다음을 통해 공유

노출된 장치 헌팅

  • 아티클

고급 헌팅을 사용하여 취약성이 있는 디바이스 찾기

고급 헌팅은 최대 30일간의 원시 데이터를 탐색할 수 있는 쿼리 기반의 위협 헌팅 도구입니다. 네트워크의 이벤트를 사전에 검사하여 위협 지표와 엔터티를 찾을 수 있습니다. 데이터에 대한 유연한 액세스를 통해 알려진 위협과 잠재적인 위협 모두에 대해 제한 없이 헌팅할 수 있습니다. 고급 헌팅에 대한 자세한 내용은 고급 헌팅 개요를 참조하세요.

Microsoft Defender 취약성 관리 모든 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? 무료 평가판에 등록하는 방법을 알아보세요.

스키마 표

  • DeviceTvmSoftwareInventory - 버전 정보 및 지원 종료 상태 포함하여 디바이스에 설치된 소프트웨어의 인벤토리입니다.

  • DeviceTvmSoftwareVulnerabilities - 디바이스에 있는 소프트웨어 취약성 및 각 취약성을 해결하는 사용 가능한 보안 업데이트 목록입니다.

  • DeviceTvmSoftwareVulnerabilitiesKB - 악용 코드를 공개적으로 사용할 수 있는지 여부를 포함하여 공개적으로 공개된 취약성에 대한 기술 자료입니다.

  • DeviceTvmSecureConfigurationAssessment - 디바이스에서 다양한 보안 구성의 상태 나타내는 Defender 취약성 관리 평가 이벤트입니다.

  • DeviceTvmSecureConfigurationAssessmentKB - Defender 취약성 관리에서 디바이스를 평가하는 데 사용하는 다양한 보안 구성에 대한 기술 자료입니다. 에는 다양한 표준 및 벤치마크에 대한 매핑이 포함됩니다.

  • DeviceTvmInfoGathering - 다양한 구성의 상태 및 디바이스의 공격 노출 영역 상태를 포함한 평가 이벤트

  • DeviceTvmInfoGatheringKB - 디바이스를 평가하기 위해 Defender 취약성 관리 정보 수집에서 사용하는 다양한 구성 및 공격 노출 영역 평가 목록

심각도가 높은 경고와 관련된 디바이스 확인

  1. Microsoft Defender 포털의 왼쪽 탐색 창에서 헌팅 고급 헌팅>으로 이동합니다.

  2. 고급 헌팅 스키마를 스크롤하여 열 이름을 숙지합니다.

  3. 다음 쿼리를 입력합니다.

    // Search for devices with High active alerts or Critical CVE public exploit
let DeviceWithHighAlerts = AlertInfo
| where Severity == "High"
| project Timestamp, AlertId, Title, ServiceSource, Severity
| join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
| summarize HighSevAlerts = dcount(AlertId) by DeviceId;
let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
| join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
| where IsExploitAvailable == 1 and CvssScore >= 7
| summarize NumOfVulnerabilities=dcount(CveId),
DeviceName=any(DeviceName) by DeviceId;
DeviceWithCriticalCve
| join kind=inner DeviceWithHighAlerts on DeviceId
| project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts