デバイス検出の構成

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

検出は、標準モードまたは基本モードに構成できます。 標準オプションを使用して、ネットワーク内のデバイスをアクティブに検索します。これにより、エンドポイントの検出が保証され、デバイスの分類が豊富になります。

標準検出の実行に使用されるデバイスの一覧をカスタマイズできます。 この機能もサポートするすべてのオンボード デバイス (現在は Windows 10 以降および Windows Server 2019 以降のデバイスのみ) で標準検出を有効にするか、デバイス タグを指定してデバイスのサブセットまたはサブセットを選択できます。

デバイス検出を設定する

デバイス検出を設定するには、ポータルで次の構成手順Microsoft Defender実行します。

[設定] [デバイス検出] > に移動します

1. オンボードデバイスで使用する検出モードとして Basic を構成する場合は、[ Basic ] を選択し、[保存] を選択 します
2. Standard 検出の使用を選択した場合は、アクティブなプローブに使用するデバイスを選択します。すべてのデバイスまたはサブセット上のデバイス タグを指定して選択し、[保存] を選択 します

注:

標準検出では、さまざまな PowerShell スクリプトを使用して、ネットワーク内のデバイスをアクティブにプローブします。 これらの PowerShell スクリプトは Microsoft 署名済みであり、次の場所から実行されます。 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps たとえば、「 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1 」のように入力します。

標準検出でアクティブにプローブされないようにデバイスを除外する

ネットワーク上にアクティブにスキャンしないデバイス (たとえば、別のセキュリティ ツールのハニーポットとして使用されるデバイス) がある場合は、除外の一覧を定義して、スキャンされないようにすることもできます。 デバイスは引き続き Basic 検出モードを使用して検出でき、マルチキャスト検出の試行を通じて検出することもできます。 これらのデバイスは受動的に検出されますが、積極的にプローブされることはありません。

除外するデバイスは、[ 除外] ページで構成できます。

監視するネットワークを選択

Microsoft Defender for Endpointは、ネットワークを分析し、監視する必要がある企業ネットワークか、無視できる非企業ネットワークかを判断します。 ネットワークを企業として識別するために、すべてのテナントのクライアント間でネットワーク識別子を関連付け、organizationのほとんどのデバイスが、同じ既定のゲートウェイと DHCP サーバー アドレスを持つ同じネットワーク名に接続されていると報告している場合は、これが企業ネットワークであると想定します。 企業ネットワークは通常、監視対象として選択されます。 ただし、オンボード デバイスが見つかった非企業ネットワークを監視することを選択することで、この決定を無効にすることができます。

監視するネットワークを指定することで、デバイス検出を実行できる場所を構成できます。 ネットワークが監視されている場合、デバイス検出を実行できます。

デバイス検出を実行できるネットワークのリストは、[監視対象ネットワーク] ページに表示されます。

注:

リストには、企業ネットワークとして識別されたネットワークが表示されます。 企業ネットワークとして識別されたネットワークが 50 未満の場合、リストには、オンボード デバイスが最も多い最大 50 のネットワークが表示されます。

監視対象ネットワークのリストは、過去 7 日間にネットワーク上で確認されたデバイスの総数に基づいて並べ替えられます。

フィルターを適用して、次のいずれかのネットワーク検出状態を表示できます。

• 監視対象ネットワーク - デバイス検出が実行されるネットワーク。
• 無視されたネットワーク - このネットワークは無視され、デバイス検出は実行されません。
• [すべて ] - 監視対象ネットワークと無視されたネットワークの両方が表示されます。

ネットワーク モニターの状態を構成する

デバイスの検出を行う場所を制御します。 監視対象ネットワークは、デバイス検出が実行される場所であり、通常は企業ネットワークです。 状態を変更した後、ネットワークを無視するか、最初の検出分類を選択することもできます。

初期検出分類を選択すると、既定のシステムで作成されたネットワーク モニターの状態が適用されます。 既定のシステム作成のネットワーク モニター状態を選択すると、企業であることが識別され、監視され、企業以外として識別されたネットワークは自動的に無視されます。

1. [設定] [デバイス検出] の順に選択します>。

2. [ 監視対象ネットワーク] を選択します。

3. ネットワークのリストを表示します。

4. ネットワーク名の横にある 3 つのドットを選択します。

5. 初期検出分類を監視するか、無視するか、使用するかを選択します。

   警告

   • 企業ネットワークとしてMicrosoft Defender for Endpointによって識別されなかったネットワークを監視することを選択すると、企業ネットワークの外部でデバイス検出が発生し、自宅やその他の企業以外のデバイスが検出される可能性があります。
   • ネットワークを無視することを選択すると、そのネットワーク内のデバイスの監視と検出が停止します。 既に検出されたデバイスはインベントリから削除されませんが、更新されなくなり、詳細は Defender for Endpoint のデータ保持期間が期限切れになるまで保持されます。
   • 非企業ネットワークの監視を選択する前に、その権限があることを確認する必要があります。
     

6. 変更することを確認します。

ネットワーク内のデバイスを探索する

次の高度なハンティング クエリを使用して、ネットワークの一覧で説明されている各ネットワーク名に関するより多くのコンテキストを取得できます。 このクエリは、過去 7 日間に特定のネットワークに接続されたすべてのオンボード デバイスを一覧表示します。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

デバイスの情報を取得する

次の高度なハンティング クエリを使用して、特定のデバイスの最新の完全な情報を取得できます。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

関連項目

• デバイス検出の概要
• デバイス検出に関する FAQ

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。