Defender for Cloud Apps のアプリ ガバナンスを使ってみる
アプリ ガバナンス ソリューションは、有害な意図の評価のために追加レビューを必要とする許容範囲内のアクティビティを特定して対処するため、環境内でのきめ細かいアプリ挙動の把握を必要とします。 アプリ ガバナンスを Defender for Cloud Apps の上に重ねて階層化することで、環境内のリスクのあるアプリの挙動に対して詳細なガバナンスを取得できます。
この記事では、Microsoft Defender for Cloud Apps でアプリ ガバナンス機能の使用を開始する方法について説明します。
前提条件
まだサインアップしていない場合は、アプリ ガバナンスにサインアップしてテナントに追加する手順を完了してください。 アプリ ガバナンスへのサインアップ後、製品が表示されて使用可能になるまでに最大 10 時間かかります。
詳細については、Microsoft Defender for Cloud Apps でアプリ ガバナンスを有効化するを参照してください。
アプリ ガバナンス データを見るには、対応するアプリ ガバナンス管理者ロールをサインインアカウントに持っている必要があります。
アプリ ガバナンス アラートの完全な機能を使用するには、Defender for Cloud Apps と Microsoft Defender XDR それぞれのポータルに少なくとも 1 回アクセスして両方のアプリをプロビジョニングしておく必要があります。
ステップ 1: 可視性と分析情報を取得する
まず、次の手順を使用して、アプリに関する可視性と分析情報を取得します。
サインイン: ブラウザー上で、Microsoft Defender XDR > Cloud Apps >アプリ ガバナンスページに移動します。
コンプライアンス状況の評価: アプリ ガバナンス > 概要タブ内のデータを利用して、テナント内のアプリおよびインシデントのコンプライアンス状況を評価します。 テナント内の過剰な特権を持つアプリの数、アクティブなインシデントの数、Graph API の合計データ アクセス数などの詳細を確認できます。
ヒント
セキュリティ スコアでアプリ ガバナンス関連の推奨事項を確認して、コンプライアンス状況の包括的な管理に役立てることもできます。
アプリのリストアップ: データ使用量や同意件数の順にアプリをリストアップしたり、あるいは高い特権を持つアプリ、使用されていないアクセス許可を持つアプリ、発行元が未確認のアプリなどの条件に基づいてフィルタリングすることにより、アプリ ガバナンスタブ内にリストアップされるデータを並べ替えることができます。
こうした並べ替えやフィルタリングオプションを使用して、関連するアプリメタデータや使用量データなど、OAuth アプリに関するより詳細な分析情報を取得できます。
詳細なアプリ情報を取得する: アプリ ガバナンスタブ内では、グリッド内の特定のアプリを選択してそのアプリの詳細ページを見ることができます。 特定のアプリの優先アカウント データの使用状況を確認したり、誰のデータにアクセスしているのかを正確に追跡したり、どのアクセス許可が使われていて、どれが使用されていないのかを確認することができます。
詳細については、可視性と分析情報を使ってみるでご確認ください。
ステップ 2: アプリ ポリシーを実装する
アプリ ガバナンスは、機械学習ベースの検出アルゴリズムを使用して、お使いの環境内の異常なアプリ挙動を検出し、ユーザーが確認、調査、解決できるアラートを生成します。
この組み込みの検出機能以外にも、一連の既定のポリシー テンプレートを使用したり、他のアラートを生成する独自のアプリ ポリシーを作成することもできます。
アプリおよびユーザーのパターンや挙動に関するこれらのポリシーにより、ユーザーがルールに違反しているアプリや有害なアプリを使用しないよう保護したり、リスクのあるアプリがテナント データにアクセスするのを制限することができます。
アプリ ガバナンスは、次の種類のポリシーをサポートします。
| ポリシー タイプ | 説明 |
|---|---|
| 事前定義のポリシー | アプリ ガバナンスには、環境に合わせて調整された一連の事前定義のポリシーが用意されています。 事前定義のポリシーを利用することで、ポリシーを設定しなくてもアプリの監視を開始することができます。 事前定義のポリシーを利用して、アプリの異常が早期に通知されるようにしましょう。 |
| ユーザー定義のポリシー | 管理者は、事前定義のポリシーに加えて、使用可能な条件を使用してカスタム ポリシーを作成することも、使用可能な推奨ポリシーから選択することもできます。 |
現在使用中のアプリ ポリシーの一覧を確認するには、Microsoft Defender XDR > Cloud Apps > アプリ ガバナンス > ポリシータブにアクセスします。
Note
組み込み済みの脅威検出ポリシーは、アプリ ガバナンスページには表示されません。 詳細については、異常検出アラートを調査するを参照してください。
アプリ ポリシーを実装する:
事前定義のポリシーの操作: アプリ ガバナンスには、異常なアプリ挙動を検出するための、一連のすぐに使用できるポリシーが含まれています。 これらのポリシーは既定でアクティブ化されていますが、非アクティブ化することもできます。
アプリ ポリシーを作成する: アプリ ガバナンスには、ユーザーが使用できるように、20 を超えるポリシー条件とテンプレートが用意されています。 アプリ ガバナンス ポリシーは、次の目的に役立ちます。
アプリ ガバナンスによってアプリの動作に関するアラートを生成し、自動または手動による修復を促すための条件を指定する。
組織のアプリ コンプライアンス ポリシーを実装する。
アプリ ポリシーを管理する: 貴社で使用している最新のアプリに合せて、新たなアプリベース攻撃に対処しながら変化する組織のアプリコンプライアンス ニーズにも対応し続けるには、次の方法でアプリ ポリシーを管理する必要があります。
新しいアプリを対象とした新しいポリシーを作成する
既存のポリシーの状態を変更する (アクティブ、非アクティブ、監査モード)
既存のポリシーの条件を変更する
既存のポリシーのアクションを変更して、アラートの自動修復を設定する
詳細については、アプリ ポリシーについて学習するを参照してください。
ステップ 3: アプリの脅威を検出して修復する
アプリ ガバナンスを用いて、組み込みのアプリ ガバナンス検出メソッドによって生成される有害なアプリ アクティビティについての脅威アラートや、ユーザー作成のアクティブなアプリ ポリシーによって生成されるポリシー ベースの脅威アラートを監視することができます。
これらのアラートは、アプリのアクティビティに異常が見られる場合や、コンプライアンスに違反したアプリ、有害なアプリ、またはリスクのあるアプリが使用されている場合に生成されます。 また、アラートにパターンを使用して新しいアプリ ポリシーを作成したり、既存のポリシーの設定を変更して、より制限の厳しいアクションを作成したりすることもできます。
調査後にアラートを手動で修復したり、またはアクティブなアプリ ポリシーのアクション設定によりアラートを自動的に修復させることもできます。
脅威を検出して修復するには、次のいずれかの手順を実行します。
アプリの脅威の検出と修復機能を使い始める: アプリ ガバナンスは、組み込みの機械学習駆動型アプリ ガバナンス検出メソッドによって生成される脅威アラートを収集します。 脅威アラートは、有害なアプリ アクティビティと、ユーザー作成のアクティブなアプリ ポリシーによって生成されるポリシー ベースのアラートに基づいています。
異常なデータ使用量でアプリを監視して対応する: アプリ ガバナンスによって、望ましくない、悪意のある可能性があるアプリのアクティビティを特定するのに役立つ、データ使用状況の情報が提供されます。
異常検出アラートを調べる: アプリ ガバナンスでは、悪意のあるアクティビティに対するセキュリティ検出とアラートが提供されます。 このガイドの目的は、各アラートに関する一般的で実用的な情報を提供して、調査と修復のタスクに役立てることです。
アプリの脅威を修復する: Microsoft Defender XDR のアプリ ガバナンス アラートによって識別される有害なアプリとアプリアクティビティを修復します。
詳しくは、アプリの脅威の検出と修復について学習するを参照してください。