Jakten på eksponerte enheter

• Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR
• Microsoft Defender for Servers Plan 1 & 2

Bruk avansert jakt for å finne enheter med sårbarheter

Avansert jakt er et spørringsbasert trusseljaktverktøy som lar deg utforske opptil 30 dager med rådata. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Den fleksible tilgangen til data muliggjør ubegrenset jakt etter både kjente og potensielle trusler. hvis du vil Mer informasjon om avansert jakt, kan du se Oversikt over avansert jakt.

Tips

Visste du at du kan prøve alle funksjonene i Microsoft Defender Vulnerability Management gratis? Finn ut hvordan du registrerer deg for en gratis prøveversjon.

Skjematabeller

• DeviceTvmSoftwareInventory – beholdning av programvare installert på enheter, inkludert versjonsinformasjon og status for slutt på støtte.

• DeviceTvmSoftwareVulnerabilities – programvaresårbarheter som finnes på enheter og listen over tilgjengelige sikkerhetsoppdateringer som løser hvert sikkerhetsproblem.

• DeviceTvmSoftwareVulnerabilitiesKB – kunnskapsbase for offentliggjorte sårbarheter, inkludert om utnyttelse av kode er offentlig tilgjengelig.

• DeviceTvmSecureConfigurationAssessment – Defender Vulnerability Management-vurderingshendelser, som angir status for ulike sikkerhetskonfigurasjoner på enheter.

• DeviceTvmSecureConfigurationAssessmentKB – kunnskapsbase for ulike sikkerhetskonfigurasjoner som brukes av Defender Vulnerability Management til å vurdere enheter; omfatter tilordninger til ulike standarder og benchmarks

• DeviceTvmInfoGathering - Vurderingshendelser, inkludert status for ulike konfigurasjoner og angrepsoverflatetilstander for enheter

• DeviceTvmInfoGatheringKB - Liste over ulike konfigurasjons- og angrepsoverflatevurderinger som brukes av Defender Vulnerability Management-informasjonsinnsamling for å vurdere enheter

Kontroller hvilke enheter som er involvert i varsler med høy alvorlighetsgrad

1. Gå til Jakt>avansert jakt fra venstre navigasjonsrute i Microsoft Defender portalen.

2. Bla gjennom avanserte jaktskjemaer for å gjøre deg kjent med kolonnenavnene.

3. Skriv inn følgende spørringer:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Beslektede emner

• Sikkerhetsanbefalinger
• Konfigurer datatilgang for roller for Behandling av sikkerhetsproblemer i Defender
• Oversikt over avansert jakt
• Alle avanserte jakttabeller