צוד אחר מכשירים חשופים
- ניהול פגיעויות של Microsoft Defender
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
- Microsoft Defender שרתים תוכנית 1 & 2
השתמש לציד מתקדם כדי למצוא מכשירים עם פגיעויות
ציד מתקדם הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לחקור עד 30 יום של נתונים גולמיים. באפשרותך לבדוק באופן יזום אירועים ברשת שלך כדי לאתר מחווני איומים וישויות. הגישה הגמישה לנתונים מאפשרת ציד לא מוגבל הן עבור איומים ידועים והן עבור איומים פוטנציאליים. לקבלת מידע נוסף על ציד מתקדם, ראה מבט כולל על ציד מתקדם.
עצה
הידעת שתוכל לנסות את כל התכונות ב- ניהול פגיעויות של Microsoft Defender בחינם? גלה כיצד להירשם לקבלת גירסת ניסיון ללא תשלום.
טבלאות סכימה
DeviceTvmSoftwareInventory - רשימת מלאי של תוכנות המותקנות במכשירים, כולל פרטי הגירסה ומצב סיום התמיכה שלהם.
DeviceTvmSoftwareVulnerabilities - פגיעויות תוכנה שנמצאו במכשירים ורשימת עדכוני האבטחה הזמינים ה לטפל בכל פגיעות.
DeviceTvmSoftwareVulnerabilitiesKB - בסיס ידע של פגיעויות שנחשפו באופן ציבורי, כולל האם קוד ניצול לרעה זמין לציבור.
DeviceTvmSecureConfigurationAssessment - אירועי הערכת ניהול פגיעויות של Defender, המציינים את המצב של תצורות אבטחה שונות במכשירים.
DeviceTvmSecureConfigurationAssessmentKB - בסיס ידע של תצורות אבטחה שונות הנמצאות בשימוש על-ידי ניהול פגיעויות Defender כדי להעריך מכשירים; כולל מיפויים לתקנים שונים ולסימני ביצועים שונים
DeviceTvmInfoGathering - אירועי הערכה כולל המצב של תצורות שונות ומצבי פני השטח של ההתקפה של מכשירים
DeviceTvmInfoGatheringKB - רשימה של הערכות שונות של אזורי תצורה ותקיפה פני שטח המשמשים את המידע של ניהול פגיעויות של Defender לאיסוף כדי להעריך מכשירים
בדוק אילו מכשירים מעורבים בהתראות ברמת חומרה גבוהה
עבור אל ציד>מתקדם לציד מחלונית הניווט הימנית של Microsoft Defender הפורטל.
גלול בין סכימות ציד מתקדמות כדי להכיר את שמות העמודות.
הזן את השאילתות הבאות:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts