次の方法で共有

Defender for Endpoint でデバイス検出を構成する

  • [アーティクル]

適用対象:

デバイス検出は、標準モードまたは基本モードに構成できます。 標準オプションを使用して、ネットワーク内のデバイスをアクティブに検索します。これは、エンドポイントの検出を向上させ、より豊富なデバイス分類を提供するのに役立ちます。

標準検出の実行に使用されるデバイスの一覧をカスタマイズできます。 この機能もサポートするすべてのオンボード デバイスで標準検出を有効にできます (現在、Windows 10 以降を実行しているデバイスの場合、または 2019 以降Windows Server)。 または、デバイス タグを指定して、デバイスのサブセットを選択することもできます。

デバイス検出を設定する

デバイス検出を設定するには、Microsoft Defender ポータルで次の構成手順を実行します。

[設定] に移動します>デバイス検出

  1. オンボードデバイスで使用する検出モードとして Basic を構成する場合は、[ 基本 ] を選択し、[保存] を選択 します

  2. Standard検出の使用を選択した場合は、アクティブなプローブに使用するデバイスを選択します。すべてのデバイスまたはサブセットでデバイス タグを指定して選択し、[保存] を選択します

注:

標準検出では、さまざまな PowerShell スクリプトを使用して、ネットワーク内のデバイスをアクティブにプローブします。 これらの PowerShell スクリプトは Microsoft の署名済みであり、次の場所から実行されます: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps。 たとえば、「 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1 」のように入力します。

標準検出でアクティブにプローブされないようにデバイスを除外する

ネットワーク上にアクティブにスキャンしないデバイス (たとえば、別のセキュリティ ツールのハニーポットとして使用されるデバイス) がある場合は、除外の一覧を定義して、スキャンされないようにすることもできます。 デバイスは引き続き Basic 検出モードを使用して検出でき、マルチキャスト検出の試行を通じて検出することもできます。 これらのデバイスは受動的に検出されますが、アクティブにプローブされることはありません。

除外するデバイスは、[ 除外] ページで構成できます。

監視するネットワークを選択

Microsoft Defender for Endpointは、ネットワークを分析し、監視する必要がある企業ネットワークか、無視できる非法人ネットワークかを判断します。 ネットワークを企業として識別するために、すべてのテナントのクライアント間でネットワーク識別子を関連付け、organizationのほとんどのデバイスが、同じ既定のゲートウェイと DHCP サーバー アドレスを持つ同じネットワーク名に接続されていると報告している場合は、これが企業ネットワークであると想定します。 企業ネットワークは通常、監視対象として選択されます。 ただし、オンボードされたデバイスが見つかった非法人ネットワークを監視することを選択することで、この決定をオーバーライドできます。

監視するネットワークを指定することで、デバイス検出を実行できる場所を構成できます。 ネットワークが監視されている場合、デバイス検出を実行できます。

デバイス検出を実行できるネットワークのリストは、[監視対象ネットワーク] ページに表示されます。

注:

リストには、企業ネットワークとして識別されたネットワークが表示されます。 会社のネットワークとして識別されるネットワークが 50 未満の場合は、オンボードデバイスが最も多い最大 50 ネットワークが一覧表示されます。

監視対象ネットワークのリストは、過去 7 日間にネットワーク上で確認されたデバイスの総数に基づいて並べ替えられます。

フィルターを適用して、次のいずれかのネットワーク検出状態を表示できます。

  • 監視対象ネットワーク - デバイス検出が実行されるネットワーク。
  • 無視されたネットワーク - このネットワークは無視され、デバイス検出は実行されません。
  • [すべて ] - 監視対象ネットワークと無視されたネットワークの両方が表示されます。

ネットワーク モニターの状態を構成する

デバイスの検出を行う場所を制御します。 監視対象ネットワークは、デバイス検出が実行される場所であり、通常は企業ネットワークです。 状態を変更した後、ネットワークを無視するか、最初の検出分類を選択することもできます。

初期検出分類を選択すると、既定のシステムで作成されたネットワーク モニターの状態が適用されます。 既定のシステムで作成されたネットワーク モニター状態を選択すると、企業として識別され、監視され、非法人として識別されたネットワークは自動的に無視されます。

  1. [ 設定] > [デバイス検出] を選択します

  2. [ 監視対象ネットワーク] を選択します。

  3. ネットワークのリストを表示します。

  4. ネットワーク名の横にある 3 つのドットを選択します。

  5. 初期検出分類を監視するか、無視するか、使用するかを選択します。

    警告

    • 企業ネットワークとしてMicrosoft Defender for Endpointによって識別されなかったネットワークを監視することを選択すると、企業ネットワークの外部でデバイス検出が発生する可能性があるため、自宅やその他の非法人デバイスを検出できます。
    • ネットワークを無視することを選択すると、そのネットワーク内のデバイスの監視と検出が停止します。 既に検出されたデバイスはインベントリから削除されませんが、更新されなくなり、詳細は Defender for Endpoint のデータ保持期間が期限切れになるまで保持されます。
    • 非企業ネットワークの監視を選択する前に、その権限があることを確認する必要があります。

  6. 変更することを確認します。

ネットワーク内のデバイスを探索する

次の高度なハンティング クエリを使用して、ネットワークの一覧で説明されている各ネットワーク名に関するより多くのコンテキストを取得できます。 このクエリは、過去 7 日間に特定のネットワークに接続されたすべてのオンボード デバイスを一覧表示します。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

デバイスの情報を取得する

次の高度なハンティング クエリを使用して、特定のデバイスの最新の完全な情報を取得できます。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。