この記事では、Microsoft Defender 外部攻撃面管理 (Defender EASM) で使用できるフィルター機能について説明します。 フィルター処理は、選択したパラメーターに基づいてインベントリ資産の特定のサブセットを見つけるのに役立ちます。 この記事では、各フィルターと演算子の概要を説明し、最適な結果を得る入力オプションに関するガイダンスを提供します。 また、フィルター処理された結果に簡単にアクセスできるようにクエリを保存する方法についても説明します。
メカニズム
インベントリ フィルターを使用すると、検索パラメーターを満たすデータの特定のサブセットにアクセスできます。 必要な数のフィルターを適用して、必要な結果を取得できます。
既定では、[ インベントリ ] 画面には 承認済み 在庫資産のみが表示されます。 代替状態の資産は非表示になります。 このフィルターは、別の状態の資産を表示する場合に削除できます。 その他の状態は、 候補、 依存関係、および 調査が必要です。
承認済みインベントリ フィルターの削除は、次の必要がある場合に便利です。
- 潜在的な新しい資産を確認します。
- サード パーティの依存関係の問題を調査します。
- 検索を実行すると、潜在的な所有資産の完全なビューが表示されます。
Defender EASMには、さまざまなレベルの粒度の結果を取得するためのさまざまなフィルターが用意されています。 一部のフィルターでは、ドロップダウン リストから値オプションを選択できます。 その他のユーザーは、必要な値を手動で入力する必要があります。
保存されたクエリ
目的のクエリを保存して、結果の資産リストにすばやくアクセスできます。 この機能は、資産の特定のサブセットを定期的に検索する必要がある場合に便利です。 また、後で特定のフィルター構成を簡単に参照する必要がある場合にも役立ちます。 保存されたフィルターは、高度にカスタマイズ可能なパラメーターに基づいて最も重要な資産に簡単にアクセスするのに役立ちます。
クエリを保存するには:
まず、フィルターを慎重に選択して、目的の結果を生成します。 資産の種類ごとに適用されるフィルターの詳細については、「次の手順」セクションを参照してください。 この例では、更新が必要な 30 日以内に有効期限が切れるドメインを検索しています。 [検索] を選択します。
![[検索] ボタンと [保存済みクエリ] ボタンが強調表示されている [インベントリ] ページを示すスクリーンショット。](media/saved-filters-1.png)
結果の資産を確認します。 選択したフィルターに問題がなく、クエリを保存する場合は、[ クエリの保存] を選択します。
クエリに名前を付け、説明を入力します。 初期セットアップ後にクエリ名を編集することはできませんが、後で説明を変更できます。 [保存] を選択します。 クエリが保存されたことを確認するバナーが表示されます。
![[クエリ構成の保存] ページを示すスクリーンショット。](media/saved-filters-2.png)
保存したフィルターを表示するには、インベントリ リスト ページの上部にある [ 保存済みクエリ ] タブを選択します。 保存されたクエリはすべて上部のセクションに表示されます。 [ クエリを開く ] を選択すると、指定されたパラメーターによってインベントリがフィルター処理されます。 このページでは、保存したクエリを編集または削除することもできます。
![[インベントリ] ページの [保存されたクエリ] タブを示すスクリーンショット。](media/saved-filters-3.png)
演算子
インベントリ フィルターは、次の演算子で使用できます。 一部の演算子は、すべてのフィルターで使用できるわけではありません。 一部の演算子は、特定のフィルターに論理的に適用できない場合は非表示になります。
| オペレーター | 説明 |
|---|---|
Equals |
検索値と完全に一致する結果を返します。 このフィルターは、一度に 1 つの値の結果のみを返します。 オプションのドロップダウン リストを設定するフィルターの場合、一度に選択できるオプションは 1 つだけです。 複数の値を選択するには、 In 演算子を参照してください。 |
Not Equals |
フィールドが検索値と完全に一致しない結果を返します。 |
Starts with |
フィールドが検索値で始まる結果を返します。 |
Does not start with |
フィールドが検索値で始まらない結果を返します。 |
Matches |
フィールド内のトークン化された用語が検索値と完全に一致する結果を返します。 |
Does not match |
フィールド内のトークン化された用語が検索値と完全に一致しない結果を返します。 |
In |
フィールドがいずれかの検索値と完全に一致する結果を返します。 ドロップダウン リストでは、複数のオプションを選択できます。 |
Not In |
フィールドが検索値と完全に一致しない結果を返します。 複数のオプションを選択できます。 手動入力フィールドは、正確な値に一致する結果を除外します。 |
Starts with in |
フィールドが検索値の 1 つで始まる結果を返します。 |
Does not start with in |
フィールドが検索値で始まらない結果を返します。 |
Matches in |
フィールド内のトークン化された用語がいずれかの検索値と完全に一致する結果を返します。 |
Does not match in |
フィールド内のトークン化された用語が検索値と完全に一致しない結果を返します。 |
Contains |
フィールドコンテンツに検索値が含まれる結果を返します。 |
Does Not Contain |
フィールドコンテンツに検索値が含まれていない結果を返します。 |
Contains in |
フィールド コンテンツにいずれかの検索値が含まれている結果を返します。 |
Does Not Contain In |
フィールド コンテンツのトークン化された用語に検索値が含まれていない結果を返します。 |
Empty |
指定したフィルターの値を返さない資産を返します。 |
Not Empty |
値に関係なく、指定したフィルターの値を返すすべての資産を返します。 |
Greater Than or Equal To |
数値以上の結果を返します。 日付が含まれます。 |
Between |
数値範囲内の結果を返します。 日付範囲が含まれます。 |
一般的なフィルター
これらのフィルターは、インベントリ内のすべての種類の資産に適用されます。 これらのフィルターは、より広い範囲の資産を検索するときに使用できます。 特定の種類の資産のフィルターの一覧については、「次の手順」セクションを参照してください。
定義された値フィルター
次のフィルターは、選択できるオプションのドロップダウン リストを提供します。 使用可能な値は定義済みです。
| フィルター名 | 説明 | 選択可能な値 | 使用可能な演算子 |
|---|---|---|---|
| Kind | インベントリを構成する特定の Web プロパティの種類でフィルター処理します。 | ASN、連絡先、ドメイン、ホスト、IP アドレス、IP ブロック、ページ、SSL 証明書 |
Equals, Not Equals, In, Not In, Empty, Not Empty |
| 状態 | 資産に割り当てられた状態は、organizationとの関連性と、Defender EASMで監視する方法を区別します。 | 承認済み、候補、依存関係、監視のみ、調査が必要 | |
| インベントリから削除 | 資産がインベントリから削除された方法。 | アーカイブ済み、無視済み | |
| 作成日時 | インベントリで資産が作成された日付でフィルター処理します。 | 予定表ドロップダウンによる日付範囲 |
Greater Than or Equal To, Less Than or Equal To, Between |
| 最初の表示 | Defender EASM検出システムによって資産が最初に観察された日付でフィルター処理します。 | 予定表ドロップダウンによる日付範囲 | |
| 最後に見た | Defender EASM検出システムによって資産が最後に観察された日付でフィルター処理します。 | 予定表ドロップダウンによる日付範囲 | |
| ラベル | 在庫資産に手動で適用されるラベルのフィルター。 | フリーフォームの応答を受け入れますが、Defender EASM リソースで使用できるラベルのドロップダウンも提供します | |
| 更新日時 | 資産データがインベントリで最後に更新された日付でフィルター処理します。 | 予定表ドロップダウンによる日付範囲 | |
| ワイルドカード | ワイルドカード DNS レコードは、まだ定義されていないサブドメインの DNS 要求に応答します。 たとえば、*.contoso.com です。 | True、False |
Equals, Not Equals |
フリーフォーム フィルター
次のフィルターでは、検索に使用する値を手動で入力する必要があります。 これらの値の多くは大文字と小文字が区別されます。
| フィルター名 | 説明 | 値の書式 | 該当する演算子 |
|---|---|---|---|
| UUID | 特定の資産に割り当てられたユニバーサル一意識別子。 | acabe677-f0c6-4807-ab4e-3a59d9e66b22 |
Equals, Not Equals, In, Not In |
| 名前 | 資産の名前。 | インベントリに記載されている資産名の形式に合わせる必要があります。 たとえば、ホストは mail.contoso.com として表示され、IP は 192.168.92.73 として表示されます。 |
Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| [外部 ID] | サード パーティによって提供される識別子。 | 通常は数値です。 |
Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
承認済みインベントリの外部にある資産をフィルター処理する
左端のウィンドウで、[ インベントリ ] を選択してインベントリを表示します。
承認済みインベントリ フィルターを削除するには、[状態 ] = [承認済み] フィルターの横にある [X] を選択します。 インベントリ リストが展開され、他の状態 (無視など) の資産 が含まれます。
インベントリ フィルターを使用して、検索する資産を特定します。 [候補] 状態のすべての資産を確認できます。 また、organizationにとって重要な資産を承認済みインベントリに追加することもできます。
または、 承認済 みインベントリに追加する 1 つの特定の資産を見つける必要がある場合があります。 特定の資産を検出するには、フィルターを適用して名前を検索します。
インベントリリストに、検索していた未承認の資産が表示されたら、資産を変更できます。 資産を更新する方法の詳細については、「インベントリ資産 の変更」を参照してください。