JOIN auf Last-Logon

Occasional Contributor

Ich habe im Netz eine sehr gute Query gefunden um ungepatchete 3rd-Party-Apps zu finden

 

 

let CVEs = DeviceTvmSoftwareVulnerabilitiesKB
    | project CveId, IsExploitAvailable, PublishedDate, VulnerabilityDescription;
let latestVersions = DeviceTvmSoftwareInventoryVulnerabilities
    | where SoftwareVendor != "microsoft"
    | where isempty(CveId)
    | summarize arg_max(parse_version(SoftwareVersion), SoftwareVersion) by SoftwareName
    | project SoftwareName, LatestSoftVersionInstalledInTenant = SoftwareVersion;
let deviceVulnerabilities = DeviceTvmSoftwareInventoryVulnerabilities
| where SoftwareVendor != "microsoft"
| summarize arg_max(DeviceId, DeviceName, SoftwareVendor, SoftwareName, SoftwareVersion, VulnerabilitySeverityLevel) by CveId;
latestVersions
| join kind=inner (deviceVulnerabilities) on SoftwareName
| join kind=inner (CVEs) on CveId
| project DeviceName, CveId, VulnerabilitySeverityLevel, IsExploitAvailable, SoftwareVendor, SoftwareName, SoftwareVersion, LatestSoftVersionInstalledInTenant, PublishedDate, VulnerabilityDescription
| sort by DeviceName asc 

 

 

Die Abfrage klappt soweit ganz hervorragend. 

Ich würde allerdings die Abfrage erweitern und den User der sich zuletzt auf dem PC eingeloggt hat mit ausgeben. 

Diese Infos bekomme ich ja durchaus mit 

 

DeviceLogonEvents 
    | where ActionType == "LogonSuccess"

 

heraus. 

Jedoch brauche ich nur den letzten User der sich auf der Maschine/dem Rechner eingeloggt hat. 

 

Ich bekomme es jedoch bislang nicht hin beide Abfragen mittels join zu verheiraten. 

0 Replies