Defender EASM インベントリ フィルターの概要
この記事では、Microsoft Defender 外部攻撃面管理 (Defender EASM) で使用できるフィルター機能の概要について説明します。 フィルター処理は、選択したパラメーターに基づいてインベントリ資産の特定のサブセットを見つけるのに役立ちます。 この記事では、各フィルターと演算子について概説し、最適な結果を得る入力オプションに関するガイダンスを提供します。 また、フィルター処理された結果に簡単にアクセスできるようにクエリを保存する方法についても説明します。
しくみ
インベントリ フィルターを使用すると、検索パラメーターを満たすデータの特定のサブセットにアクセスできます。 必要な数のフィルターを適用して、必要な結果を取得できます。
既定では、[ インベントリ ] 画面には 承認済み 在庫資産のみが表示されます。 代替状態の資産は非表示になります。 別の状態の資産を表示する場合は、このフィルターを削除できます。 その他の状態は、 候補、 依存関係、 調査が必要です。
承認済みインベントリ フィルターを削除すると、次の処理が必要な場合に便利です。
- 潜在的な新しい資産を確認します。
- サード パーティの依存関係の問題を調査します。
- 検索を行うときに、潜在的な所有資産の完全なビューを表示します。
Defender EASM には、さまざまなレベルの粒度の結果を取得するためのさまざまなフィルターが用意されています。 一部のフィルターでは、ドロップダウン リストから値オプションを選択できます。 他のユーザーは、必要な値を手動で入力する必要があります。
保存済みのクエリ
目的のクエリを保存して、結果の資産リストにすばやくアクセスできます。 この機能は、定期的に資産の特定のサブセットを検索する必要がある場合に便利です。 また、後で特定のフィルター構成を簡単に参照する必要がある場合にも役立ちます。 保存されたフィルターは、高度にカスタマイズ可能なパラメーターに基づいて、最も重要な資産に簡単にアクセスするのに役立ちます。
クエリを保存するには、次の手順に従います。
まず、フィルターを慎重に選択して、目的の結果を生成します。 資産の種類ごとに適用可能なフィルターの詳細については、「次の手順」セクションを参照してください。 この例では、更新が必要な 30 日以内に有効期限が切れるドメインを検索しています。 [Search] を選択します。
![[検索] ボタンと [保存済みクエリ] ボタンが強調表示されている [インベントリ] ページを示すスクリーンショット。](media/saved-filters-1.png)
結果の資産を確認します。 選択したフィルターに問題がなければ、クエリを保存するには、[クエリの保存] を選択 します。
クエリに名前を付け、説明を入力します。 初期セットアップ後にクエリ名を編集することはできませんが、後で説明を変更できます。 [保存] を選択します。 クエリが保存されたことを確認するバナーが表示されます。
![[クエリ構成の保存] ページを示すスクリーンショット。](media/saved-filters-2.png)
保存したフィルターを表示するには、インベントリ リスト ページの上部にある [ 保存されたクエリ ] タブを選択します。 保存されたクエリは、上部のセクションに表示されます。 [ クエリを開く ] を選択すると、指定されたパラメーターによってインベントリがフィルター処理されます。 このページでは、保存されたクエリを編集または削除することもできます。
![[インベントリ] ページの [保存済みクエリ] タブを示すスクリーンショット。](media/saved-filters-3.png)
オペレーター
インベントリ フィルターは、次の演算子で使用できます。 一部の演算子は、すべてのフィルターで使用できるわけではありません。 一部の演算子は、特定のフィルターに論理的に適用できない場合は非表示になります。
| 演算子 | 説明 |
|---|---|
Equals |
検索値と完全に一致する結果を返します。 このフィルターは、一度に 1 つの値の結果のみを返します。 オプションのドロップダウン リストを設定するフィルターの場合、一度に選択できるオプションは 1 つだけです。 複数の値を選択するには、 演算子を In 参照してください。 |
Not Equals |
フィールドが検索値と完全に一致しない結果を返します。 |
Starts with |
フィールドが検索値で始まる結果を返します。 |
Does not start with |
フィールドが検索値で始まらない結果を返します。 |
Matches |
フィールド内のトークン化された用語が検索値と完全に一致する結果を返します。 |
Does not match |
フィールド内のトークン化された用語が検索値と正確に一致しない結果を返します。 |
In |
フィールドがいずれかの検索値と完全に一致する結果を返します。 ドロップダウン リストでは、複数のオプションを選択できます。 |
Not In |
フィールドが検索値のいずれにも完全に一致しない結果を返します。 複数のオプションを選択できます。 フィールドを手動で入力すると、正確な値と一致する結果が除外されます。 |
Starts with in |
フィールドがいずれかの検索値で始まる結果を返します。 |
Does not start with in |
フィールドが検索値で始まらない結果を返します。 |
Matches in |
フィールド内のトークン化された用語がいずれかの検索値と完全に一致する結果を返します。 |
Does not match in |
フィールド内のトークン化された用語が検索値と完全に一致しない結果を返します。 |
Contains |
フィールド コンテンツに検索値が含まれる結果を返します。 |
Does Not Contain |
フィールドコンテンツに検索値が含まれていない結果を返します。 |
Contains in |
フィールド コンテンツにいずれかの検索値が含まれる結果を返します。 |
Does Not Contain In |
フィールド コンテンツ内のトークン化された用語に検索値が含まれていない結果を返します。 |
Empty |
指定したフィルターの値を返さない資産を返します。 |
Not Empty |
値に関係なく、指定したフィルターの値を返すすべての資産を返します。 |
Greater Than or Equal To |
数値以上の結果を返します。 日付が含まれます。 |
Between |
数値範囲内の結果を返します。 日付範囲を含みます。 |
一般的なフィルター
これらのフィルターは、インベントリ内のすべての種類の資産に適用されます。 これらのフィルターは、より広い範囲の資産を検索するときに使用できます。 特定の種類の資産のフィルターの一覧については、「次の手順」セクションを参照してください。
定義された値フィルター
次のフィルターは、選択できるオプションのドロップダウン リストを提供します。 使用可能な値は定義済みです。
| フィルター名 | 説明 | 選択可能な値 | 使用可能な演算子 |
|---|---|---|---|
| 種類 | インベントリを構成する特定の Web プロパティの種類でフィルター処理します。 | ASN、Contact、Domain、Host、IP Address、IP Block、Page、SSL Cert |
Equals, Not Equals, In, Not In, Empty, Not Empty |
| State | organizationとの関連性と Defender EASM がそれらを監視する方法を区別するために資産に割り当てられた状態。 | 承認済み、候補、依存関係、監視のみ、調査が必要 | |
| インベントリから削除 | 資産がインベントリから削除された方法。 | アーカイブ済み、無視済み | |
| 作成日時 | 資産がインベントリに作成された日付でフィルター処理します。 | 予定表ドロップダウンを使用した日付範囲 |
Greater Than or Equal To, Less Than or Equal To, Between |
| 最初に表示される | Defender EASM 検出システムによって資産が最初に観察された日付でフィルター処理します。 | 予定表ドロップダウンを使用した日付範囲 | |
| 最終表示 | Defender EASM 検出システムによって資産が最後に観察された日付でフィルター処理します。 | 予定表ドロップダウンを使用した日付範囲 | |
| ラベル | 在庫資産に手動で適用されるラベルのフィルター。 | 自由形式の応答を受け入れますが、Defender EASM リソースで使用できるラベルのドロップダウンも提供します | |
| 更新日時 | 資産データがインベントリで最後に更新された日付でフィルター処理します。 | 予定表ドロップダウンを使用した日付範囲 | |
| ワイルドカード | ワイルドカード DNS レコードは、まだ定義されていないサブドメインの DNS 要求に応答します。 たとえば、*.contoso.com です。 | True、False |
Equals, Not Equals |
フリーフォーム フィルター
次のフィルターでは、検索に使用する値を手動で入力する必要があります。 これらの値の多くは大文字と小文字が区別されます。
| フィルター名 | 説明 | 値の書式 | 該当する演算子 |
|---|---|---|---|
| UUID | 特定の資産に割り当てられた汎用一意識別子。 | acabe677-f0c6-4807-ab4e-3a59d9e66b22 |
Equals, Not Equals, In, Not In |
| 名前 | 資産の名前。 | インベントリに記載されている資産名の形式に合わせる必要があります。 たとえば、ホストは mail.contoso.com として表示され、IP は 192.168.92.73 として表示されます。 |
Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| 外部 ID | サード パーティによって提供される識別子。 | 通常は数値です。 |
Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
承認済みのインベントリ外の資産をフィルター処理する
左端のウィンドウで、[ インベントリ ] を選択してインベントリを表示します。
承認済みインベントリ フィルターを削除するには、[状態 = 承認済み] フィルターの横にある [X] を選択します。 インベントリ リストが展開され、無視など、他の状態の資産 が含まれます。
![[承認済みインベントリ フィルター] が強調表示されているスクリーンショット。](media/filters-2.png)
インベントリ フィルターを使用して、検索する資産を特定します。 [候補] 状態のすべての資産を確認できます。 また、organizationにとって重要な資産を承認済みインベントリに追加することもできます。
または、 承認済 みインベントリに追加する 1 つの特定の資産を見つける必要がある場合があります。 特定の資産を検出するには、フィルターを適用して名前を検索します。
インベントリ リストに、検索していた未承認の資産が表示されたら、資産を変更できます。 資産を更新する方法の詳細については、「インベントリ資産 の変更」を参照してください。