搜索暴露的设备
- Microsoft Defender 漏洞管理
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- 服务器计划 1 & 2 的Microsoft Defender
使用高级搜寻查找具有漏洞的设备
高级搜寻是一种基于查询的威胁搜寻工具,可用于浏览多达 30 天的原始数据。 你可以主动检查网络中的事件来找到威胁指示器和实体。 通过灵活访问数据,可以不受约束地搜寻已知威胁和潜在威胁。 若要了解有关高级搜寻的详细信息,请参阅 高级搜寻概述。
提示
你知道可以免费试用Microsoft Defender 漏洞管理中的所有功能吗? 了解如何 注册免费试用版。
架构表
DeviceTvmSoftwareInventory - 设备上安装的软件的清单,包括其版本信息和终止支持状态。
DeviceTvmSoftwareVulnerabilities - 在设备上发现的软件漏洞,以及解决每个漏洞的可用安全更新列表。
DeviceTvmSoftwareVulnerabilitiesKB - 公开披露漏洞的知识库,包括攻击代码是否公开可用。
DeviceTvmSecureConfigurationAssessment - Defender 漏洞管理评估事件,指示设备上各种安全配置的状态。
DeviceTvmSecureConfigurationAssessmentKB - Defender 漏洞管理用于评估设备的各种安全配置的知识库;包括到各种标准和基准的映射
DeviceTvmInfoGathering - 评估事件,包括各种配置的状态和设备的攻击外围应用状态
DeviceTvmInfoGatheringKB - Defender 漏洞管理信息收集用于评估设备的各种配置和攻击外围应用评估列表
检查哪些设备涉及高严重性警报
从Microsoft Defender门户的左侧导航窗格中转到“搜寻>高级搜寻”。
滚动浏览高级搜寻架构以熟悉列名称。
输入以下查询:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts