今日の動的な IT 環境では、多くの組織が、すべてのデバイスと資産を完全に可視化するのに苦労しています。 デバイスの多様性、シャドウ IT、リモートワーク、急速な変化により、組織がセキュリティ リスクにさらされるギャップが生じます。
Microsoft Defender for Endpointデバイス検出を使用すると、ネットワーク上の管理されていないデバイスに対する直接的な分析情報が得られます。 余分なアプライアンスや複雑なセットアップなしで、リスクを特定し、迅速に対処できます。
デバイス検出は、環境内の死角を減らすために設計されており、それ以外の場合はリスクが発生する可能性のあるデバイスの識別、評価、セキュリティ保護が容易になります。 この機能は、すぐに使える Defender for Endpoint 機能として機能し、詳細な分析情報やカスタム シナリオで高度な構成を利用できます。
この記事では、デバイスの検出のしくみについて説明し、サポートされている機能について説明し、スキャンと検出された資産に関する情報を提供します。
デバイス検出のしくみ
Defender for Endpoint では、オンボードされたエンドポイントを使用してネットワーク トラフィックを受動的に監視し、環境をアクティブにプローブして、管理または保護されていないエンドポイント、ネットワーク デバイス、IoT 資産を特定します。
デバイス検出のしくみを説明する大まかなフローを次に示します。
- Defender for Endpoint は、ネットワーク トラフィックを分析し、アクティブなプローブ手法を使用して、環境をスキャンし、アンマネージド デバイスを識別します。
- Defender for Endpoint は、検出されたデバイスを分類し、デバイス インベントリに追加します。これにより、オンボードされていないデバイスが表示されます。
- デバイス インベントリにオンボードされていないデバイスを表示し、これらのデバイスをオンボードして、セキュリティ体制を強化し、リスクを軽減できます。
- デバイス検出機能を構成することもできます。スキャン モードの変更、除外と信頼されたネットワークの追加、ネットワーク スキャンの有効化などです。 詳細については、定期探索を参照してください。
Defender for Endpoint が検出した管理されていないデバイスを評価してオンボードする方法の概要については、このビデオをご覧ください。
検出された資産
不明なデバイスと管理されていないデバイスは、パッチが適用されていないプリンター、セキュリティ構成が弱いネットワーク デバイス、セキュリティ制御のないサーバーなど、ネットワークに重大なリスクが発生します。
Defender for Endpoint 検出:
- Defender for Endpoint にまだオンボードされていないエンタープライズ エンドポイント (ワークステーション、サーバー、モバイル デバイス)
- ルーターやスイッチなどのネットワーク デバイス
- プリンターやカメラなどの IoT デバイス
検出された IoT および OT デバイス
Defender for Endpoint は、プリンター、カメラ、医療機器、産業用制御システム (ICS) など、ネットワーク内のさまざまなモノのインターネット (IoT) および運用テクノロジ (OT) デバイスを検出できます。 これらのデバイスは、多くの場合、固有の特性を持ち、従来のセキュリティ エージェントをサポートしていない可能性があるため、監視と保護が困難になります。 これらのデバイスを検出するには、 Defender ポータルで Defender for IoT をオンボードする必要があります。
検出モードとスキャン
デバイス検出では、2 つの主要な検出モードが使用されます。 このモードは、企業ネットワーク内の管理対象外デバイスに対して取得できる可視性のレベルを制御します。
[ System>Settings>Device discovery>Discovery mode ] セクションでデバイス検出モードを選択します。 詳細については、「 デバイスの検出を設定する」を参照してください。
| モード | 説明 | メカニズム | 考慮事項とアクション | ユース ケースと推奨事項 |
|---|---|---|---|---|
| Standard スキャン (既定値) | ネットワーク プロトコルとアクティブ スキャンを使用して、デバイス データを強化し、より多くのデバイスを検出するアクティブ スキャン。 | - 一般的な検出プロトコルとマルチキャスト クエリを使用してデバイスを検索します。 - 詳細については、監視対象のデバイスをアクティブにスキャンします。 - 特性が変化した場合、通常は 3 週間に 1 回以下のデバイスをスキャンします。 |
- アクティブ スキャンでは、オンボードされたデバイスとスキャンされたデバイスの間で、試行ごとに最大 50 KB のトラフィックを生成できます。 - Standard検出では、さまざまな PowerShell スクリプトを使用して、ネットワーク内のデバイスをアクティブにスキャンします。 これらの PowerShell スクリプトは Microsoft によって署名され、次の場所から実行されます: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps。 たとえば、「 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1 」のように入力します。- 標準検出を実行するデバイスをカスタマイズするには、「標準検出を 実行するデバイスを制御する」を参照してください。 - 標準検出からターゲットを除外するには、「 デバイスを除外する」を参照してください。 |
- 信頼性の高い一貫性のあるデバイス インベントリを構築することを強くお勧めします。 - ほとんどの場合、組織は標準検出の有効化に関するセキュリティ上の問題を抱えてはなりません。 詳細については、「 標準検出のセキュリティに関する考慮事項」を参照してください。 |
| 基本スキャン | プローブを送信せずにネットワーク イベントとデバイス情報を収集するパッシブ スキャン。 | - イベントを受動的に収集し、オンボードされたデバイスによって見られるすべてのネットワーク トラフィックからデバイス情報を抽出します。 - パッシブ ネットワーク データ収集に SenseNDR.exe バイナリを使用します。 - スキャンによってネットワーク トラフィックが開始されません。 |
デバイス検出ではパッシブメソッドを使用してネットワーク内のデバイスを検出するため、企業ネットワーク内のオンボードデバイスと通信するすべてのデバイスを検出し、インベントリに一覧表示できます。 標準 (アクティブ) スキャンからのみデバイスを除外できます。 | - 機密/レガシ ネットワークに推奨されます。 - アンマネージド エンドポイントの可視性が制限されます。 |
標準検出のセキュリティに関する考慮事項
標準的な検出を検討するときは、プローブの影響、特にセキュリティ ツールが悪意のあるアクティビティを疑う可能性があるかどうかについて疑問に思うかもしれません。 ほとんどの場合、組織は標準検出を有効にすることに関する懸念を持つべきではありません。
アンマネージド デバイスのプローブは頻度が低く軽量です。各アンマネージド デバイスは通常、3 週間に 1 回以下でスキャンされ、試行ごとに 50 KB 未満のトラフィックが生成されます。 一方、悪意のあるアクティビティは、監視ツールによって簡単に検出される、はるかに頻繁で大量のネットワーク トラフィックを生成します。
アクティブ検出は標準的な Windows 機能です。Windows やその他の多くのプラットフォームでは、ファイル共有やプリンターの検出などの機能のために、近くのデバイスを検索するためのアクティブな検出が長い間含まれていました。 Defender for Endpoint では、これらの同じ方法が利用されるため、ネットワーク監視ツールはこのアクティビティを通常と見なします。
非管理対象デバイスのみが対象: デバイス検出では、Defender for Endpoint で既にオンボードされているデバイスのスキャンが意図的に回避されます。 非管理対象または不明なデバイスのみがアクティブなスキャンの対象となります。
特定のデバイスまたはサブネットを除外できます。ネットワーク の誘惑や機密性の高いデバイスがある場合は、[デバイス検出] 設定で除外を構成できます。 除外されたデバイスはアクティブにスキャンされず、基本的な検出モードと同様にパッシブにのみ検出されます。
認証済みネットワーク スキャン
認証されたネットワーク スキャンを使用すると、スイッチ、ルーター、WLAN コントローラー、ファイアウォール、VPN ゲートウェイなどのネットワーク インフラストラクチャ デバイスを検出して評価するためのエージェントレスの方法が提供されます。 環境内の指定されたオンボード デバイスは、サポートされているプロトコルを使用して事前構成済みのネットワーク デバイスを定期的にスキャンし、標準のエンドポイント センサーが提供できる範囲を超えてネットワークをより詳細に可視化します。
ネットワーク デバイスは通常、オンボード センサーをサポートしていないため、Defender for Endpoint はリモートの認証済みスキャンに依存して情報を収集します。 各ネットワーク セグメントでは、オンボードされた 1 つ以上の Windows デバイスがスキャン デバイスとして機能し、これらのスキャンを一定の間隔で実行します。 検出および分類されると、ネットワーク デバイスは Defender for Endpoint の脆弱性管理ワークフローに統合され、セキュリティ管理者は推奨事項を受け取り、脆弱性を確認できるようになります。
認証済みスキャンでは SNMP (読み取り専用) が使用され、SNMPv2 と SNMPv3 の両方がサポートされます。 このプロセスでは、スキャナーとして機能するオンボード デバイスを指定し、スキャンするネットワーク デバイスを指定する必要があります。 このアプローチにより、エージェントレス インフラストラクチャでもセキュリティと脆弱性管理戦略に含めることができます。
ネットワーク デバイスが検出されて分類されると、セキュリティ管理者は最新のセキュリティに関する推奨事項を受け取り、組織全体に展開されたネットワーク デバイスで最近検出された脆弱性を確認できます。
注:
Windows 認証済みスキャンは、2025 年 12 月 18 日から非推奨になりました。 詳細については、「 Windows 認証済みスキャンの非推奨に関する FAQ」を参照してください。
ネットワーク スキャンを開始する方法については、「 認証済みネットワーク スキャンを設定する」を参照してください。
監視対象ネットワーク
Microsoft Defender for Endpointは、ネットワークを分析し、監視する必要がある企業ネットワークか、無視できる非企業ネットワークかを判断します。 企業ネットワークに接続されていないデバイスは、デバイス インベントリに検出または一覧表示されません。
ネットワークを企業として識別するために、Defender for Endpoint はテナントのすべてのクライアントにわたってネットワーク識別子を関連付けます。 organizationのほとんどのデバイスが、同じ既定のゲートウェイと DHCP サーバー アドレスを持つ同じネットワーク名に接続されていると報告する場合、Defender for Endpoint は、ネットワークが企業ネットワークであると見なします。
プライベート ネットワーク デバイスはインベントリに一覧表示されず、アクティブにスキャンされません。
この設定をオーバーライドするには、監視対象の一覧にネットワークを追加します。 詳細については、「 監視するネットワークの選択」を参照してください。
サポートされているオペレーティング システムとプロトコル
完全な OT/IOT 資産インベントリ Defender for Endpoint を見つけ、特定し、セキュリティで保護するのに十分な可視性を得るという課題に対処するには、次の統合がサポートされています。
サポートされるオペレーティング システム
- Windows 10 バージョン 1809 以降
- Windows 11
- Windows Server 2019 以降
- Azure Stack HCI OS バージョン 23H2 以降
サポートされるプロトコル
次の表は、各検出モードでサポートされているプロトコルを示しています。
| プロトコル | 基本検出 | 標準検出 |
|---|---|---|
| Afp | 不要 | はい |
| Arp | はい | はい |
| Cdp | はい | 不要 |
| Dhcp | はい | はい |
| DHCPv6 | はい | 不要 |
| Ftp | 不要 | はい |
| HTTP | 不要 | はい |
| HTTPS | 不要 | はい |
| ICMP | 不要 | はい |
| IP (ヘッダー) | はい | 不要 |
| IphoneSync | 不要 | はい |
| Ipp | 不要 | はい |
| LDAP | 不要 | はい |
| Lldp | はい | 不要 |
| Llmnr | はい | はい |
| Mdn | はい | はい |
| MNDP | はい | 不要 |
| Mssql | はい | 不要 |
| Nbns | はい | はい |
| NBSS | 不要 | はい |
| PJL | 不要 | はい |
| RDP | 不要 | はい |
| RPC | 不要 | はい |
| SIP | 不要 | はい |
| Slp | 不要 | はい |
| SMB | 不要 | はい |
| SMTP | 不要 | はい |
| SNMP | 不要 | はい |
| SSDP | はい | 不要 |
| Ssh | 不要 | はい |
| TCP (SYN ヘッダー) | はい | 不要 |
| Telnet | 不要 | はい |
| UDP (ヘッダー) | はい | 不要 |
| UPNP | 不要 | はい |
| Vnc | 不要 | はい |
| Winrm | 不要 | はい |
| Wsd | はい | はい |
また、デバイス検出は、分類の精度とカバレッジを向上させるために、他の一般的に使用されるポートをスキャンする場合もあります。
機能と構成オプション
ほとんどの組織は、すぐに使用できるアクティブな検出、デバイス インベントリの統合、自動ネットワーク処理の恩恵を受けています。 追加の構成オプションを使用すると、環境に必要に応じて、より詳細な制御、ターゲット設定、除外を行うことができます。
次の表は、デバイス検出ですぐに利用できる機能、各追加の構成オプションで有効にする機能、Defender ポータルで構成可能なオプションを変更できる場所をまとめたものです。
デバイス検出オプションを管理するには、「 デバイス検出の管理」を参照してください。 高度な分析、脆弱性評価、ハンティング クエリについては、「デバイスの 確認と評価」を参照してください。
| 機能/オプション | 既定値 | 含まれるもの、または有効にする内容 | Defender ポータルで構成する場所 | 詳細情報 |
|---|---|---|---|---|
| 基本検出 | 不要 | トラフィックを介してアンマネージド エンドポイント、ネットワーク デバイス、IoT 資産を検出します。 機密/レガシ ネットワークに使用できます。 | System>設定>デバイス検出>検出モード>基本的な | 検出モードとスキャン |
| 標準検出 | はい | より深いデバイス識別と豊富なインベントリのためのプロトコルベースのスキャンを追加します。 無効にできます ( 基本 モードに切り替えます)。 | System>設定>デバイス検出>検出モード>Standard検出 (推奨) | 検出モードとスキャン |
| デバイス インベントリの統合 | はい | オンボードされたデバイスと検出されたデバイスの統合ビュー。 インベントリでフィルター処理、評価、アクションを実行します。 | アセット>デバイス | オンボードされていないデバイスを確認する |
| ネットワーク リストの管理 | はい | 企業ネットワークを監視し、既定では企業以外のネットワークを無視します。 特定のネットワークを監視/無視できます。 | System>設定>デバイス検出>監視対象ネットワーク | ネットワーク リストの管理 |
| 除外 | 不要 | スキャンから IP またはデバイス グループを除外します。 | System>設定>デバイス検出>除外 | デバイスを除外する |
| 認証済みネットワーク スキャン | 不要 | - オンボードできないネットワーク インフラストラクチャ デバイスを検出して分類します。 - スキャンをスケジュールし、既定のサブネットを超えてスキャン ターゲットを定義します。 |
System>設定>デバイス検出>デバイス検出>認証済みスキャン | 認証済みネットワーク スキャンを設定する |
| OT/IoT デバイス検出 | 不要 | Defender for IoT と統合して、OT およびエンタープライズ IoT デバイスを検出します。 | System>設定>デバイス検出>Enterprise IoT | Defender ポータルでの Defender for IoT のオンボード |
| 脆弱性評価 | はい | 検出されたデバイスの脆弱性を評価し、修復ガイダンスを取得します。 たとえば、 SSH を検索して、アンマネージド デバイスに関連する SSH 脆弱性に関する推奨事項を見つけます。 | 露出管理 > 推奨事項 | 脆弱性管理の概要 |
| 検出されたデバイスでの高度なハンティング | はい | 高度なハンティング クエリを使用して、検出されたデバイス、そのアクティビティ、および関連する脅威を調査します。 | 高度な追求 | 検出されたデバイスで高度な検索を使用する |
デバイス検出機能と可用性
デバイス検出を使用すると、組織は、エンドポイント、ネットワーク デバイス、IoT/OT デバイスなど、ネットワーク全体でマネージド デバイスとアンマネージド デバイスを識別できます。 検出されたすべてのデバイスは、デバイスの種類に関係なく、デバイス インベントリに表示されます。
デバイスの可視性やネットワーク認証スキャンなどのコア検出エクスペリエンスは、サポートされている Defender for Endpoint 環境全体で一貫性があります。 脆弱性評価とセキュリティに関する推奨事項は、Defender の脆弱性評価機能の一部としてエンドポイント デバイスに対して提供されます。
Enterprise IoT Security ライセンスが有効になっている場合 (Microsoft 365 E5またはスタンドアロンの Enterprise IoT ライセンスを介して)、検出された IoT デバイスに対して脆弱性評価を利用できるため、基本的なインベントリを超えたリスクの可視性が得られます。
機能の可用性とライセンスについては、Microsoft Defender サービスの説明を参照してください。