Forum Discussion
Jan_F1801
Aug 24, 2020Copper Contributor
JOIN auf Last-Logon
Ich habe im Netz eine sehr gute Query gefunden um ungepatchete 3rd-Party-Apps zu finden
let CVEs = DeviceTvmSoftwareVulnerabilitiesKB
| project CveId, IsExploitAvailable, PublishedDate, VulnerabilityDescription;
let latestVersions = DeviceTvmSoftwareInventoryVulnerabilities
| where SoftwareVendor != "microsoft"
| where isempty(CveId)
| summarize arg_max(parse_version(SoftwareVersion), SoftwareVersion) by SoftwareName
| project SoftwareName, LatestSoftVersionInstalledInTenant = SoftwareVersion;
let deviceVulnerabilities = DeviceTvmSoftwareInventoryVulnerabilities
| where SoftwareVendor != "microsoft"
| summarize arg_max(DeviceId, DeviceName, SoftwareVendor, SoftwareName, SoftwareVersion, VulnerabilitySeverityLevel) by CveId;
latestVersions
| join kind=inner (deviceVulnerabilities) on SoftwareName
| join kind=inner (CVEs) on CveId
| project DeviceName, CveId, VulnerabilitySeverityLevel, IsExploitAvailable, SoftwareVendor, SoftwareName, SoftwareVersion, LatestSoftVersionInstalledInTenant, PublishedDate, VulnerabilityDescription
| sort by DeviceName asc
Die Abfrage klappt soweit ganz hervorragend.
Ich würde allerdings die Abfrage erweitern und den User der sich zuletzt auf dem PC eingeloggt hat mit ausgeben.
Diese Infos bekomme ich ja durchaus mit
DeviceLogonEvents
| where ActionType == "LogonSuccess"
heraus.
Jedoch brauche ich nur den letzten User der sich auf der Maschine/dem Rechner eingeloggt hat.
Ich bekomme es jedoch bislang nicht hin beide Abfragen mittels join zu verheiraten.
No RepliesBe the first to reply