DeviceInfo

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR
  • Microsoft Defender voor Eindpunt

De DeviceInfo tabel in het geavanceerde opsporingsschema bevat informatie over apparaten in de organisatie, waaronder de versie van het besturingssysteem, actieve gebruikers en de computernaam. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam Gegevenstype: Beschrijving
Timestamp datetime Datum en tijd waarop de gebeurtenis is vastgelegd
DeviceId string Unieke id voor het apparaat in de service
DeviceName string Fully Qualified Domain Name (FQDN) van het apparaat
ClientVersion string Versie van de eindpuntagent of sensor die op het apparaat wordt uitgevoerd
PublicIP string Openbaar IP-adres dat door het onboardingapparaat wordt gebruikt om verbinding te maken met de Microsoft Defender voor Eindpunt-service. Dit kan het IP-adres van het apparaat zelf, een NAT-apparaat of een proxy zijn.
OSArchitecture string Architectuur van het besturingssysteem dat op het apparaat wordt uitgevoerd
OSPlatform string Platform van het besturingssysteem dat op het apparaat wordt uitgevoerd. Dit geeft specifieke besturingssystemen aan, inclusief variaties binnen dezelfde familie, zoals Windows 11, Windows 10 en Windows 7.
OSBuild long Buildversie van het besturingssysteem dat wordt uitgevoerd op het apparaat
IsAzureADJoined boolean Booleaanse indicator of het apparaat is gekoppeld aan de Microsoft Entra ID
JoinType string Het Microsoft Entra ID jointype van het apparaat
AadDeviceId string Unieke id voor het apparaat in Microsoft Entra ID
LoggedOnUsers string Lijst met alle gebruikers die zijn aangemeld op het apparaat op het moment van de gebeurtenis in JSON-matrixindeling
RegistryDeviceTag string Apparaattag toegevoegd via het register
OSVersion string Versie van het besturingssysteem dat op het apparaat wordt uitgevoerd
MachineGroup string Computergroep van het apparaat. Deze groep wordt gebruikt door op rollen gebaseerd toegangsbeheer om de toegang tot het apparaat te bepalen.
ReportId long Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp.
OnboardingStatus string Geeft aan of het apparaat momenteel al dan niet is toegevoegd aan Microsoft Defender voor eindpunt of dat het apparaat niet wordt ondersteund
AdditionalFields string Aanvullende informatie over de gebeurtenis in JSON-matrixindeling
DeviceCategory string Bredere classificatie die bepaalde apparaattypen onder de volgende categorieën groeperen: Eindpunt, Netwerkapparaat, IoT, Onbekend
DeviceType string Type apparaat op basis van doel en functionaliteit, zoals netwerkapparaat, werkstation, server, mobiel, gameconsole of printer
DeviceSubtype string Aanvullende aanpassingsfunctie voor bepaalde typen apparaten, bijvoorbeeld een mobiel apparaat kan een tablet of een smartphone zijn; alleen beschikbaar als apparaatdetectie voldoende informatie over dit kenmerk vindt
Model string Modelnaam of nummer van het product van de leverancier of fabrikant, alleen beschikbaar als apparaatdetectie voldoende informatie over dit kenmerk vindt
Vendor string Naam van de leverancier of fabrikant van het product, alleen beschikbaar als apparaatdetectie voldoende informatie over dit kenmerk vindt
OSDistribution string Distributie van het besturingssysteemplatform, zoals Ubuntu of RedHat voor Linux-platforms
OSVersionInfo string Aanvullende informatie over de versie van het besturingssysteem, zoals de populaire naam, codenaam of versienummer
MergedDeviceIds string Eerdere apparaat-id's die zijn toegewezen aan hetzelfde apparaat
MergedToDeviceId string De meest recente apparaat-id die is toegewezen aan een apparaat
IsInternetFacing boolean Geeft aan of het apparaat internetgericht is
SensorHealthState string Geeft de status van de EDR-sensor van het apparaat aan, indien onboarding naar Microsoft Defender voor eindpunt
IsExcluded bool Bepaalt of het apparaat momenteel is uitgesloten van Microsoft Defender voor ervaringen met beheer van beveiligingsproblemen
ExclusionReason string Geeft de reden voor apparaatuitsluiting aan
ExposureLevel string Het kwetsbaarheidsniveau van het apparaat voor exploitatie op basis van de blootstellingsscore; kan zijn: Laag, Gemiddeld, Hoog
AssetValue string Prioriteit of waarde die aan het apparaat is toegewezen in relatie tot het belang ervan bij het berekenen van de blootstellingsscore van de organisatie; kan zijn: Laag, Normaal (standaard), Hoog
DeviceManualTags string Apparaattags die handmatig zijn gemaakt met behulp van de gebruikersinterface van de portal of de openbare API
DeviceDynamicTags string Apparaattags die dynamisch zijn toegevoegd en verwijderd op basis van dynamische regels
ConnectivityType string Type connectiviteit van het apparaat naar de cloud
HostDeviceId string Apparaat-id van het apparaat waarop Windows-subsysteem voor Linux
AzureResourceId string Unieke id van de Azure-resource die is gekoppeld aan het apparaat

De DeviceInfo tabel bevat apparaatinformatie op basis van periodieke rapporten of signalen (heartbeats) van een apparaat. Volledige rapporten worden elk uur en telkens wanneer er een wijziging plaatsvindt in een eerdere heartbeat verzonden.

U kunt de volgende voorbeeldquery gebruiken om de meest recente status van een apparaat op te halen:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.