はじめに
Microsoft Defender for Endpoint (MDE) には、MDE にオンボーディングされていないデバイス (アンマネージド デバイス) を検出する機能があります。こちらを使用することで、適切に管理できていない、いわゆる野良デバイスを発見することが可能です。今回はこちらの機能を使って、どの程度デバイスが検出できるのか試してみます。
参考ドキュメント
初期設定
[設定] > [デバイスの検出] をクリックします。
[検出のセットアップ] ページを確認します。今回は Standard モードを使用します。
[監視対象ネットワーク] で検出されたネットワークを確認します。スキャンしたいネットワークが無視になっていれば、 [このネットワークを監視する] に変更します。
検出結果
スキャンで検出した結果です。ホスト名や OS くらいまでは確認可能です。
ネットワークデバイスも検出できました。ベンダーやモデルも一部取得できています。
IoT としては自宅にある Amazon Echo や nasne、スマート家電の Nature も検出できました。
最後に
機能としてはあくまで外部からのスキャンであり、こちらは認証情報を用いたスキャンではないため、可視化できる範囲は IP アドレスやベンダー、OS レベルまでのイメージです。また、野良デバイスを 100% 検出できるわけではないため、あくまで補助的な機能と考えたほうがよいと思います。(100% を目指すのであれば、無線 LAN のアクセス ポイントや L2 SW のログからやったほうがよいかと)
Discussion