Wykrywaj narażone urządzenia

• Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR
• Microsoft Defender dla serwerów plan 1 & 2

Wyszukiwanie urządzeń z lukami w zabezpieczeniach przy użyciu zaawansowanego wyszukiwania zagrożeń

Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia eksplorowanie nieprzetworzonych danych przez maksymalnie 30 dni. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych. Aby dowiedzieć się więcej na temat zaawansowanego wyszukiwania zagrożeń, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.

Porada

Czy wiesz, że możesz bezpłatnie wypróbować wszystkie funkcje w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender? Dowiedz się, jak utworzyć konto bezpłatnej wersji próbnej.

Tabele schematów

• DeviceTvmSoftwareInventory — spis oprogramowania zainstalowanego na urządzeniach, w tym informacje o ich wersji i stan zakończenia pomocy technicznej.

• DeviceTvmSoftwareVulnerabilities — luki w zabezpieczeniach oprogramowania znalezione na urządzeniach oraz lista dostępnych aktualizacji zabezpieczeń, które rozwiązują poszczególne luki w zabezpieczeniach.

• DeviceTvmSoftwareVulnerabilitiesKB — baza wiedzy na temat publicznie ujawnionych luk w zabezpieczeniach, w tym tego, czy kod wykorzystujący luki w zabezpieczeniach jest publicznie dostępny.

• DeviceTvmSecureConfigurationAssessment — zdarzenia oceny zarządzania lukami w zabezpieczeniach usługi Defender wskazujące stan różnych konfiguracji zabezpieczeń na urządzeniach.

• DeviceTvmSecureConfigurationAssessmentKB — baza wiedzy na temat różnych konfiguracji zabezpieczeń używanych przez usługę Defender Vulnerability Management do oceny urządzeń; obejmuje mapowania na różne standardy i testy porównawcze

• DeviceTvmInfoGathering — zdarzenia oceny, w tym stan różnych konfiguracji i stany obszaru podatnego na ataki urządzeń

• DeviceTvmInfoGatheringKB — lista różnych ocen konfiguracji i obszaru podatnego na ataki używanych przez zbieranie informacji dotyczących zarządzania lukami w zabezpieczeniach usługi Defender w celu oceny urządzeń

Sprawdzanie, które urządzenia są zaangażowane w alerty o wysokiej ważności

1. Przejdź do obszaru Wyszukiwanie zagrożeń>zaawansowanych w okienku nawigacji po lewej stronie portalu Microsoft Defender.

2. Przewiń zaawansowane schematy wyszukiwania zagrożeń, aby zapoznać się z nazwami kolumn.

3. Wprowadź następujące zapytania:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Tematy pokrewne

• Zalecenia dotyczące zabezpieczeń
• Konfigurowanie dostępu do danych dla ról zarządzania lukami w zabezpieczeniach usługi Defender
• Omówienie zaawansowanego wyszukiwania zagrożeń
• Wszystkie zaawansowane tabele wyszukiwania zagrożeń