Microsoft Defender XDRをパイロットしてデプロイする
適用対象:
- Microsoft Defender XDR
この一連の記事では、運用テナント内のMicrosoft Defender XDRのコンポーネントをパイロットするプロセス全体を実行して、その機能を評価し、organization全体でデプロイを完了する手順について説明します。
eXtended の検出と応答 (XDR) ソリューションは、かつて分離されたシステムから脅威データを受け取り、それらを統合してパターンを確認し、疑わしいサイバー攻撃に迅速に対処できるため、サイバー セキュリティの一歩前進です。
Microsoft Defender XDR:
ID、エンドポイント、電子メール、クラウド アプリのサイバー攻撃に関する情報を 1 か所で組み合わせた XDR ソリューションです。 人工知能 (AI) と自動化を利用して、一部の種類の攻撃を自動的に停止し、影響を受ける資産を安全な状態に修復します。
クラウドベースの統合された侵害前および侵害後のエンタープライズ防御スイートです。 ID、エンドポイント、電子メール、クラウド アプリ、およびデータ全体の防止、検出、調査、応答を調整します。
脅威の保護と検出を提供することで、強力なゼロ トラスト アーキテクチャに貢献します。 これは、侵害によるビジネス上の損害を防止または軽減するのに役立ちます。 詳細については、「Microsoft ゼロ トラスト導入フレームワークで脅威保護と XDR ビジネス シナリオを実装する」を参照してください。
Microsoft Defender XDRコンポーネントとアーキテクチャ
次の表に、Microsoft Defender XDRのコンポーネントの一覧を示します。
| コンポーネント | 説明 | 詳細情報 |
|---|---|---|
| Microsoft Defender for Identity | オンプレミスの Active Directory Domain Services (AD DS) とActive Directory フェデレーション サービス (AD FS) (AD FS) からのシグナルを使用して、高度な脅威、侵害された ID、およびユーザーに向けられた悪意のあるインサイダー アクションを特定、検出、調査しますorganization。 | Microsoft Defender for Identity とは? |
| Exchange Online Protection | スパムやマルウェアからorganizationを保護するのに役立つネイティブのクラウドベースの SMTP リレーおよびフィルタリング サービス。 | Exchange Online Protection (EOP) の概要 - Office 365 |
| Microsoft Defender for Office 365 | メール メッセージ、リンク (URL)、コラボレーション ツールによってもたらされる悪意のある脅威からorganizationを保護します。 | Microsoft Defender for Office 365 - Office 365 |
| Microsoft Defender for Endpoint | デバイス保護、侵害後の検出、自動調査、推奨される対応のための統合プラットフォーム。 | Microsoft Defender for Endpoint - Windows セキュリティ |
| Microsoft Defender for Cloud Apps | 包括的なクロス SaaS ソリューションにより、深い可視性、強力なデータ制御、および強化された脅威保護がクラウド アプリにもたらされます。 | Defender for Cloud Apps とは |
| Microsoft Entra ID 保護 | 何十億ものサインイン試行からのリスク データを評価し、このデータを使用してテナントへの各サインインのリスクを評価します。 このデータは、条件付きアクセス ポリシーの構成方法に応じて、アカウント アクセスを許可または禁止するために、Microsoft Entra IDによって使用されます。 Microsoft Entra ID 保護はMicrosoft Defender XDRとは別であり、Microsoft Entra ID P2 ライセンスに含まれています。 | Identity Protection とは |
この図は、Microsoft Defender XDR コンポーネントのアーキテクチャと統合を示しています。
この図について:
- Microsoft Defender XDRは、すべての Defender コンポーネントからの信号を組み合わせて、ドメイン間で XDR を提供します。 これには、統合インシデント キュー、攻撃を停止するための自動応答、自己修復 (侵害されたデバイス、ユーザー ID、メールボックスの場合)、クロス脅威ハンティング、脅威分析が含まれます。
- Microsoft Defender for Office 365 は、電子メール メッセージ、リンク (URL) や共同作業ツールによって生じる悪意のある脅威から組織を保護します。 これらのアクティビティに起因するシグナルをMicrosoft Defender XDRと共有します。 Exchange Online Protection (EOP) は、受信メールと添付ファイルをエンドツーエンドで保護するために統合されています。
- Microsoft Defender for Identityは、AD FS と AD CS を実行している AD DS ドメイン コントローラーとサーバーから信号を収集します。 これらのシグナルを使用してハイブリッド ID 環境を保護します。これには、侵害されたアカウントを使用してオンプレミス環境内のワークステーション間を横方向に移動するハッカーからの保護が含まれます。
- Microsoft Defender for Endpointは、organizationによって管理されるデバイスから信号を収集し、保護します。
- Microsoft Defender for Cloud Appsは、organizationによるクラウド アプリの使用からシグナルを収集し、承認されたクラウド アプリと承認されていないクラウド アプリの両方を含む、IT 環境とこれらのアプリの間を流れるデータを保護します。
- Microsoft Entra ID 保護は、何十億ものサインイン試行のリスク データを評価し、このデータを使用してテナントへの各サインインのリスクを評価します。 このデータは、条件付きアクセス ポリシーの条件と制限に基づいてアカウント アクセスを許可または禁止するために、Microsoft Entra IDによって使用されます。 Microsoft Entra ID 保護はMicrosoft Defender XDRとは別であり、Microsoft Entra ID P2 ライセンスに含まれています。
Microsoft Defender XDR コンポーネントと SIEM 統合
Microsoft Defender XDR コンポーネントをMicrosoft Sentinelまたは汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。
Microsoft Sentinelは、SIEM とセキュリティ オーケストレーション、自動化、応答 (SOAR) 機能を提供するクラウドネイティブ ソリューションです。 Microsoft SentinelコンポーネントとMicrosoft Defender XDRコンポーネントを組み合わせることで、組織が最新の攻撃から防御するのに役立つ包括的なソリューションが提供されます。
Microsoft Sentinelには、Microsoft Defender コンポーネント用のコネクタが含まれています。 これにより、クラウド アプリの可視性を高めるだけでなく、サイバー脅威を特定して対処し、データの移動方法を制御するための高度な分析を取得することもできます。 詳細については、「Microsoft Defender XDRの概要」および「Microsoft SentinelとMicrosoft Defender XDRの統合と統合の手順をMicrosoft Sentinelする」を参照してください。
Microsoft Sentinelの SOAR (Microsoft Sentinel GitHub リポジトリのプレイブックへのリンクを含む) の詳細については、「Microsoft Sentinelのプレイブックを使用して脅威の対応を自動化する」を参照してください。
サード パーティの SIEM システムとの統合の詳細については、「 汎用 SIEM 統合」を参照してください。
Microsoft Defender XDRとサイバー セキュリティ攻撃の例
この図は、一般的なサイバー攻撃とその検出と修復に役立つMicrosoft Defender XDRのコンポーネントを示しています。
サイバー攻撃は、organizationの従業員の受信トレイに届くフィッシングメールから始まり、知らないうちにメールの添付ファイルを開きます。 この添付ファイルはマルウェアをインストールします。これは、機密データの盗難につながる可能性のある一連の攻撃の試行につながる可能性があります。
この図について:
- Microsoft Defender for Office 365の一部であるExchange Online Protectionは、フィッシングメールを検出し、メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して、ユーザーの受信トレイに届かないことを確認できます。
- Defender for Office 365は、安全な添付ファイルを使用して添付ファイルをテストし、有害であると判断するため、到着したメールはユーザーが操作できないか、ポリシーによってメールがまったく到着しないようにします。
- Defender for Endpoint は、organizationによって管理されているデバイスに対して悪用される可能性があるデバイスとネットワークの脆弱性を検出します。
- Defender for Identity は、 特権のエスカレーションやリスクの高い横移動など、オンプレミスのユーザー アカウントの突然の変更をメモします。 また、セキュリティ チームによる修正のために、制約のない Kerberos 委任などの簡単に悪用された ID の問題についても報告します。
- Microsoft Defender for Cloud Appsは、旅行不可能、資格情報へのアクセス、異常なダウンロード、ファイル共有、メール転送アクティビティなどの異常な動作を検出し、セキュリティ チームに報告します。
Microsoft Defender XDRのパイロットおよびデプロイ プロセス
Microsoft では、Microsoft 365 Defender のコンポーネントを次の順序で有効にすることをお勧めします。
| 段階 | リンク |
|---|---|
| A. パイロットを開始する | パイロットを開始する |
| B. Microsoft Defender XDR コンポーネントのパイロットとデプロイ |
-
Defender for Identity をパイロットして展開する - Defender for Office 365をパイロットしてデプロイする - Defender for Endpoint のパイロットとデプロイ - Microsoft Defender for Cloud Appsのパイロットとデプロイ |
| C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
この順序は、機能のデプロイと構成に通常必要な作業量に基づいて、機能の価値を迅速に活用するように設計されています。 たとえば、Defender for Office 365は、Defender for Endpoint にデバイスを登録するのにかかる時間よりも短い時間で構成できます。 ビジネス ニーズに合わせてコンポーネントに優先順位を付けます。
パイロットを開始する
Microsoft では、Microsoft 365 の既存の運用サブスクリプションでパイロットを開始して、すぐに実際の分析情報を得て、Microsoft 365 テナントの現在の脅威に対して動作するように設定を調整することをお勧めします。 経験を積み、プラットフォームに慣れた後は、各コンポーネントの使用を一度に 1 つずつ完全なデプロイに拡張するだけです。
別の方法として、Microsoft Defender XDR試用版ラボ環境を設定することもできます。 ただし、この環境では、運用中の Microsoft 365 テナントに対する脅威や攻撃などの実際のサイバーセキュリティ情報は表示されません。また、この環境から運用テナントにセキュリティ設定を移動することはできません。
Microsoft 365 E5試用版ライセンスの使用
Microsoft 365 E5を持っていないし、パイロットのMicrosoft 365 E5試用版ライセンスを活用する場合:
既存の Microsoft 365 テナント管理ポータルにサインインします。
ナビゲーション メニューから [ サービスの購入 ] を選択します。
[Office 365] セクションで、[Office 365 E5 ライセンス] で [詳細] を選択します。
![Microsoft Defender ポータルの [詳細] ボタンのスクリーンショット。](/ja-jp/defender/media/mdo-eval/2_mdo-eval-license-details.png)
[ 無料試用版の開始] を選択します。
![Microsoft Defender ポータルの [無料試用版の開始] ボタンのスクリーンショット。](/ja-jp/defender/media/mdo-eval/3-m365-purchase-button.png)
要求を確認し、[ 今すぐ試す] を選択します。
![Microsoft Defender ポータルの [今すぐ試す] ボタンのスクリーンショット。](/ja-jp/defender/media/mdo-eval/4_mdo-trial-order.png)
![Microsoft Defender ポータルの [詳細] ボタンのスクリーンショット。](/ja-jp/defender/media/mdo-eval/2_mdo-eval-license-details.png#lightbox)
![Microsoft Defender ポータルの [無料試用版の開始] ボタンのスクリーンショット。](/ja-jp/defender/media/mdo-eval/3-m365-purchase-button.png#lightbox)
![Microsoft Defender ポータルの [今すぐ試す] ボタンのスクリーンショット。](/ja-jp/defender/media/mdo-eval/4_mdo-trial-order.png#lightbox)
既存の運用テナントでMicrosoft 365 E5試用版ライセンスを使用するパイロットでは、試用版の有効期限が切れ、同等のライセンスを購入したときに、セキュリティ設定と方法を保持できます。
次の手順
「Microsoft Defender for Identityのパイロットとデプロイ」を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。