DeviceInfo
Gilt für:
- Microsoft Defender XDR
- Microsoft Defender für Endpunkt
Die DeviceInfo Tabelle im Schema der erweiterten Suche enthält Informationen zu Geräten im organization, einschließlich Betriebssystemversion, aktiver Benutzer und Computername. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
DeviceId |
string |
Eindeutiger Bezeichner für das Gerät im Dienst |
DeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts |
ClientVersion |
string |
Version des Endpunkt-Agents oder -Sensors, der auf dem Gerät ausgeführt wird |
PublicIP |
string |
Öffentliche IP-Adresse, die vom integrierten Gerät verwendet wird, um eine Verbindung mit dem Microsoft Defender for Endpoint-Dienst herzustellen. Dies kann die IP-Adresse des Geräts selbst, ein NAT-Gerät oder ein Proxy sein. |
OSArchitecture |
string |
Architektur des Betriebssystems, das auf dem Gerät ausgeführt wird |
OSPlatform |
string |
Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird. Dies gibt bestimmte Betriebssysteme an, einschließlich Variationen innerhalb derselben Familie, z. B. Windows 11, Windows 10 und Windows 7. |
OSBuild |
long |
Buildversion des Betriebssystems, das auf dem Gerät ausgeführt wird |
IsAzureADJoined |
boolean |
Boolescher Indikator, ob das Gerät mit dem Microsoft Entra ID |
JoinType |
string |
Der Microsoft Entra ID Jointyp des Geräts |
AadDeviceId |
string |
Eindeutiger Bezeichner für das Gerät in Microsoft Entra ID |
LoggedOnUsers |
string |
Liste aller Benutzer, die zum Zeitpunkt des Ereignisses auf dem Gerät angemeldet sind, im JSON-Arrayformat |
RegistryDeviceTag |
string |
Gerätetag, das über die Registrierung hinzugefügt wurde |
OSVersion |
string |
Version des Betriebssystems, das auf dem Gerät ausgeführt wird |
MachineGroup |
string |
Computergruppe des Geräts. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf das Gerät zu bestimmen. |
ReportId |
long |
Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden. |
OnboardingStatus |
string |
Gibt an, ob das Gerät derzeit in Microsoft Defender Für Endpunkt integriert ist oder nicht, oder ob das Gerät nicht unterstützt wird. |
AdditionalFields |
string |
Zusätzliche Informationen zum Ereignis im JSON-Arrayformat |
DeviceCategory |
string |
Eine umfassendere Klassifizierung, die bestimmte Gerätetypen unter den folgenden Kategorien gruppiert: Endpunkt, Netzwerkgerät, IoT, Unbekannt |
DeviceType |
string |
Gerätetyp basierend auf Zweck und Funktionalität, z. B. Netzwerkgerät, Arbeitsstation, Server, Mobilgerät, Spielkonsole oder Drucker |
DeviceSubtype |
string |
Zusätzlicher Modifizierer für bestimmte Gerätetypen, z. B. ein mobiles Gerät kann ein Tablet oder ein Smartphone sein; nur verfügbar, wenn die Geräteermittlung genügend Informationen zu diesem Attribut findet |
Model |
string |
Modellname oder -nummer des Produkts vom Anbieter oder Hersteller, nur verfügbar, wenn die Geräteermittlung genügend Informationen zu diesem Attribut findet |
Vendor |
string |
Name des Produktanbieters oder -herstellers, nur verfügbar, wenn die Geräteermittlung genügend Informationen zu diesem Attribut findet |
OSDistribution |
string |
Verteilung der Betriebssystemplattform, z. B. Ubuntu oder RedHat für Linux-Plattformen |
OSVersionInfo |
string |
Zusätzliche Informationen zur Betriebssystemversion, z. B. der beliebte Name, der Codename oder die Versionsnummer |
MergedDeviceIds |
string |
Vorherige Geräte-IDs, die demselben Gerät zugewiesen wurden |
MergedToDeviceId |
string |
Die neueste Geräte-ID, die einem Gerät zugewiesen ist |
IsInternetFacing |
boolean |
Gibt an, ob das Gerät mit Internetzugriff verbunden ist |
SensorHealthState |
string |
Gibt die Integrität des EDR-Sensors des Geräts an, wenn das Onboarding in Microsoft Defender For Endpoint erfolgt ist. |
IsExcluded |
bool |
Bestimmt, ob das Gerät derzeit von Microsoft Defender für die Sicherheitsrisikoverwaltung ausgeschlossen ist. |
ExclusionReason |
string |
Gibt den Grund für den Geräteausschluss an |
ExposureLevel |
string |
Der Grad der Ausnutzungsanfälligkeit des Geräts basierend auf seiner Expositionsbewertung; kann sein: Niedrig, Mittel, Hoch |
AssetValue |
string |
Priorität oder Wert, die dem Gerät in Bezug auf seine Bedeutung bei der Berechnung der Organization-Expositionsbewertung zugewiesen wird; kann sein: Niedrig, Normal (Standard), Hoch |
DeviceManualTags |
string |
Gerätetags, die manuell über die Portal-Benutzeroberfläche oder die öffentliche API erstellt werden |
DeviceDynamicTags |
string |
Basierend auf dynamischen Regeln hinzugefügte und entfernte Gerätetags |
ConnectivityType |
string |
Art der Konnektivität vom Gerät zur Cloud |
HostDeviceId |
string |
Geräte-ID des Geräts, auf dem Windows-Subsystem für Linux ausgeführt wird |
AzureResourceId |
string |
Eindeutiger Bezeichner der Azure-Ressource, die dem Gerät zugeordnet ist |
AwsResourceName |
string |
Eindeutiger Bezeichner, der für Amazon Web Services-Geräte spezifisch ist und den Amazon-Ressourcennamen enthält |
GcpFullResourceName |
string |
Eindeutiger Bezeichner, der für Google Cloud Platform-Geräte spezifisch ist und eine Kombination aus Zone und ID für GCP enthält |
Die DeviceInfo Tabelle enthält Geräteinformationen basierend auf regelmäßigen Berichten oder Signalen (Takten) von einem Gerät. Vollständige Berichte werden stündlich und jedes Mal gesendet, wenn eine Änderung an einem vorherigen Heartbeat erfolgt.
Sie können die folgende Beispielabfrage verwenden, um den aktuellen Zustand eines Geräts abzurufen:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.