DeviceTvmInfoGathering
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
DeviceTvmInfoGathering高级搜寻架构中的表包含Microsoft Defender 漏洞管理评估事件,包括各种配置的状态和设备的攻击外围应用状态。 可以使用此表来搜寻与零天缓解相关的评估事件、支持威胁分析缓解状态报告的新威胁的状态评估、服务器上已启用 TLS 协议版本等。 使用此参考来构建从该表返回信息的查询。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
生成记录的日期和时间 |
LastSeenTime |
datetime |
服务上次看到设备的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
OSPlatform |
string |
在设备上运行的操作系统的平台。 这表示特定操作系统,包括同一系列中的变体,如 Windows 10 和 Windows 7。 |
AdditionalFields |
dynamic |
有关实体或事件的其他信息 |
例如,若要查看受 Log4Shell 漏洞 影响的设备,其中尚未应用解决方法缓解措施,或者已应用并等待重新启动,可以使用以下查询。
DeviceTvmInfoGathering
| where AdditionalFields.Log4JEnvironmentVariableMitigation in ("RebootRequired", "false")
| join kind=inner (
DeviceTvmSoftwareVulnerabilities
| where CveId == "CVE-2021-44228"
) on DeviceId
| summarize any(DeviceName), any(AdditionalFields.Log4JEnvironmentVariableMitigation) by DeviceId
相关主题
- DeviceTvmInfoGatheringKB
- 了解架构
- 应用查询最佳做法
- Defender 漏洞管理概述
- 了解如何在 Microsoft Defender for Endpoint 中管理 Log4Shell 漏洞
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈