Wykrywaj narażone urządzenia

Dotyczy:

Ważne

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Uwaga

Chcesz doświadczyć Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender? Dowiedz się więcej o tym, jak można zarejestrować się w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender publicznej wersji zapoznawczej.

Wyszukiwanie urządzeń z lukami w zabezpieczeniach przy użyciu zaawansowanego wyszukiwania zagrożeń

Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia eksplorowanie nieprzetworzonych danych przez maksymalnie 30 dni. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych. Dowiedz się więcej o zaawansowanym polowaniu

Tabele schematów

  • DeviceTvmSoftwareInventory — spis oprogramowania zainstalowanego na urządzeniach, w tym informacje o ich wersji i stan zakończenia pomocy technicznej.

  • DeviceTvmSoftwareVulnerabilities — luki w zabezpieczeniach oprogramowania znalezione na urządzeniach oraz lista dostępnych aktualizacji zabezpieczeń, które rozwiązują poszczególne luki w zabezpieczeniach.

  • DeviceTvmSoftwareVulnerabilitiesKB — baza wiedzy na temat publicznie ujawnionych luk w zabezpieczeniach, w tym tego, czy kod wykorzystujący luki w zabezpieczeniach jest publicznie dostępny.

  • DeviceTvmSecureConfigurationAssessment — zdarzenia oceny zarządzania lukami w zabezpieczeniach usługi Defender wskazujące stan różnych konfiguracji zabezpieczeń na urządzeniach.

  • DeviceTvmSecureConfigurationAssessmentKB — baza wiedzy na temat różnych konfiguracji zabezpieczeń używanych przez usługę Defender Vulnerability Management do oceny urządzeń; obejmuje mapowania na różne standardy i testy porównawcze

  • DeviceTvmInfoGathering — zdarzenia oceny, w tym stan różnych konfiguracji i stany obszaru podatnego na ataki urządzeń

  • DeviceTvmInfoGatheringKB — lista różnych ocen konfiguracji i obszaru podatnego na ataki używanych przez zbieranie informacji dotyczących zarządzania lukami w zabezpieczeniach usługi Defender w celu oceny urządzeń

Sprawdzanie, które urządzenia są zaangażowane w alerty o wysokiej ważności

  1. Przejdź do obszaru Wyszukiwanie zagrożeń > zaawansowanych w okienku nawigacji po lewej stronie w portalu Microsoft 365 Defender.

  2. Przewiń zaawansowane schematy wyszukiwania zagrożeń, aby zapoznać się z nazwami kolumn.

  3. Wprowadź następujące zapytania:

    // Search for devices with High active alerts or Critical CVE public exploit
    let DeviceWithHighAlerts = AlertInfo
    | where Severity == "High"
    | project Timestamp, AlertId, Title, ServiceSource, Severity
    | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
    | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
    let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
    | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
    | where IsExploitAvailable == 1 and CvssScore >= 7
    | summarize NumOfVulnerabilities=dcount(CveId),
    DeviceName=any(DeviceName) by DeviceId;
    DeviceWithCriticalCve
    | join kind=inner DeviceWithHighAlerts on DeviceId
    | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts