 Microsoft Defender 일부입니다. 이 표에는 OS 정보를 포함한 컴퓨터 정보가 포함되어 있습니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | - |
범주 | 보안 |
솔루션 | SecurityInsights |
기본 로그 | No |
수집 시간 변환 | Yes |
샘플 쿼리 | - |
열
열 | 형식 | Description |
---|---|---|
AadDeviceId | string | Azure Active Directory의 디바이스에 대한 고유 식별자입니다. |
AdditionalFields | 동적 | 엔터티 또는 이벤트에 대한 추가 정보입니다. |
AssetValue | string | 사용자가 할당한 디바이스의 값을 나타냅니다. |
_BilledSize | real | 레코드 크기(바이트) |
ClientVersion | string | 머신에서 실행되는 엔드포인트 에이전트 또는 센서의 버전입니다. |
DeviceCategory | string | 엔드포인트, 네트워크 디바이스, IoT, 알 수 없음 범주에서 특정 디바이스 유형을 그룹화하는 광범위한 분류입니다. |
DeviceId | 문자열 | 서비스의 디바이스에 대한 고유 식별자입니다. |
DeviceName | 문자열 | 디바이스의 FQDN(정규화된 도메인 이름)입니다. |
DeviceObjectId | string | Azure AD 디바이스의 고유 식별자입니다. |
DeviceSubtype | string | 특정 유형의 디바이스에 대한 추가 한정자(예: 모바일 디바이스는 태블릿 또는 스마트폰일 수 있습니다.) 디바이스 검색에서 이 특성에 대한 충분한 정보를 찾은 경우에만 사용할 수 있습니다. |
DeviceType | 문자열 | 네트워크 디바이스, 워크스테이션, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능을 기반으로 하는 디바이스 유형입니다. |
ExclusionReason | string | 디바이스 제외 이유를 나타냅니다. |
ExposureLevel | 문자열 | 디바이스의 노출 수준을 나타냅니다. |
IsAzureADJoined | bool | 머신이 Azure Active Directory에 조인되는지 여부를 나타내는 부울 표시기입니다. |
_IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
IsExcluded | bool | 디바이스가 현재 취약성 관리 환경에 대한 Microsoft Defender 제외되었는지 확인합니다. |
IsInternetFacing | bool | 디바이스가 인터넷 연결인지 여부를 나타냅니다. |
JoinType | 문자열 | 디바이스의 Azure Active Directory 조인 유형입니다. |
LoggedOnUsers | 동적 | 이벤트 당시 컴퓨터에 로그온한 모든 사용자 목록(JSON 배열 형식)입니다. |
MachineGroup | string | 머신에 대한 액세스를 확인하고 그룹별 설정을 적용하는 데 사용되는 컴퓨터 그룹입니다. |
MergedDeviceIds | string | 동일한 디바이스에 할당된 이전 디바이스 ID입니다. |
MergedToDeviceId | string | 디바이스에 할당된 최신 디바이스 ID입니다. |
모델 | string | 공급업체 또는 제조업체의 모델 이름 또는 제품 번호는 디바이스 검색에서 이 특성에 대한 충분한 정보를 찾은 경우에만 사용할 수 있습니다. |
OnboardingStatus | string | 디바이스가 현재 온보딩되었는지 여부를 나타내거나 엔드포인트용 Microsoft Defender 디바이스가 지원되지 않는지 여부를 나타냅니다. |
OSArchitecture | 문자열 | 컴퓨터에서 실행되는 운영 체제의 아키텍처입니다. |
OSBuild | long | 컴퓨터에서 실행되는 운영 체제의 빌드 버전입니다. |
OSDistribution | 문자열 | Ubuntu 또는 Linux용 RedHat 플랫폼과 같은 OS 플랫폼의 배포 |
OSPlatform | 문자열 | 컴퓨터에서 실행되는 운영 체제의 플랫폼입니다. 이는 Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
OSVersion | string | 컴퓨터에서 실행 중인 운영 체제의 버전입니다. |
OSVersionInfo | 문자열 | 인기 있는 이름, 코드 이름 또는 버전 번호와 같은 OS 버전에 대한 추가 정보입니다. |
PublicIP | 문자열 | 온보딩된 컴퓨터에서 Windows Defender ATP 서비스에 연결하는 데 사용하는 공용 IP 주소입니다. 컴퓨터 자체, NAT 디바이스 또는 프록시의 IP 주소일 수 있습니다. |
RegistryDeviceTag | 문자열 | 레지스트리를 통해 추가된 디바이스 태그입니다. |
ReportId | long | 반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 ComputerName 및 EventTime 열과 함께 사용해야 합니다. |
SensorHealthState | string | 엔드포인트용 Microsoft Defender 온보딩된 경우 디바이스의 EDR 센서 상태를 나타냅니다. |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
TimeGenerated | Datetime | MDE 에이전트가 엔드포인트에서 이벤트를 기록한 날짜 및 시간입니다. |
Type | 문자열 | 테이블의 이름입니다. |
Vendor | 문자열 | 제품 공급업체 또는 제조업체의 이름이며, 디바이스 검색에서 이 특성에 대한 충분한 정보를 찾은 경우에만 사용할 수 있습니다. |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기