デバイス検出 を使用すると、管理されていないデバイスの可視性を向上させ、そのセキュリティ体制を評価し、適切なアクションを実行してセキュリティを保護できます。
この記事では、Microsoft Defender for Endpointでデバイス検出を設定および構成する方法について説明します。
この機能で サポートされているオペレーティング システム について説明します。
デバイス検出を設定する
デバイス検出を設定するには:
Microsoft Defender ポータルで、[設定>デバイス検出] に移動します。
標準検出の使用を選択した場合は、アクティブスキャンに使用するデバイスを選択します。
- すべてのデバイスをスキャンするには、すべてのデバイス (推奨) を選択します。
- [デバイス タグでスキャンする タグの選択 ] を選択し、[ タグ ] ページでタグを選択します。 このオプションは、特定のサブネット上のデバイスをスキャンする場合に便利です。
ヒント
standard は推奨モードですが、必要に応じて基本モードに変更できます。 詳細については、「 検出モードとスキャン」を参照してください。
[保存] を選択します。
標準検出を実行するデバイスを制御する
標準検出の実行に使用するデバイスの一覧をカスタマイズするには、次のいずれかの操作を行います。
- デバイス検出をサポートするすべてのオンボード デバイスで標準検出を有効にします。
- デバイス タグを使用してデバイスのサブセットまたはサブセットを選択します (「 デバイス検出を設定する」を参照してください)。 この場合、他のすべてのデバイスは基本的な検出のみを実行します。
標準検出からデバイスを除外する
ネットワーク内の特定のデバイス (たとえば、別のセキュリティ ツールのハニーポットとして使用されるデバイス) をアクティブなスキャンから除外できます。
除外されたデバイスは、基本的な検出またはマルチキャスト検出の試行によって引き続き検出される可能性があります。 Defender for Endpoint は、これらのデバイスをパッシブに検出しますが、アクティブにスキャンすることはありません。
デバイスを除外するには:
- デバイス検出の設定で、[ 除外] を選択します。
- [ 除外の追加] を選択し、[ 除外の追加] ページで、標準スキャンから除外する IP アドレスまたはサブネットを追加します。
- 除外の説明を追加します。
- [保存] を選択します。
除外は [ 除外] の一覧に表示されます。 一覧で除外を選択すると、除外の詳細を表示したり、除外を編集したり、削除したりできます。
注:
- 除外されたデバイスは、引き続きネットワーク内のマルチキャスト検出試行に応答する可能性があります。 これらのデバイスは検出されますが、アクティブにスキャンされません。
- デバイス検出ではパッシブメソッドを使用してネットワーク内のデバイスを検出するため、企業ネットワーク内のオンボードデバイスと通信するすべてのデバイスを検出し、インベントリに一覧表示できます。 アクティブな検出からのみデバイスを除外できます。
監視対象ネットワークの表示と管理
[ 監視対象ネットワーク ] ページには、デバイス検出がアクティブなネットワークの一覧が表示されます。
既定では、Defender for Endpoint は、企業ネットワークとして識別されるネットワークを自動的に監視し、企業以外のネットワークを無視します。
この一覧では、過去 7 日間にネットワークに表示されたデバイスの合計数に基づいてネットワークが並べ替えられます。 会社のネットワークとして識別されるネットワークが 50 未満の場合は、オンボードデバイスが最も多い最大 50 ネットワークが一覧表示されます。
監視対象ネットワークを管理する
たとえば、新しい会社のオフィスや、監視する必要があるリモート サイトがある場合は、ネットワークを監視できます。 詳細については、「 監視対象ネットワーク」を参照してください。
監視対象ネットワークを管理するには、デバイス検出設定で [ 監視対象ネットワーク] を選択し、ネットワークの名前の横にある 3 つのドットを選択し、次のいずれかのオプションを選択します。
| オプション | 説明 | Notes |
|---|---|---|
| このネットワークを監視する | Defender for Endpoint が既定で監視しないネットワークを監視します。 | 企業として識別されていないネットワークを監視すると、自宅やその他の非法人デバイスなど、企業ネットワークの外部でデバイス検出をトリガーできます。 企業以外のネットワークを監視する前に、アクセス許可があることを確認します。 |
| 監視からこのネットワークを無視する | ネットワーク内のデバイスの監視と検出を停止します。 | 検出されたデバイスはインベントリに残りますが、更新されなくなります。 詳細は、Defender for Endpoint データ保持期間の有効期限が切れるまで保持されます。 |
| 自動監視 | 企業として識別されるネットワークを自動的に監視します。 |
重要
- 企業ネットワークとしてMicrosoft Defender for Endpointによって識別されなかったネットワークを監視することを選択すると、企業ネットワークの外部でデバイス検出が発生する可能性があるため、自宅やその他の非法人デバイスを検出できます。
- ネットワークを無視することを選択すると、そのネットワーク内のデバイスの監視と検出が停止します。 既に検出されたデバイスはインベントリから削除されませんが、更新されなくなり、詳細は Defender for Endpoint のデータ保持期間が期限切れになるまで保持されます。
- 非企業ネットワークの監視を選択する前に、その権限があることを確認する必要があります。
ネットワーク リストをフィルター処理する
ネットワークの一覧をフィルター処理するには、[ フィルター] を選択し、[ ネットワーク モニターの状態 ] フィルターを選択し、[適用] を選択 します。 ネットワークの一覧で、[ ネットワーク モニターの状態 ] フィルターを選択し、状態を選択します。
- 監視対象: デバイス検出がアクティブなネットワーク。
- 無視: デバイス検出がアクティブでないネットワーク。
- すべて: 監視対象ネットワークと無視されたネットワークの両方が表示されます。
デバイスの確認と評価
オンボードされていないデバイスを確認して評価し、その他のデバイスの詳細を見つけるには、「 デバイスの確認と評価」を参照してください。
デバイス検出を無効にする
[ 高度な機能 ] ページでデバイス検出を無効にすることができます。 デバイスの検出を無効にすると、Defender for Endpoint はネットワーク内のデバイスを検出しませんが、 SenseNDR.exe はオンボードされたデバイスで引き続き実行されます。
トラブルシューティング
デバイス検出または認証済みネットワーク スキャンで問題が発生した場合は、「 デバイス検出と認証済みネットワーク スキャンのトラブルシューティング」を参照してください。
ネットワーク内のデバイスを探索する
次の高度なハンティング クエリを使用して、ネットワークの一覧で説明されている各ネットワーク名に関するより多くのコンテキストを取得できます。 このクエリは、過去 7 日間に特定のネットワークに接続されたすべてのオンボード デバイスを一覧表示します。
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
デバイスの情報を取得する
次の高度なハンティング クエリを使用して、特定のデバイスの最新の完全な情報を取得できます。
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId