Leta efter exponerade enheter – Hantering av hot och säkerhetsrisker
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Använd avancerad sökning för att hitta säkerhetsproblem
Avancerad jakt är ett frågebaserat verktyg för jakt på cyberhot som låter dig utforska upp till 30 dagars rådata. Du kan proaktivt kontrollera händelser i nätverket för att hitta hotindikatorer och enheter. Den flexibla åtkomsten till data gör att du inte behöver hålla efter både kända och potentiella hot. Läs mer om avancerad sökning
Schematabeller
DeviceTvmSoftwareInventory – Inventering av programvara installerad på enheter, inklusive deras versionsinformation och supportens slutdatum.
DeviceTvmSoftwareVulnerabilities - Säkerhetsproblem i programvaran som finns på enheter och listan med tillgängliga säkerhetsuppdateringar som åtgärdar varje sårbarhet.
DeviceTvmSoftwareVulnerabilitiesKB – Kunskapsbas för offentligt säkerhetsproblem, inklusive huruvida sårbarhetskod är offentligt tillgänglig.
DeviceTvmSecureConfigurationAssessment – hot och hantering av säkerhetsrisker utvärderingshändelser, som anger status för olika säkerhetskonfigurationer på enheter.
DeviceTvmSecureConfigurationAssessmentKB - Knowledge base of various security configurations used by Threat & Vulnerability Management to assess devices; inkluderar mappningar till olika standarder och riktvärde
Kontrollera vilka enheter som ingår i varningar med hög allvarlighetsgrad
Gå till Sökning > efter avancerad sökning från vänster navigeringsfönster i Microsoft 365 Defender portal.
Rulla ned till TVM:s avancerade sökscheman och bekanta dig med kolumnnamnen.
Ange följande frågor:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts