Buscar por dispositivos expostos
- Gerenciamento de Vulnerabilidades do Microsoft Defender
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender para Servidores Plano 1 & 2
Usar a caça avançada para encontrar dispositivos com vulnerabilidades
A busca avançada é uma ferramenta de busca de ameaças baseada em consultas que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais. para saber mais sobre a caça avançada, consulte Visão geral avançada da caça.
Dica
Você sabia que pode experimentar todos os recursos em Gerenciamento de Vulnerabilidades do Microsoft Defender gratuitamente? Descubra como se inscrever para uma avaliação gratuita.
Tabelas de esquema
DeviceTvmSoftwareInventory – Inventário de software instalado em dispositivos, incluindo suas informações de versão e status de fim de suporte.
DeviceTvmSoftwareVulnerabilities – Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que resolvem cada vulnerabilidade.
DeviceTvmSoftwareVulnerabilitiesKB – Base de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente.
DeviceTvmSecureConfigurationAssessment – Eventos de avaliação do Gerenciamento de Vulnerabilidades do Defender, indicando o status de várias configurações de segurança em dispositivos.
DeviceTvmSecureConfigurationAssessmentKB – Base de dados de conhecimento de várias configurações de segurança usadas pelo Defender Vulnerability Management para avaliar dispositivos; inclui mapeamentos para vários padrões e benchmarks
DeviceTvmInfoGathering - Eventos de avaliação, incluindo o status de várias configurações e estados da área de superfície de ataque de dispositivos
DeviceTvmInfoGatheringKB - Lista de várias avaliações de configuração e área de superfície de ataque usadas pela coleta de informações do Gerenciamento de Vulnerabilidades do Defender para avaliar dispositivos
Verifique quais dispositivos estão envolvidos em alertas de alta gravidade
Acesse Caça>avançada à caça do painel de navegação à esquerda do portal Microsoft Defender.
Role os esquemas de caça avançados para se familiarizar com os nomes das colunas.
Insira as seguintes consultas:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
Tópicos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de