DeviceInfo
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
DeviceInfo
Gelişmiş tehdit avcılığı şemasındaki tablo işletim sistemi sürümü, etkin kullanıcılar ve bilgisayar adı gibi kuruluştaki cihazlar hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
DeviceId |
string |
Hizmetteki cihaz için benzersiz tanımlayıcı |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
ClientVersion |
string |
Cihazda çalışan uç nokta aracısının veya algılayıcının sürümü |
PublicIP |
string |
Eklenen cihaz tarafından Uç Nokta için Microsoft Defender hizmetine bağlanmak için kullanılan genel IP adresi. Bu, cihazın ip adresi, NAT cihazı veya ara sunucu olabilir. |
OSArchitecture |
string |
Cihazda çalışan işletim sisteminin mimarisi |
OSPlatform |
string |
Cihazda çalışan işletim sisteminin platformu. Bu, Windows 11, Windows 10 ve Windows 7 gibi aynı aile içindeki varyasyonlar da dahil olmak üzere belirli işletim sistemlerini gösterir. |
OSBuild |
long |
Cihazda çalışan işletim sisteminin derleme sürümü |
IsAzureADJoined |
boolean |
Cihazın Microsoft Entra ID katılıp katılmadığını gösteren Boole göstergesi |
JoinType |
string |
Cihazın Microsoft Entra ID katılma türü |
AadDeviceId |
string |
Microsoft Entra ID'de cihaz için benzersiz tanımlayıcı |
LoggedOnUsers |
string |
Olay sırasında JSON dizi biçiminde cihazda oturum açmış olan tüm kullanıcıların listesi |
RegistryDeviceTag |
string |
Kayıt defteri aracılığıyla eklenen cihaz etiketi |
OSVersion |
string |
Cihazda çalışan işletim sisteminin sürümü |
MachineGroup |
string |
Cihazın makine grubu. Bu grup, cihaza erişimi belirlemek için rol tabanlı erişim denetimi tarafından kullanılır. |
ReportId |
long |
Yinelenen sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun DeviceName ve Timestamp sütunlarıyla birlikte kullanılması gerekir. |
OnboardingStatus |
string |
Cihazın şu anda Uç Nokta için Microsoft Defender eklenip eklenmediğini veya cihazın desteklenip desteklenmediğini gösterir |
AdditionalFields |
string |
JSON dizi biçimindeki olay hakkında ek bilgi |
DeviceCategory |
string |
Aşağıdaki kategoriler altında belirli cihaz türlerini gruplandıran daha geniş bir sınıflandırma: Uç Nokta, Ağ cihazı, IoT, Bilinmiyor |
DeviceType |
string |
Ağ cihazı, iş istasyonu, sunucu, mobil, oyun konsolu veya yazıcı gibi amaca ve işlevselliğe dayalı cihaz türü |
DeviceSubtype |
string |
Mobil cihaz gibi belirli cihaz türleri için ek değiştirici tablet veya akıllı telefon olabilir; yalnızca cihaz bulma bu öznitelik hakkında yeterli bilgi bulursa kullanılabilir |
Model |
string |
Satıcıdan veya üreticiden gelen ürünün model adı veya numarası, yalnızca cihaz keşfi bu öznitelik hakkında yeterli bilgi bulursa kullanılabilir |
Vendor |
string |
Ürün satıcısının veya üreticinin adı; yalnızca cihaz keşfi bu öznitelik hakkında yeterli bilgi bulursa kullanılabilir |
OSDistribution |
string |
Linux platformları için Ubuntu veya RedHat gibi işletim sistemi platformunun dağıtımı |
OSVersionInfo |
string |
İşletim sistemi sürümü hakkında popüler ad, kod adı veya sürüm numarası gibi ek bilgiler |
MergedDeviceIds |
string |
Aynı cihaza atanmış önceki cihaz kimlikleri |
MergedToDeviceId |
string |
Bir cihaza atanan en son cihaz kimliği |
IsInternetFacing |
boolean |
Cihazın İnternet'e yönelik olup olmadığını gösterir |
SensorHealthState |
string |
Uç Nokta için Microsoft Defender'a ekliyse cihazın EDR algılayıcısının sistem durumunu gösterir |
IsExcluded |
bool |
Cihazın şu anda Güvenlik Açığı Yönetimi deneyimleri için Microsoft Defender dışında bırakılıp bırakılmadığını belirler |
ExclusionReason |
string |
Cihaz dışlama nedenini gösterir |
ExposureLevel |
string |
Cihazın maruz kalma puanına göre açıklardan yararlanmaya yönelik güvenlik açığı düzeyi; olabilir: Düşük, Orta, Yüksek |
AssetValue |
string |
Kuruluşun maruz kalma puanını hesaplamadaki önemine göre cihaza atanan öncelik veya değer; olabilir: Düşük, Normal (Varsayılan), Yüksek |
DeviceManualTags |
string |
Portal kullanıcı arabirimi veya genel API kullanılarak el ile oluşturulan cihaz etiketleri |
DeviceDynamicTags |
string |
Cihaz etiketleri, dinamik kurallara göre dinamik olarak eklenip kaldırıldı |
ConnectivityType |
string |
Cihazdan buluta bağlantı türü |
HostDeviceId |
string |
Linux için Windows Alt Sistemi çalıştıran cihazın cihaz kimliği |
AzureResourceId |
string |
Cihazla ilişkili Azure kaynağının benzersiz tanımlayıcısı |
AwsResourceName |
string |
Amazon kaynak adını içeren Amazon Web Services cihazlarına özgü benzersiz tanımlayıcı |
GcpFullResourceName |
string |
GCP için bölge ve kimlik birleşimini içeren Google Cloud Platform cihazlarına özgü benzersiz tanımlayıcı |
Tablo, DeviceInfo bir cihazdan gelen düzenli raporlara veya sinyallere (sinyallere) göre cihaz bilgilerini sağlar. Tam raporlar saatte bir ve önceki sinyalde bir değişiklik olduğunda gönderilir.
Bir cihazın en son durumunu almak için aşağıdaki örnek sorguyu kullanabilirsiniz:
// Get latest information on user/device
DeviceInfo
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.