Microsoft Defender for Endpointで認証済みネットワーク スキャンを設定する

認証されたネットワーク スキャンを使用すると、スイッチ、ルーター、WLAN コントローラー、ファイアウォール、VPN ゲートウェイなどのネットワーク インフラストラクチャ デバイスを検出して評価するためのエージェントレスの方法が提供されます。

詳細については、「 認証済みネットワーク スキャン」を参照してください。

前提条件

スキャン ジョブを構成するには、Defender の [セキュリティ設定の管理 ] アクセス許可が必要です。 詳細については、「ロールベースのアクセス制御のロールの作成と管理」を参照してください。

サポート対象のデバイス

SNMPv2 または SNMPv3 クエリに応答するネットワーク デバイスは、認証されたネットワーク スキャンによって検出できます。 ベンダーやオペレーティング システムに関係なく、スキャン用にすべてのネットワーク デバイスを構成することをお勧めします。

スキャナーでサポートされている Windows バージョン

スキャナーは、Windows 10バージョン 1903 および Windows Server バージョン 1903 以降でサポートされています。 詳細については、「Windows 10バージョン 1903 および Windows Server バージョン 1903」を参照してください。

スキャナー デバイスを選択する

認証されたネットワーク スキャンを実行するデバイスを選択するには:

• スキャンを計画しているネットワーク デバイスの管理ポートへのネットワーク接続を持つ Defender for Endpoint オンボード デバイス (クライアントまたはサーバー) を決定します。

• Defender for Endpoint スキャン デバイスとターゲット ネットワーク デバイス (ファイアウォールなど) 間の SNMP トラフィックを許可します。

• 脆弱性を評価するネットワーク デバイスを決定します (たとえば、Cisco スイッチや Palo Alto Networks ファイアウォールなど)。

• すべての構成済みネットワーク デバイスで SNMP の読み取り専用が有効になっていることを確認して、Defender for Endpoint スキャン デバイスが構成されたネットワーク デバイスに対してクエリを実行できるようにします。 SNMP write は、この機能の適切な機能には必要ありません。

• スキャンするネットワーク デバイス (またはこれらのデバイスが展開されているサブネット) の IP アドレスを取得します。

• ネットワーク デバイスの SNMP 資格情報 (コミュニティ文字列、noAuthNoPriv、authNoPriv、authPriv など) を取得します。 新しいスキャン ジョブを構成するときに資格情報を指定する必要があります。

• プロキシ クライアントの構成: Defender for Endpoint デバイス プロキシ要件以外の追加構成は必要ありません。

• スキャナーの認証と正常な動作を許可するには、次のドメイン/URL を追加します。

  • *.security.microsoft.com
  • login.microsoftonline.com
  • *.blob.core.windows.net/networkscannerstable/*

  注:

  許可されるデータ収集の Defender for Endpoint ドキュメントリストに、すべての URL が指定されているわけではありません。

スキャナーをインストールする

1. Microsoft Defender ポータルで、設定>Device Discovery>Authenticated スキャンを選択します。

2. スキャナーをダウンロードし、指定された Defender for Endpoint スキャン デバイスにインストールします。

   

スキャナーを登録する

指定されたスキャン デバイスまたはその他のデバイス (個人用クライアント デバイスなど) で登録を完了できます。

ユーザーがサインインするアカウントと、サインイン プロセスを完了するために使用するデバイスは、デバイスがMicrosoft Defender for Endpointにオンボードされているのと同じテナントに存在する必要があります。

スキャナーの登録プロセスを完了するには:

1. コマンド ラインに表示される URL をコピーして従い、指定されたインストール コードを使用して登録プロセスを完了します。 URL をコピーするには、コマンド プロンプトの設定を変更する必要がある場合があります。

2. コードを入力し、 Defender の [セキュリティ設定の管理 ] アクセス許可を持つ Microsoft アカウントを使用してサインインします。

完了すると、サインインしたことを確認するメッセージが表示されます。

新しい認証済みネットワーク スキャンを構成する

1. Microsoft Defender ポータルで、設定>Device Discovery>Authenticated スキャンを選択します。

2. [ 新しいスキャンの追加] を選択し、[ ネットワーク デバイス認証スキャン ] を選択し、[ 次へ] を選択します。

   

3. スキャンをアクティブ化するかどうかを選択します。

4. [スキャン名] を入力します。

5. [ スキャン デバイス]: ネットワーク デバイスの スキャンに使用するオンボード デバイスを選択します。

6. ターゲット (範囲): スキャンする IP アドレス範囲またはホスト名を入力します。 アドレスを入力するか、CSV ファイルをインポートできます。 ファイルをインポートすると、手動で追加されたアドレスがオーバーライドされます。

7. [ スキャン間隔]: 既定では、スキャンは 4 時間ごとに実行されます。 [ 繰り返さない] を選択して、スキャン間隔を変更することも、1 回だけ実行することもできます。

8. 認証方法を選択します。

   [資格情報を提供するために azure KeyVault を使用する] を選択できます。KeyVault で資格情報を管理 Azureする場合は、Azure KeyVault URL を入力し、スキャン デバイスからアクセスする KeyVault シークレット名Azure入力して資格情報を提供できます。 シークレット値は、次の表に示すように、選択したメソッドによって異なります。

   認証方法	KeyVault シークレット値のAzure
   AuthPriv	名;AuthPassword;PrivPassword
   AuthNoPriv	名;AuthPassword
   CommunityString	CommunityString

9. [ 次へ ] を選択して、テスト スキャンを実行またはスキップします。

10. [ 次へ ] を選択して設定を確認し、[ 送信 ] を選択して新しいネットワーク デバイス認証スキャンを作成します。

ネットワーク デバイスをスキャンして追加する

セットアップ プロセス中に、1 回限りのテスト スキャンを実行して、次のことを確認できます。

• Defender for Endpoint スキャン デバイスと構成されたターゲット ネットワーク デバイスの間に接続があります。
• 構成された SNMP 資格情報が正しい。

各スキャン デバイスは、最大 1,500 個の正常な IP アドレス スキャンをサポートできます。 たとえば、100 個の IP アドレスのみが正常な結果を返す 10 の異なるサブネットをスキャンする場合、同じスキャン デバイス上の他のサブネットからさらに 1,400 個の IP アドレスをスキャンできます。

スキャンする IP アドレス範囲/サブネットが複数ある場合、テスト スキャンの結果が表示されるまで数分かかります。 テスト スキャンは、最大 1,024 個のアドレスで使用できます。

結果が表示されたら、定期的なスキャンに含めるデバイスを選択できます。 スキャン結果の表示をスキップすると、構成されているすべての IP アドレスがネットワーク デバイス認証スキャンに追加されます (デバイスの応答に関係なく)。 スキャン結果をエクスポートすることもできます。

デバイス インベントリ内のネットワーク デバイスを表示する

新しく検出されたデバイスは、新しい [ ネットワーク デバイス ] タブの [デバイス インベントリ] の下に表示されます。デバイスが更新されるまで、スキャン ジョブを追加してから最大 2 時間かかる場合があります。