DeviceTvmInfoGathering

  • 아티클

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft Defender XDR
  • 엔드포인트용 Microsoft Defender

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

고급 헌팅 스키마의 테이블에는 DeviceTvmInfoGathering 다양한 구성의 상태 디바이스의 공격 노출 영역 상태를 포함한 Microsoft Defender 취약성 관리 평가 이벤트가 포함되어 있습니다. 이 표를 사용하여 0일 동안 완화, 위협 분석 완화 상태 보고서를 지원하는 새로운 위협에 대한 자세 평가, 서버에서 사용하도록 설정된 TLS 프로토콜 버전 등과 관련된 평가 이벤트를 헌팅할 수 있습니다. 이 참조를 사용하여 표의 정보를 반환하는 쿼리를 생성합니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 레코드 생성 날짜 및 시간
LastSeenTime datetime 서비스가 마지막으로 디바이스를 본 날짜 및 시간
DeviceId string 서비스의 디바이스에 대한 고유 식별자
DeviceName string 디바이스의 FQDN(정규화된 도메인 이름)
OSPlatform string 디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이는 Windows 10 및 Windows 7과 같이 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다.
AdditionalFields dynamic 엔터티 또는 이벤트에 대한 추가 정보

예를 들어 해결 방법 완화가 아직 적용되지 않았거나 다시 부팅 보류 중인 Log4Shell 취약성 의 영향을 받는 디바이스를 보려면 다음 쿼리를 사용할 수 있습니다.

DeviceTvmInfoGathering
| where AdditionalFields.Log4JEnvironmentVariableMitigation in ("RebootRequired", "false")
| join kind=inner (
    DeviceTvmSoftwareVulnerabilities
    | where CveId == "CVE-2021-44228"
) on DeviceId
| summarize any(DeviceName), any(AdditionalFields.Log4JEnvironmentVariableMitigation) by DeviceId

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.