資産の変更の概要

  • [アーティクル]

この記事では、インベントリの資産を変更する方法の概要を説明します。 資産の状態の変更、コンテキストを提供するための外部 ID の割り当てやラベルの適用、インベントリ データの使用などができます。 また、CVE や他の監視を適用不可としてマークし、報告されるカウントから削除することもできます。 また、検出に使われた方法に基づいて、資産をインベントリから一括で削除することもできます。 たとえば、ユーザーは、検出グループからシードを削除し、このシードへの接続を通して検出されたすべての資産を削除対象にできます。 この記事では、Defender EASM で使用できるすべての変更オプションについて説明し、タスク マネージャーで資産の更新と更新の追跡を行う方法の概要を示します。

資産にラベルを付ける

ラベルは、攻撃面を整理し、カスタマイズ可能な方法でビジネス コンテキストを適用するのに役立ちます。 資産のサブセットに任意のテキスト ラベルを適用して、資産をグループ化し、インベントリをより効果的に使用できます。 お客様は、一般に次のような資産を分類します。

  • 最近、合併または買収を通じて組織が所有権を持つようになった。
  • コンプライアンスの監視が必要である。
  • 組織内の特定の部署が所有している。
  • 軽減する必要がある特定の脆弱性の影響を受ける。
  • 組織が所有する特定のブランドに関連する。
  • 特定の時間範囲内にインベントリに追加された。

ラベルは自由形式のテキスト フィールドなので、組織に適用されるすべてのユース ケースのラベルを作成できます。

[ラベル] 列がフィルター処理されているインベントリ一覧ビューを示すスクリーンショット。

資産の状態を変更する

ユーザーは資産の状態を変更することもできます。 状態は、組織での役割に基づいてインベントリを分類するのに役立ちます。 ユーザーは、次のように状態を切り替えることができます。

  • 承認済みインベントリ: ユーザーが所有する攻撃面の一部。ユーザーが直接責任を負う項目。
  • 依存関係: サード パーティが所有しているが、ユーザーが所有している資産の運用を直接サポートするため、ユーザーの攻撃面の一部であるインフラストラクチャ。 たとえば、Web コンテンツをホストするために IT プロバイダーに依存している場合があります。 ドメイン、ホスト名、ページは「承認済みインベントリ」の一部になりますが、ホストを実行している IP アドレスは「依存関係」として扱うことができます。
  • 監視のみ: ユーザーの攻撃面に関連するが、ユーザーの組織が直接制御しておらず、技術的な依存関係もない資産。 たとえば、独立したフランチャイズまたは関連企業に属する資産は、レポートの目的でこのグループを分離するために、「承認済みインベントリ」ではなく「監視のみ」というラベルを付けることができます。
  • 候補: ユーザーの組織の既知のシード資産と何らかの関係があるものの、"承認済みインベントリ" としてすぐにラベルを付けるほど十分に強固な関連性を持たない資産。 これらの候補資産は、所有権を決定するために手動で確認する必要があります。
  • 要調査: "候補" 状態に似ている状態。ただし、この値は、検証のために人手での調査が必要な資産に適用されます。 これは、検出された資産間の関連性の強さを評価する、内部生成の信頼度スコアに基づき決定されます。 これは、分類方法を決定するために追加の確認が必要であるというフラグをこの資産に設定したことを示しますが、組織に対するインフラストラクチャの正確な関係は示していません。

外部 ID を適用する

ユーザーは、資産に外部 ID を適用することもできます。 このアクションは、資産の追跡、修復アクティビティ、または所有権の監視に複数のソリューションを使用する場合に役立ちます。Defender EASM 内に外部 ID が表示されていると、この種類が異なる資産情報を調整するのに役立ちます。 外部 ID の値は、数字または英数字で指定でき、テキスト形式で入力する必要があります。 外部 ID は [資産の詳細] セクションにも表示されます。

監視を適用不可としてマークする

Defender EASM ダッシュボードの多くには CVE データが表示され、攻撃面に利用される Web コンポーネント インフラストラクチャに基づく潜在的な脆弱性への注意をユーザーに促します。 たとえば、[攻撃面のサマリー] ダッシュボードには、潜在的な重大度によって分類された CVE の一覧が表示されます。 これらの CVE を調べると、組織に関係のないものであることがわかる場合があります。 これは、影響を受けないバージョンの Web コンポーネントを実行しているためや、その特定の脆弱性からユーザーを保護するためのさまざまな技術ソリューションを組織が設けているためである可能性があります。

CVE 関連のグラフのドリルダウン ビューの、[CSV レポートのダウンロード] ボタンの横で、監視を適用不可として設定できるようになりました。 この値をクリックすると、その監視に関連付けられているすべての資産のインベントリ一覧に移動し、このページからすべての監視を適用不可としてマークできます。 実際の変更は、インベントリ一覧ビューまたは特定の資産の [資産の詳細] ページから実行されます。

資産を変更する方法

資産は、インベントリ一覧ページと資産の詳細ページの両方から変更できます。 資産の詳細ページでは、1 つの資産を変更できます。 インベントリ一覧ページでは、1 つまたは複数の資産を変更できます。 以降のセクションでは、ユース ケースに応じて 2 つのインベントリ ビューから変更を適用する方法について説明します。

インベントリ一覧ページ

多数の資産を一度に更新したい場合は、インベントリ一覧ページから資産を変更する必要があります。 フィルター パラメーターに基づいて、資産の一覧を絞り込むことができます。 このプロセスは、目的のラベル、外部 ID、または状態変更で分類する必要がある資産を識別するのに役立ちます。 このページから資産を変更するには、次のようにします。

  1. Microsoft Defender 外部攻撃面管理 (Defender EASM) リソースの左端のペインで、[インベントリ] を選びます。

  2. フィルターを適用して意図する結果を生成します。 この例では、30 日以内に有効期限が切れる、更新が必要なドメインを探しています。 適用されたラベルは、期限切れのドメインにすばやくアクセスして修復プロセスを簡単にするのに役立ちます。 必要な特定の結果を得るために必要なだけいくつでもフィルターを適用できます。 フィルターについて詳しくは、インベントリ フィルターの概要に関する記事をご覧ください。 たとえば、CVE を適用不可としてマークしたい場合は、関連するダッシュボールド チャートのドリルダウンにあるリンクを使って、適切なフィルターが適用されたこのインベントリ ページに直接移動できます。

    [フィルターの追加] ドロップダウンが開かれてクエリ エディターが表示されているインベントリ一覧ビューを示すスクリーンショット。

  3. インベントリ一覧をフィルター処理したら、[資産] テーブル ヘッダーの横にあるチェック ボックスでドロップダウンを選びます。 このドロップダウンには、クエリに一致するすべての結果、またはその特定のページの結果 (最大 25 件) を選ぶオプションが表示されます。 [なし] オプションはすべての資産をクリアします。 また、各資産の横にある個々のチェック ボックスをオンにして、ページ上の特定の結果のみを選ぶこともできます。

    一括選択ドロップダウンが開かれたインベントリ一覧ビューを示すスクリーンショット。

  4. [資産の変更] を選びます。

    使用できる変更オプションを示すスクリーンショット。

  5. 画面の右側に開く [資産の変更] ペインでは、選んだ資産のさまざまなフィールドをすばやく変更できます。 この例では、新しいラベルを作成します。 [新しいラベルの作成] を選びます。

  6. ラベル名と表示テキストの値を決めます。 ラベル名は最初にラベルを作成した後では変更できませんが、表示テキストは後で編集できます。 ラベル名は製品インターフェイスまたは API でのラベルのクエリに使われるため、これらのクエリが正しく機能するように編集は無効になっています。 ラベル名を編集するには、元のラベルを削除して新しいラベルを作成する必要があります。

    新しいラベルの色を選んで、[追加] を選びます。 この操作を行うと、[資産の変更] 画面に戻ります。

    構成フィールドが表示されてる [ラベルの追加] ペインを示すスクリーンショット。

  7. 新しいラベルを資産に適用します。 [ラベルの追加] テキスト ボックスの内側をクリックすると、使用できるラベルの完全な一覧が表示されます。 または、ボックス内に入力してキーワードで検索することもできます。 適用するラベルを選んだら、[更新] を選びます。

    新しく作成したラベルが適用された [資産の変更] ペインを示すスクリーンショット。

  8. ラベルが適用されるまでしばらく待ちます。 プロセスが完了すると、"完了" という通知が表示されます。 ページが自動的に更新され、ラベルがわかる資産一覧が表示されます。 画面上部のバナーに、ラベルが適用されたことの確認が表示されます。

    選んだ資産に新しいラベルが表示されているインベントリ一覧ビューを示すスクリーンショット。

資産の詳細ページ

資産の詳細ページで 1 つの資産を変更することもできます。 このオプションは、ラベルまたは状態の変更を適用する前に資産をよく確認する必要がある場合に最適です。

  1. Defender EASM リソースの左端のペインで、[インベントリ] を選びます。

  2. 変更する特定の資産を選んで、資産の詳細ページを開きます。

  3. このページで、[資産の変更] を選びます。

    [資産の変更] ボタンが強調されている資産の詳細ページを示すスクリーンショット。

  4. 「インベントリ一覧ページ」セクションのステップ 5 から 7 のようにします。

  5. 資産の詳細ページが更新され、新しく適用したラベルまたは状態変更が表示されます。 バナーで、資産が正常に更新されたことが示されます。

ラベルを変更または削除する

ユーザーは、インベントリ一覧または資産の詳細ビューから同じ [資産の変更] ペインにアクセスして、資産からラベルを削除できます。 インベントリ一覧ビューでは、一度に複数の資産を選んで、1 回の操作で目的のラベルを追加または削除できます。

ラベル自体を変更するか、システムからラベルを削除するには:

  1. Defender EASM リソースの左端のペインで、[ラベル (プレビュー)] を選びます。

    ラベルを管理できる [ラベル (プレビュー)] ページを示すスクリーンショット。

    このページには、自分の Defender EASM インベントリ内のすべてのラベルが表示されます。 このページのラベルは、システムに存在していても、どの資産にもアクティブに適用されていない可能性があります。 このページから新しいラベルを追加することもできます。

  2. ラベルを編集するには、編集するラベルの [アクション] 列にある鉛筆アイコンを選びます。 画面の右側に開いたペインで、ラベルの名前や色を変更できます。 [更新] を選択します。

  3. ラベルを削除するには、削除するラベルの [アクション] 列にあるごみ箱アイコンを選びます。 [ラベルの削除] を選びます。

    ラベル管理ページの [削除の確認] オプションを示すスクリーンショット。

[ラベル] ページが自動的に更新されます。 ラベルが一覧から削除され、ラベルが適用されていた資産からも削除されます。 バナーに削除の確認が表示されます。

監視を適用不可としてマークする

他の手動変更と同じ [資産の変更] 画面から監視を適用不可としてマークできますが、これらの更新は資産の詳細の [監視] タブから行うこともできます。 [監視] タブには、[監視] と [対象外の監視] の 2 つのテーブルがあります。 [監視] テーブルには攻撃面内で "最近" と判断されたすべてのアクティブな監視が含まれ、[適用不可の監視] テーブルには、手動で適用不可とマークした、またはシステムによって適用されなくなったと判断されたすべての監視が一覧表示されます。 監視を適用不可としてマークし、その特定の監視をダッシュボードのカウントから除外するには、目的の監視を選んで、[適用不可として設定する] をクリックします。これらの監視は、アクティブな [監視] テーブルからすぐに消去されて、代わりに [適用不可の監視] テーブルに表示されます。 このテーブルから関連する監視を選んで [適用可能に設定する] を選ぶと、いつでもこの変更を元に戻すことができます。

複数の CVE が選ばれて適用不可としてマークされている [監視] タブを示すスクリーンショット。

タスク マネージャーと通知

タスクが送信された後、更新が進行中であることを確認する通知が表示されます。 Azure の任意のページで通知 (ベル) アイコンを選ぶと、最近のタスクに関する詳細情報が表示されます。

タスクが送信した通知を示すスクリーンショット。最近のタスクの状態が表示された [通知] ペインを示すスクリーンショット。

Defender EASM システムの更新には、少数の資産で数秒、数千の資産では数分かかる場合があります。 タスク マネージャーを使って、進行中の変更タスクの状態を確認できます。 このセクションでは、タスク マネージャーにアクセスして使い、送信された更新の完了をよりよく把握する方法を説明します。

  1. Defender EASM リソースの左端のペインで、[タスク マネージャー] を選びます。

    ナビゲーション ウィンドウの適切なセクションが強調されている [タスク マネージャー] ページを示すスクリーンショット。

  2. このページには、最近のすべてのタスクとその状態が表示されます。 タスクの一覧は、[完了][失敗]、または [進行中] と表示されます。 完了率と進行状況バーも表示されます。 特定のタスクの詳細を確認するには、タスク名を選びます。 画面の右側に開くペインに、詳細情報が表示されます。

  3. タスク マネージャーのすべての項目の最新の状態を見るには、[最新の情報に更新] を選びます。

ラベルのフィルター処理

インベントリ内の資産にラベルを付けた後は、インベントリ フィルターを使って、特定のラベルが適用されているすべての資産の一覧を取得できます。

  1. Defender EASM リソースの左端のペインで、[インベントリ] を選びます。

  2. [フィルターの追加] を選択します。

  3. [フィルター] ドロップダウン リストから [ラベル] を選びます。 演算子を選び、オプションのドロップダウン リストからラベルを選びます。 次の例では、1 つのラベルを検索する方法を示します。 [In] 演算子を使って、複数のラベルを検索できます。 フィルターについて詳しくは、インベントリ フィルターの概要に関する記事をご覧ください。

    [ラベル] フィルターと、使用可能なラベル値のドロップダウン リストが表示されている、フィルターの適用に使われるクエリ エディターを示すスクリーンショット。

  4. 適用を選択します。 インベントリ一覧ページが再度読み込まれ、条件に一致するすべての資産が表示されます。

資産チェーン ベースの管理

場合によっては、検出に使われた手段に基づいて複数の資産を一度に削除したい場合があります。 たとえば、検出グループ内の特定のシードによって組織と関係のない資産が取り込まれた場合や、自分の権限下になくなった子会社に関連する資産を削除する必要がある場合です。 このため、Defender EASM には、ソース エンティティと、検出チェーンで "ダウンストリーム" にあるすべての資産を削除する機能が用意されています。 次の 3 つの方法で、リンクされた資産を削除できます。

  • シード ベースの管理: ユーザーは、検出グループに含まれていたことのあるシードを削除して、指定したシードで観察された接続を通じてインベントリに追加されたすべての資産を削除できます。 この方法は、手動で入力した特定のシードによって、意図しない資産がインベントリに追加されたことが判断できる場合に便利です。
  • 検出チェーンの管理: ユーザーは、検出チェーンで資産を特定して削除し、そのエンティティによって検出されたすべての資産を同時に削除できます。 検出は再帰的なプロセスであり、シードをスキャンして、指定されたシードに直接関連付けられている新しい資産を特定してから、引き続き新しく検出されたエンティティをスキャンして、より多くの接続を明らかにします。 この削除方法は、検出グループは適切に構成されているが、新しく検出された資産と、そのエンティティへの関連付けによってインベントリに取り込まれた資産を削除する必要がある場合に便利です。 検出グループの設定を検討し、指定したシードを検索チェーンの "先頭" と考えます。この削除方法を使うと、中間から資産を削除できます。
  • 検出グループの管理: ユーザーは、検出グループ全体と、この検出グループを通じてインベントリに追加されたすべての資産を削除できます。 これは、検出グループ全体が組織に適用されなくなった場合に便利です。 たとえば、子会社に関連する資産を特に検索する検出グループがあるとします。 この子会社が組織に関係なくなった場合は、資産チェーン ベースの管理を利用して、その検出グループを通じてインベントリに取り込まれたすべての資産を削除できます。

その場合でも、インベントリ一覧を "アーカイブ済み" 状態の資産でフィルター処理するだけで、Defender EASM で削除された資産を表示できます。

シード ベースの削除

最初に指定する検出シードの 1 つを、検出グループに含まれないようにすることができます。 シードは、組織に関係なくなったり、正当に所有される資産より誤検知が多くなったりする可能性があります。 このような場合は、検出グループからシードを削除して、将来の検出実行で使われないようにするのと同時に、指定したシードを通じて過去にインベントリに取り込まれた資産を削除できます。

シードに基づく一括削除を実行するには、適切な検出グループの詳細ページに移動して、[検出グループの編集] をクリックします。指示に従って [シード] ページに移動し、問題のあるシードを一覧から削除します。 [確認と更新] を選ぶと、指定したシードを介して検出された資産もすべて削除されることを示す警告が表示されます。 [更新] または [更新して実行] を選んで削除を完了します。

シードとそのシードを介して検出されたすべての資産の削除を示す警告が表示された [検索グループの編集] ページを示すスクリーンショット。

検出チェーン ベースの削除

次の例では、[攻撃面のサマリー] ダッシュボードで安全でないログイン フォームを検出したとします。 調査によって、組織が所有していないように見えるホストにたどり着きます。 資産の詳細ページで詳細を確認します。検出チェーンを調べると、そのホストがインベントリに取り込まれたのは、対応するドメインの登録時に使われた従業員の会社のメール アドレスが、承認済みビジネス エンティティの登録にも使われたためであることがわかります。

[検出チェーン] セクションが強調されている [資産の詳細] ページを示すスクリーンショット。

このような状況では、最初の検出シード (企業ドメイン) はまだ正当であるため、代わりに問題のある資産を検出チェーンから削除する必要があります。 連絡先メールからチェーンの削除を実行することもできますが、代わりに、この従業員に登録されている個人ドメインに関連付けられているすべてのものを削除し、今後そのメール アドレスに他のドメインが登録されたら Defender EASM からアラートを受け取るようにします。 検出チェーンから、この個人ドメインを選んで、資産の詳細ページを表示します。 このビューで [検出チェーンから削除] を選び、その資産と共に、個人ドメインへの接続が観察されたためにインベントリに取り込まれたすべての資産を、インベントリから削除します。 ユーザーはその資産とすべてのダウンストリーム資産の削除を確認する必要があり、その後、この操作で削除される他の資産の概要一覧が表示されます。 [検出チェーンの削除] を選んで、一括削除を確認します。

現在の資産とすべてのダウンストリーム資産の削除を確認するようにユーザーに求めるメッセージと、この操作で削除される他の資産の概要が表示されているボックスを示すスクリーンショット。

検出グループの削除

検出グループ全体と、そのグループを介して検出されたすべての資産を削除することが、必要になる場合があります。 たとえば、会社が子会社を売却して監視する必要がなくなったような場合です。 ユーザーは、検出管理ページから検出グループを削除できます。 検出グループとすべての関連資産を削除するには、一覧で適切なグループの横にあるごみ箱アイコンを選びます。 この操作で削除される資産の概要一覧を示す警告が表示されます。 検出グループとすべての関連資産の削除を確認するには、[検出グループの削除] を選びます。

グループの削除を選んだ後に表示される警告ボックスが強調されている検出管理ページを示すスクリーンショット。

次のステップ