重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
DeviceTvmInfoGathering高级搜寻架构中的表包含Microsoft Defender 漏洞管理评估事件,包括各种配置的状态和设备的攻击外围应用状态。 可以使用此表来搜寻与零天缓解相关的评估事件、支持威胁分析缓解状态报告的新威胁的状态评估、服务器上已启用 TLS 协议版本等。 使用此参考来构建从该表返回信息的查询。
此高级搜寻表由Microsoft Defender for Endpoint中的记录填充。 如果组织尚未在 Microsoft Defender XDR 中部署服务,则使用该表的查询将不起作用或返回任何结果。 有关如何在 Defender XDR 中部署 Defender for Endpoint 的详细信息,请阅读部署受支持的服务。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
生成记录的日期和时间 |
LastSeenTime |
datetime |
服务上次看到设备的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
OSPlatform |
string |
在设备上运行的作系统的平台。 这表示特定操作系统,包括同一系列中的变体,如 Windows 10 和 Windows 7。 |
AdditionalFields |
dynamic |
有关实体或事件的其他信息 |
例如,若要查看受 Log4Shell 漏洞 影响的设备,其中尚未应用解决方法缓解措施,或者已应用并等待重新启动,可以使用以下查询。
DeviceTvmInfoGathering
| where AdditionalFields.Log4JEnvironmentVariableMitigation in ("RebootRequired", "false")
| join kind=inner (
DeviceTvmSoftwareVulnerabilities
| where CveId == "CVE-2021-44228"
) on DeviceId
| summarize any(DeviceName), any(AdditionalFields.Log4JEnvironmentVariableMitigation) by DeviceId
相关主题
- DeviceTvmInfoGatheringKB
- 了解架构
- 应用查询最佳做法
- Defender 漏洞管理概述
- 了解如何在 Microsoft Defender for Endpoint 中管理 Log4Shell 漏洞
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。