DeviceInfo

此表是含 Azure Sentinel 的 Microsoft Defender for Endpoints 的一部分。 此表包含计算机信息,包括 OS 信息。

数据表属性

Attribute Value
资源类型 -
Categories 安全性
Solutions SecurityInsights
基本日志 Yes
引入时转换 Yes
示例查询 -

Columns

Column 类型 Description
AadDeviceId 字符串 Azure Active Directory 中设备的唯一标识符。
AdditionalFields dynamic 有关实体或活动的其他信息。
AssetValue 字符串 指示用户分配的设备的值。
AwsResourceName 字符串 与设备关联的 AWS 资源的唯一标识符。
AzureResourceId 字符串 与设备关联的 Azure 资源的唯一标识符。
AzureVmId 字符串 分配给 Azure 中的设备的唯一标识符。
AzureVmSubscriptionId 字符串 与设备关联的 Azure 订阅的唯一标识符。
_BilledSize real 记录大小(字节)
ClientVersion 字符串 计算机上运行的终结点代理或传感器的版本。
CloudPlatforms 字符串 设备所属的云平台可以是 Azure、Amazon Web Services、Google Cloud Platform 和 Azure Arc。
DeviceCategory 字符串 按以下类别对某些设备类型进行分组的更广泛分类:终结点、网络设备、IoT、未知。
DeviceDynamicTags 字符串 根据动态规则动态添加和移除的设备标记。
DeviceId 字符串 设备在服务中的唯一标识符。
DeviceManualTags 字符串 使用门户 UI 或公共 API 手动创建的设备标记。
DeviceName 字符串 设备的完全限定的域名 (FQDN)。
DeviceObjectId 字符串 Azure AD 中设备的唯一标识符。
DeviceSubtype 字符串 某些类型的设备的其他修饰符,例如,移动设备可以是平板电脑或智能手机;仅当设备发现找到有关此特性的足够信息时可用。
DeviceType 字符串 基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动、游戏主机或打印机。
ExclusionReason 字符串 指示设备排除的原因。
ExposureLevel 字符串 指示设备的暴露级别。
GcpFullResourceName 字符串 与设备关联的 AWS 资源的唯一标识符。
HardwareUuid 字符串 设备的硬件的通用唯一标识符(UUID)。
HostDeviceId 字符串 运行适用于 Linux 的 Windows 子系统的设备的设备 ID。
IsAzureADJoined bool 指示是否将计算机加入 Azure Active Directory 的布尔指示器。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
IsExcluded bool 确定当前是否已从 Microsoft Defender for Vulnerability Management 体验中排除设备。
IsInternetFacing bool 指示设备是否面向 Internet。
IsTransient bool 指示此设备是否根据其在网络上的出现频率被归类为短期或瞬态设备。
JoinType 字符串 设备的 Azure Active Directory 加入类型。
LoggedOnUsers dynamic 采用 JSON 数组格式的在发生事件时登录计算机的所有用户的列表。
MachineGroup 字符串 用于确定计算机访问权限并应用特定于组的设置的计算机组。
MergedDeviceIds 字符串 已分配给同一设备的以前设备 ID。
MergedToDeviceId 字符串 分配给设备的最新设备 ID。
MitigationStatus 字符串 指示应用于设备的缓解措施。
Model 字符串 仅当设备发现找到有关此特性的足够信息时才可用的供应商或制造商的产品型号名称或编号。
OnboardingStatus 字符串 指示设备当前是否已载入到 Microsoft Defender for Endpoint,或者设备是否不受支持。
OSArchitecture 字符串 计算机上运行的操作系统的体系结构。
OSBuild long 计算机上运行的操作系统的内部版本。
OsBuildRevision 字符串 计算机上运行的操作系统的内部版本修订号。
OSDistribution 字符串 OS 平台的分发,例如适用于 Linux 平台的 Ubuntu 或 RedHat。
OSPlatform 字符串 在计算机上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7。
OSVersion 字符串 计算机上运行的操作系统的版本。
OSVersionInfo 字符串 有关 OS 版本的其他信息,例如常用名称、代码名称或版本号。
PublicIP 字符串 所载入计算机用于连接到 Windows Defender ATP 服务的公共 IP 地址。 这可能是计算机本身、NAT 设备或代理的 IP 地址。
RegistryDeviceTag 字符串 通过注册表添加的设备标记。
ReportId long 基于重复计数器的事件标识符。 若要识别唯一事件,必须将此列与 ComputerName 列和 EventTime 列结合使用。
SensorHealthState 字符串 指示设备的 EDR 传感器的运行状况(如果已载入到 Microsoft Defender For Endpoint)。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 终结点上的 MDE 代理记录事件的日期和时间。
类型 字符串 表的名称
Vendor 字符串 仅当设备发现找到有关此特性的足够信息时可用的产品品供应商或制造商的名称。