Microsoft Defender の [デバイス エンティティ] ページ

Microsoft Defender ポータルのデバイス エンティティ ページは、デバイス エンティティの調査に役立ちます。 ページには、特定のデバイス エンティティに関するすべての重要な情報が含まれています。 アラートまたはインシデントが、デバイスが疑わしい動作をしている、または侵害される可能性があることを示している場合は、デバイスの詳細を調査して、アラートまたはインシデントに関連する可能性のある他の動作やイベントを特定し、侵害の潜在的な範囲を検出します。 デバイス エンティティ ページを使用して、一般的なセキュリティ タスクや、セキュリティ上の脅威を軽減または修復するための応答アクションを実行することもできます。

重要

デバイス エンティティ ページに表示されるコンテンツ セットは、Microsoft Defender for Endpoint と Microsoft Defender for Identity でのデバイスの登録によって若干異なる場合があります。

組織が Microsoft Sentinel を Defender ポータルにオンボードした場合は、追加情報が表示されます。

Microsoft Sentinel では、デバイス エンティティは ホスト エンティティとも呼ばれます。 詳細情報 を参照してください。

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォーム内で一般提供されるようになりました。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。

デバイス エンティティは、次の領域にあります。

  • [資産] の下 [デバイス] の一覧
  • アラート キュー
  • 個々のアラート/インシデント
  • 個々のユーザー エンティティ ページ
  • 個々のファイルの詳細ビュー
  • 任意の IP アドレスまたはドメインの詳細ビュー
  • アクティビティ ログ
  • 高度なハンティング クエリ
  • アクション センター

ポータルでデバイスを表示するたびにデバイスを選択してデバイスのエンティティ ページを開き、デバイスの詳細を表示できます。 たとえば、インシデント >incident> Assets > Devices のアラート>インシデント & で、Microsoft Defender ポータルのインシデントのアラートに記載されているデバイスの詳細を確認できます。

Microsoft Defender ポータルのインシデントの [ユーザー] ページのスクリーンショット。

デバイス エンティティ ページには、その情報がタブ付き形式で表示されます。 この記事では、各タブで使用できる情報の種類と、特定のデバイスで実行できるアクションについて説明します。

デバイス エンティティ ページには、次のタブが表示されます。

エンティティ ページ ヘッダー

エンティティ ページの一番上のセクションには、次の詳細が含まれています。

  • エンティティ名
  • リスク重大度重要度およびデバイス値 インジケーター
  • デバイスを分類できるタグ。 Defender for Endpoint、Defender for Identity、またはユーザーによって追加できます。 Microsoft Defender for Identity のタグは編集できません。
  • 応答アクション もこちらにあります。 詳細については、以下を参照してください。

[概要 ] タブ

既定のタブは [概要] です。 デバイスに関する最も重要なセキュリティの事実を簡単に見てみましょう。 [ 概要 ] タブには、 デバイスの詳細 サイドバーと ダッシュボード が含まれており、一部のカードには大まかな情報が表示されます。

デバイスの詳細

サイドバーには、デバイスのフル ネームと露出レベルが一覧表示されます。 また、小さなサブセクションで重要な基本情報も提供します。この情報は、次のように展開または折りたたむことができます。

Section 含まれる情報
VM の詳細 マシン名とドメイン名と ID、正常性とオンボードの状態、最初と最後の表示のタイムスタンプ、IP アドレスなど
DLP ポリシー同期の詳細 関連する場合
構成の状態 Microsoft Defender for Endpoint の構成に関する詳細
クラウド リソースの詳細 クラウド プラットフォーム、リソース ID、サブスクリプション情報など
ハードウェアとファームウェア VM、プロセッサ、BIOS の情報など
デバイスの管理 Microsoft Defender for Endpoint 登録の状態と管理情報
ディレクトリ データ UAC フラグ、 SPN、およびグループ メンバーシップ。

ダッシュボード

[ 概要 ] タブのメイン部分には、いくつかのダッシュボードタイプの表示カードが表示されます。

  • 過去 6 か月間のデバイスに関連するアクティブなアラートとリスク レベル (重大度別にグループ化)
  • デバイスのセキュリティ評価と公開レベル
  • 過去 30 日間にデバイスにログオンしたユーザー
  • デバイスの正常性状態 と、デバイスの最新のスキャンに関するその他の情報。

ヒント

公開レベルは、デバイスがセキュリティに関する推奨事項にどの程度準拠しているかに関連しますが、リスク レベルは、アクティブなアラートの種類や重大度など、さまざまな要因に基づいて計算されます。

Microsoft Defender ポータルのデバイス エンティティ ページの [概要] タブのスクリーンショット。

[インシデントとアラート ] タブ

[ インシデントとアラート ] タブには、デバイスで発生したアラートを含むインシデントの一覧が含まれています。これには、Microsoft Sentinel がオンボードされている場合など、Microsoft Defender の検出ソースのいずれかから発生します。 この一覧は 、インシデント キューのフィルター処理されたバージョンであり、インシデントまたはアラートの簡単な説明、重大度 (高、中、低、情報)、キュー内の状態 (新規、進行中、解決済み)、その分類 (設定されていない、誤ったアラート、真のアラート)、調査状態、カテゴリ、それに対処するために割り当てられているユーザー、最後に観察されたアクティビティを示します。

各項目に表示する列をカスタマイズできます。 アラートは、重大度、状態、またはディスプレイ内の他の列でフィルター処理することもできます。

影響を受けるエンティティ列は、インシデントまたはアラートで参照されるすべてのデバイスエンティティとユーザー エンティティを参照します。

インシデントまたはアラートが選択されると、ポップアップが表示されます。 このパネルでは、インシデントまたはアラートを管理し、インシデント/アラート番号や関連デバイスなどの詳細を表示できます。 一度に複数のアラートを選択できます。

インシデントまたはアラートの完全なページ ビューを表示するには、そのタイトルを選択します。

Microsoft Defender ポータルの [デバイス エンティティ] ページの [インシデントとアラート] タブのスクリーンショット。

[タイムライン ] タブ

[ タイムライン ] タブには、デバイスで観察されたすべてのイベントの時系列ビューが表示されます。 これは、デバイスに関連するすべてのイベント、ファイル、IP アドレスを関連付けるのに役立ちます。

一覧に表示される列の選択は、どちらもカスタマイズできます。 既定の列には、イベント時間、アクティブ ユーザー、アクションの種類、関連付けられているエンティティ (プロセス、ファイル、IP アドレス)、およびイベントに関する追加情報が一覧表示されます。

ページの上部にあるタイムライン グラフ全体に沿って期間の境界線をスライドすることで、イベントを表示する期間を管理できます。 一覧の上部にあるドロップダウンから期間を選択することもできます (既定値は 30 日)。 ビューをさらに制御するには、イベント グループでフィルター処理するか、列をカスタマイズします。

最大 7 日間分のイベントを CSV ファイルにエクスポートしてダウンロードできます。

個々のイベントの詳細をドリルダウンします。その詳細は、結果のポップアップ パネルで [イベント] と [イベント] を選択して表示します。 以下の 「イベントの詳細」を参照 してください。

注:

ファイアウォール イベントを表示するには、監査ポリシーを有効にする必要があります。「 監査フィルター プラットフォーム接続」を参照してください。

ファイアウォールでは、次のイベントについて説明します。

  • 5025 - ファイアウォール サービスが停止しました
  • 5031 - アプリケーションがネットワーク上の受信接続を受け入れることをブロックしました
  • 5157 - 接続がブロックされました

Microsoft Defender ポータルのデバイス エンティティ ページの [タイムライン] タブのスクリーンショット。

イベントの詳細

イベントを選択すると、そのイベントに関する関連する詳細が表示されます。 ポップアップ パネルが表示され、イベントに関する詳細情報が表示されます。 表示される情報の種類は、イベントの種類によって異なります。 該当するデータが使用可能な場合は、関連するエンティティとそのリレーションシップ (ファイルやプロセスのチェーンなど) を示すグラフが表示される場合があります。 また、イベントに適用可能な MITRE ATT&CK 戦術と手法の概要説明が表示される場合もあります。

イベントと関連イベントをさらに調べるには、[関連イベントの検索] を選択して、高度なハンティング クエリをすばやく実行できます。 クエリは、選択したイベントと、同じエンドポイントで同時に発生した他のイベントの一覧を返します。

イベントの詳細パネルのスクリーンショット。

[セキュリティに関する推奨事項 ] タブ

[ セキュリティに関する推奨事項 ] タブには、デバイスを保護するために実行できるアクションが一覧表示されます。 この一覧で項目を選択するとポップアップが開き、推奨事項を適用する方法の手順を確認できます。

前のタブと同様に、表示される列の選択をカスタマイズできます。

既定のビューには、対処されたセキュリティの弱点、関連する脅威、脅威の影響を受ける関連コンポーネントまたはソフトウェアなどを詳細に示す列が含まれています。 項目は、推奨事項の状態でフィルター処理できます。

セキュリティに関する推奨事項の詳細については、こちらをご覧ください。

デバイス エンティティ ページの [セキュリティに関する推奨事項] タブのスクリーンショット。

[インベントリ ] タブ

このタブには、ソフトウェア、脆弱なコンポーネント、ブラウザー拡張機能、証明書の 4 種類のコンポーネントのインベントリが表示されます。

ソフトウェア インベントリ

このカードには、デバイスにインストールされているソフトウェアが一覧表示されます。

既定のビューには、ソフトウェア ベンダー、インストールされているバージョン番号、既知のソフトウェアの弱点の数、脅威の分析情報、製品コード、タグが表示されます。 表示される項目の数と表示される列の両方をカスタマイズできます。

この一覧から項目を選択すると、選択したソフトウェアの詳細と、ソフトウェアが最後に見つかった時点のパスとタイムスタンプを含むポップアップが開きます。

この一覧は、製品コード、弱点、脅威の存在によってフィルター処理できます。

Microsoft Defender ポータルのデバイス プロファイルの [ソフトウェア インベントリ] タブのスクリーンショット

脆弱なコンポーネント

このカードには、脆弱性を含むソフトウェア コンポーネントが一覧表示されます。

既定のビューとフィルターオプションは、ソフトウェアの場合と同じです。

項目を選択すると、ポップアップに詳細情報が表示されます。

ブラウザー拡張機能

このカードには、デバイスにインストールされているブラウザー拡張機能が表示されます。 表示される既定のフィールドは、拡張機能名、インストールされているブラウザー、バージョン、アクセス許可リスク (拡張機能によって要求されたデバイスまたはサイトへのアクセスの種類に基づく)、および状態です。 必要に応じて、仕入先を表示することもできます。

項目を選択すると、ポップアップに詳細情報が表示されます。

証明書

このカードには、デバイスにインストールされているすべての証明書が表示されます。

既定で表示されるフィールドは、証明書名、発行日、有効期限、キー サイズ、発行者、署名アルゴリズム、キー使用法、インスタンス数です。

リストは、状態、自己署名かどうか、キー サイズ、署名ハッシュ、およびキーの使用状況でフィルター処理できます。

ポップアップに詳細情報を表示する証明書を選択します。

[検出された脆弱性 ] タブ

このタブには、デバイスに影響を与える可能性がある一般的な脆弱性と悪用 (CVEs) が一覧表示されます。

既定のビューには、CVE の重大度、共通脆弱性スコア (CVSS)、CVE に関連するソフトウェア、CVE が発行されたとき、CVE が最初に検出され、最後に更新されたとき、および CVE に関連付けられている脅威が一覧表示されます。

前のタブと同様に、表示する列の選択をカスタマイズできます。 一覧は、重大度、脅威の状態、デバイスの公開、タグでフィルター処理できます。

この一覧から項目を選択すると、CVE を説明するポップアップが開きます。

Microsoft Defender ポータルのデバイス プロファイルの [検出された脆弱性] タブのスクリーンショット

[KB] タブがありません

[ 不足している KB ] タブには、デバイスにまだ適用されていない Microsoft 更新プログラムが一覧表示されます。 問題の "KB" は、これらの更新プログラムについて説明する サポート技術情報の記事です。たとえば、 KB4551762

既定のビューには、更新プログラム、OS バージョン、KB ID 番号、影響を受ける製品、アドレス指定された CVEs、タグが含まれるセキュリティ情報が一覧表示されます。

表示する列の選択をカスタマイズできます。

アイテムを選択すると、更新プログラムにリンクするポップアップが開きます。

[Sentinel イベント ] タブ

組織が Microsoft Sentinel を Defender ポータルにオンボードした場合、この追加タブはデバイス エンティティ ページにあります。 このタブは、 Microsoft Sentinel からホスト エンティティ ページをインポートします

Sentinel タイムライン

このタイムラインには、Microsoft Sentinel で ホスト エンティティと呼ばれるデバイス エンティティに関連付けられたアラートが表示されます。 これらのアラートには、[ インシデントとアラート ] タブに表示されるアラートと、サード パーティの Microsoft 以外のデータ ソースから Microsoft Sentinel によって作成されたものが含まれます。

このタイムラインには、このユーザー エンティティを参照する他の調査からの ブックマークされたハント 、外部データ ソースからのユーザー アクティビティ イベント、Microsoft Sentinel の 異常ルールによって検出された異常な動作も表示されます。

分析情報

エンティティ分析情報は、より効率的かつ効果的に調査するのに役立つ、Microsoft セキュリティ研究者によって定義されたクエリです。 これらの分析情報は、デバイス エンティティに関する大きな質問を自動的に行い、表形式のデータとグラフの形式で貴重なセキュリティ情報を提供します。 分析情報には、サインイン、グループの追加、プロセスの実行、異常なイベントなどのデータが含まれており、異常な動作を検出するための高度な機械学習アルゴリズムが含まれます。

次に示す分析情報の一部を示します。

  • ホストで撮影されたスクリーンショット。
  • Microsoft によって署名されていないプロセスが検出されました。
  • Windows プロセスの実行情報。
  • Windows サインイン アクティビティ。
  • アカウントに対するアクション。
  • ホストでクリアされたイベント ログ。
  • グループの追加。
  • ホスト、ユーザー、ホスト上のグループの列挙。
  • Microsoft Defender アプリケーション コントロール。
  • エントロピ計算を使用して希少性を処理します。
  • 異常に多くのセキュリティ イベント。
  • ウォッチリストの分析情報 (プレビュー)。
  • Windows Defender ウイルス対策イベント。

分析情報は、次のデータ ソースに基づいています。

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • ハートビート (Azure Monitor エージェント)
  • CommonSecurityLog (Microsoft Sentinel)

ユーザー エンティティ ページの [Sentinel イベント] タブのスクリーンショット。

このパネルのいずれかの分析情報をさらに調べる場合は、分析情報に付随するリンクを選択します。 リンクをクリックすると、[ 高度なハンティング ] ページが表示され、分析情報の基になるクエリとその生の結果が表示されます。 クエリを変更したり、結果をドリルダウンして調査を拡大したり、好奇心を満たしたりできます。

分析情報クエリを含む高度なハンティング画面のスクリーンショット。

応答アクション

応答アクションには、脅威を分析、調査、防御するためのショートカットが用意されています。

Microsoft Defender ポータルの [デバイス エンティティ] ページのアクション バーのスクリーンショット。

重要

  • 応答アクション は、デバイスが Microsoft Defender for Endpoint に登録されている場合にのみ使用できます。
  • Microsoft Defender for Endpoint に登録されているデバイスには、デバイスの OS とバージョン番号に基づいて、さまざまな数の応答アクションが表示される場合があります。

応答アクションは、特定のデバイス ページの上部に沿って実行され、次のものが含まれます。

アクション 説明
デバイス値
重要度を設定する
タグの管理 このデバイスに適用したカスタム タグを更新します。
レポート デバイスの不正確さ
ウイルス対策スキャンを実行する Microsoft Defender ウイルス対策の定義を更新し、ウイルス対策スキャンをすぐに実行します。 クイック スキャンまたはフル スキャンを選択します。
調査パッケージの収集 デバイスに関する情報を収集します。 調査が完了したら、ダウンロードできます。
アプリの実行を制限する Microsoft によって署名されていないアプリケーションが実行されないようにします。
自動調査を開始する 脅威を自動的に調査して修復します。 このページから自動調査を手動でトリガーして実行することもできますが、 特定のアラート ポリシー では、独自に自動調査がトリガーされます。
ライブ応答セッションを開始する 詳細なセキュリティ調査のために、デバイスにリモート シェルを読み込みます。
デバイスの分離 Microsoft Defender に接続したまま、組織のネットワークからデバイスを分離します。 通信目的で、デバイスが分離されている間に Outlook、Teams、Skype for Business の実行を許可するように選択できます。
Defender エキスパートに質問する
アクション センター 現在実行されている応答アクションに関する情報を表示します。 別のアクションが既に選択されている場合にのみ使用できます。
分離スクリプトから強制解放をダウンロードする
Exclude
検出する
トラブルシューティング モードを有効にする
ポリシー同期

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender XDR Tech Community) にご参加ください。