Gå på jagt efter eksponerede enheder
- Microsoft Defender Vulnerability Management
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender til Servers Plan 1 & 2
Brug avanceret jagt til at finde enheder med sikkerhedsrisici
Avanceret jagt er et forespørgselsbaseret værktøj til trusselsjagt, der giver dig mulighed for at udforske op til 30 dages rådata. Du kan proaktivt inspicere hændelser i dit netværk for at finde trusselsindikatorer og -enheder. Den fleksible adgang til data muliggør uforbeholden jagt på både kendte og potentielle trusler. Hvis du vil vide mere om avanceret jagt, kan du se Oversigt over avanceret jagt.
Tip
Vidste du, at du kan prøve alle funktionerne i Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender gratis? Få mere at vide om, hvordan du tilmelder dig en gratis prøveversion.
Skematabeller
DeviceTvmSoftwareInventory – Lager over software, der er installeret på enheder, herunder deres versionsoplysninger og status for ophør af support.
DeviceTvmSoftwareVulnerabilities – Softwaresårbarheder, der findes på enheder, og listen over tilgængelige sikkerhedsopdateringer, der løser hver enkelt sårbarhed.
DeviceTvmSoftwareVulnerabilitiesKB – Vidensbase om offentligt offentliggjorte sårbarheder, herunder om udnyttelseskode er offentligt tilgængelig.
DeviceTvmSecureConfigurationAssessment – Defender Assessment Events for sårbarhedsstyring, der angiver status for forskellige sikkerhedskonfigurationer på enheder.
DeviceTvmSecureConfigurationAssessmentKB – Vidensbase om forskellige sikkerhedskonfigurationer, der bruges af Defender Vulnerability Management til at vurdere enheder; omfatter tilknytninger til forskellige standarder og benchmarks
DeviceTvmInfoGathering – Vurderingshændelser, herunder status for forskellige konfigurationer og tilstande for angrebsoverfladen for enheder
DeviceTvmInfoGatheringKB - Liste over forskellige vurderinger af konfiguration og angrebsoverfladeområde, der bruges af Defender Vulnerability Management-oplysninger, der indsamler til vurdering af enheder
Kontrollér, hvilke enheder der er involveret i vigtige beskeder med høj alvorsgrad
Gå til Jagt>Avanceret jagt fra navigationsruden til venstre på Microsoft Defender portalen.
Rul gennem avancerede jagtskemaer for at blive fortrolig med kolonnenavnene.
Angiv følgende forespørgsler:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
Relaterede emner
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om