Microsoft 365 Business Premium セキュリティ操作ガイド

[アーティクル]
05/10/2023

Microsoft 365 Business Premiumを初めて使用する場合、またはビジネスにセキュリティ運用ガイドがまだ用意されていない場合は、この記事を出発点として使用してください。セキュリティ運用ガイドが既にある場合は、この記事の推奨事項に照らして確認してください。

このガイダンスを使用して、セキュリティインシデントの優先順位と、セキュリティチームが Microsoft Defender ポータル (https://security.microsoft.com) で実行するタスクに関する意思決定を行うことができます。

実行するセキュリティ操作タスク

毎日のタスク

タスク	説明
脅威の脆弱性管理ダッシュボードを確認する	脆弱性管理ダッシュボードを見て、脅威の脆弱性のスナップショットを取得します。これは、サイバーセキュリティの脅威に対するorganizationの脆弱性を反映しています。暴露スコアが低いということは、デバイスが悪用されやすいことを意味します。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [脆弱性管理>ダッシュボード] を選択します。 2. 組織の露出スコアを確認します。許容範囲または "高" の範囲にある場合は、次に進むことができます。そうでない場合は、[スコアの向上] を選択して、このスコアを向上させるための詳細情報とセキュリティに関する推奨事項を表示します。露出スコアを認識すると、次のことが役立ちます。 - organizationのセキュリティの状態に関する概要をすばやく理解して特定する - 現在の状態を改善するために調査またはアクションが必要な領域を検出して対応する - セキュリティの取り組みの影響について、ピアや管理と通信する
保留中のアクションをアクションセンターで確認する	脅威が検出されると、修復アクションが実行されます。特定の脅威とセキュリティ設定の構成方法によっては、修復アクションが自動的に実行されるか、承認時にのみ実行される可能性があるため、定期的に監視する必要があります。修復アクションは、アクションセンターで追跡されます。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [アクションセンター] を選択します。 2. [ 保留中 ] タブを選択して、保留中のアクションを表示および承認 (または拒否) します。このようなアクションは、ウイルス対策/マルウェア対策保護、自動調査、手動応答アクティビティ、またはライブ応答セッションから発生する可能性があります。 3. [ 履歴 ] タブを選択して、完了したアクションの一覧を表示します。
脅威の検出を含むデバイスの確認	デバイスで脅威が検出されると、セキュリティチームは、デバイスの分離などの必要なアクションを迅速に実行できるように把握する必要があります。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [レポート] [全般>セキュリティレポート>] を選択します。 2. [ 脆弱なデバイス ] 行まで下にスクロールします。デバイスで脅威が検出された場合は、この行にその情報が表示されます。
新しいインシデントまたはアラートについて学習する	脅威が検出されアラートがトリガーされると、インシデントが作成されます。会社のセキュリティチームは、Microsoft 365 Defender ポータルでインシデントを表示および管理できます。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションメニューで [インシデント] を選択します。インシデントは、関連するアラートを含むページに表示されます。 2. アラートを選択してポップアップウィンドウを開き、アラートの詳細を確認できます。 3. ポップアップで、アラートタイトルを表示し、影響を受けた資産 (エンドポイントやユーザーアカウントなど) の一覧を表示し、使用可能なアクションを実行し、リンクを使用して詳細情報を表示し、選択したアラートの詳細ページを開くことさえできます。
スキャンまたは自動調査を実行する	セキュリティチームは、高リスクレベルまたは検出された脅威を持つデバイスに対してスキャンまたは自動調査を開始できます。スキャンまたは自動調査の結果に応じて、修復アクションは自動的または承認時に実行されます。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [資産>デバイス] を選択します。 2. デバイスを選択してポップアップパネルを開き、表示されている情報を確認します。 - 省略記号 (...) を選択してアクションメニューを開きます。 - [ウイルス対策スキャンの実行 ] や [ 自動調査の開始] などのアクションを選択します。

毎週のタスク

タスク	説明
Microsoft セキュアスコアを監視して改善する	Microsoft Secure Score は、organizationのセキュリティ体制の測定値です。数値が大きいほど、必要な改善アクションが少なくなることを示します。セキュアスコアを使用すると、次のことができます。 - organizationのセキュリティ体制の現在の状態を報告します。 - 検出可能性、可視性、ガイダンス、制御を提供することで、セキュリティ体制を改善します。 - ベンチマークと比較し、主要業績評価指標 (KPI) を確立します。スコアをチェックするには、次の手順に従います。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [セキュリティスコア] を選択します。 2. Microsoft の全体的なセキュリティスコアを向上させるために、修復とアクションに関する確認と決定を行います。
デバイスのセキュリティスコアを向上させる	セキュリティに関する推奨事項の一覧を使用して問題を修復することで、セキュリティ構成を改善します。そうすることで、デバイスの Microsoft セキュアスコアが向上し、組織は今後のサイバーセキュリティの脅威や脆弱性への耐障害性を高めます。スコアを確認して向上させるのに必要な時間は常に価値があります。セキュリティスコアをチェックするには、次の手順に従います。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [セキュリティスコア] を選択します。 2. [Defender 脆弱性管理] ダッシュボードの [デバイスの Microsoft セキュリティスコア] カードから、いずれかのカテゴリを選択します。そのカテゴリに関連する推奨事項の一覧が、推奨事項と合わせて表示されます。 3.一覧の項目を選択して、推奨事項に関連する詳細を表示します。 4. [修復オプション] を選択します。 5. 説明を読んで、問題のコンテキストと次に何を行うかを理解します。期限を選択し、メモを追加し、[ すべての修復アクティビティデータを CSV にエクスポートする] を選択して、フォローアップのためにメールに添付できるようにします。修復タスクが作成されたことを示す確認メッセージが表示されます。 6. フォローアップメールを IT 管理者に送信し、修復がシステムに反映されるように割り当てた時間を許可します。 7. ダッシュボードの [デバイスの Microsoft セキュアスコア] カードに戻ります。アクションの結果として、セキュリティ制御に関する推奨事項の数が減少しました。 8. [ セキュリティコントロール ] を選択して、[セキュリティの推奨事項] ページに戻ります。アドレス指定した項目が表示されなくなったため、Microsoft のセキュアスコアが向上します。

タスク

説明

Microsoft セキュアスコアを監視して改善する

Microsoft Secure Score は、organizationのセキュリティ体制の測定値です。数値が大きいほど、必要な改善アクションが少なくなることを示します。セキュアスコアを使用すると、次のことができます。
- organizationのセキュリティ体制の現在の状態を報告します。
- 検出可能性、可視性、ガイダンス、制御を提供することで、セキュリティ体制を改善します。
- ベンチマークと比較し、主要業績評価指標 (KPI) を確立します。

スコアをチェックするには、次の手順に従います。

1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [セキュリティスコア] を選択します。

2. Microsoft の全体的なセキュリティスコアを向上させるために、修復とアクションに関する確認と決定を行います。

デバイスのセキュリティスコアを向上させる

セキュリティに関する推奨事項の一覧を使用して問題を修復することで、セキュリティ構成を改善します。そうすることで、デバイスの Microsoft セキュアスコアが向上し、組織は今後のサイバーセキュリティの脅威や脆弱性への耐障害性を高めます。スコアを確認して向上させるのに必要な時間は常に価値があります。

セキュリティスコアをチェックするには、次の手順に従います。

1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [セキュリティスコア] を選択します。

2. [Defender 脆弱性管理] ダッシュボードの [デバイスの Microsoft セキュリティスコア] カードから、いずれかのカテゴリを選択します。そのカテゴリに関連する推奨事項の一覧が、推奨事項と合わせて表示されます。

3.一覧の項目を選択して、推奨事項に関連する詳細を表示します。

4. [修復オプション] を選択します。

5. 説明を読んで、問題のコンテキストと次に何を行うかを理解します。期限を選択し、メモを追加し、[ すべての修復アクティビティデータを CSV にエクスポート する] を選択して、フォローアップのためにメールに添付できるようにします。修復タスクが作成されたことを示す確認メッセージが表示されます。

6. フォローアップメールを IT 管理者に送信し、修復がシステムに反映されるように割り当てた時間を許可します。

7. ダッシュボードの [デバイスの Microsoft セキュアスコア] カードに戻ります。アクションの結果として、セキュリティ制御に関する推奨事項の数が減少しました。

8. [ セキュリティコントロール ] を選択して、[セキュリティの推奨事項] ページに戻ります。アドレス指定した項目が表示されなくなったため、Microsoft のセキュアスコアが向上します。

毎月のタスク

タスク	説明
レポートを実行する	複数のレポートが、Microsoft 365 Defender ポータル (https://security.microsoft.com) で利用できます。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [レポート] を選択します。 2. 確認するレポートを選択します。各レポートには、そのレポートに関連するカテゴリが多数表示されます。 3. [ 詳細の表示 ] を選択すると、各カテゴリの詳細情報が表示されます。 4. 特定の脅威のタイトルを選択して、それに固有の詳細を表示します。
シミュレーションチュートリアルの実行	トレーニングを通じて、お客様とチームのセキュリティ準備を強化することをお勧めします。 Microsoft 365 Defender ポータルでシミュレーションチュートリアルにアクセスできます。このチュートリアルでは、いくつかの種類のサイバー脅威について説明します。開始するには、次の手順に従います。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [チュートリアル] を選択します。< 2. 実行するチュートリアルのチュートリアルを読み、ファイルをダウンロードするか、指示に従ってシミュレーションを実行するために必要なスクリプトをコピーします。
ラーニングハブを調べる	Learning ハブを使用して、サイバーセキュリティの脅威とその対処方法に関する知識を高めます。提供されるリソースについては、特に「Microsoft 365 Defender」および「エンドポイント」セクションを参照することをお勧めします。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [学習ハブ] を選択します。 2. Microsoft 365 Defenderやエンドポイントなどの領域を選択します。 3. 項目を選択して、各概念の詳細を確認します。 Learning ハブの一部のリソースは、実際にはMicrosoft 365 Business Premiumに含まれていない機能をカバーしている可能性があることに注意してください。たとえば、高度な追求機能は、Defender for Endpoint Plan 2 や Microsoft 365 Defender などのエンタープライズサブスクリプションに含まれますが、Microsoft 365 Business Premium には含まれません。中小企業向けの Microsoft 365 プランのセキュリティ機能を比較します。

必要に応じて実行するタスク

タスク	説明
[脅威の分析] ダッシュボードの使用	[脅威の分析] ダッシュボードを使用して、組織に最も関連性の高いレポートを強調表示することで、現在の脅威の全体的な概要を確認します。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [脅威分析] を選択して、脅威分析ダッシュボードを表示します。ダッシュボードは、脅威を次のセクションにまとめます。 - 最新の脅威には、最新に公開または更新された脅威レポートと、アクティブなアラートと解決されたアラートの数が一覧表示されます。 - 影響の大きい脅威には、organizationに最も影響を与える脅威が一覧表示されます。このセクションでは、最初にアクティブなアラートと解決済みアラートの数が最も多い脅威の一覧を示します。 - 最も高い露出は、最初に最も高い露出レベルを持つ脅威を一覧表示します。脅威の露出レベルは、脅威に関連する脆弱性の深刻さと、組織内のこれらの脆弱性によって悪用される可能性があるデバイスの数という 2 つの情報を使用して計算されます。 3. 調査する 1 つのタイトルを選択し、関連付けられているレポートを読み取る。 4. 詳細については、アナリストレポート全体を確認するか、他の見出しを選択して、関連するインシデント、影響を受ける資産、露出と軽減策を表示することもできます。
アイテムを修復する	Microsoft 365 Business Premiumには、いくつかの修復アクションが含まれています。一部のアクションは自動的に実行され、他のアクションはセキュリティチームによる承認を待ちます。 1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [資産>デバイス] に移動します。 2. リスクレベルが高いデバイスや露出レベルのデバイスを選択します。ポップアップウィンドウが開き、そのアイテムに対して生成されたアラートとインシデントに関する詳細情報が表示されます。 3. ポップアップで、表示されている情報を表示します。省略記号 (...) を選択して、使用可能なアクションを一覧表示するメニューを開きます。 4. 使用可能なアクションを選択します。たとえば、[ウイルス対策スキャンを実行する] を選択すると、Microsoft Defender ウイルス対策によってデバイスでクイックスキャンが開始されます。または、[自動調査の開始] を選択して、デバイスの自動調査をトリガーすることもできます。

タスク

説明

[脅威の分析] ダッシュボードの使用

[脅威の分析] ダッシュボードを使用して、組織に最も関連性の高いレポートを強調表示することで、現在の脅威の全体的な概要を確認します。

1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [脅威分析] を選択して、脅威分析ダッシュボードを表示します。ダッシュボードは、脅威を次のセクションにまとめます。
- 最新の脅威には、 最新に公開または更新された脅威レポートと、アクティブなアラートと解決されたアラートの数が一覧表示されます。
- 影響の大きい脅威には、organizationに最も影響を与える脅威が一覧表示されます。このセクションでは、最初にアクティブなアラートと解決済みアラートの数が最も多い脅威の一覧を示します。
- 最も高い露出 は、最初に最も高い露出レベルを持つ脅威を一覧表示します。脅威の露出レベルは、脅威に関連する脆弱性の深刻さと、組織内のこれらの脆弱性によって悪用される可能性があるデバイスの数という 2 つの情報を使用して計算されます。

3. 調査する 1 つのタイトルを選択し、関連付けられているレポートを読み取る。

4. 詳細については、アナリストレポート全体を確認するか、他の見出しを選択して、関連するインシデント、影響を受ける資産、露出と軽減策を表示することもできます。

アイテムを修復する

Microsoft 365 Business Premiumには、いくつかの修復アクションが含まれています。一部のアクションは自動的に実行され、他のアクションはセキュリティチームによる承認を待ちます。

1. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーションウィンドウで [資産>デバイス] に移動します。

2. リスクレベルが高いデバイスや露出レベルのデバイスを選択します。ポップアップウィンドウが開き、そのアイテムに対して生成されたアラートとインシデントに関する詳細情報が表示されます。

3. ポップアップで、表示されている情報を表示します。省略記号 (...) を選択して、使用可能なアクションを一覧表示するメニューを開きます。

4. 使用可能なアクションを選択します。たとえば、[ウイルス対策スキャンを実行する] を選択すると、Microsoft Defender ウイルス対策によってデバイスでクイックスキャンが開始されます。または、[自動調査の開始] を選択して、デバイスの自動調査をトリガーすることもできます。

Microsoft 365 Business Premium の修復アクション

次の表は、Microsoft 365 Business Premium で使用可能な修復のための措置をまとめたものです。

ソース	Actions
自動化された調査	ファイルの検疫レジストリキーの削除プロセスの強制終了サービスの停止ドライバーの無効化スケジュールされたタスクの削除
手動応答アクション	ウイルス対策スキャンの実行デバイスの分離ファイルのブロックまたは許可するインジケーターの追加
ライブ応答	フォレンジックデータの収集ファイルを分析するスクリプトの実行分析のために疑わしいエンティティを Microsoft に送信するファイルの修復積極的に脅威を捜索する