次の方法で共有

デバイス検出に関してよく寄せられる質問

  • [アーティクル]

適用対象:

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

デバイス検出に関してよく寄せられる質問 (FAQ) に対する回答を確認します。

基本検出モードとは

このモードでは、オンボードされたすべてのデバイスMicrosoft Defender for Endpointネットワーク データを収集し、隣接するデバイスを検出できます。 オンボード エンドポイントは、ネットワーク内のイベントを受動的に収集し、そこからデバイス情報を抽出します。 ネットワーク トラフィックは開始されません。 オンボードエンドポイントは、オンボードされたデバイスによって見られるすべてのネットワーク トラフィックからデータを抽出します。 このデータは、ネットワーク内のアンマネージド デバイスの一覧に使用されます。

基本的な検出を無効にできますか?

[ 高度な機能 ] ページでデバイスの検出をオフにするオプションがあります。 ただし、ネットワーク内の管理されていないデバイスの可視性が失われます。 デバイスの検出がオフになっている場合でも、SenseNDR.exe はオンボードデバイスで引き続き実行されることに注意してください。

Standard検出モードとは

このモードでは、Microsoft Defender for Endpointにオンボードされたエンドポイントは、ネットワーク内の監視されたデバイスをアクティブにプローブして、収集されたデータを強化できます (ネットワーク トラフィックの量はごくわずかです)。 基本検出モードで観察されたデバイスのみが、標準モードでアクティブにプローブされます。 このモードは、信頼性の高い一貫性のあるデバイス インベントリを構築するために強くお勧めします。 このモードを無効にし、[基本検出モード] を選択すると、ネットワーク内のアンマネージド エンドポイントの可視性が制限される可能性があります。

Standard モードでは、ネットワークでマルチキャスト クエリを使用してさらに多くのデバイスを検索する一般的な検出プロトコルも利用されます。また、パッシブ メソッドを使用して観察されたものに加えて、さらに多くのデバイスを検索します。

検出を実行するデバイスStandard制御できますか?

検出の実行に使用するデバイスの一覧Standardカスタマイズできます。 この機能をサポートするすべてのオンボード デバイス (現在Windows 10以降および Windows Server 2019 以降のデバイスのみ) でStandard検出を有効にするか、デバイス タグを指定してデバイスのサブセットまたはサブセットを選択できます。 この場合、基本検出のみを実行するように他のすべてのデバイスが構成されます。 構成は、[デバイス検出の設定] ページで使用できます。

デバイス インベントリリストからアンマネージド デバイスを除外できますか?

はい。フィルターを適用して、デバイス インベントリリストからアンマネージド デバイスを除外できます。 API クエリのオンボーディング ステータス列を使用して、管理されていないデバイスを除外することもできます。

検出を実行できるオンボード デバイスはどれですか?

Windows 10 バージョン 1809 以降、Windows 11、Windows Server 2019、または Windows Server 2022 で実行されているオンボード デバイスは、検出を実行できます。

オンボードされたデバイスがホーム ネットワークまたはパブリック アクセス ポイントに接続されている場合はどうなりますか?

検出エンジンは、企業ネットワークで受信したネットワーク イベントと企業ネットワークの外部で受信したネットワーク イベントを区別します。 すべてのテナントのクライアント間でネットワーク識別子を関連付けることで、イベントはプライベート ネットワークと企業ネットワークから受信されたものとで区別されます。 たとえば、organization内のほとんどのデバイスが、同じ既定のゲートウェイと DHCP サーバー アドレスを持つ同じネットワーク名に接続されていると報告する場合、このネットワークは企業ネットワークである可能性が高いと見なすことができます。 プライベート ネットワーク デバイスはインベントリに一覧表示されないため、アクティブにプローブされません。

キャプチャして分析しているプロトコルは何ですか?

既定では、Windows 10 バージョン 1809 以降、Windows 11、Windows Server 2019、または Windows Server 2022 で実行されているすべてのオンボード デバイスがキャプチャされ、次のプロトコルが分析されます。

  • ARP
  • CDP
  • DHCP
  • DHCPv6
  • IP (ヘッダー)
  • LLDP
  • LLMNR
  • mDNS
  • MNDP
  • MSSQL
  • NBNS
  • SSDP
  • TCP (SYN ヘッダー)
  • UDP (ヘッダー)
  • WSD

Standard検出でアクティブなプローブに使用するプロトコルはどれですか?

検出Standard実行するようにデバイスが構成されている場合、公開されているサービスは次のプロトコルを使用してプローブされます。

  • AFP
  • ARP
  • DHCP
  • FTP
  • HTTP
  • HTTPS
  • ICMP
  • IphoneSync
  • IPP
  • LDAP
  • LLMNR
  • mDNS
  • NBNS
  • NBSS
  • PJL
  • RDP
  • RPC
  • SIP
  • SLP
  • SMB
  • SMTP
  • SNMP
  • SSH
  • Telnet
  • UPNP
  • VNC
  • WinRM
  • WSD

さらに、デバイス検出では、分類の精度 & カバレッジを向上させるために、他の一般的に使用されるポートもスキャンされる場合があります。

Standard検出でターゲットをプローブから除外するにはどうすればよいですか?

ネットワーク上にデバイスが存在する場合は、アクティブにプローブする必要はありません。また、除外の一覧を定義して、スキャンされないようにすることもできます。 構成は、[デバイス検出の設定] ページで使用できます。

注:

デバイスは引き続きネットワーク内のマルチキャスト検出試行に応答する可能性があります。 これらのデバイスは検出されますが、アクティブにプローブされることはありません。

デバイスを検出から除外できますか?

デバイス検出ではパッシブメソッドを使用してネットワーク内のデバイスを検出するため、企業ネットワーク内のオンボードデバイスと通信するすべてのデバイスを検出し、インベントリに一覧表示できます。 アクティブなプローブからのみデバイスを除外できます。

アクティブなプローブの頻度はどのくらいですか?

デバイスの特性の変化が観察されると、デバイスはアクティブにプローブされ、既存の情報が最新の状態であることを確認します (通常、デバイスは 3 週間で 1 回以上プローブされません)。

セキュリティ ツールで、UnicastScanner.ps1/PSScript_{GUID}.ps1 またはポート スキャン アクティビティによって開始されたアラートが発生しました。 どうすればよいですか?

アクティブなプローブ スクリプトは Microsoft によって署名され、安全です。 除外リストには、次のパスを追加できます。

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Standard検出アクティブ プローブによって生成されるトラフィックの量は何ですか?

アクティブプローブは、オンボードされたデバイスとプローブされたデバイスの間で最大 50Kb のトラフィックを生成できます。プローブの試行ごとに

デバイス インベントリ内の "オンボード可能" デバイスとダッシュボード タイルの "オンボードするデバイス" の数に不一致があるのはなぜですか?

デバイス インベントリの [オンボード可能] に表示されているデバイスの数、"Microsoft Defender for Endpointにオンボードする" セキュリティに関する推奨事項、ダッシュボード ウィジェットの "オンボードするデバイス" の数が異なる場合があります。

セキュリティに関する推奨事項とダッシュボード ウィジェットは、ネットワークで安定しているデバイス用です。一時的なデバイス、ゲスト デバイスなどを除く。 アイデアは、organizationの全体的なセキュリティ スコアを意味する永続的なデバイスにも推奨することです。

見つかったアンマネージド デバイスをオンボードできますか?

はい。 アンマネージド デバイスは手動でオンボードできます。 ネットワーク内のアンマネージド エンドポイントでは、ネットワークに脆弱性とリスクが発生します。 それらをサービスにオンボードすると、セキュリティの可視性が高まる可能性があります。

アンマネージド デバイスの正常性状態が常に "アクティブ" であることに気付きました。 理由を教えてください。

一時的に、アンマネージド デバイスの正常性状態は、実際の状態に関係なく、デバイス インベントリの標準保有期間中に "アクティブ" になります。

標準検出は悪意のあるネットワーク アクティビティのように見えますか?

Standard検出を検討するときは、プローブの影響、特にセキュリティ ツールが悪意のあるなどのアクティビティを疑う可能性があるかどうかについて疑問に思うかもしれません。 次のサブセクションでは、ほとんどの場合、組織がStandard検出を有効にすることに関する懸念がない理由について説明します。

プローブは、ネットワーク上のすべての Windows デバイスに分散されます

通常、いくつかの侵害されたデバイスからネットワーク全体をスキャンする悪意のあるアクティビティとは対照的に、Microsoft Defender for EndpointのStandard検出プローブは、オンボードされているすべての Windows デバイスから開始され、アクティビティは問題なく、非異常になります。 プローブはクラウドから一元的に管理され、ネットワーク内でサポートされているすべてのオンボード デバイス間でプローブ試行のバランスを取ります。

アクティブプローブは、余分なトラフィックのごくわずかの量を生成します

非管理対象デバイスは、通常、3 週間に 1 回以上プローブされ、50 KB 未満のトラフィックが生成されます。 通常、悪意のあるアクティビティには、反復的なプローブ試行が多く含まれ、場合によっては、ネットワーク監視ツールによって異常として識別できる大量のネットワーク トラフィックを生成するデータ流出が含まれます。

Windows デバイスでアクティブな検出が既に実行されている

アクティブな検出機能は、ネットワーク内のエンドポイント間の "プラグ アンド プレイ" エクスペリエンスとファイル共有を容易にするために、近くのデバイス、エンドポイント、プリンターを見つけるために、常に Windows オペレーティング システムに埋め込まれています。 モバイル デバイス、ネットワーク機器、インベントリ アプリケーションにも同様の機能が実装されています。

Standard検出では、同じ検出方法を使用してデバイスを識別し、Microsoft Defender XDR デバイス インベントリ内のネットワーク内のすべてのデバイスを統合して可視化します。 たとえば、Standard検出では、ネットワーク内の使用可能なプリンターを Windows が一覧表示するのと同じ方法で、ネットワーク内の近くのエンドポイントが識別されます。

ネットワーク セキュリティと監視ツールは、ネットワーク上のデバイスによって実行されるこのようなアクティビティに対して無関心です。

アンマネージド デバイスのみがプローブされている

デバイス検出機能は、ネットワーク上のアンマネージド デバイスのみを検出して識別するために構築されています。 つまり、Microsoft Defender for Endpointで既にオンボードされている以前に検出されたデバイスはプローブされません。

アクティブなプローブからネットワーク の魅力を除外できます

Standard検出では、アクティブなプローブからのデバイスまたは範囲 (サブネット) の除外がサポートされます。 ネットワーク の誘惑がデプロイされている場合は、[デバイス検出] 設定を使用して、IP アドレスまたはサブネット (IP アドレスの範囲) に基づいて除外を定義できます。 これらの除外を定義すると、それらのデバイスがアクティブにプローブされなくなり、アラートが生成されなくなります。 これらのデバイスは、パッシブ メソッドのみを使用して検出されます (基本検出モードに似ています)。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。