重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度なハンティング スキーマのDeviceTvmInfoGathering テーブルには、さまざまな構成の状態やデバイスの攻撃領域の状態など、Microsoft Defender 脆弱性の管理評価イベントが含まれています。 この表を使用して、ゼロ日間の軽減策に関連する評価イベント、脅威分析の軽減状態レポートをサポートする新しい脅威の態勢評価、サーバーで有効な TLS プロトコルバージョンなどを検索できます。 このテーブルの情報を返すクエリを作成するには、このレファレンスを使用します。
この高度なハンティング テーブルは、Microsoft Defender for Endpointのレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRで Defender for Endpoint を展開する方法の詳細については、「サポートされているサービスを展開する」を参照してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
レコードが作成された日付と時刻 |
LastSeenTime |
datetime |
サービスが最後にデバイスを表示した日時 |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 これは、Windows 10 や Windows 7 などの同じファミリ内のバリエーションを含む、特定のオペレーティング システムを示します。 |
AdditionalFields |
dynamic |
エンティティまたはイベントに関する追加情報 |
たとえば、回避策の軽減策がまだ適用されていない、または適用され、再起動が保留中である Log4Shell の脆弱性 の影響を受けるデバイスを表示するには、次のクエリを使用できます。
DeviceTvmInfoGathering
| where AdditionalFields.Log4JEnvironmentVariableMitigation in ("RebootRequired", "false")
| join kind=inner (
DeviceTvmSoftwareVulnerabilities
| where CveId == "CVE-2021-44228"
) on DeviceId
| summarize any(DeviceName), any(AdditionalFields.Log4JEnvironmentVariableMitigation) by DeviceId
関連項目
- DeviceTvmInfoGatheringKB
- スキーマを理解する
- クエリのベスト プラクティスを適用する
- Defender 脆弱性の管理の概要
- Microsoft Defender for Endpointで Log4Shell の脆弱性を管理する方法について説明します
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。