Share via

Suchen nach offenen Geräten

  • Artikel

Verwenden der erweiterten Suche zum Auffinden von Geräten mit Sicherheitsrisiken

Bei der erweiterten Suche handelt es sich um ein abfragebasiertes Tool für die Bedrohungssuche, mit dem Sie Rohdaten von bis zu 30 Tagen erkunden können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen. weitere Informationen zur erweiterten Suche finden Sie unter Übersicht über die erweiterte Suche.

Tipp

Wussten Sie, dass Sie alle Features in Microsoft Defender Vulnerability Management kostenlos testen können? Erfahren Sie, wie Sie sich für eine kostenlose Testversion registrieren.

Schematabellen

  • DeviceTvmSoftwareInventory : Inventar der auf Geräten installierten Software, einschließlich ihrer Versionsinformationen und der status für das Ende des Supports.

  • DeviceTvmSoftwareVulnerabilities : Softwaresicherheitsrisiken, die auf Geräten gefunden wurden, und die Liste der verfügbaren Sicherheitsupdates, die die einzelnen Sicherheitsrisiken beheben.

  • DeviceTvmSoftwareVulnerabilitiesKB – Wissensdatenbank zu öffentlich offengelegten Sicherheitsrisiken, einschließlich der Angabe, ob Exploit-Code öffentlich verfügbar ist.

  • DeviceTvmSecureConfigurationAssessment– Defender Vulnerability Management-Bewertungsereignisse, die die status verschiedener Sicherheitskonfigurationen auf Geräten angeben.

  • DeviceTvmSecureConfigurationAssessmentKB – Wissensdatenbank verschiedener Sicherheitskonfigurationen, die von Defender Vulnerability Management zum Bewerten von Geräten verwendet werden; enthält Zuordnungen zu verschiedenen Standards und Benchmarks

  • DeviceTvmInfoGathering – Bewertungsereignisse, einschließlich der status verschiedener Konfigurationen und Zustände der Angriffsfläche von Geräten

  • DeviceTvmInfoGatheringKB – Liste der verschiedenen Konfigurations- und Angriffsflächenbewertungen, die von defender vulnerability Management-Informationen zum Bewerten von Geräten verwendet werden

Überprüfen, welche Geräte an Warnungen mit hohem Schweregrad beteiligt sind

  1. Wechseln Sie im linken Navigationsbereich des Microsoft Defender-Portals zu Hunting>Erweiterte Suche.

  2. Scrollen Sie durch erweiterte Suchschemas, um sich mit den Spaltennamen vertraut zu machen.

  3. Geben Sie die folgenden Abfragen ein:

    // Search for devices with High active alerts or Critical CVE public exploit
let DeviceWithHighAlerts = AlertInfo
| where Severity == "High"
| project Timestamp, AlertId, Title, ServiceSource, Severity
| join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
| summarize HighSevAlerts = dcount(AlertId) by DeviceId;
let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
| join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
| where IsExploitAvailable == 1 and CvssScore >= 7
| summarize NumOfVulnerabilities=dcount(CveId),
DeviceName=any(DeviceName) by DeviceId;
DeviceWithCriticalCve
| join kind=inner DeviceWithHighAlerts on DeviceId
| project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts