DeviceInfo
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
- 끝점용 Microsoft Defender
고급 DeviceInfo 헌팅 schema의 표에는 OS 버전, 활성 사용자 및 컴퓨터 이름을 비롯한 조직의 장치에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
DeviceId |
string |
서비스에서 시스템의 고유 식별자 |
DeviceName |
string |
컴퓨터의 FQDN(정규화된 도메인 이름) |
ClientVersion |
string |
기기에서 실행되는 끝점 에이전트 또는 센서의 버전 |
PublicIP |
string |
등록된 컴퓨터에 의해 끝점용 Microsoft Defender 서비스에 연결하는 데 사용되는 공용 IP 주소입니다. 컴퓨터 자체의 IP 주소, NAT 장치 또는 프록시일 수 있습니다. |
OSArchitecture |
string |
컴퓨터에서 실행 중인 운영 체제의 아키텍처 |
OSPlatform |
string |
컴퓨터에서 실행 중인 운영 체제의 플랫폼 이는 Windows 11, Windows 10 및 Windows 7과 같은 동일한 패밀리 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
OSBuild |
string |
시스템에서 실행되는 운영 체제의 빌드 버전 |
IsAzureADJoined |
boolean |
컴퓨터의 가입 여부를 나타내는 부울 표시기입니다Azure Active Directory |
AadDeviceId |
string |
Azure AD에서 디바이스의 고유 식별자 |
LoggedOnUsers |
string |
이벤트 당시 컴퓨터에 로그온한 모든 사용자 목록(JSON 배열 형식)입니다. |
RegistryDeviceTag |
string |
레지스트리를 통해 추가된 컴퓨터 태그 |
OSVersion |
string |
컴퓨터에서 실행 중인 운영 체제 버전 |
MachineGroup |
string |
컴퓨터의 컴퓨터 그룹입니다. 이 그룹은 역할 기반 액세스 제어에서 컴퓨터 액세스 확인에 사용됩니다. |
ReportId |
long |
반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 DeviceName 및 Timestamp 열과 함께 사용해야 합니다. |
OnboardingStatus |
string |
디바이스가 현재 끝점용 Microsoft Defender에 온보딩 상태인지 또는 디바이스가 지원되지 않는지 여부를 나타냅니다. |
AdditionalFields |
string |
JSON 배열 형식의 이벤트에 대한 추가 정보 |
DeviceCategory |
string |
끝점, 네트워크 장치, IoT, 알 수 없음 범주의 특정 장치 유형을 그룹화하는 더 광범위한 분류 |
DeviceType |
string |
네트워크 장치, Workstation, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능을 기반으로 하는 장치 유형 |
DeviceSubType |
string |
특정 유형의 장치에 대한 추가 수정자(예: 모바일 장치는 태블릿 또는 스마트폰일 수 있습니다. 디바이스 검색에서 이 특성에 대한 충분한 정보를 찾는 경우만 사용 가능 |
Model |
string |
공급업체 또는 제조업체의 제품 모델 이름 또는 번호입니다. 장치 검색에서 이 특성에 대한 충분한 정보를 찾는 경우만 사용할 수 있습니다. |
Vendor |
string |
제품 공급업체 또는 제조업체의 이름입니다. 장치 검색에서 이 특성에 대한 충분한 정보를 찾은 경우만 사용할 수 있습니다. |
OSDistribution |
string |
Linux 플랫폼용 Ubuntu 또는 RedHat와 같은 OS 플랫폼 배포 |
OSVersionInfo |
string |
인기 있는 이름, 코드 이름 또는 버전 번호와 같은 OS 버전에 대한 추가 정보 |
MergedDeviceIds |
string |
동일한 장치에 할당된 이전 장치 ID |
MergedToDeviceId |
string |
장치에 할당된 최신 장치 ID입니다. |
이 표에서는 장치의 주기적인 보고서 또는 신호인 하트비트 기반 장치 DeviceInfo 정보를 제공합니다. 15분마다 장치는 처럼 자주 변경되는 특성을 포함하는 부분 하트비트를 LoggedOnUsers 전송합니다. 하루 중 한 번 장치의 특성을 포함하는 전체 하트비트가 전송됩니다.
다음 샘플 쿼리를 사용하여 장치의 최신 상태를 얻을 수 있습니다.
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId