露出したデバイスの追求

  • [アーティクル]

高度なハンティングを使用して脆弱性を持つデバイスを見つける

高度な捜索は、クエリ ベースの脅威の捜索ツールで、最大 30 日間のロー データを検索できます。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限に捜索できます。 高度なハンティングの詳細については、「 高度なハンティングの概要」を参照してください。

ヒント

Microsoft Defender 脆弱性の管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。

スキーマ テーブル

  • DeviceTvmSoftwareInventory - デバイスにインストールされているソフトウェアのインベントリ (バージョン情報やサポート終了の状態など)。

  • DeviceTvmSoftwareVulnerabilities - デバイスで見つかったソフトウェアの脆弱性と、各脆弱性に対処する利用可能なセキュリティ更新プログラムの一覧。

  • DeviceTvmSoftwareVulnerabilitiesKB - 悪用コードが一般公開されているかどうかなど、公開されている脆弱性のナレッジ ベース。

  • DeviceTvmSecureConfigurationAssessment - Defender 脆弱性管理評価イベント。デバイス上のさまざまなセキュリティ構成の状態を示します。

  • DeviceTvmSecureConfigurationAssessmentKB - デバイスを評価するために Defender 脆弱性管理によって使用されるさまざまなセキュリティ構成のナレッジ ベース。には、さまざまな標準とベンチマークへのマッピングが含まれます

  • DeviceTvmInfoGathering - さまざまな構成の状態やデバイスの攻撃領域の状態を含む評価イベント

  • DeviceTvmInfoGatheringKB - Defender 脆弱性管理情報収集によってデバイスを評価するために使用されるさまざまな構成と攻撃領域の評価の一覧

重大度の高いアラートに関連するデバイスを確認する

  1. Microsoft Defender ポータルの左側のナビゲーション ウィンドウから [ハンティング>の高度なハンティング] に移動します。

  2. 高度なハンティング スキーマをスクロールして、列名を理解します。

  3. 次のクエリを入力します。

    // Search for devices with High active alerts or Critical CVE public exploit
let DeviceWithHighAlerts = AlertInfo
| where Severity == "High"
| project Timestamp, AlertId, Title, ServiceSource, Severity
| join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
| summarize HighSevAlerts = dcount(AlertId) by DeviceId;
let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
| join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
| where IsExploitAvailable == 1 and CvssScore >= 7
| summarize NumOfVulnerabilities=dcount(CveId),
DeviceName=any(DeviceName) by DeviceId;
DeviceWithCriticalCve
| join kind=inner DeviceWithHighAlerts on DeviceId
| project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts