Investigar dispositivos expostos
- Gestão de Vulnerabilidade do Microsoft Defender
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Microsoft Defender para Servidores Plano 1 & 2
Utilizar a investigação avançada para localizar dispositivos com vulnerabilidades
A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Pode inspecionar proativamente eventos na sua rede para localizar indicadores e entidades de ameaças. O acesso flexível aos dados permite uma investigação sem restrições para ameaças conhecidas e potenciais. para saber mais sobre a investigação avançada, veja Descrição geral da investigação avançada.
Sugestão
Sabia que pode experimentar todas as funcionalidades no Gestão de vulnerabilidades do Microsoft Defender gratuitamente? Saiba como se inscrever numa avaliação gratuita.
Tabelas de esquema
DeviceTvmSoftwareInventory – inventário do software instalado nos dispositivos, incluindo as informações da versão e o estado de fim do suporte.
DeviceTvmSoftwareVulnerabilities – vulnerabilidades de software encontradas nos dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade.
DeviceTvmSoftwareVulnerabilitiesKB – base de dados de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente.
DeviceTvmSecureConfigurationAssessment – eventos de avaliação da Gestão de Vulnerabilidades do Defender, que indicam o estado de várias configurações de segurança nos dispositivos.
DeviceTvmSecureConfigurationAssessmentKB - Base de dados de conhecimento de várias configurações de segurança utilizadas pela Gestão de Vulnerabilidades do Defender para avaliar dispositivos; inclui mapeamentos para várias normas e referências
DeviceTvmInfoGathering - Eventos de avaliação, incluindo o estado de várias configurações e estados de superfície de ataque dos dispositivos
DeviceTvmInfoGatheringKB – lista de várias avaliações da área de superfície de configuração e ataque utilizadas pela recolha de informações da Gestão de Vulnerabilidades do Defender para avaliar dispositivos
Verificar que dispositivos estão envolvidos em alertas de gravidade elevada
Aceda a Investigação>Avançada de investigação no painel de navegação esquerdo do portal Microsoft Defender.
Percorra esquemas de investigação avançados para se familiarizar com os nomes das colunas.
Introduza as seguintes consultas:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts