Veszélynek kitett eszközök keresése
- Microsoft Defender biztonságirés-kezelése
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender 1. & 2. csomag kiszolgálókhoz
Speciális veszélyforrás-keresés használata a biztonsági résekkel rendelkező eszközök kereséséhez
A speciális veszélyforrás-keresés egy lekérdezésalapú veszélyforrás-keresési eszköz, amellyel akár 30 napig is feltárhatja a nyers adatokat. Proaktívan megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. Az adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és a potenciális fenyegetések korlátozás nélküli keresését. A speciális veszélyforrás-keresésről további információt a Speciális veszélyforrás-keresés áttekintése című témakörben talál.
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender biztonságirés-kezelés összes funkcióját? Megtudhatja, hogyan regisztrálhat az ingyenes próbaverzióra.
Sématáblák
DeviceTvmSoftwareInventory – Az eszközökre telepített szoftverek leltára, beleértve a verzióinformációkat és a támogatás megszűnésének állapotát.
DeviceTvmSoftwareVulnerabilities – Az eszközökön található szoftveres biztonsági rések és az egyes biztonsági réseket kezelő elérhető biztonsági frissítések listája.
DeviceTvmSoftwareVulnerabilitiesKB – A nyilvánosan közzétett biztonsági rések tudásbázisa, beleértve azt is, hogy a biztonsági rés kiaknázása kód nyilvánosan elérhető-e.
DeviceTvmSecureConfigurationAssessment – A Defender biztonságirés-kezelési értékelési eseményei, amelyek az eszközök különböző biztonsági konfigurációinak állapotát jelzik.
DeviceTvmSecureConfigurationAssessmentKB – A Defender biztonságirés-kezelés által az eszközök értékelésére használt különböző biztonsági konfigurációk tudásbázisa; különböző szabványokhoz és teljesítménytesztekhez való leképezéseket tartalmaz
DeviceTvmInfoGathering – Értékelési események, beleértve a különböző konfigurációk állapotát és az eszközök támadási felületének állapotát
DeviceTvmInfoGatheringKB – A Defender biztonságirés-kezelési információgyűjtés által az eszközök értékelésére használt különböző konfigurációs és támadásifelület-felmérések listája
Annak ellenőrzése, hogy mely eszközök vesznek részt a nagy súlyosságú riasztásokban
Nyissa meg a Speciális veszélyforrás-keresés lehetőséget> a Microsoft Defender portál bal oldali navigációs paneljén.
Görgessen végig a speciális veszélyforrás-keresési sémákon, és ismerkedjen meg az oszlopnevekkel.
Adja meg a következő lekérdezéseket:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts