Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица DeviceInfo
в схеме расширенной охоты содержит сведения об устройствах в организации, включая версию ОС, активных пользователей и имя компьютера. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Эта расширенная таблица охоты заполняется записями из различных служб Майкрософт. Если ваша организация не развернула службу в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании службы Майкрософт в Defender XDR см. в статье Развертывание поддерживаемых служб.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Имя столбца | Тип данных | Описание |
---|---|---|
Timestamp |
datetime |
Последняя дата и время, записанные для устройства |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
ClientVersion |
string |
Версия агента конечной точки или датчика, работающего на устройстве |
PublicIP |
string |
Общедоступный IP-адрес, используемый подключенным устройством для подключения к службе Microsoft Defender для конечной точки. Это может быть IP-адрес самого устройства, устройство NAT или прокси-сервер. |
OSArchitecture |
string |
Архитектура операционной системы, работающей на устройстве |
OSPlatform |
string |
Платформа операционной системы, работающей на устройстве. Это указывает на определенные операционные системы, включая варианты в пределах одного семейства, такие как Windows 11, Windows 10 и Windows 7. |
OSBuild |
long |
Сборка версии операционной системы, работающей на устройстве |
IsAzureADJoined |
boolean |
Логический индикатор присоединения устройства к Microsoft Entra ID |
JoinType |
string |
Тип соединения Microsoft Entra ID устройства |
AadDeviceId |
string |
Уникальный идентификатор устройства в Microsoft Entra ID |
LoggedOnUsers |
string |
Список всех пользователей, зарегистрированных на устройстве во время события в формате массива JSON |
RegistryDeviceTag |
string |
Тег устройства, добавленный через реестр |
OSVersion |
string |
Версия операционной системы, работающей на устройстве |
MachineGroup |
string |
Группа компьютеров устройства. Эта группа используется управлением доступом на основе ролей для определения доступа к устройству. |
ReportId |
long |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
OnboardingStatus |
string |
Указывает, подключено ли устройство к Microsoft Defender для конечной точки или устройство не поддерживается. |
AdditionalFields |
string |
Дополнительные сведения о событии в формате массива JSON |
DeviceCategory |
string |
Более широкая классификация, сгруппировка определенных типов устройств по следующим категориям: Конечная точка, Сетевое устройство, IoT, Unknown |
DeviceType |
string |
Тип устройства в зависимости от назначения и функциональности, например сетевое устройство, рабочая станция, сервер, мобильные устройства, игровая консоль или принтер |
DeviceSubtype |
string |
Дополнительный модификатор для некоторых типов устройств, например, мобильное устройство может быть планшетом или смартфоном; Доступно только в том случае, если обнаружение устройств находит достаточно сведений об этом атрибуте |
Model |
string |
Имя модели или номер продукта от поставщика или производителя, доступные только в том случае, если обнаружение устройств находит достаточно сведений об этом атрибуте. |
Vendor |
string |
Имя поставщика или производителя продукта, доступно только в том случае, если обнаружение устройства находит достаточно сведений об этом атрибуте. |
OSDistribution |
string |
Распространение платформы ОС, например Ubuntu или RedHat для платформ Linux |
OSVersionInfo |
string |
Дополнительные сведения о версии ОС, такие как популярное имя, кодовое имя или номер версии |
MergedDeviceIds |
string |
Предыдущие идентификаторы устройств, назначенные тому же устройству |
MergedToDeviceId |
string |
Последний идентификатор устройства, назначенный устройству |
IsInternetFacing |
boolean |
Указывает, подключено ли устройство к Интернету. |
SensorHealthState |
string |
Указывает работоспособность датчика EDR устройства, если он подключен к Microsoft Defender для конечной точки. |
IsExcluded |
bool |
Определяет, исключается ли устройство из Microsoft Defender для управления уязвимостями. |
ExclusionReason |
string |
Указывает причину исключения устройства. |
ExposureLevel |
string |
Уровень уязвимости устройства к эксплуатации на основе его оценки уязвимости; может быть: Низкий, Средний, Высокий |
AssetValue |
string |
Приоритет или значение, присвоенное устройству в связи с его важностью при вычислении оценки воздействия организации; может быть: Низкий, Обычный (по умолчанию), Высокий |
DeviceManualTags |
string |
Теги устройств, созданные вручную с помощью пользовательского интерфейса портала или общедоступного API |
DeviceDynamicTags |
string |
Теги устройств, добавляемые и удаляемые динамически на основе динамических правил |
ConnectivityType |
string |
Тип подключения устройства к облаку |
HostDeviceId |
string |
Идентификатор устройства, на котором выполняется подсистема Windows для Linux |
AzureResourceId |
string |
Уникальный идентификатор ресурса Azure, связанного с устройством |
AwsResourceName |
string |
Уникальный идентификатор, характерный для устройств Amazon Web Services, содержащий имя ресурса Amazon |
GcpFullResourceName |
string |
Уникальный идентификатор, характерный для устройств Google Cloud Platform, содержащий сочетание зоны и идентификатора для GCP |
HardwareUuid |
string |
Универсальный уникальный идентификатор (UUID) оборудования устройства |
CloudPlatforms |
string |
Облачные платформы, к которым принадлежит устройство. Может быть Azure, Amazon Web Services, Google Cloud Platform и Azure Arc. |
AzureVmId |
string |
Уникальный идентификатор, назначенный устройству в Azure |
AzureVmSubscriptionId |
string |
Уникальный идентификатор подписки Azure, связанной с устройством |
IsTransient |
boolean |
Указывает, классифицируется ли это устройство как кратковременное или временное в зависимости от частоты появления устройства в сети. |
OsBuildRevision |
string |
Номер версии сборки операционной системы, работающей на компьютере |
MitigationStatus |
string |
Указывает действие по устранению рисков, примененное к устройству. |
Site |
string |
Представляет физическое расположение, в котором находится устройство. |
DiscoverySources |
string |
Продукты или службы, которые видели устройство или сообщили о нем, в том числе когда они в последний раз сообщили о нем. |
Таблица DeviceInfo постоянно обновляется, и все обновления содержат полные текущие данные устройства для этого устройства.
Чтобы получить последнее состояние устройства, можно использовать следующий пример запроса:
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.