DeviceTvmInfoGathering
적용 대상:
- Microsoft Defender XDR
- 엔드포인트용 Microsoft Defender
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
고급 헌팅 스키마의 테이블에는 DeviceTvmInfoGathering
다양한 구성의 상태 디바이스의 공격 노출 영역 상태를 포함한 Microsoft Defender 취약성 관리 평가 이벤트가 포함되어 있습니다. 이 표를 사용하여 0일 동안 완화, 위협 분석 완화 상태 보고서를 지원하는 새로운 위협에 대한 자세 평가, 서버에서 사용하도록 설정된 TLS 프로토콜 버전 등과 관련된 평가 이벤트를 헌팅할 수 있습니다. 이 참조를 사용하여 표의 정보를 반환하는 쿼리를 생성합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
열 이름 | 데이터 형식 | 설명 |
---|---|---|
Timestamp |
datetime |
레코드 생성 날짜 및 시간 |
LastSeenTime |
datetime |
서비스가 마지막으로 디바이스를 본 날짜 및 시간 |
DeviceId |
string |
서비스의 디바이스에 대한 고유 식별자 |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
OSPlatform |
string |
디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이는 Windows 10 및 Windows 7과 같이 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
AdditionalFields |
dynamic |
엔터티 또는 이벤트에 대한 추가 정보 |
예를 들어 해결 방법 완화가 아직 적용되지 않았거나 다시 부팅 보류 중인 Log4Shell 취약성 의 영향을 받는 디바이스를 보려면 다음 쿼리를 사용할 수 있습니다.
DeviceTvmInfoGathering
| where AdditionalFields.Log4JEnvironmentVariableMitigation in ("RebootRequired", "false")
| join kind=inner (
DeviceTvmSoftwareVulnerabilities
| where CveId == "CVE-2021-44228"
) on DeviceId
| summarize any(DeviceName), any(AdditionalFields.Log4JEnvironmentVariableMitigation) by DeviceId
관련 항목
- DeviceTvmInfoGatheringKB
- 스키마의 이해
- 쿼리 모범 사례 적용
- Defender 취약성 관리 개요
- 엔드포인트용 Microsoft Defender Log4Shell 취약성을 관리하는 방법을 알아봅니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.