セキュリティ ベースラインの評価
適用対象:
注:
この機能を使用するには、Microsoft Defender 脆弱性管理スタンドアロン、または既に Microsoft Defender for Endpoint Plan 2 のお客様である場合は、Defender 脆弱性管理アドオンが必要です。
セキュリティ ベースライン評価は、終わりのないコンプライアンス スキャンを実行する代わりに、組織のセキュリティ ベースラインのコンプライアンスを継続的かつ簡単に監視し、リアルタイムで変更を特定するのに役立ちます。
セキュリティ ベースライン プロファイルは、業界のセキュリティ ベンチマークに対して組織内のエンドポイントを評価および監視するために作成できるカスタマイズされたプロファイルです。 セキュリティ ベースライン プロファイルを作成するときは、複数のデバイス構成設定と比較する基本ベンチマークで構成されるテンプレートを作成します。
セキュリティ ベースラインでは、Windows 10、Windows 11、Windows Server 2008 R2 以降の Center for Internet Security (CIS) ベンチマークと、Windows 10 および Windows Server 2019 のセキュリティ技術実装ガイド (STIG) ベンチマークがサポートされます。
注:
ベンチマークでは現在、グループ ポリシー オブジェクト (GPO) 構成のみがサポートされており、Microsoft Configuration Manager (Intune) はサポートされていません。
ヒント
Microsoft Defender 脆弱性管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。
注:
Windows Server 2012 R2 で DFSS (動的公平共有スケジュール) が有効になっている場合、セキュリティ ベースライン評価はサポートされません。
セキュリティ ベースライン評価の概要
Microsoft Defender ポータルの [脆弱性の管理>基準] 評価に移動します。
上部の [ プロファイル ] タブを選択し、[ プロファイルの作成 ] ボタンを選択します。
セキュリティ ベースライン プロファイルの名前と説明を入力し、[ 次へ] を選択します。
[ ベースライン プロファイル スコープ ] ページで、ソフトウェア、基本ベンチマーク (CIS または STIG)、コンプライアンス レベルなどのプロファイル設定を設定し、[ 次へ] を選択します。
プロファイルに含める構成を選択します。
![[構成設定の追加] ページのスクリーンショット](/ja-jp/defender/media/defender-vulnerability-management/add_configuration_settings.png)
組織のしきい値構成値を変更する場合は、[ カスタマイズ ] を選択します。
[ 次へ ] を選択して、ベースライン プロファイルに含めるデバイス グループとデバイス タグを選択します。 プロファイルは、今後、これらのグループに追加されたデバイスに自動的に適用されます。
[ 次へ] を選択してプロファイルを確認します。
[ 送信] を 選択してプロファイルを作成します。
最後のページで、[ プロファイル ページの表示 ] を選択して評価結果を表示します。
![[構成設定の追加] ページのスクリーンショット](/ja-jp/defender/media/defender-vulnerability-management/add_configuration_settings.png#lightbox)
注:
さまざまなカスタマイズを使用して、同じオペレーティング システムに対して複数のプロファイルを作成できます。
構成をカスタマイズすると、その横にアイコンが表示され、カスタマイズされ、推奨値が使用されなくなったことを示します。 リセット ボタンを選択して、推奨値に戻します。
注意すべき便利なアイコン:
- この構成は以前にカスタマイズされています。 [ カスタマイズ] を選択した場合に新しいプロファイルを作成すると、選択可能なバリエーションが表示されます。
- この構成はカスタマイズされており、既定値を使用していません。
セキュリティ ベースライン評価の概要
セキュリティ ベースライン評価の概要ページでは、デバイスのコンプライアンス、プロファイルのコンプライアンス、障害が発生している上位のデバイス、および構成が正しく構成されていない上位のデバイスを表示できます。
セキュリティ ベースライン プロファイル評価の結果を確認する
[ プロファイル ] ページで、いずれかのプロファイルを選択して、追加情報を含むポップアップを開きます。
[ プロファイル ページを開く] を選択します。 プロファイル ページには、[ 構成] と [デバイス] の 2 つのタブ があります。
構成別に表示
[ 構成 ] タブでは、構成の一覧を確認し、報告されたコンプライアンスの状態を評価できます。
![プロファイル ページの [構成] タブ](/ja-jp/defender/media/defender-vulnerability-management/security-baselines-configurations.png#lightbox)
一覧で構成を選択すると、推奨値 (準拠と見なされるデバイスの想定される値範囲) や、現在のデバイス設定を決定するために使用されるソースなど、ポリシー設定の詳細を含むポップアップが表示されます。
[ デバイス ] タブには、該当するすべてのデバイスと、この特定の構成に対するコンプライアンス状態の一覧が表示されます。 デバイスごとに、検出された現在の値を使用して、準拠または非準拠の理由を確認できます。
デバイス別に表示
メインの [ デバイス ] タブで、デバイスの一覧を確認し、報告されたコンプライアンスの状態を評価できます。
一覧でデバイスを選択すると、ポップアップに詳細が表示されます。
[ 構成 ] タブを選択して、すべてのプロファイル構成に対するこの特定のデバイスのコンプライアンスを表示します。
デバイス側パネルの上部にある [ デバイス ページを開く ] を選択して、デバイス インベントリのデバイス ページに移動します。 デバイス ページには、[ 基準コンプライアンス ] タブが表示され、デバイスのコンプライアンスがきめ細かく表示されます。
一覧で構成を選択すると、このデバイスのポリシー設定のコンプライアンスの詳細を含むポップアップが表示されます。
例外の作成と管理
特定のデバイスで特定の構成を評価したくない場合があります。 たとえば、デバイスがサード パーティの制御下にある場合や、代替の軽減策が既に設定されている可能性があります。 このような状況では、例外を追加して、デバイス上の特定の構成の評価を除外できます。
例外に含まれるデバイスは、ベースライン プロファイル内の指定された構成に対して評価されません。 これは、組織のメトリックとスコアに影響を与えないことを意味し、組織にコンプライアンスのより明確なビューを提供するのに役立ちます。
例外を表示するには:
- Microsoft Defender ポータルの [脆弱性の管理>基準] 評価に移動します。
- 上部にある [ 例外 ] タブを選択します
![プロファイル ページの [例外] タブ](/ja-jp/defender/media/defender-vulnerability-management/security-baselines-exceptions.png#lightbox)
新しい例外を追加するには:
[ 例外 ] タブで、[ 作成 ] ボタンを選択します。
理由や期間など、要求された詳細を入力します。
[次へ] を選択します。
[ 構成スコープ ] ページで、ソフトウェア、基本ベンチマーク、コンプライアンス レベルを選択し、[ 次へ] を選択します。
例外に追加する構成を選択します。
[ 次へ ] を選択して、例外に含めるデバイスを選択します。 例外はデバイスに自動的に適用されます。
[ 次へ ] を選択して例外を確認します。
[ 送信] を 選択して例外を作成します。
最後のページで、[ すべての例外の表示 ] を選択して例外ページに戻ります。
[ 例外 ] ページで、いずれかの例外を選択してポップアップ ウィンドウを開きます。ここで、状態を確認したり、例外を編集または削除したりできます。
高度なハンティングを使用する
次の表で高度なハンティング クエリを実行して、組織内のセキュリティ ベースラインを把握できます。
- DeviceBaselineComplianceProfiles: 作成されたプロファイルの詳細を提供します。
- DeviceBaselineComplianceAssessment: デバイス コンプライアンス関連情報。
- DeviceBaselineComplianceAssessmentKB: CIS ベンチマークと STIG ベンチマークの一般的な設定 (どのデバイスにも関係ありません)。