DeviceInfo
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Tabellen DeviceInfo i det avancerade sökschemat innehåller information om enheter i organisationen, till exempel OS-version, aktiva användare och datornamn. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
DeviceId |
string |
Unikt ID för datorn i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för datorn |
ClientVersion |
string |
Version av slutpunktsagenten eller sensorn som körs på datorn |
PublicIP |
string |
Offentlig IP-adress som används av den onboarded machine för att ansluta till Microsoft Defender för Endpoint-tjänsten. Detta kan vara IP-adressen för själva datorn, en NAT-enhet eller en proxy |
OSArchitecture |
string |
Arkitekturen för operativsystemet som körs på datorn |
OSPlatform |
string |
Operativsystemets plattform som körs på datorn. Detta indikerar specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
OSBuild |
string |
Version av operativsystemet som körs på datorn |
IsAzureADJoined |
boolean |
Boolesk indikator på om datorn är ansluten till Azure Active Directory |
AadDeviceId |
string |
Unikt ID för enheten i Azure AD |
LoggedOnUsers |
string |
Lista över alla användare som är inloggade på datorn vid tiden för händelsen i JSON-matrisformat |
RegistryDeviceTag |
string |
Maskintagg som lagts till i registret |
OSVersion |
string |
Version av operativsystemet som körs på datorn |
MachineGroup |
string |
Datorgruppen på datorn. Den här gruppen används av rollbaserad åtkomstkontroll för att avgöra åtkomsten till datorn |
ReportId |
long |
Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp |
OnboardingStatus |
string |
Anger om enheten är onboarded eller inte i Microsoft Defender för Endpoint eller om enheten inte stöds |
AdditionalFields |
string |
Ytterligare information om händelsen i JSON-matrisformat |
DeviceCategory |
string |
Bredare klassificering som grupperar vissa enhetstyper under följande kategorier: Slutpunkt, Nätverksenhet, IoT, Okänd |
DeviceType |
string |
Typ av enhet baserat på syfte och funktionalitet, till exempel nätverksenhet, arbetsstation, server, mobil, spelkonsol eller skrivare |
DeviceSubType |
string |
Ytterligare modifierare för vissa typer av enheter, till exempel kan en mobil enhet vara en surfplatta eller smartphone. endast tillgängligt om enhetsidentifiering hittar tillräckligt med information om det här attributet |
Model |
string |
Modellnamn eller produktnummer från leverantören eller tillverkaren, bara tillgängligt om enhetsidentifiering hittar tillräckligt med information om det här attributet |
Vendor |
string |
Namnet på produktleverantören eller tillverkaren, endast tillgängligt om enhetsidentifiering hittar tillräckligt med information om det här attributet |
OSDistribution |
string |
Distribution av OS-plattformen, till exempel Ubuntu eller RedHat för Linux-plattformarna |
OSVersionInfo |
string |
Ytterligare information om OS-versionen, till exempel populärt namn, kodnamn eller versionsnummer |
MergedDeviceIds |
string |
Tidigare enhets-ID som har tilldelats till samma enhet |
MergedToDeviceId |
string |
Det senaste enhets-ID:t som tilldelats en enhet |
Tabellen DeviceInfo innehåller enhetsinformation baserad på hjärtslag, som är periodiska rapporter eller signaler från en enhet. Var femtonde minut skickar enheten ett partiellt hjärtslag som innehåller ofta ändra attribut som LoggedOnUsers . En gång om dagen skickas ett helt hjärtslag som innehåller enhetens attribut.
Du kan använda följande exempelfråga för att få den senaste statusen för en enhet:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId