البحث عن الأجهزة المعرضة

• إدارة الثغرات الأمنية في Microsoft Defender
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR
• Microsoft Defender للخوادم الخطة 1 & 2

استخدام التتبع المتقدم للعثور على الأجهزة ذات الثغرات الأمنية

التتبع المتقدم هو أداة تتبع التهديدات المستندة إلى الاستعلام والتي تتيح لك استكشاف ما يصل إلى 30 يوما من البيانات الأولية. يمكنك فحص الأحداث بشكل استباقي في شبكتك لتحديد موقع مؤشرات التهديد والكيانات. يتيح الوصول المرن إلى البيانات التتبع غير المقيد لكل من التهديدات المعروفة والمحتملة. لمعرفة المزيد حول التتبع المتقدم، راجع نظرة عامة على التتبع المتقدم.

تلميح

هل تعلم أنه يمكنك تجربة جميع الميزات في إدارة الثغرات الأمنية في Microsoft Defender مجانا؟ تعرف على كيفية التسجيل للحصول على نسخة تجريبية مجانية.

جداول المخطط

• DeviceTvmSoftwareInventory - مخزون البرامج المثبتة على الأجهزة، بما في ذلك معلومات الإصدار وحالة نهاية الدعم.

• DeviceTvmSoftwareVulnerabilities - الثغرات الأمنية في البرامج الموجودة على الأجهزة وقائمة تحديثات الأمان المتوفرة التي تعالج كل ثغرة أمنية.

• DeviceTvmSoftwareVulnerabilitiesKB - قاعدة معارف للثغرات الأمنية التي تم الكشف عنها بشكل عام، بما في ذلك ما إذا كانت التعليمات البرمجية للاستغلال متاحة للجمهور.

• DeviceTvmSecureConfigurationAssessment - أحداث تقييم إدارة الثغرات الأمنية ل Defender، مما يشير إلى حالة تكوينات الأمان المختلفة على الأجهزة.

• DeviceTvmSecureConfigurationAssessmentKB - قاعدة معارف لتكوينات الأمان المختلفة التي تستخدمها إدارة الثغرات الأمنية ل Defender لتقييم الأجهزة؛ يتضمن تعيينات لمختلف المعايير والمعايير

• DeviceTvmInfoGathering - أحداث التقييم بما في ذلك حالة التكوينات المختلفة وحالات مساحة سطح الهجوم للأجهزة

• DeviceTvmInfoGatheringKB - قائمة بالتقييمات المختلفة لمساحة سطح الهجوم والتكوين التي يستخدمها تجميع معلومات إدارة الثغرات الأمنية ل Defender لتقييم الأجهزة

التحقق من الأجهزة المشاركة في التنبيهات عالية الخطورة

1. انتقل إلى Hunting>Advanced hunting من جزء التنقل الأيسر من مدخل Microsoft Defender.

2. قم بالتمرير عبر مخططات التتبع المتقدمة للتعرف على أسماء الأعمدة.

3. أدخل الاستعلامات التالية:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

المواضيع ذات الصلة

• توصيات الأمان
• تكوين الوصول إلى البيانات لأدوار Defender Vulnerability Management
• نظرة عامة متقدمة حول الصيد
• جميع جداول التتبع المتقدمة