此表是含 Azure Sentinel 的 Microsoft Defender for Endpoints 的一部分。 此表包含计算机信息,包括 OS 信息。
| 特征 |
值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是 |
|
引入时转换 |
是 |
|
示例查询 |
- |
| 列 |
类型 |
描述 |
| AadDeviceId |
字符串 |
Azure Active Directory 中设备的唯一标识符。 |
| 附加字段 |
动态 |
有关实体或活动的其他信息。 |
| 资产价值 |
字符串 |
指示用户分配的设备的值。 |
| AwsResourceName (AWS资源名称) |
字符串 |
与设备关联的 AWS 资源的唯一标识符。 |
| AzureResourceId |
字符串 |
与设备关联的 Azure 资源的唯一标识符。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| 客户端版本 |
字符串 |
计算机上运行的终结点代理或传感器的版本。 |
| 设备类别 |
字符串 |
按以下类别对某些设备类型进行分组的更广泛分类:终结点、网络设备、IoT、未知。 |
| 设备动态标签 |
字符串 |
根据动态规则动态添加和移除的设备标记。 |
| DeviceId |
字符串 |
设备在服务中的唯一标识符。 |
| 设备手册标签 |
字符串 |
使用门户 UI 或公共 API 手动创建的设备标记。 |
| 设备名称 |
字符串 |
设备的完全限定的域名 (FQDN)。 |
| 设备对象标识 |
字符串 |
Azure AD 中设备的唯一标识符。 |
| 设备子类型 |
字符串 |
某些类型的设备的其他修饰符,例如,移动设备可以是平板电脑或智能手机;仅当设备发现找到有关此特性的足够信息时可用。 |
| 设备类型 |
字符串 |
基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动、游戏主机或打印机。 |
| 排除原因 |
字符串 |
指示设备排除的原因。 |
| 暴露水平 |
字符串 |
指示设备的暴露级别。 |
| GcpFullResourceName |
字符串 |
与设备关联的 AWS 资源的唯一标识符。 |
| AzureAD是否已加入 |
布尔 |
指示是否将计算机加入 Azure Active Directory 的布尔指示器。 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 是否被排除 |
布尔 |
确定当前是否已从 Microsoft Defender for Vulnerability Management 体验中排除设备。 |
| IsInternetFacing |
布尔 |
指示设备是否面向 Internet。 |
| 联接类型 |
字符串 |
设备的 Azure Active Directory 加入类型。 |
| 已登录用户 |
动态 |
采用 JSON 数组格式的在发生事件时登录计算机的所有用户的列表。 |
| MachineGroup |
字符串 |
用于确定计算机访问权限并应用特定于组的设置的计算机组。 |
| 合并设备标识 |
字符串 |
已分配给同一设备的以前设备 ID。 |
| 合并至设备ID |
字符串 |
分配给设备的最新设备 ID。 |
| 型号 |
字符串 |
仅当设备发现找到有关此特性的足够信息时才可用的供应商或制造商的产品型号名称或编号。 |
| 入职状态 |
字符串 |
指示设备当前是否已载入到 Microsoft Defender for Endpoint,或者设备是否不受支持。 |
| OSArchitecture |
字符串 |
计算机上运行的操作系统的体系结构。 |
| OSBuild |
长整型 |
计算机上运行的操作系统的内部版本。 |
| OSDistribution |
字符串 |
OS 平台的分发,例如适用于 Linux 平台的 Ubuntu 或 RedHat。 |
| OSPlatform |
字符串 |
在计算机上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7。 |
| OS 版本 |
字符串 |
计算机上运行的操作系统的版本。 |
| OSVersionInfo |
字符串 |
有关 OS 版本的其他信息,例如常用名称、代码名称或版本号。 |
| PublicIP |
字符串 |
所载入计算机用于连接到 Windows Defender ATP 服务的公共 IP 地址。 这可能是计算机本身、NAT 设备或代理的 IP 地址。 |
| RegistryDeviceTag |
字符串 |
通过注册表添加的设备标记。 |
| ReportId |
长整型 |
基于重复计数器的事件标识符。 若要识别唯一事件,必须将此列与 ComputerName 列和 EventTime 列结合使用。 |
| SensorHealthState |
字符串 |
指示设备的 EDR 传感器的运行状况(如果已载入到 Microsoft Defender For Endpoint)。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期时间 |
终结点上的 MDE 代理记录事件的日期和时间。 |
| 类型 |
字符串 |
表的名称 |
| 供应商 |
字符串 |
仅当设备发现找到有关此特性的足够信息时可用的产品品供应商或制造商的名称。 |