Microsoft Defender for Endpoint によって検出されたアプリを調査する
Microsoft Defender for Cloud Apps の Microsoft Defender for Endpoint との統合により、シャドウ IT のシームレスな表示と制御ソリューションが実現します。 この統合により、Defender for Cloud Apps の管理者は、デバイス、ネットワーク イベント、アプリの使用状況を調査できるようになります。
前提条件
この記事の手順を実行する前に、Microsoft Defender for Endpoint と Microsoft Defender for Cloud アプリが統合されていることを確認してください。
Defender for Cloud Apps で検出されたデバイスを調査する
Defender for Endpoint を Defender for Cloud Apps に統合した後は、検出されたデバイスを Cloud Discovery ダッシュボードで調査します。
Microsoft Defender ポータルの [クラウド アプリ] で、[Cloud Discovery]>[ダッシュボード] の順に選択します。
ページの上部にある [Defender マネージド エンドポイント] を選択します。 このストリームには、Defender for Cloud Apps の [前提条件] で触れられたオペレーティング システムからのデータが含まれています。
上部には、統合後に追加された検出されたデバイスの数が表示されます。
[デバイス] タブを選択します。
リストの各デバイスにドリルダウンし、タブを使用して調査データを表示します。 インシデントに関係したデバイス、ユーザー、IP アドレス、アプリの間の相関関係を見つけます。
概要:
- デバイスのリスク レベル: デバイスのプロファイルが組織内の他のデバイスと比較してどの程度危険であるかを重大度 (高、中、低、情報) で示します。 Defender for Cloud Apps では、高度な分析に基づき、各デバイスの、Defender for Endpoint からのデバイス プロファイルが使用されます。 デバイスのベースラインに対して異常なアクティビティが評価され、デバイスのリスク レベルが決定されます。 デバイスのリスク レベルを使用して、最初に調査するデバイスを決定します。
- トランザクション: 選択した期間中にデバイス上で発生したトランザクションの数に関する情報。
- 合計トラフィック: 選択した期間のトラフィックの合計量に関する情報 (MB 単位)。
- アップロード: 選択した期間中にデバイスによってアップロードされたトラフィックの合計量 (MB 単位) に関する情報。
- ダウンロード: 選択した期間中にデバイスによってダウンロードされたトラフィックの合計量 (MB 単位) に関する情報。
検出されたアプリ: デバイスによってアクセスされ、検出されたすべてのアプリをリストします。
ユーザー履歴: デバイスにサインインしたすべてのユーザーを一覧表示します。
IP アドレス履歴: デバイスに割り当てられたすべての IP アドレスをリストします。
他のクラウド ディスカバリー ソースと同様、Defender マネージド エンドポイント レポートからデータをエクスポートして、さらに詳しく調査できます。
Note
- Defender for Endpoint により、データは、最大 4 MB (最大 4,000 のエンドポイント トランザクション) のチャンクで、Defender for Cloud Apps に転送されます
- 1 時間以内に 4 MB の制限に達しない場合、Defender for Endpoint は過去 1 時間に実行されたすべてのトランザクションを報告します。
エンドポイントがネットワーク プロキシの背後にあるときに Defender for Endpoint 経由でアプリを検出する (プレビュー)
Defender for Cloud Apps は、ネットワークプロキシとして同じ環境で動作している Defender for Endpoint デバイスから検出されたシャドウ IT ネットワーク イベントを検出できます。 たとえば、Windows 10 エンドポイント デバイスが ZScalar と同じ環境にある場合、Defender for Cloud Apps は Win10 エンドポイント ユーザー ストリームを介してシャドウ IT アプリケーションを検出できます。
Microsoft Defender XDR でデバイス ネットワーク イベントを調査する
Note
ネットワーク イベントは、検出されたアプリの調査に使用する必要があり、欠落データのデバッグには使用しないでください。
Microsoft Defender for Endpoint でデバイスのネットワーク アクティビティをより詳細に可視化するには、次の手順を使用します。
- Microsoft Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[デバイス] タブを選択します。
- 調査するマシンを選択し、左上の [Microsoft Defender for Endpoint で表示] を選択します。
- Microsoft Defender XDR の [資産] ->[デバイス> {選択したデバイス}] で、[タイムライン] を選択します。
- フィルタで、ネットワーク イベントを選択します。
- 必要に応じて、デバイスのネットワーク イベントを調査します。
高度な追求機能を使用して Microsoft Defender XDR のアプリの使用状況を調査する
Defender for Endpoint でアプリ関連のネットワーク イベントをより詳細に表示するには、次の手順を使用します。
Microsoft Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[検出されたアプリ] タブを選択します。
調査するアプリを選択して、そのドロワーを開きます。
アプリの ドメイン リストを選択し、ドメインのリストをコピーします。
Microsoft Defender XDR の [ハンティング] で、[高度なハンティング] を選択します。
次のクエリを貼り付け、
<DOMAIN_LIST>を前にコピーしたドメインのリストに置き換えます。DeviceNetworkEvents | where RemoteUrl has_any ("<DOMAIN_LIST>") | order by Timestamp descクエリを実行して、このアプリのネットワーク イベントを調査します。
Microsoft Defender XDR で未承認のアプリを調査する
承認されていないアプリにアクセスしようとするたびに、Microsoft Defender XDR でアラートがトリガーされ、セッション全体に関する詳細が表示されます。 これにより、承認されていないアプリへのアクセスの試みについてより詳細な調査を実行できるほか、エンドポイント デバイスの調査に使用する追加の関連情報も提供されます。
エンドポイント デバイスが正しく構成されていないか、適用ポリシーがまだエンドポイントに伝播されていないために、承認されていないアプリへのアクセスがブロックされない場合があります。 この場合、Defender for Endpoint 管理者は、承認されていないアプリがブロックされなかったというアラートを Microsoft Defender XDR で受け取ります。
Note
- アプリを Unsanctioned としてタグ付けしてから、アプリ ドメインがエンドポイント デバイスに伝播されるまでに最大 2 時間かかります。
- 既定では、Defender for Cloud Apps で承認されていないとマークされたアプリとドメインは、組織内のすべてのエンドポイント デバイスに対してブロックされます。
- 現在、未承認のアプリでは完全な URL はサポートされていません。 したがって、完全な URL で構成されたアプリの承認を解除しても、それらは Defender for Endpoint に伝播されず、ブロックされません。 たとえば、
google.com/driveはサポートされていませんが、drive.google.comはサポートされています。 - ブラウザ内通知はブラウザごとに異なる場合があります。
次のステップ
関連ビデオ
問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。