此表是含 Azure Sentinel 的 Microsoft Defender for Endpoints 的一部分。 此表包含计算机信息,包括 OS 信息。
数据表属性
Attribute |
Value |
资源类型 |
- |
Categories |
安全性 |
Solutions |
SecurityInsights |
基本日志 |
Yes |
引入时转换 |
Yes |
示例查询 |
- |
Columns
Column |
类型 |
Description |
AadDeviceId |
字符串 |
Azure Active Directory 中设备的唯一标识符。 |
AdditionalFields |
dynamic |
有关实体或活动的其他信息。 |
AssetValue |
字符串 |
指示用户分配的设备的值。 |
AwsResourceName |
字符串 |
与设备关联的 AWS 资源的唯一标识符。 |
AzureResourceId |
字符串 |
与设备关联的 Azure 资源的唯一标识符。 |
AzureVmId |
字符串 |
分配给 Azure 中的设备的唯一标识符。 |
AzureVmSubscriptionId |
字符串 |
与设备关联的 Azure 订阅的唯一标识符。 |
_BilledSize |
real |
记录大小(字节) |
ClientVersion |
字符串 |
计算机上运行的终结点代理或传感器的版本。 |
CloudPlatforms |
字符串 |
设备所属的云平台可以是 Azure、Amazon Web Services、Google Cloud Platform 和 Azure Arc。 |
DeviceCategory |
字符串 |
按以下类别对某些设备类型进行分组的更广泛分类:终结点、网络设备、IoT、未知。 |
DeviceDynamicTags |
字符串 |
根据动态规则动态添加和移除的设备标记。 |
DeviceId |
字符串 |
设备在服务中的唯一标识符。 |
DeviceManualTags |
字符串 |
使用门户 UI 或公共 API 手动创建的设备标记。 |
DeviceName |
字符串 |
设备的完全限定的域名 (FQDN)。 |
DeviceObjectId |
字符串 |
Azure AD 中设备的唯一标识符。 |
DeviceSubtype |
字符串 |
某些类型的设备的其他修饰符,例如,移动设备可以是平板电脑或智能手机;仅当设备发现找到有关此特性的足够信息时可用。 |
DeviceType |
字符串 |
基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动、游戏主机或打印机。 |
ExclusionReason |
字符串 |
指示设备排除的原因。 |
ExposureLevel |
字符串 |
指示设备的暴露级别。 |
GcpFullResourceName |
字符串 |
与设备关联的 AWS 资源的唯一标识符。 |
HardwareUuid |
字符串 |
设备的硬件的通用唯一标识符(UUID)。 |
HostDeviceId |
字符串 |
运行适用于 Linux 的 Windows 子系统的设备的设备 ID。 |
IsAzureADJoined |
bool |
指示是否将计算机加入 Azure Active Directory 的布尔指示器。 |
_IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
IsExcluded |
bool |
确定当前是否已从 Microsoft Defender for Vulnerability Management 体验中排除设备。 |
IsInternetFacing |
bool |
指示设备是否面向 Internet。 |
IsTransient |
bool |
指示此设备是否根据其在网络上的出现频率被归类为短期或瞬态设备。 |
JoinType |
字符串 |
设备的 Azure Active Directory 加入类型。 |
LoggedOnUsers |
dynamic |
采用 JSON 数组格式的在发生事件时登录计算机的所有用户的列表。 |
MachineGroup |
字符串 |
用于确定计算机访问权限并应用特定于组的设置的计算机组。 |
MergedDeviceIds |
字符串 |
已分配给同一设备的以前设备 ID。 |
MergedToDeviceId |
字符串 |
分配给设备的最新设备 ID。 |
MitigationStatus |
字符串 |
指示应用于设备的缓解措施。 |
Model |
字符串 |
仅当设备发现找到有关此特性的足够信息时才可用的供应商或制造商的产品型号名称或编号。 |
OnboardingStatus |
字符串 |
指示设备当前是否已载入到 Microsoft Defender for Endpoint,或者设备是否不受支持。 |
OSArchitecture |
字符串 |
计算机上运行的操作系统的体系结构。 |
OSBuild |
long |
计算机上运行的操作系统的内部版本。 |
OsBuildRevision |
字符串 |
计算机上运行的操作系统的内部版本修订号。 |
OSDistribution |
字符串 |
OS 平台的分发,例如适用于 Linux 平台的 Ubuntu 或 RedHat。 |
OSPlatform |
字符串 |
在计算机上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7。 |
OSVersion |
字符串 |
计算机上运行的操作系统的版本。 |
OSVersionInfo |
字符串 |
有关 OS 版本的其他信息,例如常用名称、代码名称或版本号。 |
PublicIP |
字符串 |
所载入计算机用于连接到 Windows Defender ATP 服务的公共 IP 地址。 这可能是计算机本身、NAT 设备或代理的 IP 地址。 |
RegistryDeviceTag |
字符串 |
通过注册表添加的设备标记。 |
ReportId |
long |
基于重复计数器的事件标识符。 若要识别唯一事件,必须将此列与 ComputerName 列和 EventTime 列结合使用。 |
SensorHealthState |
字符串 |
指示设备的 EDR 传感器的运行状况(如果已载入到 Microsoft Defender For Endpoint)。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
TenantId |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
终结点上的 MDE 代理记录事件的日期和时间。 |
类型 |
字符串 |
表的名称 |
Vendor |
字符串 |
仅当设备发现找到有关此特性的足够信息时可用的产品品供应商或制造商的名称。 |