Partager via


Repérer des appareils exposés

Utiliser la chasse avancée pour rechercher les appareils présentant des vulnérabilités

Le repérage avancé est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace. L’accès flexible aux données facilite le repérage sans contrainte pour les menaces connues et potentielles. Pour en savoir plus sur la chasse avancée, consultez Vue d’ensemble de la chasse avancée.

Conseil

Saviez-vous que vous pouvez essayer gratuitement toutes les fonctionnalités de Gestion des vulnérabilités Microsoft Defender ? Découvrez comment vous inscrire à un essai gratuit.

Tableaux de schéma

  • DeviceTvmSoftwareInventory : inventaire des logiciels installés sur les appareils, y compris les informations de version et les status de fin de support.

  • DeviceTvmSoftwareVulnerabilities : vulnérabilités logicielles détectées sur les appareils et la liste des mises à jour de sécurité disponibles qui traitent de chaque vulnérabilité.

  • DeviceTvmSoftwareVulnerabilitiesKB : base de connaissances sur les vulnérabilités divulguées publiquement, notamment si le code d’exploitation est disponible publiquement.

  • DeviceTvmSecureConfigurationAssessment : événements d’évaluation de la gestion des vulnérabilités Defender, indiquant la status de différentes configurations de sécurité sur les appareils.

  • DeviceTvmSecureConfigurationAssessmentKB : base de connaissances des différentes configurations de sécurité utilisées par Defender Vulnerability Management pour évaluer les appareils ; inclut des mappages à divers standards et points de référence

  • DeviceTvmInfoGathering : événements d’évaluation, y compris la status de différentes configurations et les états de surface d’attaque des appareils

  • DeviceTvmInfoGatheringKB : liste des différentes évaluations de la surface d’attaque et de configuration utilisées par la collecte d’informations de Gestion des vulnérabilités Defender pour évaluer les appareils

Vérifier les appareils impliqués dans les alertes de gravité élevée

  1. Accédez à Chasse>avancée à partir du volet de navigation gauche du portail Microsoft Defender.

  2. Faites défiler les schémas de repérage avancés pour vous familiariser avec les noms de colonnes.

  3. Entrez les requêtes suivantes :

    // Search for devices with High active alerts or Critical CVE public exploit
    let DeviceWithHighAlerts = AlertInfo
    | where Severity == "High"
    | project Timestamp, AlertId, Title, ServiceSource, Severity
    | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
    | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
    let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
    | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
    | where IsExploitAvailable == 1 and CvssScore >= 7
    | summarize NumOfVulnerabilities=dcount(CveId),
    DeviceName=any(DeviceName) by DeviceId;
    DeviceWithCriticalCve
    | join kind=inner DeviceWithHighAlerts on DeviceId
    | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts