デバイス検出と脆弱性評価の管理

9 分

環境を保護するには、ネットワーク内のデバイスのインベントリを作成する必要があります。ただし、ネットワーク内のデバイスのマッピングは、多くの場合、費用がかかり、困難で、時間がかかります。

Microsoft Defender for Endpoint は、組織が企業ネットワークに接続されている管理されていないデバイスを見つけるのに役立つデバイス検出機能を提供します。追加のアプライアンスや面倒なプロセス変更を必要とせずに、この検出プロセスを完了します。デバイスディスカバリは、オンボードエンドポイントを使用してネットワークを収集、プローブ、およびスキャンし、管理されていないデバイスを検出します。デバイス検出機能により、組織は以下を検出できます。

Microsoft Defender for Endpoint がまだオンボードしていないエンタープライズエンドポイント (ワークステーション、サーバー、モバイルデバイス)。
ルーターやスイッチなどのネットワークデバイス。
プリンターやカメラなどの IoT デバイス。

未知の管理されていないデバイスは、ネットワークに重大なリスクをもたらします。パッチが適用されていないプリンター、セキュリティ構成が脆弱なネットワークデバイス、またはセキュリティコントロールのないサーバーであるかどうかは問題ではありません。

Microsoft Defender for Endpoint デバイス検出サービスがデバイスを検出すると、組織は次のことができます。

管理されていないエンドポイントをサービスにオンボードして、それらのセキュリティの可視性を高めます。
脆弱性を特定して評価し、構成のギャップを検出することで、攻撃対象領域を減らします。

追加視聴。次のリンクを選択して、デバイス検出を紹介する短いビデオをご覧ください。

Microsoft Defender for Endpoint にデバイスをオンボードするためのセキュリティに関する推奨事項は、脆弱性管理モジュールの一部としても利用できます。

探索方法の概要

組織は、オンボードされたデバイスで使用する検出モードを選択できます。このモードは、企業ネットワーク内の管理対象外デバイスに対して取得できる可視性のレベルを制御します。

次の 2 つの検出モードを使用できます。

基本的な発見。このモードでは、エンドポイントはネットワーク内のイベントを受動的に収集し、そこからデバイス情報を抽出します。基本的な検出では、SenseNDR.exe バイナリを使用してパッシブネットワークデータを収集します。このモードでは、ネットワークトラフィックは開始されません。エンドポイントは、オンボードされたデバイスに表示されるネットワークトラフィックからデータを抽出するだけです。基本的な検出では、ネットワーク内のアンマネージドエンドポイントの可視性が制限されます。
標準の検出 (推奨)。このモードでは、エンドポイントがネットワーク内のデバイスをアクティブに検出して、収集されたデータを充実させ、より多くのデバイスを検出できるようにします。このプロセスは、組織が信頼できる一貫したデバイスインベントリを構築するのに役立ちます。パッシブ方式を使用するデバイスに加えて、標準モードでは、ネットワークでマルチキャストクエリを使用する一般的な検出プロトコルも適用されます。このプロセスにより、さらに多くのデバイスが検出されます。標準モードでは、スマートでアクティブなプロービングを使用して、観測されたデバイスに関するより多くの情報を検出し、既存のデバイス情報を充実させます。組織が Standard モードを有効にすると、そのネットワーク監視ツールは、検出センサーによって生成される最小限かつごくわずかのネットワークアクティビティを監視できます。

標準検出は、2021 年 7 月以降、すべてのお客様のデフォルトモードです。 [設定] ページで、この設定を基本設定に変更できます。基本モードを選択した場合、ネットワーク内のアンマネージドエンドポイントの可視性は制限されます。

組織は、検出設定を変更およびカスタマイズできます。詳細については、定期探索を参照してください。

検出エンジンは、企業ネットワークで受信したネットワークイベントと企業ネットワークの外部で受信したネットワークイベントを区別します。 Microsoft Defender for Endpoint デバイス検出サービスは、デバイスが企業ネットワークに接続していない場合、デバイスを検出したり、デバイスインベントリに一覧表示したりすることはできません。

デバイス一覧

Microsoft Intune 管理センターには、デバイスインベントリ内のデバイスが一覧表示されます。 Microsoft Defender for Endpoint デバイス検出サービスがデバイスを検出した場合でも、Microsoft Defender for Endpoint はデバイスをオンボードしてセキュリティで保護していません。

これらのデバイスを評価するには、[オンボーディングステータス] というデバイスインベントリリストのフィルタを使用できます。 folderspec 引数には、次のいずれかの値を指定できます。

オンボーディング済み。 Microsoft Defender for Endpoint によってエンドポイントがオンボードされます。
オンボーディング可能。 Microsoft Defender for Endpoint によって、ネットワーク内のエンドポイントが検出されました。オペレーティングシステムは、Microsoft Defender for Endpoint でサポートされているオペレーティングシステムとして識別されました。ただし、Microsoft Defender for Endpoint はまだデバイスをオンボードしていません。 Microsoft では、組織がこれらのデバイスをできるだけ早くオンボードすることをお勧めします。
サポート外。 Microsoft Defender for Endpoint はネットワーク内のエンドポイントを検出しましたが、エンドポイントはサポートされていません。
情報が不十分。システムはデバイスのサポート可能性を判断できませんでした。ネットワーク内のより多くのデバイスで標準検出を有効にすると、検出された属性が強化されます。

いつでもフィルタを適用して、管理対象外のデバイスをデバイスインベントリリストから除外できます。 API クエリのオンボーディングステータス列を使用して、管理されていないデバイスを除外することもできます。

追記。詳細については、「インベントリの概要」を参照してください。

ネットワークデバイスの検出

組織内に多数の管理されていないネットワークデバイスが展開されていると、攻撃対象領域が大きくなります。また、企業全体に対する重大なリスクにもなります。 Microsoft Defender for Endpoint のネットワーク検出機能は、組織を支援します。

ネットワークデバイスを検出します。
デバイスを正確に分類します。
デバイスを資産インベントリに追加します。

Microsoft Defender for Endpoint は、ネットワークデバイスを標準エンドポイントとして管理しません。どうしてでしょうか? Microsoft Defender for Endpoint には、ネットワークデバイス自体にセンサーが組み込まれていないためです。代わりに、これらのタイプのデバイスには、リモートスキャンがデバイスから必要な情報を取得するエージェントレスアプローチが必要です。この情報を収集するために、各ネットワークセグメントは、指定された Microsoft Defender for Endpoint デバイスを使用して、構成済みのネットワークデバイスの定期的な認証スキャンを実行します。 Microsoft Defender for Endpoint の脆弱性管理機能により、次の検出された情報をセキュリティで保護するための統合ワークフローが提供されます。

スイッチ
ルーター
無線LANコントローラー
ファイアウォール
VPN ゲートウェイ

追記。詳細については、「ネットワーク要件」を参照してください。

デバイス検出の統合

Microsoft Defender for Endpoint は、組織が完全な OT/IOT 資産インベントリを見つけ、特定し、保護するのに十分な可視性を得るという課題に対処します。これは、次の統合をサポートすることによって実現されます。

Corelight。 Microsoft は Corelight と提携し、Corelight ネットワークアプライアンスからデータを受信しました。この設計により、Microsoft Defender XDR では、アンマネージドデバイスのネットワークアクティビティの可視性が向上します。この可視性には、他の非管理デバイスまたは外部ネットワークとの通信が含まれます。詳細については、「Corelight データ統合を有効にする」を参照してください。
Microsoft Defender for IoT。この統合により、Microsoft Defender for Endpoint 内のデバイス検出機能と、Microsoft Defender for IoT のエージェントレス監視機能が組み合わされます。この統合により、IT ネットワークに接続されたエンタープライズ IoT デバイスが保護されます。たとえば、Voice over Internet Protocol (VoIP)、プリンター、スマート TV などです。詳細については、「Microsoft Defender for IoT 統合を有効にする」をご覧ください。

デバイス検出の構成

前に説明したように、組織は、標準モードと基本モードの 2 つのモードのいずれかでデバイス検出を構成できます。組織は標準オプションを使用して、ネットワーク内のデバイスをアクティブに検出する必要があります。このオプションは、エンドポイントの検出を保証し、より豊富なデバイス分類を提供します。

組織は、標準検出の実行に使用するデバイスの一覧をカスタマイズできます。次のいずれかを実行できます。

この機能もサポートするすべてのオンボードデバイスで標準検出を有効にします (現在、Windows 10 以降および Windows Server 2019 以降のデバイスのみ)。
デバイスタグを指定して、デバイスのサブセットまたはサブセットを選択します。

デバイス検出をセットアップするには、次の手順を実行します。

Microsoft Defender ポータルに移動します。
Microsoft Defender ポータルのナビゲーションウィンドウで、[設定] を選択し、[デバイスの検出] を選択します。
オンボードデバイスで使用する検出モードとして Basic を構成する場合は、[ 基本] を選択し、[保存] を選択 します。
Standard 検出を使用するオプションを選択した場合は、次のいずれかのオプションを選択して、アクティブなプローブに使用するデバイスを決定します。
- すべてのデバイス
- デバイスタグを指定することによるデバイスのサブセット
[保存] を選択します。

注:

標準検出では、さまざまな PowerShell スクリプトを使用して、ネットワーク内のデバイスをアクティブにプローブします。これらの PowerShell スクリプトは Microsoft の署名済みであり、システムによって次の場所から実行されます。

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps。

たとえば、C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1 です。

標準検出でアクティブスキャンからデバイスを除外する

一部の組織では、Microsoft Defender for Endpoint のデバイス検出サービスがアクティブにスキャンしてはならないデバイスがネットワーク上にあります。たとえば、別のセキュリティツールのハニーポットとして使用されるデバイスなどです。このような場合、組織は、これらのデバイスのスキャンを防ぐために除外の一覧を定義できます。 [除外] ページで、除外するデバイスを構成できます。

注:

Microsoft Defender for Endpoint のデバイス検出サービスでは、引き続き Basic 検出モードを使用してデバイスを検出できます。また、マルチキャスト検出の試行を通じてデバイスを検出することもできます。デバイス検出サービスは、これらのデバイスを受動的に検出しますが、アクティブにプローブすることはありません。

監視するネットワークを選択

Microsoft Defender for Endpoint がネットワークを分析するとき、ネットワークが次のようになっているかどうかを判断します。

監視する必要がある企業ネットワーク。
無視できる非法人ネットワーク。

ネットワークを企業として識別するために、Microsoft Defender for Endpoint は、すべてのテナントのクライアント間でネットワーク識別子を関連付けます。組織内のほとんどのデバイスが同じに接続している場合、ネットワークは企業ネットワークであると想定されます。

ネットワーク名
既定のゲートウェイ
DHCP サーバーアドレス

組織は通常、企業ネットワークを監視することを選択します。ただし、オンボードされたデバイスを含む非法人ネットワークを監視することを選択することで、この決定をオーバーライドできます。

組織は、デバイス検出を実行する場所を構成できます。これは、監視するネットワークを指定することによって行われます。 Microsoft Defender for Endpoint は、監視対象のネットワークでデバイス検出を実行できます。

[ 監視対象ネットワーク ] ページには、Microsoft Defender for Endpoint がデバイス検出を実行できるネットワークの一覧が表示されます。一覧には、企業ネットワークとして識別されるネットワークが表示されます。企業ネットワークとして識別されるネットワークが 50 を超える場合、一覧には、オンボードされたデバイスが最も多い最大 50 のネットワークが表示されます。

[ 監視対象ネットワーク ] ページでは、過去 7 日間にネットワークに表示されたデバイスの合計数に基づいて、監視対象ネットワークの一覧が並べ替えられます。

フィルターを適用して、次のいずれかのネットワーク検出状態を表示できます。

監視対象ネットワーク。 Microsoft Defender for Endpoint がデバイス検出を実行するネットワーク。
無視されたネットワーク。 Microsoft Defender for Endpoint では、このネットワークは無視され、デバイス検出は実行されません。
すべて。 Microsoft Defender for Endpoint には、監視対象ネットワークと無視されたネットワークの両方が表示されます。

ネットワークモニターの状態を構成する

組織は、デバイスの検出が行われる場所を制御できます。監視対象ネットワークは、Microsoft Defender for Endpoint がデバイス検出を実行する場所です。これらのネットワークは通常、企業ネットワークです。状態を変更した後、ネットワークを無視するか、最初の検出分類を選択することもできます。

初期発見区分を選択するということは、デフォルトのシステム作成のネットワーク監視状態を適用することを意味します。
既定のシステムが作成したネットワークモニターの状態を選択すると、デバイスが検出されることを意味します。
- 企業として識別されるネットワークを監視します。
- 非法人として識別されたネットワークを無視します。

ネットワークモニタの状態を設定するには、次の手順を実行します。

Microsoft Defender ポータルに移動します。
Microsoft Defender ポータルのナビゲーションウィンドウで、[設定] を選択し、[デバイスの検出] を選択します。
[ デバイスの検出 ] ページで、[ 監視対象ネットワーク] を選択します。
ネットワークのリストを表示します。監視するネットワークの名前の横にある省略記号アイコン (3 点) を選択します。
初期検出分類を監視するか、無視するか、使用するかを選択します。以下の詳細にご注意ください。
- Microsoft Defender for Endpoint が企業ネットワークとして識別しなかったネットワークを監視することを選択すると、企業ネットワークの外部でデバイス検出が発生する可能性があります。そのため、自宅やその他の非法人デバイスが検出される可能性があります。
- ネットワークを無視することを選択すると、そのネットワーク内のデバイスの監視と検出が停止します。 Microsoft Defender for Endpoint では、検出されたデバイスはインベントリから削除されません。ただし、更新することはできなくなり、Microsoft Defender for Endpoint のデータ保持期間が期限切れになるまで、システムは詳細を保持します。
- 非法人ネットワークの監視を選択する前に、そのアクセス許可があることを確認する必要があります。
変更することを確認します。

ネットワーク内のデバイスを探索する

次の高度な検索 (Kusto) クエリを使用して、ネットワークリストに記述されている各ネットワーク名に関する詳細なコンテキストを取得できます。クエリには、過去 7 日以内に特定のネットワークに接続されているすべてのオンボードデバイスが一覧表示されます。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

デバイスの情報を取得する

次の高度な検索 (Kusto) クエリを使用して、特定のデバイスに関する最新の完全な情報を取得できます。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

検出されたデバイスの脆弱性評価

デバイスの脆弱性とリスク、およびネットワーク内で検出されたその他のアンマネージドデバイスは、"セキュリティに関する推奨事項" の下にある現在の脅威と脆弱性の管理フローの一部です。ポータル全体のエンティティページは、これらの脆弱性とリスクを表します。

たとえば、「SSH」関連のセキュリティ推奨事項を検索します (SSH は Secure Shell の略で、信頼されていないネットワークを介した安全な通信のために広く採用されているプロトコルです)。この検索の目的は、アンマネージドデバイスとマネージドデバイスに関連する SSH の脆弱性を見つけることです。

検出されたデバイスで高度な検索を使用する

組織は、高度なハンティングクエリを使用して、検出されたデバイスを可視化できます。 DeviceInfo テーブルで検出されたデバイスの詳細を検索するか、DeviceNetworkInfo テーブルでそれらのデバイスに関するネットワーク関連情報を検索します。

DeviceInfo テーブルで次のクエリを実行して、検出されたすべてのデバイスを返します。結果には、各デバイスの最新の詳細も表示されます。

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

高度なハンティングクエリで SeenBy 関数を呼び出すと、オンボードされたデバイスで検出されたデバイスを確認した詳細を取得できます。この情報は、検出された各デバイスのネットワークの場所を特定するのに役立ちます。その後、ネットワーク内でそれを識別するのに役立ちます。

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

デバイス検出では、Microsoft Defender for Endpoint オンボードデバイスをネットワークデータソースとして使用して、非オンボードデバイスにアクティビティを属性付けします。 Microsoft Defender for Endpoint オンボードデバイスのネットワークセンサーは、次の 2 つの新しい接続の種類を識別します。

接続試行。 TCP 接続を確立しようとする試み。
接続が承認されました。ネットワークが TCP 接続を受け入れた受信確認。

オンボードされていないデバイスがオンボードされた Microsoft Defender for Endpoint デバイスと通信しようとすると、試行は次のようになります。

DeviceNetworkEvent を生成します。
オンボードされたデバイスタイムラインと Advanced hunting DeviceNetworkEvents テーブルを使用して、オンボードされていないデバイスアクティビティを表示します。

次のサンプルクエリを試すことができます。

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

続行