DeviceInfo

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Tabellen DeviceInfo i det avancerade sökschemat innehåller information om enheter i organisationen, till exempel OS-version, aktiva användare och datornamn. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
DeviceId string Unikt ID för datorn i tjänsten
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för datorn
ClientVersion string Version av slutpunktsagenten eller sensorn som körs på datorn
PublicIP string Offentlig IP-adress som används av den onboarded machine för att ansluta till Microsoft Defender för Endpoint-tjänsten. Detta kan vara IP-adressen för själva datorn, en NAT-enhet eller en proxy
OSArchitecture string Arkitekturen för operativsystemet som körs på datorn
OSPlatform string Operativsystemets plattform som körs på datorn. Detta indikerar specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7.
OSBuild string Version av operativsystemet som körs på datorn
IsAzureADJoined boolean Boolesk indikator på om datorn är ansluten till Azure Active Directory
AadDeviceId string Unikt ID för enheten i Azure AD
LoggedOnUsers string Lista över alla användare som är inloggade på datorn vid tiden för händelsen i JSON-matrisformat
RegistryDeviceTag string Maskintagg som lagts till i registret
OSVersion string Version av operativsystemet som körs på datorn
MachineGroup string Datorgruppen på datorn. Den här gruppen används av rollbaserad åtkomstkontroll för att avgöra åtkomsten till datorn
ReportId long Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp
OnboardingStatus string Anger om enheten är onboarded eller inte i Microsoft Defender för Endpoint eller om enheten inte stöds
AdditionalFields string Ytterligare information om händelsen i JSON-matrisformat
DeviceCategory string Bredare klassificering som grupperar vissa enhetstyper under följande kategorier: Slutpunkt, Nätverksenhet, IoT, Okänd
DeviceType string Typ av enhet baserat på syfte och funktionalitet, till exempel nätverksenhet, arbetsstation, server, mobil, spelkonsol eller skrivare
DeviceSubType string Ytterligare modifierare för vissa typer av enheter, till exempel kan en mobil enhet vara en surfplatta eller smartphone. endast tillgängligt om enhetsidentifiering hittar tillräckligt med information om det här attributet
Model string Modellnamn eller produktnummer från leverantören eller tillverkaren, bara tillgängligt om enhetsidentifiering hittar tillräckligt med information om det här attributet
Vendor string Namnet på produktleverantören eller tillverkaren, endast tillgängligt om enhetsidentifiering hittar tillräckligt med information om det här attributet
OSDistribution string Distribution av OS-plattformen, till exempel Ubuntu eller RedHat för Linux-plattformarna
OSVersionInfo string Ytterligare information om OS-versionen, till exempel populärt namn, kodnamn eller versionsnummer
MergedDeviceIds string Tidigare enhets-ID som har tilldelats till samma enhet
MergedToDeviceId string Det senaste enhets-ID:t som tilldelats en enhet

Tabellen DeviceInfo innehåller enhetsinformation baserad på hjärtslag, som är periodiska rapporter eller signaler från en enhet. Var femtonde minut skickar enheten ett partiellt hjärtslag som innehåller ofta ändra attribut som LoggedOnUsers . En gång om dagen skickas ett helt hjärtslag som innehåller enhetens attribut.

Du kan använda följande exempelfråga för att få den senaste statusen för en enhet:

// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId