Rilevare dispositivi esposti

• Gestione delle vulnerabilità di Microsoft Defender
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR
• Microsoft Defender per server Piano 1 & 2

Usare la ricerca avanzata per trovare i dispositivi con vulnerabilità

La ricerca avanzata è uno strumento di ricerca delle minacce basato sulla query che permette di esplorare dati non elaborati fino a 30 giorni. È possibile controllare in modo proattivo eventi nella rete per localizzare indicatori ed entità di minaccia. L'accesso flessibile ai dati consente la ricerca senza vincoli di minacce sia note che potenziali. per altre informazioni sulla ricerca avanzata, vedere Panoramica della ricerca avanzata.

Consiglio

Sapevi che puoi provare tutte le funzionalità in Gestione delle vulnerabilità di Microsoft Defender gratuitamente? Scopri come iscriversi per una versione di valutazione gratuita.

Tabelle dello schema

• DeviceTvmSoftwareInventory - Inventario del software installato nei dispositivi, incluse le informazioni sulla versione e lo stato di fine del supporto.

• DeviceTvmSoftwareVulnerabilities - Vulnerabilità software rilevate nei dispositivi e l'elenco degli aggiornamenti della sicurezza disponibili che affrontano ogni vulnerabilità.

• DeviceTvmSoftwareVulnerabilitiesKB - Knowledge base delle vulnerabilità divulgate pubblicamente, incluso se il codice di exploit è disponibile pubblicamente.

• Eventi di valutazione di DeviceTvmSecureConfigurationAssessment - Defender Vulnerability Management, che indicano lo stato di varie configurazioni di sicurezza nei dispositivi.

• DeviceTvmSecureConfigurationAssessmentKB - Knowledge base di varie configurazioni di sicurezza usate da Defender Vulnerability Management per valutare i dispositivi; include mapping a vari standard e benchmark

• DeviceTvmInfoGathering - Eventi di valutazione che includono lo stato di varie configurazioni e gli stati della superficie di attacco dei dispositivi

• DeviceTvmInfoGatheringKB - Elenco di varie valutazioni della configurazione e della superficie di attacco usate dalla raccolta di informazioni sulla gestione delle vulnerabilità di Defender per valutare i dispositivi

Controllare quali dispositivi sono coinvolti in avvisi di gravità elevata

1. Passare a Ricerca>avanzata nel riquadro di spostamento a sinistra del portale di Microsoft Defender.

2. Scorrere gli schemi di ricerca avanzati per acquisire familiarità con i nomi delle colonne.

3. Immettere le query seguenti:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Argomenti correlati

• Consigli sulla sicurezza
• Configurare l'accesso ai dati per i ruoli di Gestione vulnerabilità di Defender
• Panoramica della rilevazione avanzata
• Tutte le tabelle di ricerca avanzate