Microsoft Defender for Cloud Apps のパイロットとデプロイ
適用対象:
- Microsoft Defender XDR
この記事では、組織で Microsoft Defender for Cloud Apps をパイロットして展開するためのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender for Cloud Apps を個々のサイバーセキュリティ ツールとして、または Microsoft Defender XDR を使用したエンドツーエンド ソリューションの一部としてオンボードできます。
この記事では、運用環境の Microsoft 365 テナントがあり、この環境で Microsoft Defender for Cloud Apps のパイロットと展開を行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。
Defender for Office 365 は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの 「侵害によるビジネス上の損害を防止または軽減 する」シナリオを参照してください。
Microsoft Defender XDR のエンド ツー エンドの展開
これは、インシデントの調査や対応など、Microsoft Defender XDR のコンポーネントの展開に役立つシリーズの 6 の記事 5 です。
このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。
段階 | リンク |
---|---|
A. パイロットを開始する | パイロットを開始する |
B. Microsoft Defender XDR コンポーネントをパイロットして展開する |
-
Defender for Identity をパイロットして展開する - Defender for Office 365 をパイロットして展開する - Defender for Endpoint のパイロットとデプロイ - Microsoft Defender for Cloud Apps をパイロットしてデプロイする (この記事) |
C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
Defender for Cloud Apps のワークフローをパイロットしてデプロイする
次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。
まず、製品またはサービスと、それが組織内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャまたは組織全体がカバーされるまで、デプロイの範囲を徐々に増やします。
運用環境で Defender for Cloud Apps をパイロットしてデプロイするためのワークフローを次に示します。
次の手順を実行します。
- Defender for Cloud Apps ポータルに接続する
- Microsoft Defender for Endpoint との統合
- ファイアウォールやその他のプロキシにログ コレクターをデプロイする
- パイロット グループを作成する
- クラウド アプリの検出と管理
- 条件付きアクセス アプリ制御を構成する
- クラウド アプリにセッション ポリシーを適用する
- その他の機能を試す
デプロイ ステージごとに推奨される手順を次に示します。
デプロイ ステージ | 説明 |
---|---|
評価 | Defender for Cloud Apps の製品評価を実行します。 |
パイロット | 運用環境のクラウド アプリの適切なサブセットに対して手順 1 から 4、5 から 8 を実行します。 |
完全な展開 | 残りのクラウド アプリに対して手順 5 から 8 を実行し、パイロット ユーザー グループのスコープを調整するか、ユーザー グループを追加してパイロットを超えて拡張し、すべてのユーザー アカウントを含めます。 |
組織をハッカーから保護する
Defender for Cloud Apps は、独自の強力な保護を提供します。 ただし、Microsoft Defender XDR の他の機能と組み合わせると、Defender for Cloud Apps は共有シグナルにデータを提供し、攻撃を阻止するのに役立ちます。
サイバー攻撃の例と、Microsoft Defender XDR のコンポーネントが検出と軽減にどのように役立つかを次に示します。
Defender for Cloud Apps は、移動不可能、資格情報アクセス、異常なダウンロード、ファイル共有、メール転送アクティビティなどの異常な動作を検出し、これらの動作を Defender for Cloud Apps ポータルに表示します。 Defender for Cloud Apps は、ハッカーによる横移動や機密データの流出を防ぐのにも役立ちます。
Microsoft Defender XDR は、すべての Microsoft Defender コンポーネントからのシグナルを関連付けて、完全な攻撃ストーリーを提供します。
CASB としての Defender for Cloud Apps ロール
クラウド アクセス セキュリティ ブローカー (CASB) は、エンタープライズ ユーザーと使用するクラウド リソースの間で、ユーザーが配置されている場所や使用しているデバイスに関係なく、リアルタイムでアクセスを仲介するゲートキーパーとして機能します。 Defender for Cloud Apps は、組織のクラウド アプリ用の CASB です。 Defender for Cloud Apps は、Microsoft Defender XDR などの Microsoft セキュリティ機能とネイティブに統合されます。
Defender for Cloud Apps を使用しない場合、組織で使用されるクラウド アプリは管理されず、保護されていません。
この図について:
- 組織によるクラウド アプリの使用は監視されておらず、保護されていません。
- この使用は、マネージド組織内で実現される保護の範囲外です。
環境内で使用されているクラウド アプリを検出するには、次の方法の 1 つまたは両方を実装できます。
- Microsoft Defender for Endpoint と統合することで、Cloud Discovery を使用してすばやく起動して実行できます。 このネイティブ統合を使用すると、ネットワーク上およびネットワーク外の Windows 10 および Windows 11 デバイス間のクラウド トラフィックに関するデータの収集をすぐに開始できます。
- ネットワークに接続されているすべてのデバイスによってアクセスされたすべてのクラウド アプリを検出するには、ファイアウォールやその他のプロキシに Defender for Cloud Apps ログ コレクターをデプロイします。 このデプロイは、エンドポイントからデータを収集し、分析のために Defender for Cloud Apps に送信するのに役立ちます。 Defender for Cloud Apps は、一部のサードパーティ プロキシとネイティブに統合され、さらに多くの機能が提供されます。
この記事には、両方のメソッドのガイダンスが含まれています。
手順 1. Defender for Cloud Apps ポータルに接続する
ライセンスを確認し、Defender for Cloud Apps ポータルに接続するには、「 クイック スタート: Microsoft Defender for Cloud Apps の概要」を参照してください。
ポータルにすぐに接続できない場合は、ファイアウォールの許可リストに IP アドレスを追加する必要がある場合があります。 「Defender for Cloud Apps の基本的なセットアップ」を参照してください。
それでも問題が解決しない場合は、「 ネットワーク要件」を確認してください。
手順 2: Microsoft Defender for Endpoint と統合する
Microsoft Defender for Cloud Apps は、Microsoft Defender for Endpoint とネイティブに統合されます。 この統合により、Cloud Discovery のロールアウトが簡素化され、企業ネットワークを超えて Cloud Discovery 機能が拡張され、デバイスベースの調査が可能になります。 この統合により、IT で管理される Windows 10 および Windows 11 デバイスからアクセスされているクラウド アプリとサービスが表示されます。
Microsoft Defender for Endpoint を既に設定している場合、Defender for Cloud Apps との統合を構成することは、Microsoft Defender XDR のトグルです。 統合が有効になった後、Defender for Cloud Apps ポータルに戻り、Cloud Discovery ダッシュボードでリッチ データを表示できます。
これらのタスクを実行するには、「 Microsoft Defender for Endpoint と Microsoft Defender for Cloud Apps の統合」を参照してください。
手順 3: ファイアウォールやその他のプロキシに Defender for Cloud Apps ログ コレクターをデプロイする
ネットワークに接続されているすべてのデバイスのカバレッジについては、ファイアウォールやその他のプロキシに Defender for Cloud Apps ログ コレクターをデプロイして、エンドポイントからデータを収集し、分析のために Defender for Cloud Apps に送信します。
次のいずれかの Secure Web Gateway (SWG) を使用している場合、Defender for Cloud Apps はシームレスなデプロイと統合を提供します。
- Zscaler
- iboss
- Corrata
- Menlo セキュリティ
これらのネットワーク デバイスとの統合の詳細については、「 Cloud Discovery の設定」を参照してください。
手順 4. パイロット グループの作成 - パイロット展開のスコープを特定のユーザー グループに設定する
Microsoft Defender for Cloud Apps を使用すると、デプロイのスコープを設定できます。 スコープを使用すると、アプリの監視または監視から除外する特定のユーザー グループを選択できます。 ユーザー グループを含めたり除外したりできます。 パイロットデプロイのスコープを設定するには、「 スコープ付きデプロイ」を参照してください。
手順 5. クラウド アプリの検出と管理
Defender for Cloud Apps が最大限の保護を提供するには、組織内のすべてのクラウド アプリを検出し、それらの使用方法を管理する必要があります。
クラウド アプリを検出する
クラウド アプリの使用を管理するための最初の手順は、組織で使用されているクラウド アプリを検出することです。 次の図は、Defender for Cloud Apps でのクラウド検出のしくみを示しています。
この図では、ネットワーク トラフィックを監視し、組織で使用されているクラウド アプリを検出するために使用できる 2 つの方法があります。
Cloud App Discovery は、Microsoft Defender for Endpoint とネイティブに統合されます。 Defender for Endpoint は、IT で管理されている Windows 10 および Windows 11 デバイスからアクセスされているクラウド アプリとサービスを報告します。
ネットワークに接続されているすべてのデバイスでカバレッジを実現するには、ファイアウォールやその他のプロキシに Defender for Cloud Apps ログ コレクターをインストールして、エンドポイントからデータを収集します。 コレクターは、分析のためにこのデータを Defender for Cloud Apps に送信します。
Cloud Discovery ダッシュボードを表示して、組織内で使用されているアプリを確認する
Cloud Discovery ダッシュボードは、組織でのクラウド アプリの使用方法に関するより多くの洞察を提供するように設計されています。 使用されているアプリの種類、開いているアラート、組織内のアプリのリスク レベルの概要をひとめで確認できます。
Cloud Discovery ダッシュボードの使用を開始するには、「 検出されたアプリの操作」を参照してください。
クラウド アプリを管理する
クラウド アプリを検出し、これらのアプリが組織でどのように使用されているかを分析したら、選択したクラウド アプリの管理を開始できます。
この図について:
- 一部のアプリは、使用が承認されています。 承認は、アプリを管理するための簡単な方法です。
- アプリコネクタを使用してアプリを接続することで、可視性と制御を強化できます。 アプリ コネクタでは、アプリ プロバイダーの API が使用されます。
アプリの管理を開始するには、アプリを承認、承認解除、または完全にブロックします。 アプリの管理を開始するには、「 検出されたアプリの管理」を参照してください。
手順 6. 条件付きアクセス アプリ制御を構成する
構成できる最も強力な保護の 1 つは、条件付きアクセス アプリ制御です。 この保護には、Microsoft Entra ID との統合が必要です。 これにより、承認したクラウド アプリに関連するポリシー (正常なデバイスの要求など) を含む条件付きアクセス ポリシーを適用できます。
多要素認証やその他の条件付きアクセス ポリシーを適用するために、SaaS アプリが Microsoft Entra テナントに既に追加されている場合があります。 Microsoft Defender for Cloud Apps は、Microsoft Entra ID とネイティブに統合されます。 必要なのは、Defender for Cloud Apps で条件付きアクセス アプリ制御を使用するように Microsoft Entra ID でポリシーを構成することです。 これにより、これらの管理対象 SaaS アプリのネットワーク トラフィックが Defender for Cloud Apps を経由してプロキシとしてルーティングされます。これにより、Defender for Cloud Apps はこのトラフィックを監視し、セッション制御を適用できます。
この図について:
- SaaS アプリは Microsoft Entra テナントと統合されています。 この統合により、Microsoft Entra ID は、多要素認証を含む条件付きアクセス ポリシーを適用できます。
- SaaS アプリのトラフィックを Defender for Cloud Apps に転送するためのポリシーが Microsoft Entra ID に追加されます。 ポリシーでは、このポリシーを適用する SaaS アプリを指定します。 これらの SaaS アプリに適用される条件付きアクセス ポリシーが Microsoft Entra ID によって適用された後、Microsoft Entra ID は Defender for Cloud Apps を介してセッション トラフィックを送信 (プロキシ) します。
- Defender for Cloud Apps はこのトラフィックを監視し、管理者によって構成されたすべてのセッション制御ポリシーを適用します。
Microsoft Entra ID に追加されていない Defender for Cloud Apps を使用して、クラウド アプリを検出し、承認した可能性があります。 これらのクラウド アプリを Microsoft Entra テナントと条件付きアクセス規則のスコープに追加することで、条件付きアクセス アプリ制御を利用できます。
Microsoft Defender for Cloud Apps を使用して SaaS アプリを管理する最初の手順は、これらのアプリを検出し、Microsoft Entra テナントに追加することです。 検出に関するヘルプが必要な場合は、「 ネットワーク内の SaaS アプリの検出と管理」を参照してください。 アプリを検出したら、 これらのアプリを Microsoft Entra テナントに追加します。
次のタスクを使用して、これらのアプリの管理を開始できます。
- Microsoft Entra ID で、新しい条件付きアクセス ポリシーを作成し、"条件付きアクセス アプリ制御を使用する" に構成します。この構成は、要求を Defender for Cloud Apps にリダイレクトするのに役立ちます。 1 つのポリシーを作成し、すべての SaaS アプリをこのポリシーに追加できます。
- 次に、Defender for Cloud Apps でセッション ポリシーを作成します。 適用するコントロールごとに 1 つのポリシーを作成します。
サポートされているアプリやクライアントなど、詳細については、「 Microsoft Defender for Cloud Apps の条件付きアクセス アプリ制御を使用してアプリを保護する」を参照してください。
ポリシーの例については、「 SaaS アプリに推奨される Microsoft Defender for Cloud Apps ポリシー」を参照してください。 これらのポリシーは、すべての顧客の出発点として推奨される 一連の一般的な ID とデバイス アクセス ポリシー に基づいて構築されます。
手順 7. クラウド アプリにセッション ポリシーを適用する
Microsoft Defender for Cloud Apps はリバース プロキシとして機能し、承認されたクラウド アプリへのプロキシ アクセスを提供します。 このプロビジョニングにより、Defender for Cloud Apps は、構成したセッション ポリシーを適用できます。
この図について:
- 組織内のユーザーやデバイスから承認されたクラウド アプリへのアクセスは、Defender for Cloud Apps を介してルーティングされます。
- このプロキシ アクセスにより、セッション ポリシーを適用できます。
- 承認されていない、または明示的に承認されていないクラウド アプリは影響を受けません。
セッション ポリシーを使用すると、クラウド アプリが組織でどのように使用されるかにパラメーターを適用できます。 たとえば、組織が Salesforce を使用している場合は、管理対象デバイスのみが Salesforce で組織のデータにアクセスできるようにするセッション ポリシーを構成できます。 より簡単な例として、管理されていないデバイスからのトラフィックを監視するようにポリシーを構成し、より厳しいポリシーを適用する前に、このトラフィックのリスクを分析できます。
詳細については、「 セッション ポリシーの作成」を参照してください。
手順 8. その他の機能を試す
次の Defender for Cloud Apps チュートリアルを使用して、リスクを発見し、環境を保護します。
- 疑わしいユーザー アクティビティを検出する
- 危険性のあるユーザーを調査する
- 危険な OAuth アプリを調査する
- 機密情報の検出と保護
- 組織内のすべてのアプリをリアルタイムで保護する
- 機密情報のダウンロードをブロックする
- 管理者検疫でファイルを保護する
- 危険なアクション時にステップアップ認証を要求する
Microsoft Defender for Cloud Apps データでの高度なハンティングの詳細については、この ビデオを参照してください。
SIEM 統合
Defender for Cloud Apps を Microsoft Sentinel または汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinel を使用すると、組織全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して、効果的かつ迅速な対応を実現できます。
Microsoft Sentinel には、Defender for Cloud Apps コネクタが含まれています。 これにより、クラウド アプリの可視性を高めるだけでなく、サイバー脅威を特定して対処し、データの移動方法を制御するための高度な分析を取得することもできます。 詳細については、「 Microsoft Sentinel の統合 」および「 アラートと Cloud Discovery ログを Defender for Cloud Apps から Microsoft Sentinel にストリーミングする」を参照してください。
サード パーティの SIEM システムとの統合の詳細については、「 汎用 SIEM 統合」を参照してください。
次の手順
Defender for Cloud Apps のライフサイクル管理を実行します。
Microsoft Defender XDR のエンドツーエンド展開の次の手順
Microsoft Defender XDR を 使用した調査と応答を使用して、Microsoft Defender XDR のエンド ツー エンドのデプロイを続行します。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender XDR Tech Community) にご参加ください。