Microsoft Defender Experts for XDR の概要
- [アーティクル]
-
-
適用対象:
オンボード手順については、この短いビデオを参照してください。
Defender Experts for XDR チームが組織をオンボードする準備ができたら、セットアップを続行して開始するためのウェルカム メールが届きます。
ウェルカム メールのリンクを選択して、Microsoft Defender ポータルで Defender Experts 設定の設定を直接起動します。 このセットアップを開くには、[設定>Defender Experts] に移動し、[はじめに] を選択します。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
既定では、Defender Experts for XDR には、エキスパートがテナントにサインインし、割り当てられたセキュリティ ロールに基づいてサービスを提供できるようにする サービス プロバイダー アクセス が必要です。
テナント間アクセスの詳細
また、エキスパートに次のアクセス許可の一方または両方を付与する必要があります。
-
インシデントを調査し、対応をガイド する (既定) – このオプションを使用すると、専門家はインシデントを事前に監視して調査し、必要な対応アクションをガイドできます。 (アクセス レベル: セキュリティ 閲覧者)
-
アクティブな脅威に直接対応する (推奨) - このオプションを使用すると、調査中にアクティブな脅威をすぐに含めて修復できるため、脅威の影響を軽減し、全体的な対応効率を向上できます。 (アクセス レベル: セキュリティ オペレーター)
エキスパートにアクセス許可を付与するには:
同じ Defender Experts 設定の [ アクセス許可] で、エキスパートに付与するアクセス レベルを選択します。
組織の デバイスとユーザー グループ を修復アクションから除外する場合は、[除外の 管理] を選択します。
[ 次へ ] を選択して 、連絡先のユーザーまたはグループを追加します。
初期セットアップ後にアクセス許可を編集または更新するには、 設定>Defender Experts>Permissions に移動します。
Defender Experts for XDR を使用すると、エキスパートが実行した修復アクションからデバイスとユーザーを除外し、代わりにそれらのエンティティの修復ガイダンスを取得できます。 これらの除外は、Microsoft Defender for Endpoint で識別された デバイス グループ と、Microsoft Entra ID で識別された ユーザー グループ に基づいています。
デバイス グループを除外するには:
同じ Defender Experts 設定の [ 除外] で、[ デバイス グループ ] タブに移動します。
[ + デバイス グループの追加] を選択し、除外するデバイス グループを検索して選択します。
注意
このページには、既存のデバイス グループのみが一覧表示されます。 新しいデバイス グループを作成する場合は、まず Microsoft Defender ポータルの Defender for Endpoint 設定に移動する必要があります。 次に、このページを更新して、新しく作成したグループを検索して選択します。
デバイス グループの作成の詳細
[ デバイス グループの追加] を選択します。
[ デバイス グループ ] タブに戻り、除外されたデバイス グループの一覧を確認します。 除外リストからデバイス グループを削除する場合は、そのグループを選択し、[ デバイス グループの削除] を選択します。
[ 次へ ] を選択して除外リストを確認し、 連絡先ユーザーまたはグループの追加に進みます。 それ以外の場合は、[ スキップ] を選択すると、追加したすべての除外が破棄されます。
ユーザー グループを除外するには:
同じ Defender Experts 設定の [ 除外] で、[ ユーザー グループ ] タブに移動します。
[ + ユーザー グループの追加] を選択し、除外するユーザー グループを検索して選択します。
注意
このページには、既存のユーザー グループのみが一覧表示されます。 新しいユーザー グループを作成する場合は、まずグローバル管理者として Microsoft Entra ID 管理センターにサインインする必要があります。 次に、このページを更新して、新しく作成したグループを検索して選択します。
ユーザー グループの作成の詳細
[ ユーザー グループの追加] を選択します。
[ ユーザー グループ ] タブに戻り、除外されたユーザー グループの一覧を確認します。 除外リストからユーザー グループを削除する場合は、そのグループを選択し、[ ユーザー グループの削除] を選択します。
[ 次へ ] を選択して除外リストを確認し、 連絡先ユーザーまたはグループの追加に進みます。 それ以外の場合は、[ スキップ] を選択すると、追加したすべての除外が破棄されます。
注意
ユーザーを除外できるのは、Microsoft Entra ID セキュリティ グループにユーザーを追加することだけです。 現時点では、オンプレミスの Entra ID ユーザーを除外することはできません。
初期設定後に除外を編集または更新するには、 設定>Defender Experts>Exclusions に移動し、[ デバイス グループ ] タブまたは [ ユーザー グループ ] タブに移動します。
Defender Experts for XDR を使用すると、重大なインシデント、サービスの更新、時折のクエリ、その他の推奨事項がある場合に通知する必要がある組織内の個人またはグループを決定できます。
-
インシデント通知の連絡先 – これらの連絡先は、管理された応答アクションまたは即時応答を必要とする通信について通知できる人またはチームです。 通信の緊急性を考えると、これらの連絡先は常に使用可能であることをお勧めします。
-
サービス レビューの連絡先 – これらの連絡先は、サービス配信チームが行う継続的なセキュリティブリーフィングのために関与できる人またはチームです。
特定されると、個人またはグループは、インシデント通知またはサービス レビューの目的で連絡先であることを通知する電子メールを受け取ります。
通知連絡先を追加するには:
同じ Defender Experts 設定の [連絡先] で、 指定されたテキスト フィールドで 連絡先の担当者またはチーム を検索して追加します。
Defender エキスパートがすぐに注意を必要とする事項を呼び出すことができる 電話番号 (省略可能) を追加します。
[連絡先] ドロップダウン ボックス で 、[ インシデント通知 ] または [ サービス レビュー] を選択します。
[追加] を選択します。
[ 次へ ] を選択して連絡先の一覧を確認し、インシデント通知を受信できる Teams チャネルの作成 に進みます。
初期セットアップ後に通知連絡先を編集または更新するには、[設定]>[Defender Experts>Notification 連絡先] に移動します。
Microsoft Teamsでマネージド応答通知と更新プログラムを受信する
メールや ポータル内チャットとは別に、Microsoft Teamsを使用して、管理された応答に関する更新を受け取り、専門家とリアルタイムで通信するオプションも必要です。 この設定をオンにすると、 Defender Experts チーム という名前の新しいチームが作成されます。ここで、進行中のインシデントに関連するマネージド応答通知は 、マネージド応答 チャネルの新しい投稿として送信されます。
Teams チャットの使用の詳細
重要
Defender Experts は、作成された Defender Experts チーム内の任意のチャネルに投稿されたすべてのメッセージにアクセスできます。 Defender エキスパートがこのチームのメッセージにアクセスできないようにするには、[Teams の アプリ] に移動し、[アプリの 管理>Defender Experts>Remove] に移動します。 この削除アクションを元に戻すことはできません。
Teams の通知とチャットを有効にするには:
同じ Defender Experts 設定の [Teams] で、[ Teamsで通信 ] チェック ボックスをオンにします。
[ 次へ ] を選択して設定を確認します。
[送信] を選択します。 その後、ステップ バイ ステップ ガイドで初期セットアップが完了します。
[ 準備状況評価の表示 ] を選択して、 セキュリティ体制を最適化するために必要なアクションを完了します。
注意
Defender Experts Teams アプリケーションを設定するには、 グローバル管理者 または セキュリティ管理者 ロールが割り当てられ、Microsoft Teams ライセンスが必要です。
初期セットアップ後に Teams の通知とチャットを有効にするには、 設定>Defender Experts>Teams に移動します。
- チャネルに新しいメンバーを追加するには、Defender Experts チームに移動します>その他のオプション (...)>チームの管理>メンバーを追加します。
-
Defender Experts チームに移動して、このチームに参加できるユーザーを制限できます>その他のオプション (...)>設定>編集>チームの管理>プライベート。
Defender Experts サービスの環境を準備する
オンボード サービスの提供とは別に、Microsoft Defender XDR 製品スイートに関する専門知識により、Defender Experts for XDR を使用すると 、準備評価 を実行し、Microsoft セキュリティ製品を最大限に活用できます。
準備状況の評価は、環境内の保護されたデバイスと ID の数と、Defender Experts のポリシーに関する推奨事項に基づいています。 評価を表示するには、Microsoft Defender ポータルで [設定]> [Defender Experts] に移動し、[サービスの状態] を選択します。
準備状況の評価には、次の 2 つの部分があります。
必要なアクション – このセクションには、完了する必要があるアクションまたはセキュリティ設定の数、進行中、または完了済みのアクションの数が表示されます。 これらのアクションは、ページの下部にあるテーブルに一覧表示されます。
この一覧には、サービスを開始する前に必要な手順の概要が示されています。 [ 今すぐ完了 ] 状態のアクションに優先順位を付けて、Defender Experts for XDR サービスをより早く開始します。
注意
セキュリティ設定の最新の状態を取得するには、最大で 24 時間かかることがあります。
保護された資産 – このセクションでは、保護されているデバイスと ID の現在の数と、Defender Experts for XDR サービスを開始するために保護する必要があるデバイスと ID の現在の数を示します。
この図は、Defender for Endpoint ライセンスと Defender for Identity ライセンスに基づいています。これらの保護された資産の目標数を達成するには、Defender for Endpoint に さらに多くのデバイスをオンボード するか、 Defender for Identity センサーをさらにインストールします。
重要
Defender Experts for XDR では、新しいデバイスや ID の追加など、環境に変更がある場合は特に、準備状況の評価が定期的に確認されます。 初期オンボード以外の準備状況評価を定期的に監視して実行し、リスクを軽減するための強力なセキュリティ体制を環境で確保することが重要です。
必要なすべてのタスクを完了し、準備状況評価でオンボード ターゲットを満たした後、サービス配信マネージャー (SDM) は Defender Experts for XDR サービスの監視フェーズを開始します。ここで、数日間、エキスパートが環境の監視を開始し、潜在的な脅威、リスクの原因、および通常のアクティビティを特定します。 重要な資産について理解を深めるにつれて、サービスを合理化し、応答を微調整できます。
エキスパートが代理で包括的な対応作業を開始すると、修復手順が必要な インシデントに関する通知 と、重大なインシデントに対するターゲットの推奨事項の受信が開始されます。 また、重要なクエリや通常のビジネスとセキュリティ体制のレビューに関して 、エキスパート や SDM とチャットすることもできます。 さらに、調査して解決したインシデントの数に関する リアルタイム レポートを表示 することもできます。