デバイス検出 を使用すると、管理されていないデバイスの可視性を向上させ、そのセキュリティ体制を評価し、適切なアクションを実行してセキュリティを保護できます。
この記事では、Microsoft Defender for Endpointでデバイス検出によって検出されたデバイスを確認および評価する方法について説明します。 また、Microsoft Defender for Endpointにオンボードされていないデバイス上のデータを取得する方法と、検出されたデバイスのデータに対してクエリを実行する方法についても説明します。
前提条件
サポートされるオペレーティング システム
- Windows 10 以降
- Windows Server 2019 以降。
デバイス インベントリ内のオンボードされていないデバイスを監視する
Defender for Endpoint にオンボードされていない検出されたデバイスのデバイス インベントリを確認できます。
注:
オンボードされていないデバイスは、次のいずれかの条件が満たされた場合、Defender ポータルに (180 日以上) 残ります。
- デバイスは、同じネットワーク上のオンボード エンドポイントによって検出されます
- デバイスが OT センサーによって検出される
これらのデバイスを評価するには、デバイス インベントリに移動し、 オンボード状態フィルターを 使用して、次のいずれかの値を使用します。
| 値 | 説明 |
|---|---|
| オンボード済み | エンドポイントは Defender for Endpoint にオンボードされます。 |
| オンボード可能 | Defender for Endpoint は、ネットワーク内のデバイスを検出し、そのオペレーティング システムをサポートしますが、デバイスはオンボードされていません。 注: - このようなデバイスをオンボードすることを強くお勧めします。 - 一覧に表示されているデバイスの数がデバイス インベントリにオンボードされていること、Microsoft Defender for Endpointセキュリティに関する推奨事項へのオンボード、ダッシュボード ウィジェットをオンボードするデバイスの違いに気付く場合があります。 セキュリティに関する推奨事項とダッシュボード ウィジェットは、一時的なデバイス、ゲスト デバイスなどを除き、ネットワーク内で安定しているデバイス用です。 アイデアは、organizationの全体的なセキュリティ スコアにも影響を与える永続的なデバイスに推奨することです。 |
| サポート外 | Defender for Endpoint はエンドポイントを検出しますが、デバイスはサポートしていません。 |
| 不十分な情報 | システムはデバイスのサポート可能性を判断できませんでした。 ネットワーク内の他のデバイスで標準検出を有効にして、検出された属性を強化します。 |
アンマネージド デバイスのオンボード
アンマネージド デバイスは手動でオンボードできます。 ネットワーク内のアンマネージド エンドポイントでは、ネットワークに脆弱性とリスクが発生します。 それらをサービスにオンボードすると、セキュリティの可視性が高まる可能性があります。
検出されたデバイスで高度な検索を使用する
高度なハンティング クエリを使用して、検出されたデバイスを可視化できます。 検出されたデバイスの詳細については、DeviceInfo テーブル、またはデバイスに関するネットワーク関連情報については、DeviceNetworkInfo テーブルを参照してください。
ヒント
API クエリのオンボーディング ステータス列を使用して、管理されていないデバイスを除外することもできます。
ネットワーク内のデバイスを探索する
次の高度なハンティング クエリを使用して、ネットワークの一覧で説明されている各ネットワーク名に関するより多くのコンテキストを取得できます。 このクエリは、過去 7 日間に特定のネットワークに接続されたすべてのオンボード デバイスを一覧表示します。
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
デバイスの情報を取得する
次の高度なハンティング クエリを使用して、特定のデバイスの最新の完全な情報を取得できます。
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
検出されたデバイスの詳細を照会する
DeviceInfo テーブルでこのクエリを実行して、検出されたすべてのデバイスと、各デバイスの最新の詳細を返します。
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
SeenBy 関数を呼び出すと、高度なハンティング クエリで、検出されたデバイスが見られたオンボード デバイスの詳細を取得できます。 この情報は、検出された各デバイスのネットワークの場所を特定するのに役立ち、その後、ネットワーク内でそれを識別するのに役立ちます。
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
詳細については、 SeenBy() 関数を参照してください。
ネットワーク関連情報のクエリ
デバイス検出では、Defender for Endpoint オンボード デバイスをネットワーク データ ソースとして利用し、オンボードされていないデバイスにアクティビティを属性付けします。 Defender for Endpoint オンボード デバイスのネットワーク センサーは、次の 2 つの新しい接続の種類を識別します。
- ConnectionAttempt - TCP 接続の確立 (syn) の試行
- ConnectionAcknowledged - TCP 接続が受け入れられたことを確認する (syn\ack)
つまり、オンボードされていないデバイスがオンボードされた Defender for Endpoint デバイスと通信しようとすると、DeviceNetworkEvent が生成され、オンボードされていないデバイス アクティビティがオンボードデバイスタイムラインと Advanced hunting DeviceNetworkEvents テーブルで確認されます。
次のサンプル クエリを試すことができます。
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
検出されたデバイスの脆弱性を評価する
Microsoft Defender 脆弱性の管理は、ネットワーク内のデバイスやその他の検出された管理されていないデバイスのリスクを検出します。
関連する脆弱性を確認するには、Defender ポータル全体の 露出管理>Recommendations ページ、およびその他のエンティティ ページを参照してください。
たとえば、セキュリティに関する推奨事項の一覧で SSH を検索して、アンマネージド デバイスとマネージド デバイスに関連する SSH の脆弱性を見つけます。
脆弱性管理機能の詳細については、「Microsoft Defender 脆弱性の管理」を参照してください。