Defender for Cloud Apps が Microsoft 365 環境の保護にどのように役立つか
Microsoft 365 は、クラウド ファイル ストレージ、コラボレーション、BI、CRM ツールを提供する主要な生産性スイートとして、ユーザーが合理的で効率的な方法で組織およびパートナー全体でドキュメントを共有できるようにします。 Microsoft 365 を使用すると、機密データが内部だけでなく外部のコラボレーターにも公開されたり、さらに悪いことに共有リンクを介してパブリックに使用可能にされたりする可能性があります。 このようなインシデントは、悪意のあるアクターや認識していない従業員が原因で発生することがあります。 Microsoft 365 は、生産性を高めるのに役立つ大規模なサードパーティ製アプリ エコシステムも提供します。 これらのアプリを使用すると、悪意のあるアプリや過剰なアクセス許可を持つアプリを使用するリスクに組織がさらされる可能性があります。
Microsoft 365 を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関する分析情報が向上し、機械学習ベースの異常検出を使用した脅威検出、情報保護検出 (外部情報共有の検出など) を行うことができ、自動修復制御が有効になり、組織内の有効なサードパーティ製アプリからの脅威を検出できます。
Defender for Cloud Apps は、Microsoft 365 の監査ログと直接統合され、サポートされているすべてのサービスを保護します。 サポートされているサービスの一覧については、「監査をサポートする Microsoft 365 サービス」を参照してください。
このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。
Microsoft 365 のファイル スキャンの機能強化
Defender for Cloud Apps では、SharePoint と OneDrive について、ファイル スキャンの機能強化が追加されました。
SharePoint と OneDrive にあるファイルのスキャン速度がほぼリアルタイムに高速化されています。
SharePoint でのファイルのアクセス レベルの識別の向上: SharePoint でのファイルのアクセス レベルは、既定ではプライベートではなく内部としてマークされます (SharePoint 内のすべてのファイルには、ファイル所有者だけでなく、サイト所有者もアクセスできるため)。
Note
この変更は、ファイル ポリシーに影響を与える可能性があります (ファイル ポリシーが SharePoint で内部ファイルまたはプライベート ファイルを探している場合)。
主な脅威
- 侵害されたアカウントと内部関係者による脅威
- データ漏えい
- セキュリティに対する認識不足
- 悪意のあるサード パーティ製アプリ
- マルウェア
- フィッシング
- ランサムウェア
- 管理されていない個人のデバイスの持ち込み (BYOD)
環境を保護する場合の Defender for Cloud Apps の利点
- クラウドの脅威、侵害されたアカウント、悪意のある内部関係者を検出する
- クラウドに格納されている規制対象の機密データを検出、分類、ラベル付け、保護する
- 環境にアクセスできる OAuth アプリを検出して管理する
- クラウドに格納されているデータに対して DLP ポリシーとコンプライアンス ポリシーを適用する
- 共有データの公開を制限し、コラボレーション ポリシーを適用する
- フォレンジック調査にアクティビティの監査証跡を使用する
組み込みのポリシーとポリシー テンプレートで Microsoft 365 を制御する
次の組み込みのポリシー テンプレートを使用すると、潜在的な脅威を検出して通知することができます。
| Type | 名前 |
|---|---|
| 組み込みの異常検出ポリシー | 匿名 IP アドレスからのアクティビティ 頻度の低い国からのアクティビティ 不審な IP アドレスからのアクティビティ あり得ない移動 終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要) マルウェアの検出 複数回失敗したログイン試行 ランサムウェアの検出 疑わしい電子メール削除アクティビティ (プレビュー) 受信トレイからの疑わしい転送 異常なファイル削除アクティビティ 異常なファイル共有アクティビティ 複数回にわたる異常なファイル ダウンロード アクティビティ |
| アクティビティ ポリシー テンプレート | Logon from a risky IP address (危険な IP アドレスからのログオン) Mass download by a single user (1 人のユーザーによる大量ダウンロード) ランサムウェア アクティビティの可能性 アクセス レベルの変更 (Teams) 外部ユーザーの追加 (Teams) 一括削除 (Teams) |
| ファイル ポリシー テンプレート | 未承認のドメインと共有されているファイルの検出 個人の電子メール アドレスで共有されたファイルの検出 PII/PCI/PHI を含むファイルの検出 |
| OAuth アプリの異常検出ポリシー | 誤解を招く OAuth アプリ名 OAuth アプリの誤解を招く発行元名 悪意のある OAuth アプリの同意 |
ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。
ガバナンス制御を自動化する
潜在的な脅威を監視することに加えて、以下の Microsoft 365 ガバナンス アクションを適用および自動化して、検出された脅威を修復することができます。
| Type | アクション |
|---|---|
| データ ガバナンス | OneDrive: - 親フォルダーのアクセス許可を継承する - ファイル/フォルダーをプライベートにする - ファイル/フォルダーを管理者検疫に入れる - ファイル/フォルダーをユーザー検疫に入れる - ファイル/フォルダーをごみ箱に入れる - 特定のコラボレーターを削除する - ファイル/フォルダの外部コラボレーターを削除する - Microsoft Purview Information Protection の秘密度ラベルを適用する - Microsoft Purview Information Protection の秘密度ラベルを削除する SharePoint: - 親フォルダーのアクセス許可を継承する - ファイル/フォルダーをプライベートにする - ファイル/フォルダーを管理者検疫に入れる - ファイル/フォルダーをユーザー検疫に入れる - ファイル/フォルダーをユーザー検疫に入れ、所有者のアクセス許可を追加する - ファイル/フォルダーをごみ箱に入れる - ファイル/フォルダの外部コラボレーターを削除する - 特定のコラボレーターを削除する - Microsoft Purview Information Protection の秘密度ラベルを適用する - Microsoft Purview Information Protection の秘密度ラベルを削除する |
| ユーザー ガバナンス | - アラートをユーザーに通知する (Microsoft Entra ID 経由) - ユーザーにもう一度ログインするよう要求する (Microsoft Entra ID 経由) - ユーザーを一時停止する (Microsoft Entra ID 経由) |
| OAuth アプリのガバナンス | - OAuth アプリのアクセス許可を取り消す |
アプリからの脅威の修復の詳細については、「接続されているアプリを管理する」を参照してください。
Microsoft 365 をリアルタイムで保護する
外部ユーザーをセキュリティで保護して共同作業し、管理されていない、またはリスクの高いデバイスへの機密データのダウンロードをブロックおよび保護するための、ベスト プラクティスを参照してください。
Defender for Cloud Apps の Microsoft 365 との統合
Defender for Cloud Apps は、従来の Microsoft 365 専用プラットフォームと最新の Microsoft 365 サービス (Microsoft 365 の vNext リリース製品群と呼ばれています) に対応しています。
vNext サービス リリースは、管理レベルで標準的な Microsoft 365 サービスと多少異なる場合があります。
監査ログ
Defender for Cloud Apps は、Microsoft 365 の監査ログと直接統合され、サポートされているすべてのサービスからすべての監査イベントを受け取ります。 サポートされているサービスの一覧については、「監査をサポートする Microsoft 365 サービス」を参照してください。
Microsoft 365 で既定で有効になる Exchange 管理者監査ログでは、管理者 (または管理者特権が割り当てられているユーザー) が Exchange Online 組織で変更を加えたときに Microsoft 365 監査ログにイベントが記録されます。 Exchange 管理センターを使用するか、Windows PowerShell でコマンドレットを実行して加えられた変更は、Exchange 管理者監査ログに記録されます。 Exchange の管理者監査ログの詳細については、「管理者監査ログ」を参照してください。
Exchange、Power BI、および Teams からのイベントは、これらのサービスからのアクティビティがポータルで検出された後にのみ表示されます。
複数地域展開は、OneDrive でのみサポートされます
Microsoft Entra の統合
Active Directory オンプレミス環境のユーザーと自動的に同期するように Microsoft Entra ID が設定されている場合、オンプレミス環境の設定が Microsoft Entra 設定をオーバーライドし、[ユーザーの停止] というガバナンス アクションが元に戻されます。
Microsoft Entra ログイン アクティビティの場合、Defender for Cloud Apps には、対話型のログイン アクティビティと、ActiveSync などのレガシ プロトコルからのログイン アクティビティのみが表示されます。 非対話型のログイン アクティビティは、Microsoft Entra の監査ログに表示されます。
Office アプリが有効になっている場合、Microsoft 365 の一部であるグループも、特定の Office アプリから Defender for Cloud Apps にインポートされます。たとえば、SharePoint が有効になっている場合、Microsoft 365 グループは SharePoint グループとしてもインポートされます。
隔離サポート
SharePoint と OneDrive では、Defender for Cloud Apps は、Shared Documents ライブラリ (SharePoint Online) と、Documents ライブラリ (OneDrive for Business) のファイルについてのみ、ユーザー検疫をサポートします。
SharePoint では、Defender for Cloud Apps は、英語のパスで共有ドキュメントを持つファイルに対してのみ検疫タスクをサポートします。
Microsoft 365 を Microsoft Defender for Cloud Apps に接続する
このセクションでは、App Connector API を使用して Microsoft Defender for Cloud Apps を既存のMicrosoft 365アカウントに接続する手順について説明します。 この接続により、Microsoft 365 の使用を可視化し、制御できるようになります。 Defender for Cloud Apps で Microsoft 365 を保護する方法については、「Microsoft 365 を保護する」を参照してください。
このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。
前提条件:
Microsoft 365 を Defender for Cloud Apps に接続するには、Microsoft 365 ライセンスが少なくとも 1 つ割り当てられている必要があります。
Defender for Cloud Apps で Microsoft 365 のアクティビティの監視を有効にするには、Microsoft Purviewコンプライアンス ポータルで監査を有効にする必要があります。
Exchange メールボックスの監査ログは、Exchange Online のユーザー アクティビティをログに記録する前に、ユーザーのメールボックスごとに有効にする必要があります (Exchange メールボックスのアクティビティに関するページをご覧ください)。
そこからログを取得するには、Power BI で監査を有効にする必要があります。 監査を有効にすると、Defender for Cloud Apps ではログの取得が開始されます (24 - 72 時間の遅延があります)。
そこからログを取得するには、Dynamics 365で監査を有効にする必要があります。 監査を有効にすると、Defender for Cloud Apps ではログの取得が開始されます (24 - 72 時間の遅延があります)。
Microsoft 365 を Defender for Cloud Apps に接続するには:
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。
[アプリ コネクタ] ページで、[+アプリを接続] を選択し、[Microsoft 365] を選択します。
[Microsoft 365 コンポーネントの選択] ページで、必要なオプションを選択し、[接続] を選択します。
Note
- 最良の保護を実現するために、すべての Microsoft 365 コンポーネントを選択することをお勧めします。
- Azure AD ファイル コンポーネントには、Azure AD アクティビティ コンポーネントと Defender for Cloud Apps のファイル監視が必要です ([設定]>[クラウド アプリ]>[ファイル]>[ファイルの監視を有効化])。
[リンクに移動] ページで、[Microsoft 365 の接続] を選択します。
Microsoft 365 が正常に接続済みとして表示されたら、[完了] を選択します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。 接続されているアプリ コネクタの状態が [接続済み] になっていることを確認します。
SaaS セキュリティ態勢管理 (SSPM) データが、Microsoft Defender ポータルの [セキュア スコア] ページに表示されます。 詳細については、「SaaS アプリのセキュリティ態勢管理」を参照してください。
Note
Microsoft 365 に接続すると、API をプルしている Microsoft 365 に接続されているサードパーティ アプリケーションを含む 1 週間前のデータが表示されます。 接続前に API を取得しなかったサードパーティ アプリの場合は、Defender for Cloud Apps が既定でオフになっていた API をオンにするため、Microsoft 365 に接続した瞬間からイベントが表示されます。
アプリの接続に問題がある場合は、アプリ コネクタのトラブルシューティングを参照してください。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。