Defender for Cloud Apps を用いた組織を保護するためのベスト プラクティス

この記事では、Microsoft Defender for Cloud Apps を使用して組織を保護するためのベスト プラクティスについて説明します。 これらのベスト プラクティスは、Defender for Cloud Apps に関する Microsoft の経験と、お客様の経験から得られたものです。

この記事で説明するベスト プラクティスは、次のとおりです。

• クラウド アプリを検出および評価する
• クラウド ガバナンスのポリシーを適用する
• 共有データの公開を制限し、コラボレーション ポリシーを適用する
• クラウドに格納されている規制対象の機密データを検出、分類、ラベル付け、保護する
• クラウドに格納されているデータに対して DLP ポリシーとコンプライアンス ポリシーを適用する
• アンマネージド デバイスまたはリスクの高いデバイスへの機密データのダウンロードをブロックして保護する
• リアルタイム セッション制御を適用して、外部ユーザーとのコラボレーションをセキュリティで保護する
• クラウドの脅威、侵害されたアカウント、悪意のある内部関係者、ランサムウェアを検出する
• フォレンジック調査にアクティビティの監査証跡を使用する
• IaaS サービスとカスタム アプリをセキュリティで保護する

クラウド アプリを検出および評価する

Defender for Cloud Apps と Microsoft Defender for Endpoint を統合すると、企業ネットワークやセキュリティで保護された Web ゲートウェイを越えて Cloud Discovery を使用できるようになります。 ユーザーとデバイスの情報を組み合わせることで、危険なユーザーまたはデバイスを特定し、使用しているアプリを確認し、Defender for Endpoint ポータルでさらに調査することができます。

ベスト プラクティス: Defender for Endpoint を使用してシャドウ IT 検出を有効にする
詳細: Cloud Discovery は、Defender for Endpoint によって収集されたトラフィック ログを分析し、クラウド アプリ カタログに対して識別されたアプリを評価して、コンプライアンスとセキュリティ情報を提供します。 Cloud Discovery を構成することで、クラウドの使用、シャドウ IT、ユーザーが使用している承認されていないアプリの継続的な監視を可視化できます。
詳細:

• Microsoft Defender for Endpoint と Defender for Cloud Apps の統合
• Cloud Discovery の設定
• ネットワーク内のシャドウ IT の検出と管理

---

ベスト プラクティス: アプリ検出ポリシーを構成して、危険なアプリ、準拠していないアプリ、トレンド アプリを事前に特定する
詳細: アプリ検出ポリシーを使用すると、組織内で検出された重要なアプリケーションを簡単に追跡して、これらのアプリケーションを効率的に管理できます。 リスク、非対応、トレンド、大量のいずれかとして識別される新しいアプリを検出するときにアラートを受信するポリシーを作成します。
詳細:

• Cloud Discovery ポリシー
• Cloud Discovery 異常検出ポリシー
• 行動分析と異常検出を瞬時に取得する

---

ベスト プラクティス: ユーザーによって承認された OAuth アプリを管理する
詳細: 多くのユーザーは、自分のアカウント情報にアクセスするための OAuth アクセス許可をサード パーティのアプリに何気なく付与し、その際に誤って他のクラウド アプリのデータへのアクセス権も付与します。 通常、IT にはこれらのアプリの可視性がないため、アプリのセキュリティ リスクを、そのアプリが提供する生産性のメリットと比較することは困難です。

Defender for Cloud Apps には、ユーザーが付与したアプリのアクセス許可を調査および監視する機能が用意されています。 この情報を使用して、疑わしい可能性のあるアプリを特定でき、危険であると判断した場合にアクセスを禁止することができます。
詳細:

• OAuth アプリの管理
• OAuth アプリに関するポリシー

---

---

---

---

クラウド ガバナンスのポリシーを適用する

ベスト プラクティス: アプリにタグを付けし、ブロック スクリプトをエクスポートする
詳細: 組織内で検出されたアプリの一覧を確認したら、望ましくないアプリの使用から環境を守ることができます。 [承認された] タグは、組織によって承認されたアプリに適用でき、承認されていないアプリには[承認されていない] タグを適用できます。 検出フィルターを使用して承認されていないアプリを監視したり、オンプレミスのセキュリティ アプライアンスを使用して承認されていないアプリをブロックするスクリプトをエクスポートしたりできます。 タグとエクスポート スクリプトを使用すると、安全なアプリにのみアクセスできるようにすることで、アプリを整理し、環境を保護できます。
詳細:

• 検出されたアプリの管理

---

共有データの公開を制限し、コラボレーション ポリシーを適用する

ベスト プラクティス: Microsoft 365 を接続する
詳細: Microsoft 365 を Defender for Cloud Apps に接続すると、ユーザーのアクティビティやアクセスしているファイルを瞬時に表示でき、Office 365、SharePoint、OneDrive、Teams、Power BI、Exchange、Dynamics のガバナンス アクションが提供されます。
詳細:

• アプリの接続
• Microsoft 365 を Microsoft Defender for Cloud Apps に接続する

---

ベスト プラクティス: アプリの接続
詳細: お使いのアプリを Defender for Cloud Apps に接続することにより、ユーザーのアクティビティ、脅威検出、ガバナンス機能に関する分析情報が強化されます。 サポートされているサードパーティ製アプリの API を確認するには、「アプリの接続」を参照してください。

詳細:

• アプリの接続

---

ベスト プラクティス: 個人用アカウントとの共有を削除するポリシーを作成する
詳細: Microsoft 365 を Defender for Cloud Apps に接続すると、ユーザーのアクティビティやアクセスしているファイルを瞬時に表示でき、Office 365、SharePoint、OneDrive、Teams、Power BI、Exchange、Dynamics のガバナンス アクションが提供されます。
詳細:

• 接続されているアプリを管理する

---

クラウドに格納されている規制対象の機密データを検出、分類、ラベル付け、保護する

ベストプラクティス: Microsoft Purview Information Protection と統合する
詳細: Microsoft Purview Information Protection と統合すると、秘密度ラベルを自動的に適用し、必要に応じて暗号化保護を追加することができます。 統合をオンにすると、ガバナンス アクションとしてラベルを適用したり、分類別にファイルを表示したり、分類レベルでファイルを調査したり、分類されたファイルが適切に処理されていることを確認するための詳細なポリシーを作成したりできます。 統合をオンにしない場合は、クラウド内のファイルを自動的にスキャン、ラベル付け、暗号化する機能を利用することはできません。
詳細:

• Microsoft Purview Information Protection 統合
• チュートリアル: Microsoft Purview Information Protection の秘密度ラベルを自動的に適用する

---

ベスト プラクティス: データ流出ポリシーを作成する
詳細: ファイル ポリシーを使用して情報共有を検出し、クラウド アプリの機密情報をスキャンします。 次のファイル ポリシーを作成して、データの流出が検出されたときにアラートを生成します。

• 機密データを含む外部に共有されたファイル
• 外部に共有され、[機密情報] とラベル付けされているファイル
• 未承認ドメインと共有されたファイル
• SaaS アプリで機密ファイルを保護する

詳細:

• コンテンツ検査
• ファイル ポリシー
• 情報保護 ポリシー

---

ベスト プラクティス: [ファイル] ページでレポートを確認する
詳細: さまざまな SaaS アプリをアプリ コネクタを使用して接続すると、Defender for Cloud Apps により、これらのアプリによって格納されているファイルがスキャンされます。 さらに、ファイルが変更されるたびに、再びスキャンされます。 [ファイル] ページを使用すると、クラウド アプリに格納されているデータの種類を理解して調査できます。 調査に役立つように、ドメイン、グループ、ユーザー、作成日、拡張子、ファイル名と種類、ファイル ID、秘密度ラベルなどでフィルター処理できます。 これらのフィルターを使用すると、ファイルの調査方法を制御して、データにリスクがないことを確認できます。 データの使用方法についての理解が深まったら、これらのファイル内の機密性の高いコンテンツをスキャンするポリシーを作成できます。
詳細:

• アプリの接続
• ファイル フィルター
• コンテンツ検査

---

---

---

---

クラウドに格納されているデータに対して DLP ポリシーとコンプライアンス ポリシーを適用する

ベスト プラクティス: 外部ユーザーと共有されないように機密データを保護する
詳細: ユーザーが機密秘密度ラベルをもつファイルを組織外部の人と共有しようとしたときに検出するファイル ポリシーを作成し、外部ユーザーを削除するようにガバナンス アクションを構成します。 このポリシーにより、機密データが組織から離れることがないようにし、外部ユーザーがアクセスできないようにします。
詳細:

• 接続されているアプリを管理する

---

---

---

---

アンマネージド デバイスまたはリスクの高いデバイスへの機密データのダウンロードをブロックして保護する

ベスト プラクティス: 危険度の高いデバイスへのアクセスを管理および制御する
詳細: アプリの条件付きアクセス制御を使用して、SaaS アプリに制御を設定します。 セッション ポリシーを作成して、高リスクの低信頼セッションを監視できます。 同様に、管理されていないデバイスまたは危険なデバイスから機密データにアクセスしようとしているユーザーによるダウンロードをブロックおよび保護するセッション ポリシーを作成できます。 リスクの高いセッションを監視するセッション ポリシーを作成しないと、Web クライアントでのダウンロードをブロックおよび保護する機能と、Microsoft とサード パーティのアプリの両方で低信頼セッションを監視する機能が失われます。
詳細:

• Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御を使用してアプリを保護する
• セッション ポリシー

---

---

---

---

リアルタイム セッション制御を適用して、外部ユーザーとのコラボレーションをセキュリティで保護する

ベスト プラクティス: アプリの条件付きアクセス制御を使用して外部ユーザーとのセッションを監視する
詳細: 環境内のコラボレーションをセキュリティで保護するために、内部ユーザーと外部ユーザー間のセッションを監視するセッション ポリシーを作成できます。 これにより、ユーザー間のセッションを監視する (およびユーザーのセッション アクティビティが監視されていることをユーザーに通知する) だけでなく、特定のアクティビティを制限することもできます。 アクティビティを監視するセッション ポリシーを作成する場合は、監視するアプリとユーザーを選択できます。
詳細:

• Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御を使用してアプリを保護する
• セッション ポリシー

---

---

---

---

クラウドの脅威、侵害されたアカウント、悪意のある内部関係者、ランサムウェアを検出する

ベスト プラクティス: 異常ポリシーの調整、IP 範囲の設定、アラートのフィードバックの送信
詳細: 異常検出ポリシーでは、すぐに使えるユーザー/エンティティ行動分析 (UEBA) と機械学習 (ML) が提供されるため、クラウド環境全体で高度な脅威検出をすばやく実行できます。

異常検出ポリシーは、環境内のユーザーによって実行される異常なアクティビティがある場合にトリガーされます。 Defender for Cloud Apps により、ユーザーのアクティビティが継続的に監視され、UEBA と ML を使用してユーザーの "通常" の行動が学習、把握されます。 組織の要件に合わせてポリシー設定を調整できます。たとえば、ポリシーの秘密度を設定したり、ポリシーを特定のグループにスコープ設定したりできます。

• 異常検出ポリシーの調整とスコープ設定: たとえば、あり得ない移動アラート内の誤検知の数を減らすために、ポリシーの秘密度スライダーを低に設定できます。 組織内に頻繁に企業旅行者であるユーザーがいる場合は、ユーザー グループにユーザーを追加し、ポリシーのスコープでそのグループを選択できます。

• IP 範囲を設定する: IP アドレスの範囲を設定すると、Defender for Cloud Apps で既知の IP アドレスを識別することができます。 IP アドレス範囲を構成すると、ログやアラートのタグ付けや分類、およびその表示や調査の方法のカスタマイズを行うことができます。 IP アドレス範囲を追加すると、誤検知の検出を減らし、アラートの精度を向上させることができます。 IP アドレスを追加しないことを選択した場合、調査する可能性のある誤検知とアラートの数が増える可能性があります。

• アラートに関するフィードバックを送信する

  アラートを無視または解決する場合は、アラートを無視した理由または解決方法を含むフィードバックを必ず送信してください。 この情報は、Defender for Cloud Apps によるアラートを改善し、偽陽性を減らすのに役立ちます。

詳細:

• 行動分析と異常検出を瞬時に取得する
• IP の範囲とタグを使用する

---

ベスト プラクティス: 予期しない場所または国や地域からのアクティビティを検出します
詳細: ユーザーが予期しない場所または国/地域からサインインしたときに通知するアクティビティ ポリシーを作成します。 これらの通知は、環境内のセッションが侵害された可能性があることを警告して、脅威が発生する前に検出して修復できるようにします。
詳細:

• 脅威に対する保護ポリシー

---

ベスト プラクティス: OAuth アプリ ポリシーを作成する
詳細: OAuth アプリが特定の条件を満たしたときに通知する OAuth アプリ ポリシーを作成します。 たとえば、高いアクセス許可レベルを必要とする特定のアプリに 100 を超えるユーザーがアクセスしたときに通知を受け取ることができます。
詳細:

• OAuth アプリに関するポリシー

---

---

---

---

フォレンジック調査にアクティビティの監査証跡を使用する

ベスト プラクティス: アラートを調査するときにアクティビティの監査証跡を使用する
詳細: アラートは、ユーザー、管理者、またはサインイン アクティビティがポリシーに準拠していない場合にトリガーされます。 アラートを調査して、環境内に脅威が存在する可能性があるかどうかを把握することが重要です。

アラートを調査するには、[アラート] ページでアラートを選択し、そのアラートに関連するアクティビティの監査証跡を確認します。 監査証跡を使用すると、同じ種類、同じユーザー、同じ IP アドレス、場所のアクティビティを可視化して、アラートの全体的なストーリーを提供できます。 アラートでさらに調査が必要な場合は、組織内でこれらのアラートを解決する計画を作成します。

アラートを無視する場合は、重要でない理由や誤検知の理由を調査して理解することが重要です。 このようなアクティビティの量が多い場合は、アラートをトリガーするポリシーの確認とチューニングを検討することもできます。
詳細:

• 活動

---

---

---

---

IaaS サービスとカスタム アプリをセキュリティで保護する

ベスト プラクティス: Azure、AWS、GCP を接続する
詳細: これらの各クラウド プラットフォームを Defender for Cloud Apps に接続すると、脅威検出機能を向上させることができます。 これらのサービスの管理アクティビティとサインイン アクティビティを監視することで、ブルート フォース攻撃の可能性、特権ユーザー アカウントの悪意のある使用、環境内のその他の脅威を検出して通知することができます。 たとえば、VM の異常な削除や、これらのアプリでの偽装アクティビティなどのリスクを特定できます。
詳細:

• Azure を Microsoft Defender for Cloud Apps に接続する
• アマゾン ウェブ サービスを Microsoft Defender for Cloud Apps に接続する
• Google Workspace を Microsoft Defender for Cloud Apps に接続する

---

ベスト プラクティス: カスタム アプリのオンボード
詳細: 基幹業務アプリのアクティビティの可視化を向上させるには、カスタム アプリを Defender for Cloud Apps にオンボードできます。 カスタム アプリを構成すると、だれが使用しているのか、どの IP アドレスから使用されているのか、どのくらいのトラフィック量がアプリで送受信されているかについての情報が表示されます。

さらに、カスタム アプリを条件付きアクセス アプリ制御アプリとしてオンボードして、低信頼セッションを監視できます。
詳細:

• Cloud Discovery にカスタム アプリを追加する
• すべてのアプリを対象としたアプリの条件付きアクセス制御のオンボードとデプロイをする