証明書インベントリ
適用対象:
注:
この機能を使用するには、スタンドアロンMicrosoft Defender 脆弱性の管理、または既に Microsoft Defender for Endpoint プラン 2 の顧客である場合は、Defender 脆弱性管理アドオンが必要です。
証明書は複数の方法で使用できます。 以下に例を示します。
- TLS\SSL プロトコルの一部として。
- VPN クライアント認証、ドキュメント署名、電子メール暗号化、電子メール署名。
- ネットワーク内およびインターネット経由で情報を安全に転送するためのデータ暗号化と認証。
証明書に関する問題 (有効期限や構成の誤りなど) により、次の結果が発生する可能性があります。
- organizationのセキュリティの脆弱性。
- サービスの停止。
- 日々の業務上の負の結果。
証明書インベントリを使用すると、organization全体にインストールされている証明書の一覧を 1 つの中央証明書インベントリ ページで表示できます。 この機能は、次のタスクに役立ちます。
- 有効期限が切れそうになっている証明書を特定して、証明書を更新し、サービスの中断を防ぐことができます
- 弱い署名アルゴリズム (SHA-1-RSA など)、短いキー サイズ (RSA 512 ビットなど)、または弱い署名ハッシュ アルゴリズム (MD5 など) の使用による潜在的な脆弱性を検出する
- 規制ガイドラインと組織ポリシーに準拠していることを確認する
ヒント
Microsoft Defender 脆弱性の管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。
証明書を表示する
- Microsoft Defender ポータルの [脆弱性管理>ソフトウェア インベントリ] に移動します。
- [ 証明書 ] タブを選択します。
[証明書インベントリ] ページが開き、有効期限の詳細、キー サイズ、証明書を発行したユーザー、インスタンスの数など、organization全体にインストールされている証明書の一覧が表示されます。
注:
証明書インベントリの一覧には、Windows デバイス (ローカル コンピューター証明書ストア内) で見つかった証明書のみが表示されます。
潜在的に脆弱な証明書に関する分析情報を得る
ページの上部で、セキュリティが低下する可能性があると特定された証明書の数を表示し、organizationにリスクを導入できます。 この番号には、次の問題がある証明書が含まれます。
- 期限 切れ。
- 有効期限は 60 日以内です。
- セキュリティが低いと見なされるため、2,048 ビット未満のキー サイズがあります。
- SHA-1 や MD5 などの弱いシグネチャ アルゴリズムがあります。
- 自己署名であるため、脆弱と見なされます。
証明書インベントリ ページでフィルターを使用する
フィルターを使用すると、次に基づいてインベントリを表示できます。
- 証明書の状態: 有効期限が切れている、間もなく期限切れになっている、将来の日付で発行されている、または現在の証明書を表示する
- 自己署名: 自己署名証明書を表示する
- キー サイズ: 短いキー サイズまたは有効なキー サイズを持つ証明書を表示する
- 署名ハッシュ: 弱い署名ハッシュまたは有効な署名ハッシュを持つ証明書を表示します
- キーの使用法: デジタル署名、否認、証明書署名など、キー使用法の値を持つ証明書を表示する
検出された証明書の詳細を取得する
調査する証明書を選択すると、ポップアップ パネルが開き、証明書の詳細ページが表示されます。
[ 発行元の詳細 ] タブを選択すると、証明書の発行元と発行元に関する情報を表示できます。
デバイス上の証明書
証明書がインストールされているデバイスの一覧を表示するには、証明書のポップアップ ウィンドウから [ インストールされているデバイス ] タブを選択します。 ここから、証明書がインストールされている特定のデバイスを検索し、デバイスの一覧を csv ファイルにエクスポートできます。
デバイスにインストールされている証明書の一覧を表示することもできます。
ポップアップ パネルの [ インストール済みデバイス ] タブからデバイスを選択するか、[ デバイス インベントリ ] ページからデバイスを直接選択します。
[ 証明書インベントリ ] タブを選択すると、そのデバイスにインストールされている証明書の一覧が表示されます。
証明書を選択してポップアップを開き、詳細を確認します。
脆弱性管理ダッシュボード ウィジェット
脆弱性管理ダッシュボードで使用可能な [有効期限切れの証明書] ウィジェットから、今後 30 日、60 日、または 90 日間に 期限切れになった証明書 の数、または期限切れの期限が切れている証明書の数を確認します。
[ すべて表示] を選択して、証明書インベントリ ページに移動します。
高度なハンティングを使用する
高度なハンティング クエリを使用して、organization内の証明書を可視化できます。 たとえば、 DeviceTvmCertificateInfo テーブルを使用すると、クエリを実行して、期限切れのすべての証明書を表示できます。