Compartilhar via


Buscar por dispositivos expostos

Usar a caça avançada para encontrar dispositivos com vulnerabilidades

A busca avançada é uma ferramenta de busca de ameaças baseada em consultas que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais. para saber mais sobre a caça avançada, consulte Visão geral avançada da caça.

Dica

Você sabia que pode experimentar todos os recursos em Gerenciamento de Vulnerabilidades do Microsoft Defender gratuitamente? Descubra como se inscrever para uma avaliação gratuita.

Tabelas de esquema

  • DeviceTvmSoftwareInventory – Inventário de software instalado em dispositivos, incluindo suas informações de versão e status de fim de suporte.

  • DeviceTvmSoftwareVulnerabilities – Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que resolvem cada vulnerabilidade.

  • DeviceTvmSoftwareVulnerabilitiesKB – Base de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente.

  • DeviceTvmSecureConfigurationAssessment – Eventos de avaliação do Gerenciamento de Vulnerabilidades do Defender, indicando o status de várias configurações de segurança em dispositivos.

  • DeviceTvmSecureConfigurationAssessmentKB – Base de dados de conhecimento de várias configurações de segurança usadas pelo Defender Vulnerability Management para avaliar dispositivos; inclui mapeamentos para vários padrões e benchmarks

  • DeviceTvmInfoGathering - Eventos de avaliação, incluindo o status de várias configurações e estados da área de superfície de ataque de dispositivos

  • DeviceTvmInfoGatheringKB - Lista de várias avaliações de configuração e área de superfície de ataque usadas pela coleta de informações do Gerenciamento de Vulnerabilidades do Defender para avaliar dispositivos

Verifique quais dispositivos estão envolvidos em alertas de alta gravidade

  1. Acesse Caça>avançada à caça do painel de navegação à esquerda do portal Microsoft Defender.

  2. Role os esquemas de caça avançados para se familiarizar com os nomes das colunas.

  3. Insira as seguintes consultas:

    // Search for devices with High active alerts or Critical CVE public exploit
    let DeviceWithHighAlerts = AlertInfo
    | where Severity == "High"
    | project Timestamp, AlertId, Title, ServiceSource, Severity
    | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
    | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
    let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
    | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
    | where IsExploitAvailable == 1 and CvssScore >= 7
    | summarize NumOfVulnerabilities=dcount(CveId),
    DeviceName=any(DeviceName) by DeviceId;
    DeviceWithCriticalCve
    | join kind=inner DeviceWithHighAlerts on DeviceId
    | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts