Поиск представленных устройств

• Управление уязвимостями в Microsoft Defender
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Microsoft Defender для серверов плана 1 & 2

Использование расширенной охоты для поиска устройств с уязвимостями

Расширенное выслеживание— это средство для выслеживания угроз на основе запросов, которое позволяет изучать необработанные данные за период до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы. Дополнительные сведения о расширенной охоте см. в статье Обзор расширенной охоты.

Таблицы схем

• DeviceTvmSoftwareInventory — инвентаризация программного обеспечения, установленного на устройствах, включая сведения об их версии и состоянии окончания поддержки.

• DeviceTvmSoftwareVulnerabilities — уязвимости программного обеспечения, обнаруженные на устройствах, и список доступных обновлений для системы безопасности, которые устраняют каждую уязвимость.

• DeviceTvmSoftwareVulnerabilitiesKB — база знаний об общедоступных уязвимостях, в том числе о том, является ли код эксплойтов общедоступным.

• DeviceTvmSecureConfigurationAssessment — события оценки управления уязвимостями Defender, указывающие состояние различных конфигураций безопасности на устройствах.

• DeviceTvmSecureConfigurationAssessmentKB — база знаний о различных конфигурациях безопасности, используемых управлением уязвимостями Defender для оценки устройств; включает сопоставления с различными стандартами и тестами производительности

• DeviceTvmInfoGathering — события оценки, включая состояние различных конфигураций и состояния области атаки устройств

• DeviceTvmInfoGatheringKB — список различных оценок конфигурации и области атаки, используемых при сборе сведений об управлении уязвимостями Defender для оценки устройств

Проверьте, какие устройства участвуют в оповещениях с высоким уровнем серьезности

1. Перейдите в раздел Охота>Расширенная охота на панели навигации слева на портале Microsoft Defender.

2. Прокрутите расширенные схемы охоты, чтобы ознакомиться с именами столбцов.

3. Введите следующие запросы:

   // Search for devices with High active alerts or Critical CVE public exploit
   let DeviceWithHighAlerts = AlertInfo
   | where Severity == "High"
   | project Timestamp, AlertId, Title, ServiceSource, Severity
   | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId
   | summarize HighSevAlerts = dcount(AlertId) by DeviceId;
   let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities
   | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId
   | where IsExploitAvailable == 1 and CvssScore >= 7
   | summarize NumOfVulnerabilities=dcount(CveId),
   DeviceName=any(DeviceName) by DeviceId;
   DeviceWithCriticalCve
   | join kind=inner DeviceWithHighAlerts on DeviceId
   | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
   

Статьи по теме

• Рекомендации по безопасности
• Настройка доступа к данным для ролей управления уязвимостями Defender
• Обзор расширенной охоты
• Все расширенные таблицы охоты