Repérer des appareils exposés
- Gestion des vulnérabilités Microsoft Defender
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
- Microsoft Defender pour serveurs Plan 1 & 2
Utiliser la chasse avancée pour rechercher les appareils présentant des vulnérabilités
Le repérage avancé est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace. L’accès flexible aux données facilite le repérage sans contrainte pour les menaces connues et potentielles. Pour en savoir plus sur la chasse avancée, consultez Vue d’ensemble de la chasse avancée.
Conseil
Saviez-vous que vous pouvez essayer gratuitement toutes les fonctionnalités de Gestion des vulnérabilités Microsoft Defender ? Découvrez comment vous inscrire à un essai gratuit.
Tableaux de schéma
DeviceTvmSoftwareInventory : inventaire des logiciels installés sur les appareils, y compris les informations de version et les status de fin de support.
DeviceTvmSoftwareVulnerabilities : vulnérabilités logicielles détectées sur les appareils et la liste des mises à jour de sécurité disponibles qui traitent de chaque vulnérabilité.
DeviceTvmSoftwareVulnerabilitiesKB : base de connaissances sur les vulnérabilités divulguées publiquement, notamment si le code d’exploitation est disponible publiquement.
DeviceTvmSecureConfigurationAssessment : événements d’évaluation de la gestion des vulnérabilités Defender, indiquant la status de différentes configurations de sécurité sur les appareils.
DeviceTvmSecureConfigurationAssessmentKB : base de connaissances des différentes configurations de sécurité utilisées par Defender Vulnerability Management pour évaluer les appareils ; inclut des mappages à divers standards et points de référence
DeviceTvmInfoGathering : événements d’évaluation, y compris la status de différentes configurations et les états de surface d’attaque des appareils
DeviceTvmInfoGatheringKB : liste des différentes évaluations de la surface d’attaque et de configuration utilisées par la collecte d’informations de Gestion des vulnérabilités Defender pour évaluer les appareils
Vérifier les appareils impliqués dans les alertes de gravité élevée
Accédez à Chasse>avancée à partir du volet de navigation gauche du portail Microsoft Defender.
Faites défiler les schémas de repérage avancés pour vous familiariser avec les noms de colonnes.
Entrez les requêtes suivantes :
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour