Jaga efter exponerade enheter

• Hantering av hot och säkerhetsrisker för Microsoft Defender
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR
• Microsoft Defender för serverplan 1 & 2

Använda avancerad jakt för att hitta enheter med sårbarheter

Avancerad jakt är ett frågebaserat verktyg för jakt på cyberhot som låter dig utforska upp till 30 dagars rådata. Du kan proaktivt granska händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obegränsad jakt på både kända och potentiella hot. Mer information om avancerad jakt finns i Översikt över avancerad jakt.

Tips

Visste du att du kan prova alla funktioner i Microsoft Defender – hantering av säkerhetsrisker utan kostnad? Ta reda på hur du registrerar dig för en kostnadsfri utvärderingsversion.

Schematabeller

• DeviceTvmSoftwareInventory – Inventering av programvara som är installerad på enheter, inklusive deras versionsinformation och status för supportens slut.

• DeviceTvmSoftwareVulnerabilities – Sårbarheter i programvara som finns på enheter och listan över tillgängliga säkerhetsuppdateringar som åtgärdar varje säkerhetsrisk.

• DeviceTvmSoftwareVulnerabilitiesKB – Kunskapsbas för offentligt avslöjade sårbarheter, inklusive om exploateringskod är offentligt tillgänglig.

• DeviceTvmSecureConfigurationAssessment – Utvärderingshändelser för Sårbarhetshantering i Defender, som anger status för olika säkerhetskonfigurationer på enheter.

• DeviceTvmSecureConfigurationAssessmentKB – Kunskapsbas för olika säkerhetskonfigurationer som används av Defender Vulnerability Management för att utvärdera enheter. innehåller mappningar till olika standarder och riktmärken

• DeviceTvmInfoGathering – Utvärderingshändelser, inklusive status för olika konfigurationer och tillstånd för attackytan för enheter

• DeviceTvmInfoGatheringKB – lista över olika konfigurations- och attackytans utvärderingar som används av informationsinsamling om Säkerhetsriskhantering i Defender för att utvärdera enheter

Kontrollera vilka enheter som är inblandade i aviseringar med hög allvarlighetsgrad

1. Gå till Avancerad jaktjakt> i det vänstra navigeringsfönstret i Microsoft Defender-portalen.

2. Bläddra igenom avancerade jaktscheman för att bekanta dig med kolumnnamnen.

3. Ange följande frågor:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Relaterade ämnen

• Säkerhetsrekommendationer
• Konfigurera dataåtkomst för Roller för sårbarhetshantering i Defender
• Översikt över avancerad jakt
• Alla avancerade jakttabeller