DeviceInfo
此表是含 Azure Sentinel 的 Microsoft Defender for Endpoints 的一部分。 此表包含计算机信息,包括 OS 信息。
表特性
| Attribute |
值 |
| 资源类型 |
- |
| 类别 |
安全性 |
| 解决方案 |
SecurityInsights |
| 基本日志 |
否 |
| 引入时转换 |
是 |
| 示例查询 |
- |
列
| 列 |
类型 |
描述 |
| AadDeviceId |
string |
Azure Active Directory 中设备的唯一标识符。 |
| AdditionalFields |
动态 |
有关实体或活动的其他信息。 |
| AssetValue |
string |
指示用户分配的设备的值。 |
| AwsResourceName |
string |
与设备关联的 AWS 资源的唯一标识符。 |
| AzureResourceId |
string |
与设备关联的 Azure 资源的唯一标识符。 |
| _BilledSize |
real |
记录大小(字节) |
| ClientVersion |
string |
计算机上运行的终结点代理或传感器的版本。 |
| DeviceCategory |
string |
按以下类别对某些设备类型进行分组的更广泛分类:终结点、网络设备、IoT、未知。 |
| DeviceDynamicTags |
string |
根据动态规则动态添加和移除的设备标记。 |
| DeviceId |
string |
设备在服务中的唯一标识符。 |
| DeviceManualTags |
string |
使用门户 UI 或公共 API 手动创建的设备标记。 |
| 设备名称 |
string |
设备的完全限定的域名 (FQDN)。 |
| DeviceObjectId |
string |
Azure AD 中设备的唯一标识符。 |
| DeviceSubtype |
string |
某些类型的设备的其他修饰符,例如,移动设备可以是平板电脑或智能手机;仅当设备发现找到有关此特性的足够信息时可用。 |
| DeviceType |
string |
基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动、游戏主机或打印机。 |
| ExclusionReason |
string |
指示设备排除的原因。 |
| ExposureLevel |
string |
指示设备的暴露级别。 |
| GcpFullResourceName |
string |
与设备关联的 AWS 资源的唯一标识符。 |
| IsAzureADJoined |
布尔 |
指示是否将计算机加入 Azure Active Directory 的布尔指示器。 |
| _IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsExcluded |
布尔 |
确定当前是否已从 Microsoft Defender for Vulnerability Management 体验中排除设备。 |
| IsInternetFacing |
布尔 |
指示设备是否面向 Internet。 |
| JoinType |
string |
设备的 Azure Active Directory 加入类型。 |
| LoggedOnUsers |
动态 |
采用 JSON 数组格式的在发生事件时登录计算机的所有用户的列表。 |
| MachineGroup |
string |
用于确定计算机访问权限并应用特定于组的设置的计算机组。 |
| MergedDeviceIds |
string |
已分配给同一设备的以前设备 ID。 |
| MergedToDeviceId |
string |
分配给设备的最新设备 ID。 |
| 型号 |
string |
仅当设备发现找到有关此特性的足够信息时才可用的供应商或制造商的产品型号名称或编号。 |
| OnboardingStatus |
string |
指示设备当前是否已载入到 Microsoft Defender for Endpoint,或者设备是否不受支持。 |
| OSArchitecture |
string |
计算机上运行的操作系统的体系结构。 |
| OSBuild |
long |
计算机上运行的操作系统的内部版本。 |
| OSDistribution |
string |
OS 平台的分发,例如适用于 Linux 平台的 Ubuntu 或 RedHat。 |
| OSPlatform |
string |
在计算机上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7。 |
| OS 版本 |
string |
计算机上运行的操作系统的版本。 |
| OSVersionInfo |
string |
有关 OS 版本的其他信息,例如常用名称、代码名称或版本号。 |
| PublicIP |
string |
所载入计算机用于连接到 Windows Defender ATP 服务的公共 IP 地址。 这可能是计算机本身、NAT 设备或代理的 IP 地址。 |
| RegistryDeviceTag |
string |
通过注册表添加的设备标记。 |
| ReportId |
long |
基于重复计数器的事件标识符。 若要识别唯一事件,必须将此列与 ComputerName 列和 EventTime 列结合使用。 |
| SensorHealthState |
string |
指示设备的 EDR 传感器的运行状况(如果已载入到 Microsoft Defender For Endpoint)。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| TenantId |
string |
Log Analytics 工作区 ID |
| TimeGenerated |
datetime |
终结点上的 MDE 代理记录事件的日期和时间。 |
| 类型 |
字符串 |
表的名称 |
| 供应商 |
string |
仅当设备发现找到有关此特性的足够信息时可用的产品品供应商或制造商的名称。 |