DeviceInfo
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
La DeviceInfo tabella nello schema di ricerca avanzata contiene informazioni sui dispositivi nell'organizzazione, tra cui la versione del sistema operativo, gli utenti attivi e il nome del computer. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora dell'ultima registrazione per il dispositivo |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
ClientVersion |
string |
Versione dell'agente endpoint o del sensore in esecuzione nel dispositivo |
PublicIP |
string |
Indirizzo IP pubblico usato dal dispositivo di cui è stato eseguito l'onboarding per connettersi al servizio Microsoft Defender per endpoint. Può trattarsi dell'indirizzo IP del dispositivo stesso, di un dispositivo NAT o di un proxy. |
OSArchitecture |
string |
Architettura del sistema operativo in esecuzione nel dispositivo |
OSPlatform |
string |
Piattaforma del sistema operativo in esecuzione nel dispositivo. Indica sistemi operativi specifici, incluse varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7. |
OSBuild |
long |
Versione di compilazione del sistema operativo in esecuzione nel dispositivo |
IsAzureADJoined |
boolean |
Indicatore booleano che indica se il dispositivo viene aggiunto al Microsoft Entra ID |
JoinType |
string |
Tipo di join Microsoft Entra ID del dispositivo |
AadDeviceId |
string |
Identificatore univoco per il dispositivo in Microsoft Entra ID |
LoggedOnUsers |
string |
Elenco di tutti gli utenti connessi al dispositivo al momento dell'evento in formato matrice JSON |
RegistryDeviceTag |
string |
Tag del dispositivo aggiunto tramite il Registro di sistema |
OSVersion |
string |
Versione del sistema operativo in esecuzione nel dispositivo |
MachineGroup |
string |
Gruppo di computer del dispositivo. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al dispositivo. |
ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
OnboardingStatus |
string |
Indica se il dispositivo è attualmente sottoposto a onboarding o meno per Microsoft Defender Per endpoint o se il dispositivo non è supportato |
AdditionalFields |
string |
Informazioni aggiuntive sull'evento in formato matrice JSON |
DeviceCategory |
string |
Classificazione più ampia che raggruppa determinati tipi di dispositivo nelle categorie seguenti: Endpoint, Dispositivo di rete, IoT, Sconosciuto |
DeviceType |
string |
Tipo di dispositivo in base allo scopo e alla funzionalità, ad esempio dispositivo di rete, workstation, server, dispositivi mobili, console di gioco o stampante |
DeviceSubtype |
string |
Modificatore aggiuntivo per determinati tipi di dispositivi, ad esempio un dispositivo mobile può essere un tablet o uno smartphone; disponibile solo se l'individuazione del dispositivo trova informazioni sufficienti su questo attributo |
Model |
string |
Nome o numero del modello del prodotto dal fornitore o dal produttore, disponibile solo se l'individuazione del dispositivo trova informazioni sufficienti su questo attributo |
Vendor |
string |
Nome del fornitore o del produttore del prodotto, disponibile solo se l'individuazione del dispositivo trova informazioni sufficienti su questo attributo |
OSDistribution |
string |
Distribuzione della piattaforma del sistema operativo, ad esempio Ubuntu o RedHat per piattaforme Linux |
OSVersionInfo |
string |
Informazioni aggiuntive sulla versione del sistema operativo, ad esempio il nome popolare, il nome di codice o il numero di versione |
MergedDeviceIds |
string |
ID dispositivo precedenti assegnati allo stesso dispositivo |
MergedToDeviceId |
string |
L'ID dispositivo più recente assegnato a un dispositivo |
IsInternetFacing |
boolean |
Indica se il dispositivo è con connessione Internet |
SensorHealthState |
string |
Indica l'integrità del sensore EDR del dispositivo, se è stato caricato in Microsoft Defender Per endpoint |
IsExcluded |
bool |
Determina se il dispositivo è attualmente escluso da Microsoft Defender per le esperienze di gestione delle vulnerabilità |
ExclusionReason |
string |
Indica il motivo dell'esclusione del dispositivo |
ExposureLevel |
string |
Il livello di vulnerabilità del dispositivo allo sfruttamento in base al punteggio di esposizione; può essere: Basso, Medio, Alto |
AssetValue |
string |
Priorità o valore assegnato al dispositivo in relazione alla sua importanza nel calcolo del punteggio di esposizione dell'organizzazione; può essere: Basso, Normale (predefinito), Alto |
DeviceManualTags |
string |
Tag del dispositivo creati manualmente usando l'interfaccia utente del portale o l'API pubblica |
DeviceDynamicTags |
string |
Tag del dispositivo aggiunti e rimossi dinamicamente in base a regole dinamiche |
ConnectivityType |
string |
Tipo di connettività dal dispositivo al cloud |
HostDeviceId |
string |
ID dispositivo del dispositivo in esecuzione sottosistema Windows per Linux |
AzureResourceId |
string |
Identificatore univoco della risorsa di Azure associata al dispositivo |
AwsResourceName |
string |
Identificatore univoco specifico dei dispositivi Amazon Web Services, contenente il nome della risorsa Amazon |
GcpFullResourceName |
string |
Identificatore univoco specifico dei dispositivi Google Cloud Platform, contenente una combinazione di zona e ID per GCP |
La DeviceInfo tabella fornisce informazioni sul dispositivo basate su report periodici o segnali (heartbeat) da un dispositivo. I report completi vengono inviati ogni ora e ogni volta che si verifica una modifica a un heartbeat precedente.
È possibile usare la query di esempio seguente per ottenere lo stato più recente di un dispositivo:
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.