Buscar dispositivos expuestos

• Administración de vulnerabilidades de Microsoft Defender
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR
• Microsoft Defender para el plan 1 de servidores 1 & 2

Uso de la búsqueda avanzada para buscar dispositivos con vulnerabilidades

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consulta que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales. Para obtener más información sobre la búsqueda avanzada, consulte Información general sobre la búsqueda avanzada.

Sugerencia

¿Sabía que puede probar todas las características de Administración de vulnerabilidades de Microsoft Defender de forma gratuita? Obtenga información sobre cómo registrarse para obtener una evaluación gratuita.

Tablas del esquema

• DeviceTvmSoftwareInventory : inventario de software instalado en los dispositivos, incluida su información de versión y el estado de finalización del soporte técnico.

• DeviceTvmSoftwareVulnerabilities : vulnerabilidades de software que se encuentran en los dispositivos y la lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidad.

• DeviceTvmSoftwareVulnerabilitiesKB : base de conocimiento de vulnerabilidades divulgadas públicamente, incluido si el código de vulnerabilidad de seguridad está disponible públicamente.

• DeviceTvmSecureConfigurationAssessment : eventos de evaluación de Administración de vulnerabilidades de Defender, que indican el estado de varias configuraciones de seguridad en los dispositivos.

• DeviceTvmSecureConfigurationAssessmentKB : base de conocimiento de varias configuraciones de seguridad usadas por Defender Vulnerability Management para evaluar dispositivos; incluye asignaciones a diversos estándares y pruebas comparativas

• DeviceTvmInfoGathering : eventos de evaluación que incluyen el estado de varias configuraciones y estados de área expuesta a ataques de dispositivos

• DeviceTvmInfoGatheringKB : lista de diversas evaluaciones de la configuración y la superficie expuesta a ataques usadas por la recopilación de información de Administración de vulnerabilidades de Defender para evaluar dispositivos

Comprobación de qué dispositivos están implicados en alertas de gravedad alta

1. Vaya a Búsquedaavanzada de búsqueda> desde el panel de navegación izquierdo del portal de Microsoft Defender.

2. Desplácese por los esquemas de búsqueda avanzados para familiarizarse con los nombres de columna.

3. Escriba las siguientes consultas:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Temas relacionados

• Recomendaciones de seguridad
• Configuración del acceso a datos para roles de Administración de vulnerabilidades de Defender
• Información general sobre la búsqueda avanzada de amenazas
• Todas las tablas de búsqueda avanzadas