你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此表是含 Azure Sentinel 的 Microsoft Defender for Endpoints 的一部分。 此表包含计算机信息,包括 OS 信息。
表属性
| 属性 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是 |
| 引入时间转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 描述 |
|---|---|---|
| AadDeviceId | 字符串 | Azure Active Directory 中设备的唯一标识符。 |
| AdditionalFields | 动态的 | 有关实体或活动的其他信息。 |
| 资产价值 | 字符串 | 表示用户分配给设备的值。 |
| AwsResourceName (AWS资源名称) | 字符串 | 与设备关联的 AWS 资源的唯一标识符。 |
| AzureResourceId | 字符串 | 与设备关联的 Azure 资源的唯一标识符。 |
| AzureVmId | 字符串 | 分配给 Azure 中的设备的唯一标识符。 |
| AzureVmSubscriptionId | 字符串 | 与设备关联的 Azure 订阅的唯一标识符。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| 客户端版本 | 字符串 | 计算机上运行的终结点代理或传感器的版本。 |
| 云平台 | 字符串 | 设备所属的云平台可以是 Azure、Amazon Web Services、Google Cloud Platform 和 Azure Arc。 |
| 设备类别 | 字符串 | 按以下类别对某些设备类型进行分组的更广泛分类:终结点、网络设备、IoT、未知。 |
| DeviceDynamicTags | 字符串 | 根据动态规则动态添加和删除的设备标记。 |
| DeviceId | 字符串 | 设备在服务中的唯一标识符。 |
| DeviceManualTags | 字符串 | 使用门户 UI 或公共 API 手动创建的设备标记。 |
| 设备名称 | 字符串 | 设备的完全限定的域名 (FQDN)。 |
| DeviceObjectId | 字符串 | Azure AD 中设备的唯一标识符。 |
| 设备子类型 | 字符串 | 某些类型的设备的额外修饰符,例如,移动设备可以是平板电脑或智能手机;只有当设备发现到关于该属性的足够信息时才可用。 |
| 设备类型 | 字符串 | 基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动、游戏主机或打印机。 |
| 排除原因 | 字符串 | 指示设备被排除的原因。 |
| 曝光水平 | 字符串 | 指示设备的暴露级别。 |
| GcpFullResourceName | 字符串 | 与设备关联的 AWS 资源的唯一标识符。 |
| HardwareUuid | 字符串 | 设备的硬件的通用唯一标识符(UUID)。 |
| HostDeviceId | 字符串 | 运行适用于 Linux 的 Windows 子系统的设备的设备 ID。 |
| AzureAD是否已加入 | 布尔 | 显示是否将计算机加入 Azure Active Directory 的布尔指示器。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsExcluded | 布尔 | 确定设备是否当前被排除在 Microsoft Defender for Vulnerability Management 体验之外。 |
| IsInternetFacing | 布尔 | 指示设备是否面向 Internet。 |
| IsTransient | 布尔 | 指示此设备是否根据其在网络上的出现频率被归类为短期或瞬态设备。 |
| 联接类型 | 字符串 | 设备的 Azure Active Directory 加入类型。 |
| LoggedOnUsers | 动态的 | 采用 JSON 数组格式的在发生事件时登录计算机的所有用户的列表。 |
| MachineGroup | 字符串 | 用于确定对计算机的访问权限并应用特定于组的设置的计算机组。 |
| MergedDeviceIds | 字符串 | 已分配给同一设备的先前设备 ID。 |
| MergedToDeviceId | 字符串 | 分配给设备的最新设备 ID。 |
| 缓解状态 | 字符串 | 指示应用于设备的缓解措施。 |
| 型号 | 字符串 | 供应商或制造商的产品名称或型号,仅当设备发现找到了有关此属性的足够信息时才提供。 |
| OnboardingStatus | 字符串 | 指示设备当前是否已加入到 Microsoft Defender for Endpoint,或者设备是否不受支持。 |
| OSArchitecture | 字符串 | 计算机上运行的操作系统的体系结构。 |
| OSBuild | 长整型 | 计算机上运行的操作系统的内部版本。 |
| OsBuildRevision | 字符串 | 计算机上运行的操作系统的内部版本修订号。 |
| OSDistribution | 字符串 | OS 平台的分发,例如适用于 Linux 平台的 Ubuntu 或 RedHat。 |
| OSPlatform | 字符串 | 在计算机上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7。 |
| 操作系统版本 | 字符串 | 计算机上运行的操作系统的版本。 |
| OSVersionInfo | 字符串 | 有关 OS 版本的其他信息,例如常用名称、代码名称或版本号。 |
| PublicIP | 字符串 | 已加入计算机用于连接到 Windows Defender ATP 服务的公共 IP 地址。 这可能是计算机本身、NAT 设备或代理的 IP 地址。 |
| RegistryDeviceTag | 字符串 | 通过注册表添加的设备标记。 |
| ReportId | 长整型 | 基于重复计数器的事件标识符。 若要识别唯一事件,必须将此列与 ComputerName 列和 EventTime 列结合使用。 |
| SensorHealthState | 字符串 | 指示设备的 EDR 传感器的运行状况(如果已载入到 Microsoft Defender For Endpoint)。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 终端上的 MDE 代理记录事件的日期和时间。 |
| 类型 | 字符串 | 表的名称 |
| 供应商 | 字符串 | 产品供应商或制造商的名称,仅在设备发现找到有关此特性的足够信息时可用。 |