Condividi tramite

DeviceInfo

  • Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La DeviceInfo tabella nello schema di ricerca avanzata contiene informazioni sui dispositivi nell'organizzazione, tra cui la versione del sistema operativo, gli utenti attivi e il nome del computer. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Questa tabella di ricerca avanzata viene popolata da record di vari servizi Microsoft. Se l'organizzazione non ha distribuito il servizio in Microsoft Defender XDR, le query che usano la tabella non funzioneranno o restituiscono risultati. Per altre informazioni su come distribuire un servizio Microsoft in Defender XDR, vedere Distribuire i servizi supportati.

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora dell'ultima registrazione per il dispositivo
DeviceId string Identificatore univoco per il dispositivo nel servizio
DeviceName string Nome di dominio completo (FQDN) del dispositivo
ClientVersion string Versione dell'agente endpoint o del sensore in esecuzione nel dispositivo
PublicIP string Indirizzo IP pubblico usato dal dispositivo di cui è stato eseguito l'onboarding per connettersi al servizio Microsoft Defender per endpoint. Può trattarsi dell'indirizzo IP del dispositivo stesso, di un dispositivo NAT o di un proxy.
OSArchitecture string Architettura del sistema operativo in esecuzione nel dispositivo
OSPlatform string Piattaforma del sistema operativo in esecuzione nel dispositivo. Indica sistemi operativi specifici, incluse varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7.
OSBuild long Versione di compilazione del sistema operativo in esecuzione nel dispositivo
IsAzureADJoined boolean Indicatore booleano che indica se il dispositivo viene aggiunto al Microsoft Entra ID
JoinType string Tipo di join Microsoft Entra ID del dispositivo
AadDeviceId string Identificatore univoco per il dispositivo in Microsoft Entra ID
LoggedOnUsers string Elenco di tutti gli utenti connessi al dispositivo al momento dell'evento in formato matrice JSON
RegistryDeviceTag string Tag del dispositivo aggiunto tramite il Registro di sistema
OSVersion string Versione del sistema operativo in esecuzione nel dispositivo
MachineGroup string Gruppo di computer del dispositivo. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al dispositivo.
ReportId long Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp.
OnboardingStatus string Indica se il dispositivo è attualmente sottoposto a onboarding o meno per Microsoft Defender Per endpoint o se il dispositivo non è supportato
AdditionalFields string Informazioni aggiuntive sull'evento in formato matrice JSON
DeviceCategory string Classificazione più ampia che raggruppa determinati tipi di dispositivo nelle categorie seguenti: Endpoint, Dispositivo di rete, IoT, Sconosciuto
DeviceType string Tipo di dispositivo in base allo scopo e alla funzionalità, ad esempio dispositivo di rete, workstation, server, dispositivi mobili, console di gioco o stampante
DeviceSubtype string Modificatore aggiuntivo per determinati tipi di dispositivi, ad esempio un dispositivo mobile può essere un tablet o uno smartphone; disponibile solo se l'individuazione del dispositivo trova informazioni sufficienti su questo attributo
Model string Nome o numero del modello del prodotto dal fornitore o dal produttore, disponibile solo se l'individuazione del dispositivo trova informazioni sufficienti su questo attributo
Vendor string Nome del fornitore o del produttore del prodotto, disponibile solo se l'individuazione del dispositivo trova informazioni sufficienti su questo attributo
OSDistribution string Distribuzione della piattaforma del sistema operativo, ad esempio Ubuntu o RedHat per piattaforme Linux
OSVersionInfo string Informazioni aggiuntive sulla versione del sistema operativo, ad esempio il nome popolare, il nome di codice o il numero di versione
MergedDeviceIds string ID dispositivo precedenti assegnati allo stesso dispositivo
MergedToDeviceId string L'ID dispositivo più recente assegnato a un dispositivo
IsInternetFacing boolean Indica se il dispositivo è con connessione Internet
SensorHealthState string Indica l'integrità del sensore EDR del dispositivo, se è stato caricato in Microsoft Defender Per endpoint
IsExcluded bool Determina se il dispositivo è attualmente escluso da Microsoft Defender per le esperienze di gestione delle vulnerabilità
ExclusionReason string Indica il motivo dell'esclusione del dispositivo
ExposureLevel string Il livello di vulnerabilità del dispositivo allo sfruttamento in base al punteggio di esposizione; può essere: Basso, Medio, Alto
AssetValue string Priorità o valore assegnato al dispositivo in relazione alla sua importanza nel calcolo del punteggio di esposizione dell'organizzazione; può essere: Basso, Normale (predefinito), Alto
DeviceManualTags string Tag del dispositivo creati manualmente usando l'interfaccia utente del portale o l'API pubblica
DeviceDynamicTags string Tag del dispositivo aggiunti e rimossi dinamicamente in base a regole dinamiche
ConnectivityType string Tipo di connettività dal dispositivo al cloud
HostDeviceId string ID dispositivo del dispositivo in esecuzione sottosistema Windows per Linux
AzureResourceId string Identificatore univoco della risorsa di Azure associata al dispositivo
AwsResourceName string Identificatore univoco specifico dei dispositivi Amazon Web Services, contenente il nome della risorsa Amazon
GcpFullResourceName string Identificatore univoco specifico dei dispositivi Google Cloud Platform, contenente una combinazione di zona e ID per GCP
HardwareUuid string Identificatore univoco universale (UUID) dell'hardware del dispositivo
CloudPlatforms string Piattaforme cloud a cui appartiene il dispositivo. Può essere Azure, Amazon Web Services, Google Cloud Platform e Azure Arc.
AzureVmId string Identificatore univoco assegnato al dispositivo in Azure
AzureVmSubscriptionId string Identificatore univoco della sottoscrizione di Azure associata al dispositivo
IsTransient boolean Indica se il dispositivo è classificato come temporaneo o di breve durata in base alla frequenza di aspetto del dispositivo in rete
OsBuildRevision string Numero di revisione della compilazione del sistema operativo in esecuzione nel computer
MitigationStatus string Indica l'azione di mitigazione applicata a un dispositivo
Site string Rappresenta la posizione fisica in cui si trova il dispositivo
DiscoverySources string Prodotti o servizi che hanno visto o segnalato il dispositivo, anche quando l'hanno segnalato per l'ultima volta.

La tabella DeviceInfo viene aggiornata continuamente e tutti gli aggiornamenti contengono i dati del dispositivo correnti completi per il dispositivo.

È possibile usare la query di esempio seguente per ottenere lo stato più recente di un dispositivo:

// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.