Zoeken naar blootgestelde apparaten

• Microsoft Defender Vulnerability Management
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR
• Microsoft Defender voor servers, abonnement 1 & 2

Geavanceerde opsporing gebruiken om apparaten met beveiligingsproblemen te vinden

Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u tot 30 dagen aan onbewerkte gegevens kunt verkennen. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. De flexibele toegang tot gegevens maakt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen mogelijk. Zie Overzicht van geavanceerde opsporing voor meer informatie over geavanceerde opsporing.

Tip

Wist u dat u alle functies in Microsoft Defender Vulnerability Management gratis kunt uitproberen? Meer informatie over hoe u zich kunt aanmelden voor een gratis proefversie.

Schematabellen

• DeviceTvmSoftwareInventory : inventaris van software die op apparaten is geïnstalleerd, met inbegrip van de versie-informatie en de status van het einde van de ondersteuning.

• DeviceTvmSoftwareVulnerabilities: softwarekwetsbaarheden gevonden op apparaten en de lijst met beschikbare beveiligingsupdates die elk beveiligingsprobleem aanpakken.

• DeviceTvmSoftwareVulnerabilitiesKB - Knowledge Base van openbaar bekendgemaakte beveiligingsproblemen, waaronder of exploitcode openbaar beschikbaar is.

• DeviceTvmSecureConfigurationAssessment - Defender Vulnerability Management-evaluatiegebeurtenissen die de status van verschillende beveiligingsconfiguraties op apparaten aangeven.

• DeviceTvmSecureConfigurationAssessmentKB - Knowledge Base van verschillende beveiligingsconfiguraties die door Defender Vulnerability Management worden gebruikt om apparaten te beoordelen; bevat toewijzingen aan verschillende standaarden en benchmarks

• DeviceTvmInfoGathering - Evaluatiegebeurtenissen , waaronder de status van verschillende configuraties en kwetsbaarheidsstatussen van apparaten

• DeviceTvmInfoGatheringKB - Lijst met verschillende configuratie- en kwetsbaarheidsevaluaties die door Defender Vulnerability Management worden gebruikt om apparaten te beoordelen

Controleren welke apparaten betrokken zijn bij waarschuwingen met hoge ernst

1. Ga naar Opsporing>geavanceerde opsporing vanuit het navigatiedeelvenster aan de linkerkant van de Microsoft Defender-portal.

2. Blader door geavanceerde opsporingsschema's om vertrouwd te raken met de kolomnamen.

3. Voer de volgende query's in:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Verwante onderwerpen

• Beveiligingsaanbeveling
• Gegevenstoegang configureren voor Defender Vulnerability Management-rollen
• Overzicht van geavanceerd opsporen
• Alle geavanceerde opsporingstabellen