Defender for Cloud Apps の一般的な脅威対策ポリシー

Defender for Cloud Apps を使用すると、リスクの高い使用とクラウドのセキュリティの問題を特定し、異常なユーザー動作を検出して、承認されたクラウド アプリでの脅威を防ぐことができます。 ユーザーと管理者のアクティビティを可視化し、不審な動作や危険と思われる特定のアクティビティが検出されたときに自動的に警告するポリシーを定義します。 Microsoft の膨大な脅威インテリジェンスとセキュリティ調査データを活用して、認可されたアプリに必要なすべてのセキュリティ制御が確実に適用されていることを確認し、それらの制御を維持できるようにします。

Note

Defender for Cloud Apps と Microsoft Defender for Identity を統合すると、Defender for Identity のポリシーもポリシー ページに表示されます。 Defender for Identity ポリシーのリストについては、「セキュリティ アラート」を参照してください。

見知らぬ場所からのユーザーアクティビティを検出して制御する

組織内の他の人が訪れたことのない、見知らぬ場所からのユーザー アクセスまたはアクティビティを自動的に検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

この検出は、新しい場所からのアクセスがあれば警告を表示することを目的とし、すぐに使用できるように自動的に構成されます。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

不可能な場所（不可能な移動）による侵害されたアカウントの検出

2 つの異なる場所間の移動にかかる時間よりも短い期間内で、2 つの異なる場所からのユーザーのアクセスまたはアクティビティを自動的に検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. この検出は、不可能な場所からのアクセスがあれば警告を表示することを目的とし、すぐに使用できるように自動的に構成されます。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

2. オプション: 異常検出ポリシーをカスタマイズできます。

   • ユーザーとグループの観点から検出範囲をカスタマイズします

   • 考慮するサインインのタイプを選択してください

   • アラートの感度設定を設定する

3. 異常検出ポリシーを作成します。

「休暇中の」従業員からの不審なアクティビティを検出

無給休暇中であり、組織のリソース上でアクティブであってはならないユーザーが、組織のクラウド リソースにアクセスしていることを検出します。

前提条件

• アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

• Microsoft Entra ID で無給休暇中のユーザー用のセキュリティ グループを作成し、監視するすべてのユーザーを追加します。

手順

1. [ユーザー グループ] 画面で、[ユーザー グループの作成] を選択し、関連する Microsoft Entra グループをインポートします。

2. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しい アクティビティ ポリシーを作成します。

3. フィルター ユーザー グループ を、無給休暇ユーザー用に Microsoft Entra ID で作成したユーザー グループの名前と同じに設定します。

4. オプション: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 ユーザーの一時停止を選択できます。

5. ファイルポリシーを作成します。

古いブラウザ OS が使用されている場合に検出して通知します

組織にコンプライアンスやセキュリティのリスクをもたらす可能性がある古いクライアント バージョンのブラウザをユーザーが使用していることを検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しい アクティビティ ポリシーを作成します。

2. フィルター [User agent tag equals] ([ユーザー エージェント タグ] が等しい) を、[古いブラウザー] および [古いオペレーティング システム] に設定します。

3. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 [すべてのアプリ] で [ユーザーに通知] を選択すると、ユーザーがアラートに基づいて行動し、必要なコンポーネントを更新できるようになります。

4. アクティビティポリシーを作成します。

危険な IP アドレスで管理アクティビティが検出された場合に検出して警告します

危険な IP アドレスとみなされる IP アドレスから実行された管理アクティビティを検出し、さらなる調査のためにシステム管理者に通知するか、管理者のアカウントにガバナンス アクションを設定します。

前提条件

• アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

• [設定] 歯車アイコンから [IP アドレス範囲] を選択し、[+] を選択して内部サブネットとその出力パブリック IP アドレスの IP アドレス範囲を追加します。 カテゴリ を 内部に設定します。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しい アクティビティ ポリシーを作成します。

2. [Act on] (対象) を [1 つのアクティビティ] に設定します。

3. フィルタIPアドレス を カテゴリ に リスクに設定します。

4. フィルタ管理アクティビティ を True に設定します。

5. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 すべてのアプリ で、 ユーザーに通知 を選択します。これにより、ユーザーはアラートに応じて必要なコンポーネントを更新し、ユーザーのマネージャーに CC を送信できます。

6. アクティビティポリシーを作成します。

外部 IP アドレスからのサービス アカウントによるアクティビティの検出

内部 IP アドレス以外から発生するサービス アカウント アクティビティを検出します。 これは、不審な動作またはアカウントの侵害を示している可能性があります。

前提条件

• アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

• [設定] 歯車アイコンから [IP アドレス範囲] を選択し、[+] を選択して内部サブネットとその出力パブリック IP アドレスの IP アドレス範囲を追加します。 カテゴリ を 内部に設定します。

• 環境内のサービス アカウントの命名規則を標準化します。たとえば、すべてのアカウント名が「svc」で始まるように設定します。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しい アクティビティ ポリシーを作成します。

2. フィルター [ユーザー] を [名前]、[Starts with] (次で始まる) の順に設定し、名前付け規則 (svc など) を入力します。

3. フィルタ IP アドレス を カテゴリ が その他 および 企業と等しくないように設定します。

4. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。

5. ポリシーを作成します。

大量ダウンロード (データ漏洩) を検出する

特定のユーザーが短期間に大量のファイルにアクセスまたはダウンロードしたことを検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しい アクティビティ ポリシーを作成します。

2. フィルター [IP アドレス] を、[Tag does not equal Microsoft Azure] ([タグ] が [Microsoft Azure] に等しくない) に設定します。 これにより、非インタラクティブなデバイスベースのアクティビティが除外されます。

3. フィルタ「アクティビティ タイプ」を「次と等しい」に設定し、関連するダウンロード アクティビティをすべて選択します。

4. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。

5. ポリシーを作成します。

潜在的なランサムウェア アクティビティを検出

潜在的なランサムウェア アクティビティを自動検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. この検出は、潜在的なランサムウェア リスクが検出された場合に警告を表示することを目的とし、すぐに使用できるように自動的に構成されます。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

2. 検出の範囲を構成し、アラートがトリガーされたときに実行されるガバナンス アクションをカスタマイズできます。 Defender for Cloud Apps によるランサムウェアの識別方法の詳細については、「ランサムウェアから組織を保護する」を参照してください。

Note

これは、Microsoft 365、Google Workspace、Box、Dropbox に適用されます。

クラウド内のマルウェアを検出する

Defender for Cloud Apps と Microsoft 脅威インテリジェンス エンジンとの統合を利用して、クラウド環境内でマルウェアを含むファイルを検出します。

前提条件

• Microsoft 365 マルウェア検出には、Microsoft Defender for Microsoft 365 P1 の有効なライセンスが必要です。
• アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

• この検出は、潜在的なランサムウェア リスクが検出された場合に警告を表示することを目的とし、すぐに使用できるように自動的に構成されます。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

不正な管理者の乗っ取りを検出

悪意を示す可能性のある反復的な管理アクティビティを検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しい アクティビティ ポリシーを作成します。

2. [Act on] (対象) を [Repeated activity] (反復アクティビティ) に設定し、[Minimum repeated activities] (アクティビティの最低反復回数) をカスタマイズして、組織のポリシーに準拠する [期間] を設定します。

3. フィルタユーザーをグループからと等しいに設定し、関連するすべての管理グループをアクターのみとして選択します。

4. フィルタ アクティビティ タイプ を、パスワードの更新、変更、リセットに関連するすべてのアクティビティに等しく設定します。

5. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。

6. ポリシーを作成します。

不審な受信トレイ操作ルールを検出する

ユーザーの受信トレイに不審な受信トレイ ルールが設定されている場合は、ユーザー アカウントが侵害されており、そのメールボックスが組織内でスパムやマルウェアを配布するために使用されている可能性があります。

前提条件

• 電子メールには Microsoft Exchange を使用します。

手順

• この検出は、不審な受信トレイ ルール セットが存在する場合に警告を表示することを目的とし、すぐに使用できるように自動的に構成されます。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

漏洩した資格情報を検出する

サイバー犯罪者が正規ユーザーの有効なパスワードを侵害する場合、多くの場合、それらの資格情報を共有します。 これは通常、闇サイトや貼り付けサイトに公開したり、資格情報を闇市場で取引したり販売したりして行われます。

Defender for Cloud Apps では、Microsoft の脅威インテリジェンスを利用して、このような資格情報が組織内で使用されているものと照合されます。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

この検出は、認証情報漏洩の可能性が検出されたときに警告を発するように、すぐに使用できるように自動的に構成されています。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

異常なファイルのダウンロードを検出する

学習したベースラインと比較して、ユーザーが 1 つのセッションで複数のファイルのダウンロード アクティビティを実行するタイミングを検出します。 これは、侵害の試みを示している可能性があります。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. この検出は、異常なダウンロードが発生したときに警告を発するように、すぐに使用できるように自動的に構成されています。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

2. 検出の範囲を構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

ユーザーによる異常なファイル共有を検出する

ユーザーが学習したベースラインに関して 1 つのセッションで複数のファイル共有アクティビティを実行したことを検出します。これは侵害の試みを示している可能性があります。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. この検出は、ユーザーが複数のファイル共有を実行したときに警告するように、すぐに使えるように自動的に構成されます。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

2. 検出の範囲を構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

頻度が低い国/地域からの異常な活動を検出

ユーザーまたは組織内のどのユーザーも最近訪れていない場所、または訪れたことのない場所からのアクティビティを検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. この検出は、まれな国/地域で異常なアクティビティが発生した場合に警告を発するように、すぐに使用できるように自動的に構成されています。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

2. 検出の範囲を構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

Note

異常な場所を検出するには、7 日間の初期学習期間が必要です。 学習期間中は、Defender for Cloud Apps によって新しい場所に対するアラートは生成されません。

終了したユーザーによって実行されたアクティビティを検出する

組織の従業員ではなくなったユーザーが、認可されたアプリでアクティビティを実行したことを検出します。 これは、まだ企業リソースにアクセスできる解雇された従業員による悪意のある行為を示している可能性があります。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. この検出は、退職した従業員によってアクティビティが実行されたときに警告を発するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するために必要なアクションはありません。 詳しくは、 異常検出ポリシーに関する記事をご覧ください。

2. 検出の範囲を構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

次のステップ

組織を保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。