צוד אחר מכשירים חשופים

• ניהול פגיעויות של Microsoft Defender
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR
• Microsoft Defender שרתים תוכנית 1 & 2

השתמש לציד מתקדם כדי למצוא מכשירים עם פגיעויות

ציד מתקדם הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לחקור עד 30 יום של נתונים גולמיים. באפשרותך לבדוק באופן יזום אירועים ברשת שלך כדי לאתר מחווני איומים וישויות. הגישה הגמישה לנתונים מאפשרת ציד לא מוגבל הן עבור איומים ידועים והן עבור איומים פוטנציאליים. לקבלת מידע נוסף על ציד מתקדם, ראה מבט כולל על ציד מתקדם.

עצה

הידעת שתוכל לנסות את כל התכונות ב- ניהול פגיעויות של Microsoft Defender בחינם? גלה כיצד להירשם לקבלת גירסת ניסיון ללא תשלום.

טבלאות סכימה

• DeviceTvmSoftwareInventory - רשימת מלאי של תוכנות המותקנות במכשירים, כולל פרטי הגירסה ומצב סיום התמיכה שלהם.

• DeviceTvmSoftwareVulnerabilities - פגיעויות תוכנה שנמצאו במכשירים ורשימת עדכוני האבטחה הזמינים ה לטפל בכל פגיעות.

• DeviceTvmSoftwareVulnerabilitiesKB - בסיס ידע של פגיעויות שנחשפו באופן ציבורי, כולל האם קוד ניצול לרעה זמין לציבור.

• DeviceTvmSecureConfigurationAssessment - אירועי הערכת ניהול פגיעויות של Defender, המציינים את המצב של תצורות אבטחה שונות במכשירים.

• DeviceTvmSecureConfigurationAssessmentKB - בסיס ידע של תצורות אבטחה שונות הנמצאות בשימוש על-ידי ניהול פגיעויות Defender כדי להעריך מכשירים; כולל מיפויים לתקנים שונים ולסימני ביצועים שונים

• DeviceTvmInfoGathering - אירועי הערכה כולל המצב של תצורות שונות ומצבי פני השטח של ההתקפה של מכשירים

• DeviceTvmInfoGatheringKB - רשימה של הערכות שונות של אזורי תצורה ותקיפה פני שטח המשמשים את המידע של ניהול פגיעויות של Defender לאיסוף כדי להעריך מכשירים

בדוק אילו מכשירים מעורבים בהתראות ברמת חומרה גבוהה

1. עבור אל ציד>מתקדם לציד מחלונית הניווט הימנית של Microsoft Defender הפורטל.

2. גלול בין סכימות ציד מתקדמות כדי להכיר את שמות העמודות.

3. הזן את השאילתות הבאות:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

נושאים קשורים

• המלצות אבטחה
• קביעת תצורה של גישה לנתונים עבור תפקידי ניהול פגיעויות של Defender
• מבט כולל על ציד מתקדם
• כל שולחנות הציד המתקדמים