我正在寻求有关 KQL 脚本的帮助,以计算特定时间段内 Microsoft Defender 中的漏洞。我尝试了以下脚本,但遇到了一些问题:
DeviceTvmSoftwareVulnerabilities
| where Timestamp >= datetime(2024-01-01) and Timestamp < datetime(2024-02-01)
| summarize VulnerabilityCount = count() by DeviceId, VulnerabilityTitle
但是,我收到有关“时间戳”列的错误。
此外,我注意到 Microsoft Defender 中的报告不包含显示一段时间内漏洞总数的特定报告。如果有人对如何生成此报告有任何见解或建议,我将不胜感激。
致以诚挚的问候,
我一直在运行不同的 KQL 脚本,但没有用。
尝试使用 timeGeneerated 字段(表示数据生成时的时间戳)。 您的查询最终将如下所示:
设备Tvm软件漏洞 |其中时间生成 >= 日期时间(2024-01-01) 和时间生成 < datetime(2024-02-01) | summarize VulnerabilityCount = count() by DeviceId, VulnerabilityTitle
对于第二个问题,您将需要使用 KQL 脚本的高级搜索功能来生成此报告。