適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender for Business
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
脅威アクターは Web を継続的にスキャンして、内部企業ネットワークの足掛かりを得るために悪用できる公開されたデバイスを検出するため、organizationの外部攻撃面をマッピングすることは、セキュリティ態勢管理の重要な部分です。 外部から接続できるデバイスや近付け可能なデバイスは、organizationに脅威を与えます。
Microsoft Defender for Endpointは、Microsoft Defender ポータルでオンボード、公開、インターネットに接続されたデバイスを自動的に識別し、フラグを設定します。 この重要な情報により、organizationの外部攻撃面の可視性が向上し、資産の悪用可能性に関する分析情報が提供されます。
注:
現時点では、Microsoft Defender for Endpointにオンボードされている Windows デバイスのみをインターネットに接続して識別できます。 他のプラットフォームのサポートは、今後のリリースで利用できるようになります。
インターネットに接続するようにフラグが設定されたデバイス
TCP 経由で正常に接続されているか、UDP 経由で到達可能なホストとして識別されたデバイスは、Microsoft Defender ポータルでインターネットに接続されているとしてフラグが設定されます。 Defender for Endpoint では、さまざまなデータ ソースを使用して、フラグを設定するデバイスを識別します。
- 外部スキャンは、外部からアクセス可能なデバイスを識別するために使用されます。
- Defender for Endpoint 信号の一部としてキャプチャされたデバイス ネットワーク接続は、内部デバイスに到達する外部着信接続を識別するのに役立ちます。
構成されたファイアウォール ポリシー (ホスト ファイアウォール規則またはエンタープライズ ファイアウォール規則) で受信インターネット通信が許可されている場合、デバイスにインターネットに接続するフラグを設定できます。
ファイアウォール ポリシーと、organizationを侵害する可能性があるデバイスではなく、意図的にインターネットに接続しているデバイスについて理解すると、外部攻撃面のマッピングに関して重要な情報が提供されます。
インターネットに接続しているデバイスを表示する
インターネット接続として識別されたオンボードデバイスごとに、Microsoft Defender ポータルのデバイス インベントリの [タグ] 列にインターネットに接続するタグが表示されます。 インターネットに接続しているデバイスを表示するには:
Microsoft Defender ポータルの [Assets>Device] に移動します。
インターネットに接続するタグにカーソルを合わせて、適用された理由を確認します。考えられる理由は次のとおりです。
- このデバイスは外部スキャンによって検出されました
- このデバイスは外部の受信通信を受信しました
ページの上部には、インターネットに接続していると識別され、セキュリティが低い可能性があるデバイスの数を示すカウンターを表示できます。
フィルターを使用して、インターネットに接続するデバイスに焦点を当て、organizationに発生する可能性があるリスクを調査できます。
インターネットに接続されたデバイス タグもMicrosoft Defender 脆弱性の管理に表示されます。 これにより、Microsoft Defender ポータルの脆弱性とセキュリティに関する推奨事項ページからインターネットに接続するデバイスをフィルター処理できます。
注:
デバイスの新しいイベントが 48 時間発生しない場合、インターネットに接続するタグは削除され、Microsoft Defender ポータルに表示されなくなります。
インターネットに接続しているデバイスを調査する
インターネットに接続するデバイスの詳細については、デバイス インベントリでデバイスを選択してポップアップ ウィンドウを開きます。
このウィンドウには、デバイスが Microsoft 外部スキャンによって検出されたか、外部の受信通信を受信したかに関する詳細が表示されます。 外部ネットワーク インターフェイスのアドレスとポート フィールドは、このデバイスがインターネットに接続していると識別された時点でスキャンされた外部 IP とポートの詳細を提供します。
このデバイスのローカル ネットワーク インターフェイス アドレスとポートと、デバイスがインターネットに接続しているとして最後に識別された時刻も表示されます。
高度なハンティングを使用する
高度なハンティング クエリを使用して、organization内のインターネットに接続されているデバイスの可視性と分析情報を取得します。例:
インターネットに接続しているすべてのデバイスを取得する
このクエリを使用して、インターネットに接続しているすべてのデバイスを検索します。
// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)), InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId
このクエリは、"AdditionalFields" 列に集計された証拠を含む、インターネットに接続する各デバイスの次のフィールドを返します。
- InternetFacingReason: デバイスが外部スキャンによって検出されたか、インターネットからの受信通信を受信したか
- InternetFacingLocalIp: インターネットに接続するインターフェイスのローカル IP アドレス
- InternetFacingLocalPort: インターネットに接続する通信が観察されたローカル ポート
- InternetFacingPublicScannedIp: 外部でスキャンされたパブリック IP アドレス
- InternetFacingPublicScannedPort: 外部スキャンされたインターネット接続ポート
- InternetFacingTransportProtocol: 使用されるトランスポート プロトコル (TCP/UDP)
受信接続に関する情報を取得する
TCP 接続の場合は、 DeviceNetworkEvents に対してクエリを実行することで、デバイスでリッスンと識別されたアプリケーションまたはサービスに関するさらに分析情報を得ることができます。
このデバイスが外部着信通信を受信した理由でタグ付けされたデバイスについては、次のクエリを使用します。
// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")
注:
プロセス関連情報は、TCP 接続でのみ使用できます。
このデバイスが外部スキャンによって検出された理由でタグ付けされたデバイスについては、次のクエリを使用します。
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"
UDP 接続の場合は、次のクエリを使用して、ホスト到達可能として識別されたが、接続が確立されていない可能性がある (たとえば、ホスト ファイアウォール ポリシーの結果として) デバイスに関する分析情報を取得します。
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"
上記のクエリで関連する接続が提供されない場合は、ソケット コレクション メソッドを使用してソース プロセスを取得できます。 これを行うために使用できるさまざまなツールと機能の詳細については、次を参照してください。
レポートの不正確さ
インターネットに接続する情報が正しくないデバイスの不正確さを報告できます。 インターネットに接続するデバイスの場合:
- [デバイス インベントリ] ページからデバイス ポップアップを開く
- [ レポート デバイスの不正確さ] を選択します
- [不正確なパーツ] ドロップダウンで、[デバイス情報] を選択します。
- [ どの情報が不正確か ] ドロップダウンから [ インターネットに接続する分類 ] チェック ボックスをオンにします
- 正しい情報の内容に関する要求された詳細を入力します
- メール アドレスを指定する (省略可能)
- [ レポートの送信] を選択します
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。