Proaktivní vyhledávání zranitelných zařízení

• Microsoft Defender Správa zranitelností
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR
• Microsoft Defender pro servery – plán 1 & 2

Použití rozšířeného proaktivního vyhledávání k vyhledání zařízení s ohroženími zabezpečení

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje zkoumat nezpracovaná data až za 30 dní. Můžete proaktivně kontrolovat události ve vaší síti a vyhledávat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje unconstrained proaktivní vyhledávání známých i potenciálních hrozeb. Další informace o rozšířeném proaktivním vyhledávání najdete v tématu Přehled rozšířeného proaktivního vyhledávání.

Tip

Věděli jste, že si můžete vyzkoušet všechny funkce v Microsoft Defender Správa zranitelností zdarma? Zjistěte, jak si zaregistrovat bezplatnou zkušební verzi.

Tabulky schématu

• DeviceTvmSoftwareInventory – inventář softwaru nainstalovaného na zařízeních, včetně informací o jeho verzi a stavu ukončení podpory.

• DeviceTvmSoftwareVulnerabilities – softwarová ohrožení zabezpečení nalezená na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší jednotlivé chyby zabezpečení.

• DeviceTvmSoftwareVulnerabilitiesKB – znalostní báze veřejně zjištěných ohrožení zabezpečení, včetně toho, jestli je veřejně dostupný kód zneužití.

• DeviceTvmSecureConfigurationAssessment – události posouzení správy ohrožení zabezpečení v programu Defender, které označují stav různých konfigurací zabezpečení na zařízeních.

• DeviceTvmSecureConfigurationAssessmentKB – znalostní báze různých konfigurací zabezpečení používaných službou Defender Vulnerability Management k posouzení zařízení. zahrnuje mapování na různé standardy a srovnávací testy

• DeviceTvmInfoGathering – události hodnocení, včetně stavu různých konfigurací a stavů povrchové oblasti útoku na zařízení.

• DeviceTvmInfoGatheringKB – seznam různých posouzení konfigurace a potenciální oblasti útoku, která se používají při shromažďování informací o službě Defender Vulnerability Management k posouzení zařízení.

Kontrola zařízení, která se týkají výstrah s vysokou závažností

1. V levém navigačním podokně portálu Microsoft Defender přejděte na Rozšířené proaktivní>vyhledávání.

2. Projděte si pokročilá schémata proaktivního vyhledávání, abyste se seznámili s názvy sloupců.

3. Zadejte následující dotazy:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Související témata

• Doporučení k zabezpečení
• Konfigurace přístupu k datům pro role správy ohrožení zabezpečení defenderu
• Přehled rozšířeného proaktivní vyhledávání
• Všechny rozšířené tabulky proaktivního vyhledávání