Microsoft Defender XDR をパイロットして展開する

[アーティクル]
06/01/2024

適用対象:

Microsoft Defender XDR

この一連の記事では、運用テナントで Microsoft Defender XDR のコンポーネントをパイロットするプロセス全体を手順を実行して、その機能を評価し、組織全体への展開を完了します。

eXtended の検出と応答 (XDR) ソリューションは、かつて分離されたシステムから脅威データを受け取り、それらを統合してパターンを確認し、疑わしいサイバー攻撃に迅速に対処できるため、サイバーセキュリティの一歩前進です。

Microsoft Defender XDR:

ID、エンドポイント、電子メール、クラウドアプリのサイバー攻撃に関する情報を 1 か所で組み合わせた XDR ソリューションです。人工知能 (AI) と自動化を利用して、一部の種類の攻撃を自動的に停止し、影響を受ける資産を安全な状態に修復します。
クラウドベースの統合された侵害前および侵害後のエンタープライズ防御スイートです。 ID、エンドポイント、電子メール、クラウドアプリ、およびデータ全体の防止、検出、調査、応答を調整します。
脅威の保護と検出を提供することで、強力なゼロトラストアーキテクチャに貢献します。これは、侵害によるビジネス上の損害を防止または軽減するのに役立ちます。詳細については、「Microsoft Zero Trust 導入フレームワークで脅威保護と XDR ビジネスシナリオを実装する」を参照してください。

Microsoft Defender XDR のコンポーネントとアーキテクチャ

次の表に、Microsoft Defender XDR のコンポーネントの一覧を示します。

コンポーネント	説明	詳細情報
Microsoft Defender for Identity	オンプレミスの Active Directory Domain Services (AD DS) と Active Directory フェデレーションサービス (AD FS) からのシグナルを使用して、組織に向けられた高度な脅威、侵害された ID、悪意のあるインサイダーアクションを特定、検出、調査します。	Microsoft Defender for Identity とは?
Exchange Online Protection	スパムやマルウェアから組織を保護するのに役立つネイティブのクラウドベースの SMTP リレーとフィルターサービス。	Exchange Online Protection (EOP) の概要 - Office 365
Microsoft Defender for Office 365	メールメッセージ、リンク (URL)、コラボレーションツールによってもたらされる悪意のある脅威から組織を保護します。	Microsoft Defender for Office 365 - Office 365
Microsoft Defender for Endpoint	デバイス保護、侵害後の検出、自動調査、推奨される対応のための統合プラットフォーム。	Microsoft Defender for Endpoint - Windows セキュリティ
Microsoft Defender for Cloud Apps	包括的なクロス SaaS ソリューションにより、深い可視性、強力なデータ制御、および強化された脅威保護がクラウドアプリにもたらされます。	Defender for Cloud Apps とは
Microsoft Entra ID Protection	何十億ものサインイン試行からのリスクデータを評価し、このデータを使用してテナントへの各サインインのリスクを評価します。このデータは、条件付きアクセスポリシーの構成方法に応じて、アカウントアクセスを許可または禁止するために Microsoft Entra ID によって使用されます。 Microsoft Entra ID Protection は Microsoft Defender XDR とは別のものであり、Microsoft Entra ID P2 ライセンスに含まれています。	Identity Protection とは

この図は、Microsoft Defender XDR コンポーネントのアーキテクチャと統合を示しています。

この図について:

Microsoft Defender XDR は、すべての Defender コンポーネントからのシグナルを組み合わせて、ドメイン間で XDR を提供します。これには、統合インシデントキュー、攻撃を停止するための自動応答、自己修復 (侵害されたデバイス、ユーザー ID、メールボックスの場合)、クロス脅威ハンティング、脅威分析が含まれます。
Microsoft Defender for Office 365 は、電子メールメッセージ、リンク (URL) や共同作業ツールによって生じる悪意のある脅威から組織を保護します。これらのアクティビティに起因するシグナルを Microsoft Defender XDR と共有します。 Exchange Online Protection (EOP) は、受信メールと添付ファイルのエンドツーエンド保護を提供するために統合されています。
Microsoft Defender for Identity は、AD FS と AD CS を実行している AD DS ドメインコントローラーとサーバーからシグナルを収集します。これらのシグナルを使用してハイブリッド ID 環境を保護します。これには、侵害されたアカウントを使用してオンプレミス環境内のワークステーション間を横方向に移動するハッカーからの保護が含まれます。
Microsoft Defender for Endpoint は、組織が管理するデバイスからシグナルを収集し、保護します。
Microsoft Defender for Cloud Apps は、組織によるクラウドアプリの使用からシグナルを収集し、承認されたクラウドアプリと承認されていないクラウドアプリの両方を含め、IT 環境とこれらのアプリの間を流れるデータを保護します。
Microsoft Entra ID Protection は、何十億ものサインイン試行のリスクデータを評価し、このデータを使用してテナントへの各サインインのリスクを評価します。このデータは、条件付きアクセスポリシーの条件と制限に基づいて、アカウントアクセスを許可または禁止するために Microsoft Entra ID によって使用されます。 Microsoft Entra ID Protection は Microsoft Defender XDR とは別のものであり、Microsoft Entra ID P2 ライセンスに含まれています。

Microsoft Defender XDR コンポーネントと SIEM 統合

Microsoft Defender XDR コンポーネントを Microsoft Sentinel または汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。

Microsoft Sentinel は、SIEM とセキュリティオーケストレーション、自動化、応答 (SOAR) 機能を提供するクラウドネイティブソリューションです。 Microsoft Sentinel と Microsoft Defender XDR コンポーネントを組み合わせることで、組織が最新の攻撃から防御するのに役立つ包括的なソリューションが提供されます。

Microsoft Sentinel には、Microsoft Defender コンポーネント用のコネクタが含まれています。これにより、クラウドアプリの可視性を高めるだけでなく、サイバー脅威を特定して対処し、データの移動方法を制御するための高度な分析を取得することもできます。詳細については、「 Microsoft Sentinel と Microsoft Defender XDR の Microsoft Defender XDR と Microsoft Sentinel の統合と統合の手順の概要」を参照してください。

Microsoft Sentinel の SOAR (Microsoft Sentinel GitHub リポジトリのプレイブックへのリンクを含む) の詳細については、「 Microsoft Sentinel のプレイブックを使用した脅威対応の自動化」を参照してください。

サードパーティの SIEM システムとの統合の詳細については、「汎用 SIEM 統合」を参照してください。

Microsoft Defender XDR とサイバーセキュリティ攻撃の例

この図は、一般的なサイバー攻撃と、検出と修復に役立つ Microsoft Defender XDR のコンポーネントを示しています。

サイバー攻撃は、組織内の従業員の受信トレイに届くフィッシングメールから始まり、知らないうちにメールの添付ファイルを開きます。この添付ファイルはマルウェアをインストールします。これは、機密データの盗難につながる可能性のある一連の攻撃の試行につながる可能性があります。

この図について:

Microsoft Defender for Office 365 の一部である Exchange Online Protection は、フィッシングメールを検出し、メールフロールール (トランスポートルールとも呼ばれます) を使用して、ユーザーの受信トレイに届かないことを確認できます。
Defender for Office 365 では、安全な添付ファイルを使用して添付ファイルをテストし、有害であると判断するため、到着したメールはユーザーが操作できないか、ポリシーによってメールがまったく届かないようにします。
Defender for Endpoint は、組織が管理するデバイスに対して悪用される可能性があるデバイスとネットワークの脆弱性を検出します。
Defender for Identity は、 特権のエスカレーションやリスクの高い横移動など、オンプレミスのユーザーアカウントの突然の変更をメモします。また、セキュリティチームによる修正のために、制約のない Kerberos 委任などの簡単に悪用された ID の問題についても報告します。
Microsoft Defender for Cloud Apps は 、旅行不可能、資格情報へのアクセス、異常なダウンロード、ファイル共有、メール転送アクティビティなどの異常な動作を検出し、セキュリティチームに報告します。

Microsoft Defender XDR のパイロットと展開プロセス

Microsoft では、Microsoft 365 Defender のコンポーネントを次の順序で有効にすることをお勧めします。

段階	リンク
A. パイロットを開始する	パイロットを開始する
B. Microsoft Defender XDR コンポーネントをパイロットして展開する	- Defender for Identity をパイロットして展開する - Defender for Office 365 をパイロットして展開する - Defender for Endpoint のパイロットとデプロイ - Microsoft Defender for Cloud Apps のパイロットとデプロイ
C. 脅威の調査と対応	インシデントの調査と対応を実践する

この順序は、機能のデプロイと構成に通常必要な作業量に基づいて、機能の価値を迅速に活用するように設計されています。たとえば、Defender for Office 365 は、Defender for Endpoint にデバイスを登録するよりも短い時間で構成できます。ビジネスニーズに合わせてコンポーネントに優先順位を付けます。

パイロットを開始する

Microsoft では、Microsoft 365 の既存の運用サブスクリプションでパイロットを開始して、すぐに実際の分析情報を得て、Microsoft 365 テナントの現在の脅威に対して動作するように設定を調整することをお勧めします。経験を積み、プラットフォームに慣れた後は、各コンポーネントの使用を一度に 1 つずつ完全なデプロイに拡張するだけです。

代わりに、 Microsoft Defender XDR 試用版ラボ環境を設定することもできます。ただし、この環境では、運用中の Microsoft 365 テナントに対する脅威や攻撃などの実際のサイバーセキュリティ情報は表示されません。また、この環境から運用テナントにセキュリティ設定を移動することはできません。