搜尋暴露的裝置

• Microsoft Defender 弱點管理
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR
• 伺服器方案 1 & 2 的 Microsoft Defender

使用進階搜捕來尋找有弱點的裝置

進階搜捕是一種查詢式威脅搜捕工具，可讓您探索最多 30 天的原始資料。 您可以主動檢查網路中的事件，以找出威脅指標和實體。 對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。 若要深入瞭解進階搜捕，請參閱 進階搜捕概觀。

提示

您知道您可以免費試用 Microsoft Defender 弱點管理 中的所有功能嗎？ 瞭解如何 註冊免費試用版。

結構描述表格

• DeviceTvmSoftwareInventory - 裝置上安裝的軟體清查，包括其版本資訊和終止支持狀態。

• DeviceTvmSoftwareVulnerabilities - 在裝置上找到的軟體弱點，以及可解決每個弱點的可用安全性更新清單。

• DeviceTvmSoftwareVulnerabilitiesKB - 公開揭露弱點的知識庫，包括惡意探索程式代碼是否可公開使用。

• DeviceTvmSecureConfigurationAssessment - Defender 弱點管理評量事件，指出裝置上各種安全性設定的狀態。

• DeviceTvmSecureConfigurationAssessmentKB - Defender 弱點管理用來評估裝置之各種安全性設定的知識庫;包含各種標準和效能評定的對應

• DeviceTvmInfoGathering - 評估事件，包括各種設定的狀態和裝置的攻擊介面區狀態

• DeviceTvmInfoGatheringKB - 收集以評估裝置的 Defender 弱點管理資訊所使用的各種設定和受攻擊面區域評估清單

檢查哪些裝置涉及高嚴重性警示

1. 從 Microsoft Defender 入口網站的左側瀏覽窗格移至 [搜捕>進階搜捕]。

2. 捲動進階搜捕架構，以熟悉數據行名稱。

3. 輸入下列查詢：

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

相關主題

• 安全性建議
• 設定 Defender 弱點管理角色的數據存取
• 進階搜捕概觀
• 所有進階搜捕數據表