cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Show  only  | Search instead for 
Did you mean: 

JOIN auf Last-Logon

Jan_F1801
Copper Contributor

‎Aug 24 2020 04:09 AM - edited ‎Aug 24 2020 04:10 AM

‎Aug 24 2020 04:09 AM - edited ‎Aug 24 2020 04:10 AM

JOIN auf Last-Logon

Ich habe im Netz eine sehr gute Query gefunden um ungepatchete 3rd-Party-Apps zu finden

 

 

let CVEs = DeviceTvmSoftwareVulnerabilitiesKB
    | project CveId, IsExploitAvailable, PublishedDate, VulnerabilityDescription;
let latestVersions = DeviceTvmSoftwareInventoryVulnerabilities
    | where SoftwareVendor != "microsoft"
    | where isempty(CveId)
    | summarize arg_max(parse_version(SoftwareVersion), SoftwareVersion) by SoftwareName
    | project SoftwareName, LatestSoftVersionInstalledInTenant = SoftwareVersion;
let deviceVulnerabilities = DeviceTvmSoftwareInventoryVulnerabilities
| where SoftwareVendor != "microsoft"
| summarize arg_max(DeviceId, DeviceName, SoftwareVendor, SoftwareName, SoftwareVersion, VulnerabilitySeverityLevel) by CveId;
latestVersions
| join kind=inner (deviceVulnerabilities) on SoftwareName
| join kind=inner (CVEs) on CveId
| project DeviceName, CveId, VulnerabilitySeverityLevel, IsExploitAvailable, SoftwareVendor, SoftwareName, SoftwareVersion, LatestSoftVersionInstalledInTenant, PublishedDate, VulnerabilityDescription
| sort by DeviceName asc

 

 

Die Abfrage klappt soweit ganz hervorragend. 

Ich würde allerdings die Abfrage erweitern und den User der sich zuletzt auf dem PC eingeloggt hat mit ausgeben. 

Diese Infos bekomme ich ja durchaus mit 

 

DeviceLogonEvents 
    | where ActionType == "LogonSuccess"

 

heraus. 

Jedoch brauche ich nur den letzten User der sich auf der Maschine/dem Rechner eingeloggt hat. 

 

Ich bekomme es jedoch bislang nicht hin beide Abfragen mittels join zu verheiraten. 

477 Views
0 Likes
0 Replies
Reply
0 Replies