高度なハンティング スキーマのDeviceInfo テーブルには、OS のバージョン、アクティブなユーザー、コンピューター名など、organization内のデバイスに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
この高度なハンティング テーブルは、さまざまな Microsoft サービスのレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRで Microsoft サービスを展開する方法の詳細については、「サポートされているサービスを展開する」を参照してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
デバイスに対して記録された最後の日付と時刻 |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
ClientVersion |
string |
デバイスで実行されているエンドポイント エージェントまたはセンサーのバージョン |
PublicIP |
string |
オンボードされたデバイスがMicrosoft Defender for Endpoint サービスに接続するために使用するパブリック IP アドレス。 これは、デバイス自体の IP アドレス、NAT デバイス、またはプロキシです。 |
OSArchitecture |
string |
デバイスで実行されているオペレーティング システムのアーキテクチャ |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 これは、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
OSBuild |
long |
デバイスで実行されているオペレーティング システムのビルド バージョン |
IsAzureADJoined |
boolean |
デバイスがMicrosoft Entra IDに参加しているかどうかを示すブール値インジケーター |
JoinType |
string |
デバイスのMicrosoft Entra ID参加の種類 |
AadDeviceId |
string |
Microsoft Entra IDのデバイスの一意識別子 |
LoggedOnUsers |
string |
イベントの時点でデバイスにログオンしているすべてのユーザーの一覧を JSON 配列形式で示します |
RegistryDeviceTag |
string |
レジストリを介して追加されたデバイス タグ |
OSVersion |
string |
デバイスで実行されているオペレーティング システムのバージョン |
MachineGroup |
string |
デバイスのマシン グループ。 このグループは、デバイスへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。 |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
OnboardingStatus |
string |
デバイスが現在オンボードされているかどうか、またはデバイスがサポートされていない場合は、エンドポイントMicrosoft Defenderするかどうかを示します |
AdditionalFields |
string |
JSON 配列形式のイベントに関する追加情報 |
DeviceCategory |
string |
特定のデバイスの種類を次のカテゴリにグループ化する広範な分類: エンドポイント、ネットワーク デバイス、IoT、Unknown |
DeviceType |
string |
ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類 |
DeviceSubtype |
string |
特定の種類のデバイス (モバイル デバイスなど) の追加修飾子は、タブレットやスマートフォンなどです。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
Model |
string |
ベンダーまたは製造元の製品のモデル名または番号。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
Vendor |
string |
製品ベンダーまたは製造元の名前。デバイス検出でこの属性に関する十分な情報が見つかる場合にのみ使用できます |
OSDistribution |
string |
Ubuntu や RedHat for Linux プラットフォームなどの OS プラットフォームの配布 |
OSVersionInfo |
string |
一般的な名前、コード名、バージョン番号など、OS のバージョンに関する追加情報 |
MergedDeviceIds |
string |
同じデバイスに割り当てられている以前のデバイス ID |
MergedToDeviceId |
string |
デバイスに割り当てられた最新のデバイス ID |
IsInternetFacing |
boolean |
デバイスがインターネットに接続されているかどうかを示します |
SensorHealthState |
string |
デバイスの EDR センサーの正常性を示します (エンドポイントのMicrosoft Defenderにオンボードされている場合) |
IsExcluded |
bool |
デバイスが脆弱性管理エクスペリエンスのMicrosoft Defenderから現在除外されているかどうかを判断します |
ExclusionReason |
string |
デバイスの除外の理由を示します |
ExposureLevel |
string |
公開スコアに基づく悪用に対するデバイスの脆弱性のレベル。可能: 低、中、高 |
AssetValue |
string |
organizationの露出スコアを計算する場合の重要度に関連してデバイスに割り当てられた優先度または値。低、標準 (既定値)、高 |
DeviceManualTags |
string |
ポータル UI またはパブリック API を使用して手動で作成されたデバイス タグ |
DeviceDynamicTags |
string |
動的ルールに基づいて動的に追加および削除されたデバイス タグ |
ConnectivityType |
string |
デバイスからクラウドへの接続の種類 |
HostDeviceId |
string |
Linux 用 Windows サブシステムを実行しているデバイスのデバイス ID |
AzureResourceId |
string |
デバイスに関連付けられている Azure リソースの一意識別子 |
AwsResourceName |
string |
Amazon リソース名を含む Amazon Web Services デバイスに固有の一意の識別子 |
GcpFullResourceName |
string |
GCP のゾーンと ID の組み合わせを含む、Google Cloud Platform デバイスに固有の一意の識別子 |
HardwareUuid |
string |
デバイスのハードウェアのユニバーサル一意識別子 (UUID) |
CloudPlatforms |
string |
デバイスが属するクラウド プラットフォーム。 Azure、Amazon Web Services、Google Cloud Platform、Azure Arc を指定できます。 |
AzureVmId |
string |
Azure のデバイスに割り当てられた一意の識別子 |
AzureVmSubscriptionId |
string |
デバイスに関連付けられている Azure サブスクリプションの一意識別子 |
IsTransient |
boolean |
ネットワーク上のデバイスの外観の頻度に基づいて、このデバイスが有効期間が短いか一時的なものとして分類されるかを示します |
OsBuildRevision |
string |
マシンで実行されているオペレーティング システムのビルド リビジョン番号 |
MitigationStatus |
string |
デバイスに適用される軽減アクションを示します |
Site |
string |
デバイスが配置されている物理的な場所を表します |
DiscoverySources |
string |
デバイスを表示または報告した製品またはサービス (最後にデバイスを報告した時点を含む)。 |
DeviceInfo テーブルは継続的に更新され、すべての更新プログラムには、そのデバイスの完全な現在のデバイス データが含まれています。
次のサンプル クエリを使用して、デバイスの最新の状態を取得できます。
// Get latest information on user/device
DeviceInfo
| extend IngestionTime = ingestion_time()
| where DeviceName == "example" and isnotempty(OSPlatform)
| summarize arg_max(IngestionTime, *) by DeviceId
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。