DeviceTvmInfoGatheringKB

  • 아티클

적용 대상:

  • Microsoft Defender XDR
  • 엔드포인트용 Microsoft Defender

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

고급 헌팅 스키마의 테이블에는 DeviceTvmInfoGatheringKB 테이블에 수집된 Microsoft Defender 취약성 관리 평가 이벤트 데이터에 대한 메타데이터가 DeviceTvmInfoGathering 포함되어 있습니다. 이 DeviceTvmInfoGatheringKB 표에는 디바이스를 평가하기 위해 Defender 취약성 관리 정보 수집에서 사용하는 다양한 구성 및 공격 노출 영역 평가 목록이 포함되어 있습니다. 이 참조를 사용하여 표의 정보를 반환하는 쿼리를 생성합니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
IgId string 수집된 정보의 고유 식별자
FieldName string DeviceTvmInfoGathering 테이블의 AdditionalFields 열에 이 정보가 표시되는 필드의 이름입니다.
Description string 수집된 정보에 대한 설명
Categories dynamic 정보가 속한 범주 목록(JSON 배열 형식)
DataStructure string 수집된 정보의 데이터 구조

나중에 헌팅 쿼리를 미세 조정할 수 있도록 이 표를 사용하여 에서 사용할 수 있는 DeviceTvmInfoGathering 정보의 종류를 탐색할 수 있습니다.

instance 수집되는 정보 목록을 보려면 다음 쿼리를 시도해 볼 수 있습니다.

// Check out what is being collected 
DeviceTvmInfoGatheringKB

결과에서 사용 가능한 범주에 관심이 있다고 가정하면 다음 쿼리를 사용할 수 있습니다.

// Return all available categories 
DeviceTvmInfoGatheringKB 
| mv-expand Categories to typeof(string) 
| distinct Categories

그런 다음 TLS 프로토콜과 관련된 평가 범주를 확인한다고 가정해 보겠습니다.

// Return all findings for a specified category 
DeviceTvmInfoGatheringKB 
| where Categories contains "tls"

결과 필드를 사용하여 테이블을 사용하여 DeviceTvmInfoGathering TLS 클라이언트 버전 1.0을 사용하여 디바이스 목록을 가져올 수 있습니다.

// Return all devices on which the TLS version 1.0 is enabled 
DeviceTvmInfoGathering 
| where AdditionalFields.TlsClient10 == "Enabled" or AdditionalFields.TlsServer10 == "Enabled"

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.