タグと除外を使用してデバイスのスコープと関連性を管理する

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

ネットワーク内で検出されたすべてのデバイスに、同じレベルのセキュリティ注意が必要なわけではありません。 一部のデバイスはネットワーク (ゲスト、テスト デバイス) に短時間表示されますが、他のデバイスは脆弱性管理 (分離されたラボ、使用停止されたシステム) の範囲外です。 一時的なデバイスのタグ付けとデバイスの除外を使用してデバイス スコープを管理することで、セキュリティ チームは関連するデバイスに集中し、正確な露出とセキュリティ スコアを確保し、真の運用環境を反映したよりクリーンなレポートを生成します。

タグまたは除外を使用する

Defender for Endpoint には、デバイスの関連性を管理するための 2 つの補完的なメカニズムが用意されています。 次の表を使用して、状況に合ったアプローチを決定します。

状況 方法 メカニズム 影響
デバイスが頻繁に表示および非表示になる (ゲスト、テスト VM、有効期間の短いコンテナー) 一時的なデバイスのタグ付け (自動) 内部アルゴリズムは、デバイスと一致する断続的なネットワーク パターンとタグを検出します。 サーバー、ネットワーク デバイス、プリンター、産業用およびスマートファシリティ デバイスには、一時的なタグは付けされません。 一時的なデバイスは既定のインベントリ ビューから除外されますが、フィルターを変更しても表示されたままです。 露出スコア、セキュリティ スコア、脆弱性レポート、高度なハンティングには、引き続きこれらのデバイスが含まれます。
永続的なラボまたはサンドボックス環境 デバイスの除外 (手動) 文書化された正当な理由により、デバイスを個別に、または一括で除外します。 除外されたデバイスは脆弱性管理ページやレポートには表示されません。また、露出やセキュリティスコアには影響しません。 これらはデバイス インベントリに残りますが、除外としてマークされます。
使用停止のスケジュールされたデバイス デバイスの除外 (手動) 正当な理由を指定して除外し、予定されている退職日に関するメモを付けます。 上記と同じです。 履歴レコードはインベントリに残ります。
再イメージ化後の重複エントリ デバイスの除外 (手動) "重複するデバイス" の正当な理由がある古いエントリを除外します。アクティブなデバイスをスコープ内に保持します。 インベントリをクリーンアップし、正確なデバイス数を確保します。
長期間オフラインのデバイス 既に一時的なタグが付けられているかどうかを確認します。そうでない場合は、除外を検討してください 一時的なタグ付けでは、既にこれを処理している可能性があります。 デバイスが返されない場合にのみ、手動で除外します。 選択したアプローチによって異なります。
一時的に無視するアクティブなデバイス デバイス フィルターまたはカスタム タグ インベントリ フィルターまたは デバイス タグ を使用して、ターゲット ビューを作成します。 完全な可視性が維持されます。 死角を作成するアクティブなデバイスを除外しないでください。
別のチームによって管理されるデバイス デバイス フィルターまたはカスタム タグ デバイス タグとフィルターを使用して、チームごとのビューのスコープを設定します。 organization全体で完全な可視性が維持されます。

重要

一時的なタグ付けされたデバイスと除外されたデバイスを定期的に確認します。 デバイスを除外する場合は、常に意味のあるメモを追加します。 ネットワークに接続されたアクティブなデバイスを除外しないでください。除外は脆弱性管理の可視性にのみ影響し、実際のリスクには影響しません。

一時的なデバイスの表示と管理

一時的なデバイスのタグ付けは自動であり、無効にすることはできません。 フィルターを使用して可視性を制御します。

インベントリ内の一時的なデバイスを表示する

  1. Microsoft Defender ポータルで、[Assets>Devices] に移動します。
  2. フィルター のアイコンを選択します。
  3. [ 一時的なデバイス ] フィルターで、[ はい ] を選択して一時的なデバイスのみを表示するか、[ いいえ ] を選択して一覧から除外します。

[ 一時的なデバイス ] 列をインベントリ ビューに追加して、一時的な状態を他のデバイスの詳細と共に表示することもできます。

一時的なタグ付けのしくみ

  • 自動検出: 内部アルゴリズムは、ネットワークの外観パターンに基づいて一時的なデバイスを識別します。
  • 除外されるデバイスの種類: サーバー、ネットワーク デバイス、プリンター、産業用デバイス、監視機器、スマートファシリティ デバイス、スマート アプライアンスは、一時的なタグ付けされることはありません。
  • 既定のフィルター処理: 一時的なデバイスは、既定でデバイス インベントリから除外されます。
  • 手動によるオーバーライドなし: デバイスに一時的なタグを手動でタグ付けしたり、タグを解除したりすることはできません。 フィルター設定を調整して可視性を制御します。

デバイスを除外する

デバイスの除外を使用すると、脆弱性管理の可視性から特定のデバイスを手動で削除できます。 除外されたデバイスはデバイス インベントリ (除外済みとしてマーク) に残りますが、脆弱性管理ページやレポートには表示されません。また、露出やセキュリティスコアには影響しません。

警告

除外されたデバイスはネットワークに接続されたままであり、セキュリティ 上のリスクが引き続き発生する可能性があります。 デバイスの除外は脆弱性管理の可視性にのみ影響します。攻撃を防いだり、実際のリスクを軽減したりすることはありません。 アクティブなデバイスを除外しようとすると、Defender for Endpoint に警告が表示され、確認を求められます。

1 つのデバイスを除外する

  1. Microsoft Defender ポータルで、[Assets>Devices] に移動します。
  2. 除外するデバイスを選択します。
  3. デバイスのポップアップまたはデバイス ページで、[除外] を選択 します
  4. 正当な理由を選択します。
    • 非アクティブなデバイス
    • デバイスの複製
    • デバイスが存在しない
    • 対象外
    • その他
  5. 除外の理由を説明するメモを入力します。
  6. [ デバイスの除外] を選択します

理由オプションを含む [デバイスの除外] ダイアログのスクリーンショット。

複数のデバイスを除外する

  1. [ デバイス インベントリ] で、チェックボックスを使用して複数のデバイスを選択します。
  2. アクション バーから [除外] を選択 します
  3. 正当な理由を選択し、メモを追加します。
  4. [ デバイスの除外] を選択します

除外状態が混在するデバイスを選択すると、既に除外されている数がダイアログに表示されます。 デバイスを除外し直すことができますが、新しい理由によって以前の値がオーバーライドされます。

複数の選択したデバイスを示す一括デバイス除外のスクリーンショット。

注:

脆弱性管理ビューとデータからデバイスが完全に除外されるまでに最大 10 時間かかることがあります。

除外されたデバイスの表示と管理

  1. [デバイス インベントリ] で、[フィルター] アイコンを選択します。
  2. [除外状態] フィルターを使用して、次の情報を表示します。
    • 除外されない: 通常のデバイス
    • 除外: 脆弱性管理から削除されたデバイス

[ 除外状態 ] 列をインベントリ ビューに追加することもできます。

デバイスの除外を停止する

デバイスをアクティブな脆弱性管理に復元するには:

  1. [ デバイス インベントリ] で、除外されたデバイスを選択します。
  2. デバイスのポップアップで、[除外の 詳細] を選択します。
  3. [ 除外の停止] を選択します

除外を停止するオプションを含む除外の詳細を示すスクリーンショット。

除外を停止すると、脆弱性管理ページ、レポート、高度なハンティングに脆弱性データが再び表示されます。 変更が有効になるまでに最大 8 時間かかることがあります。

次の手順

  • Last updated on