Etsi altistuneita laitteita

• Microsoft Defenderin haavoittuvuuksien hallinta
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• palvelinten palvelupaketin 1 & 2 Microsoft Defender

Etsi haavoittuvuuksia sisältäviä laitteita kehittyneen metsästyksen avulla

Kehittynyt metsästys on kyselypohjainen uhkien metsästystyökalu, jonka avulla voit tutkia raakadataa jopa 30 päivän ajan. Voit ennakoivasti tarkastaa verkon tapahtumat, jotta voit paikantaa uhkailmaisimet ja entiteetit. Tietojen joustava käyttö mahdollistaa sekä tunnettujen että mahdollisten uhkien rajoittamattoman metsästyksen. lisätietoja kehittyneestä metsästyksestä on kohdassa Kehittyneen metsästyksen yleiskatsaus.

Vihje

Tiesitkö, että voit kokeilla kaikkia Microsoft Defenderin haavoittuvuuksien hallinta ominaisuuksia ilmaiseksi? Katso, miten voit rekisteröityä ilmaiseen kokeiluversioon.

Rakennetaulukot

• DeviceTvmSoftwareInventory – Laitteisiin asennettujen ohjelmistojen luettelo, mukaan lukien niiden versiotiedot ja tuen päättymistila.

• DeviceTvmSoftwareVulnerabilities – Laitteista löytyneet ohjelmiston haavoittuvuudet ja luettelo saatavilla olevista tietoturvapäivityksistä, jotka korjaavat kunkin haavoittuvuuden.

• DeviceTvmSoftwareVulnerabilitiesKB – Tietokanta julkisista haavoittuvuuksista, mukaan lukien se, onko hyödyntämiskoodi julkisesti saatavilla.

• DeviceTvmSecureConfigurationAssessment – Defenderin haavoittuvuuden hallinnan arviointitapahtumat, jotka ilmaisevat laitteiden eri suojausmääritysten tilan.

• DeviceTvmSecureConfigurationAssessmentKB – Tietokanta erilaisista suojausmäärityksistä, joita Defenderin haavoittuvuuden hallinta käyttää laitteiden arviointiin; sisältää yhdistämismääritykset eri standardeihin ja vertailuarvoihin

• DeviceTvmInfoGathering - Arviointitapahtumat, mukaan lukien eri kokoonpanojen tila ja hyökkäyspinnan alueen tilat laitteissa

• DeviceTvmInfoGatheringKB – Luettelo erilaisista määritys- ja hyökkäysalueen aluearvioinneista, joita Defenderin haavoittuvuuden hallintatiedot keräävät laitteiden arvioimiseksi

Suuren vakavuusasteen hälytysten laitteiden tarkistaminen

1. Siirry Metsästys>Kehittynyt metsästys vasemmasta siirtymisruudusta Microsoft Defender portaali.

2. Selaa kehittyneitä metsästysrakenteita tutustuaksesi sarakkeiden nimiin.

3. Kirjoita seuraavat kyselyt:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Aiheeseen liittyvät artikkelit

• Suojaussuositukset
• Tietojen käytön määrittäminen Defenderin haavoittuvuuden hallintarooleille
• Tarkennetun etsinnän yleiskatsaus
• Kaikki kehittyneet metsästystaulukot