次の方法で共有


Microsoft Defender for Endpointによって検出されたアプリを調査する

Microsoft Defender for EndpointとのMicrosoft Defender for Cloud Apps統合により、シームレスなシャドウ IT 可視性と制御ソリューションが提供されます。 この統合により、Defender for Cloud Apps管理者は検出されたデバイス、ネットワーク イベント、アプリの使用状況を調査できます。

前提条件

この記事の手順を実行する前に、Microsoft Defender for EndpointをMicrosoft Defender for Cloud Appsと統合していることを確認してください。

Defender for Cloud Appsで検出されたデバイスを調査する

Defender for Endpoint とDefender for Cloud Appsを統合した後、クラウド検出ダッシュボードで検出されたデバイス データを調査します。

  1. Microsoft Defender ポータルの [Cloud Apps] で、[Cloud Discovery>Dashboard] を選択します。

  2. ページの上部にある [ Defender で管理されるエンドポイント] を選択します。 このストリームには、Defender for Cloud Apps前提条件に記載されているオペレーティング システムからのデータが含まれています。

上部には、統合後に追加された検出されたデバイスの数が表示されます。

  1. [ デバイス ] タブを選択します。

  2. 一覧表示されている各デバイスにドリルダウンし、タブを使用して調査データを表示します。 インシデントに関与したデバイス、ユーザー、IP アドレス、アプリ間の相関関係を見つけます。

    • 概要:

      • デバイス リスク レベル: 重大度 (高、中、低、情報) によって示されるように、デバイスのプロファイルがorganization内の他のデバイスに対してどの程度危険であるかを示します。 Defender for Cloud Apps は、高度な分析に基づいて、デバイスごとに Defender for Endpoint のデバイス プロファイルを使用します。 デバイスのベースラインに対して異常なアクティビティが評価され、デバイスのリスク レベルが決定されます。 デバイス リスク レベルを使用して、最初に調査するデバイスを決定します。
      • トランザクション: 選択した期間にデバイスで行われたトランザクションの数に関する情報。
      • トラフィックの合計: 選択した期間のトラフィックの合計量 (MB 単位) に関する情報。
      • アップロード: 選択した期間にデバイスによってアップロードされたトラフィックの合計量 (MB 単位) に関する情報。
      • ダウンロード: 選択した期間にデバイスによってダウンロードされたトラフィックの合計量 (MB 単位) に関する情報。
    • 検出されたアプリ: デバイスによってアクセスされたすべての検出されたアプリをListsします。

    • ユーザー履歴: デバイスにサインインしたすべてのユーザーをListsします。

    • IP アドレス履歴: デバイスに割り当てられたすべての IP アドレスをListsします。

他のクラウド検出ソースと同様に、 Defender で管理されるエンドポイント レポートからデータをエクスポートして、さらに調査できます。

注:

  • Defender for Endpoint は、データを ~4 MB (約 4,000 個のエンドポイント トランザクション) のチャンクでDefender for Cloud Appsに転送します
  • 4 MB の制限に 1 時間以内に到達しなかった場合、Defender for Endpoint は過去 1 時間に実行されたすべてのトランザクションを報告します。

エンドポイントがネットワーク プロキシの背後にある場合に Defender for Endpoint 経由でアプリを検出する

Defender for Cloud Appsは、ネットワーク プロキシと同じ環境で動作している Defender for Endpoint デバイスから検出されたシャドウ IT ネットワーク イベントを検出できます。 たとえば、Windows 10 エンドポイント デバイスが ZScalar と同じ環境にある場合、Defender for Cloud Appsは Win10 エンドポイント ユーザー ストリームを介してシャドウ IT アプリケーションを検出できます。

Microsoft Defender XDRのデバイス ネットワーク イベントを調査する

注:

ネットワーク イベントは、検出されたアプリを調査するために使用し、不足しているデータのデバッグには使用しないでください。

次の手順を使用して、Microsoft Defender for Endpointでのデバイスのネットワーク アクティビティをより詳細に把握します。

  1. Microsoft Defender ポータルの [Cloud Apps] で、[Cloud Discovery] を選択します。 次に、[ デバイス ] タブを選択します。
  2. 調査するマシンを選択し、左上の [Microsoft Defender for Endpointで表示] を選択します。
  3. [Microsoft Defender XDR] の [Assets ->Devices> {selected device}] で、[タイムライン] を選択します
  4. [ フィルター] で、[ ネットワーク イベント] を選択します。
  5. 必要に応じて、デバイスのネットワーク イベントを調査します。

Microsoft Defender XDRのデバイス タイムラインを示すスクリーンショット。

高度なハンティングを使用してMicrosoft Defender XDRでのアプリの使用状況を調査する

Defender for Endpoint でアプリ関連のネットワーク イベントをより詳細に表示するには、次の手順を使用します。

  1. Microsoft Defender ポータルの [Cloud Apps] で、[Cloud Discovery] を選択します。 次に、[ 検出されたアプリ ] タブを選択します。

  2. 調査するアプリを選択して、そのドロワーを開きます。

  3. アプリの [ドメイン] リストを 選択し、ドメインの一覧をコピーします。

  4. [Microsoft Defender XDR] の [ハンティング] で、[高度なハンティング] を選択します。

  5. 次のクエリを貼り付け、 <DOMAIN_LIST> を前にコピーしたドメインの一覧に置き換えます。

    DeviceNetworkEvents
    | where RemoteUrl has_any ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. クエリを実行し、このアプリのネットワーク イベントを調査します。

    高度なハンティングMicrosoft Defender XDR示すスクリーンショット。

Microsoft Defender XDRで承認されていないアプリを調査する

承認されていないアプリにアクセスしようとすると、セッション全体に関する詳細を含むアラートがMicrosoft Defender XDRでトリガーされます。 これにより、承認されていないアプリにアクセスしようとする試みに対してより深い調査を実行し、エンドポイント デバイスの調査で使用するための追加情報を提供することができます。

エンドポイント デバイスが正しく構成されていないか、適用ポリシーがまだエンドポイントに伝達されていないため、承認されていないアプリへのアクセスがブロックされない場合があります。 このインスタンスでは、Defender for Endpoint 管理者は、承認されていないアプリがブロックされなかったことをMicrosoft Defender XDRでアラートを受け取ります。

Defender for Endpoint の承認されていないアプリアラートを示すスクリーンショット。

注:

  • アプリ ドメインがエンドポイント デバイスに反映されるまでに、アプリを 承認されていない としてタグ付けしてから最大 2 時間かかります。
  • 既定では、Defender for Cloud Appsで承認されていないとマークされたアプリとドメインは、organization内のすべてのエンドポイント デバイスに対してブロックされます。
  • 現時点では、承認されていないアプリでは完全な URL はサポートされていません。 そのため、完全な URL で構成されたアプリを承認解除しても、Defender for Endpoint に伝達されず、ブロックされません。 たとえば、 google.com/drive はサポートされていませんが、 drive.google.com はサポートされています。
  • ブラウザー内通知は、ブラウザーによって異なる場合があります。

次の手順

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。