デバイスの検出を使用してデバイスを検出する

  • 3 分

環境を保護するには、ネットワーク内にあるデバイスのインベントリを取得する必要があります。 ただし、ネットワーク内のデバイスのマッピングは、多くの場合、コストが高く困難で時間がかかります。

Microsoft Defender for Endpoint は、追加のアプライアンスや面倒なプロセスの変更を必要とせずに、企業ネットワークに接続されているアンマネージド デバイスを見つけるのに役立つデバイス検出機能を提供します。 デバイス検出では、ネットワーク内のオンボードされたエンドポイントを使用して、ネットワークを収集、プローブ、またはスキャンして、アンマネージド デバイスを検出します。 デバイス検出機能を使用すると、次の情報を検出できます。

  • Microsoft Defender for Endpoint にまだオンボードされていないエンタープライズ エンドポイント (ワークステーション、サーバー、モバイル デバイス)
  • ルーターやスイッチなどのネットワーク デバイス
  • プリンターやカメラなどの IoT デバイス

不明なアンマネージド デバイスは、パッチが適用されていないプリンター、セキュリティ構成が弱いネットワーク デバイス、セキュリティコントロールのないサーバーなど、ネットワークに重大なリスクをもたらします。 デバイスが検出された場合、次のことが可能になります。

  • アンマネージド エンドポイントをサービスにオンボードし、セキュリティの可視性を高めます。
  • 脆弱性を特定して評価し、構成のギャップを検出することで、攻撃対象領域を減らします。

デバイスを検出するには、デバイス検出に関するビデオをご覧ください。

アンマネージド デバイスを評価してオンボードするには:

この機能により、既存の脅威と脆弱性の管理エクスペリエンスの一部として、デバイスを Microsoft Defender for Endpoint にオンボードするためのセキュリティに関する推奨事項を利用できます。

検出方法 オンボードされたデバイスで使用する検出モードを選択できます。 このモードは、企業ネットワーク内のアンマネージド デバイスに対して取得できる可視性のレベルを制御します。

使用可能な検出モードは次の 2 つです。

  • 基本的な検出: このモードでは、エンドポイントによりネットワーク内のイベントが受動的に収集され、そこからデバイス情報が抽出されます。 基本的な検出では、パッシブ ネットワーク データ収集に SenseNDR.exe バイナリが使用され、ネットワーク トラフィックは開始されません。 エンドポイントは、オンボードされたデバイスで表示されるすべてのネットワーク トラフィックからデータを抽出します。 基本的な検出では、ネットワーク内のアンマネージド エンドポイントの可視性が制限されます。

  • 標準検出 (推奨): このモードでは、エンドポイントがネットワーク内のデバイスを積極的に検索して収集されたデータを拡充し、より多くのデバイスを検出できます。これにより、信頼性の高い一貫性のあるデバイス インベントリを構築できます。 パッシブ方式を使用して観察されたデバイスに加えて、標準モードでは、ネットワーク内のマルチキャスト クエリを使用してさらに多くのデバイスを検索する一般的な検出プロトコルも使用されます。 標準モードでは、スマートでアクティブなプローブを使用して、監視対象デバイスに関する追加情報を検出し、既存のデバイス情報を拡充します。 標準モードが有効になっている場合、検出センサーによって生成される最小限の、ごくわずかのネットワーク アクティビティが、組織内のネットワーク監視ツールによって観察される場合があります。

検出されたものの、まだ Microsoft Defender for Endpoint によってオンボードされておらず、セキュリティで保護もされていないデバイスは、[コンピューターとモバイル] タブのデバイス インベントリに一覧表示されます。

これらのデバイスを評価するには、オンボード状態と呼ばれるデバイス インベントリのリストでフィルターを使用できます。このフィルターには、次のいずれかの値を指定できます。

  • オンボード済み: エンドポイントは Microsoft Defender for Endpoint にオンボードされています。
  • オンボード可能: エンドポイントがネットワークで検出され、オペレーティング システムにより Microsoft Defender for Endpoint でサポートされているものとして識別されましたが、現在オンボードされていません。 これらのデバイスをオンボードすることを強くお勧めします。
  • サポートされていません: エンドポイントがネットワークで検出されましたが、Microsoft Defender for Endpoint ではサポートされていません。
  • 不十分な情報: システムがデバイスのサポート可能性を判断できませんでした。 ネットワーク内の他のデバイスで標準検出を有効にすると、検出された属性を拡充させることができます。