Share via

デバイス検出に関してよく寄せられる質問

  • [アーティクル]

適用対象:

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

デバイス検出に関してよく寄せられる質問 (FAQ) に対する回答を確認します。

基本検出モードとは

このモードでは、オンボードされたすべてのデバイスMicrosoft Defender for Endpointネットワーク データを収集し、隣接するデバイスを検出できます。 オンボード エンドポイントは、ネットワーク内のイベントを受動的に収集し、そこからデバイス情報を抽出します。 ネットワーク トラフィックは開始されません。 オンボードエンドポイントは、オンボードされたデバイスによって見られるすべてのネットワーク トラフィックからデータを抽出します。 このデータは、ネットワーク内のアンマネージド デバイスの一覧に使用されます。

基本的な検出を無効にできますか?

[ 高度な機能 ] ページでデバイスの検出をオフにするオプションがあります。 ただし、ネットワーク内の管理されていないデバイスの可視性が失われます。 デバイスの検出がオフになっている場合でも、SenseNDR.exe はオンボードデバイスで引き続き実行されることに注意してください。

Standard 検出モードとは

このモードでは、Microsoft Defender for Endpointにオンボードされたエンドポイントは、ネットワーク内の監視されたデバイスをアクティブにプローブして、収集されたデータを強化できます (ネットワーク トラフィックの量はごくわずかです)。 基本検出モードで観察されたデバイスのみが、標準モードでアクティブにプローブされます。 このモードは、信頼性の高い一貫性のあるデバイス インベントリを構築するために強くお勧めします。 このモードを無効にし、[基本検出モード] を選択すると、ネットワーク内のアンマネージド エンドポイントの可視性が制限される可能性があります。

標準モードでは、ネットワーク内でマルチキャスト クエリを使用する一般的な検出プロトコルを利用して、パッシブメソッドを使用して観察されたデバイスに加えて、さらに多くのデバイスを検索します。

標準検出を実行するデバイスを制御できますか?

Standard 検出の実行に使用するデバイスの一覧をカスタマイズできます。 この機能もサポートするすべてのオンボード デバイス (現在Windows 10以降のデバイスと Windows Server 2019 以降のデバイスのみ) で Standard 検出を有効にするか、デバイス タグを指定してデバイスのサブセットまたはサブセットを選択できます。 この場合、基本検出のみを実行するように他のすべてのデバイスが構成されます。 構成は、[デバイス検出の設定] ページで使用できます。

デバイス インベントリリストからアンマネージド デバイスを除外できますか?

はい。フィルターを適用して、デバイス インベントリリストからアンマネージド デバイスを除外できます。 API クエリのオンボーディング ステータス列を使用して、管理されていないデバイスを除外することもできます。

検出を実行できるオンボード デバイスはどれですか?

Windows 10 バージョン 1809 以降、Windows 11、Windows Server 2019、または Windows Server 2022 で実行されているオンボード デバイスは、検出を実行できます。

オンボードされたデバイスがホーム ネットワークまたはパブリック アクセス ポイントに接続されている場合はどうなりますか?

検出エンジンは、企業ネットワークで受信したネットワーク イベントと企業ネットワークの外部で受信したネットワーク イベントを区別します。 すべてのテナントのクライアント間でネットワーク識別子を関連付けることで、イベントはプライベート ネットワークと企業ネットワークから受信されたものとで区別されます。 たとえば、organization内のほとんどのデバイスが、同じ既定のゲートウェイと DHCP サーバー アドレスを持つ同じネットワーク名に接続されていると報告する場合、このネットワークは企業ネットワークである可能性が高いと見なすことができます。 プライベート ネットワーク デバイスはインベントリに一覧表示されないため、アクティブにプローブされません。

キャプチャして分析しているプロトコルは何ですか?

既定では、Windows 10 バージョン 1809 以降、Windows 11、Windows Server 2019、または Windows Server 2022 で実行されているすべてのオンボード デバイスは、ARP、CDP、DHCP、DHCPv6、IP (ヘッダー)、LLDP、LLMNR、mDNS、MNDP、MSSQL、NBNS、SSDP、TCP (SYN ヘッダー)、UDP (WSD)、次のプロトコルをキャプチャして分析します。

Standard 検出でアクティブなプローブに使用するプロトコルはどれですか?

標準検出を実行するようにデバイスが構成されている場合、公開されているサービスは、ARP、FTP、HTTP、HTTPS、ICMP、LLMNR、NBNS、RDP、SIP、SMTP、SNMP、SSH、Telnet、UPNP、WSD、SMB、NBSS、IPP、PJP、mDNS、DHCP、AFP、CrestonCIP、IphoneSync、WinRM、VNC、SLP、LDAP のプロトコルを使用してプローブされます。

さらに、デバイス検出では、分類の精度 & カバレッジを向上させるために、他の一般的に使用されるポートもスキャンされる場合があります。

Standard 検出を使用してターゲットをプローブから除外するにはどうすればよいですか?

ネットワーク上にデバイスが存在する場合は、アクティブにプローブする必要はありません。また、除外の一覧を定義して、スキャンされないようにすることもできます。 構成は、[デバイス検出の設定] ページで使用できます。

注:

デバイスは引き続きネットワーク内のマルチキャスト検出試行に応答する可能性があります。 これらのデバイスは検出されますが、アクティブにプローブされることはありません。

デバイスを検出から除外できますか?

デバイス検出ではパッシブメソッドを使用してネットワーク内のデバイスを検出するため、企業ネットワーク内のオンボードデバイスと通信するすべてのデバイスを検出し、インベントリに一覧表示できます。 アクティブなプローブからのみデバイスを除外できます。

アクティブなプローブの頻度はどのくらいですか?

デバイスの特性の変化が観察されると、デバイスはアクティブにプローブされ、既存の情報が最新の状態であることを確認します (通常、デバイスは 3 週間で 1 回以上プローブされません)。

セキュリティ ツールで、UnicastScanner.ps1/PSScript_{GUID}.ps1 またはポート スキャン アクティビティによって開始されたアラートが発生しました。何を行う必要がありますか?

アクティブなプローブ スクリプトは Microsoft によって署名され、安全です。 除外リストには、次のパスを追加できます。 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Standard 検出アクティブ プローブによって生成されるトラフィックの量は何ですか?

アクティブプローブは、オンボードされたデバイスとプローブされたデバイスの間で最大 50Kb のトラフィックを生成できます。プローブの試行ごとに

デバイス インベントリ内の "オンボード可能" デバイスとダッシュボード タイルの "オンボードするデバイス" の数に不一致があるのはなぜですか?

デバイス インベントリの [オンボード可能] に表示されているデバイスの数、"Microsoft Defender for Endpointにオンボードする" セキュリティに関する推奨事項、ダッシュボード ウィジェットの "オンボードするデバイス" の数が異なる場合があります。

セキュリティに関する推奨事項とダッシュボード ウィジェットは、ネットワークで安定しているデバイス用です。一時的なデバイス、ゲスト デバイスなどを除く。 アイデアは、organizationの全体的なセキュリティ スコアを意味する永続的なデバイスにも推奨することです。

見つかったアンマネージド デバイスをオンボードできますか?

はい。 アンマネージド デバイスは手動でオンボードできます。 ネットワーク内のアンマネージド エンドポイントでは、ネットワークに脆弱性とリスクが発生します。 それらをサービスにオンボードすると、セキュリティの可視性が高まる可能性があります。

アンマネージド デバイスの正常性状態が常に "アクティブ" であることに気付きましたが、なぜですか?

一時的に、アンマネージド デバイスの正常性状態は、実際の状態に関係なく、デバイス インベントリの標準保有期間中に "アクティブ" になります。

標準検出は悪意のあるネットワーク アクティビティのように見えますか?

Standard 検出を検討するときは、プローブの影響、特にセキュリティ ツールが悪意のあるアクティビティを疑う可能性があるかどうかについて疑問に思うかもしれません。 次のサブセクションでは、ほとんどの場合、組織が Standard 検出を有効にすることに関する懸念がない理由について説明します。

プローブは、ネットワーク上のすべての Windows デバイスに分散されます

通常、いくつかの侵害されたデバイスからネットワーク全体をスキャンする悪意のあるアクティビティとは対照的に、Microsoft Defender for Endpointの標準検出プローブは、オンボードされているすべての Windows デバイスから開始され、アクティビティが問題なく、異常でなくなります。 プローブはクラウドから一元的に管理され、ネットワーク内でサポートされているすべてのオンボード デバイス間でプローブ試行のバランスを取ります。

アクティブプローブは、余分なトラフィックのごくわずかの量を生成します

非管理対象デバイスは、通常、3 週間に 1 回以上プローブされ、50 KB 未満のトラフィックが生成されます。 通常、悪意のあるアクティビティには、反復的なプローブ試行が多く含まれ、場合によっては、ネットワーク監視ツールによって異常として識別できる大量のネットワーク トラフィックを生成するデータ流出が含まれます。

Windows デバイスでアクティブな検出が既に実行されている

アクティブな検出機能は、ネットワーク内のエンドポイント間の "プラグ アンド プレイ" エクスペリエンスとファイル共有を容易にするために、近くのデバイス、エンドポイント、プリンターを見つけるために、常に Windows オペレーティング システムに埋め込まれています。 モバイル デバイス、ネットワーク機器、インベントリ アプリケーションにも同様の機能が実装されています。

標準検出では、同じ検出方法を使用してデバイスを識別し、Microsoft Defender XDR デバイス インベントリ内のネットワーク内のすべてのデバイスを一体化した可視性を実現します。 たとえば、Standard 検出では、ネットワーク内の使用可能なプリンターを Windows が一覧表示するのと同じ方法で、ネットワーク内の近くのエンドポイントが識別されます。

ネットワーク セキュリティと監視ツールは、ネットワーク上のデバイスによって実行されるこのようなアクティビティに対して無関心です。

アンマネージド デバイスのみがプローブされている

デバイス検出機能は、ネットワーク上のアンマネージド デバイスのみを検出して識別するために構築されています。 つまり、Microsoft Defender for Endpointで既にオンボードされている以前に検出されたデバイスはプローブされません。

アクティブなプローブからネットワーク の魅力を除外できます

Standard Discovery では、アクティブなプローブからのデバイスまたは範囲 (サブネット) の除外がサポートされています。 ネットワーク の誘惑がデプロイされている場合は、[デバイス検出] 設定を使用して、IP アドレスまたはサブネット (IP アドレスの範囲) に基づいて除外を定義できます。 これらの除外を定義すると、それらのデバイスがアクティブにプローブされなくなり、アラートが生成されなくなります。 これらのデバイスは、パッシブ メソッドのみを使用して検出されます (基本検出モードに似ています)。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。