Microsoft Defender for Cloud Appsのアーキテクチャ要件と主要な概念を確認する
適用対象:
- Microsoft Defender XDR
この記事は、Microsoft Defender XDRと共にMicrosoft Defender for Cloud Appsの評価環境を設定するプロセスの手順 1/3 です。 このプロセスの詳細については、 概要に関する記事を参照してください。
Microsoft Defender for Cloud Appsを有効にする前に、アーキテクチャを理解し、要件を満たすことができることを確認してください。
アーキテクチャを理解する
Microsoft Defender for Cloud Appsはクラウド アクセス セキュリティ ブローカー (CASB) です。 CASB はゲートキーパーとして機能し、エンタープライズ ユーザーと使用するクラウド リソースの間でリアルタイムでアクセスを仲介します。ユーザーが配置されている場所や、使用しているデバイスに関係なく。 Microsoft Defender for Cloud Appsは、Microsoft Defender XDRを含む Microsoft のセキュリティ機能とネイティブに統合されます。
Defender for Cloud Apps を使用しない場合、organizationで使用されるクラウド アプリは、図に示すように、管理されておらず保護されていません。
この図について:
- organizationによるクラウド アプリの使用は監視されておらず、保護されていません。
- この使用は、マネージド organization内で実現される保護の範囲外です。
クラウド アプリの検出
クラウド アプリの使用を管理するための最初の手順は、organizationで使用されているクラウド アプリを検出することです。 次の図は、Defender for Cloud Apps でのクラウド検出のしくみを示しています。
この図では、ネットワーク トラフィックを監視し、organizationで使用されているクラウド アプリを検出するために使用できる 2 つの方法があります。
- A. Cloud App Discovery は、Microsoft Defender for Endpointとネイティブに統合されます。 Defender for Endpoint は、IT 管理のWindows 10およびWindows 11 デバイスからアクセスされているクラウド アプリとサービスを報告します。
- B. ネットワークに接続されているすべてのデバイスを対象に、Defender for Cloud Apps ログ コレクターがファイアウォールやその他のプロキシにインストールされ、エンドポイントからデータが収集されます。 このデータは、分析のために Defender for Cloud Apps に送信されます。
クラウド アプリの管理
クラウド アプリを検出し、これらのアプリがorganizationでどのように使用されているかを分析したら、選択したクラウド アプリの管理を開始できます。
この図について:
- 一部のアプリは、使用が承認されています。 この承認は、アプリの管理を始める簡単な方法です。
- アプリコネクタを使用してアプリを接続することで、可視性と制御を強化できます。 アプリ コネクタでは、アプリ プロバイダーの API が使用されます。
クラウド アプリへのセッション コントロールの適用
Microsoft Defender for Cloud Appsはリバース プロキシとして機能し、承認されたクラウド アプリへのプロキシ アクセスを提供します。 このプロビジョニングにより、Defender for Cloud Apps は、構成したセッション コントロールを適用できます。
この図について:
- organization内のユーザーやデバイスから承認されたクラウド アプリへのアクセスは、Defender for Cloud Apps を介してルーティングされます。
- このプロキシ アクセスにより、セッション制御を適用できます。
- 承認されていない、または明示的に承認されていないクラウド アプリは影響を受けません。
セッション コントロールを使用すると、クラウド アプリをorganizationで使用する方法にパラメーターを適用できます。 たとえば、organizationが Salesforce を使用している場合は、管理対象デバイスのみが Salesforce でorganizationのデータにアクセスできるようにするセッション ポリシーを構成できます。 より簡単な例として、管理されていないデバイスからのトラフィックを監視するようにポリシーを構成し、より厳しいポリシーを適用する前に、このトラフィックのリスクを分析できます。
条件付きアクセス アプリ制御を使用したMicrosoft Entra IDとの統合
多要素認証やその他の条件付きアクセス ポリシーを適用するために、Microsoft Entra テナントに SaaS アプリが既に追加されている場合があります。 Microsoft Defender for Cloud Appsは、Microsoft Entra IDとネイティブに統合されます。 必要なのは、Defender for Cloud Apps で条件付きアクセス アプリ制御を使用するようにMicrosoft Entra IDでポリシーを構成することです。 これにより、これらの管理対象 SaaS アプリのネットワーク トラフィックが Defender for Cloud Apps を経由してプロキシとしてルーティングされます。これにより、Defender for Cloud Apps はこのトラフィックを監視し、セッション制御を適用できます。
この図について:
- SaaS アプリは、Microsoft Entra テナントと統合されます。 この統合により、Microsoft Entra IDは多要素認証を含む条件付きアクセス ポリシーを適用できます。
- SaaS アプリのトラフィックを Defender for Cloud Apps に転送するためのポリシーがMicrosoft Entra IDに追加されます。 ポリシーでは、このポリシーを適用する SaaS アプリを指定します。 そのため、Microsoft Entra IDはこれらの SaaS アプリに適用される条件付きアクセス ポリシーを適用した後、Microsoft Entra ID Defender for Cloud Apps を介してセッション トラフィックを送信 (プロキシ) します。
- Defender for Cloud Apps はこのトラフィックを監視し、管理者によって構成されたすべてのセッション制御ポリシーを適用します。
Microsoft Entra IDに追加されていない Defender for Cloud Apps を使用して、クラウド アプリを検出して承認した可能性があります。 条件付きアクセス アプリ制御を利用するには、これらのクラウド アプリをMicrosoft Entra テナントと条件付きアクセス規則のスコープに追加します。
ハッカーからorganizationを保護する
Defender for Cloud Apps は、独自の強力な保護を提供します。 ただし、Microsoft Defender XDRの他の機能と組み合わせると、Defender for Cloud Apps は共有シグナルにデータを提供します。これは (一緒に) 攻撃を阻止するのに役立ちます。
概要からこのMicrosoft Defender XDR評価とパイロット ガイドまで、この図を繰り返す価値があります。
この図の右側に焦点を当てて、Microsoft Defender for Cloud Appsは、旅行不可能、資格情報アクセス、異常なダウンロード、ファイル共有、またはメール転送アクティビティなどの異常な動作に気付き、これらの動作をセキュリティ チームに報告します。 そのため、Defender for Cloud Apps は、ハッカーによる横移動や機密データの流出を防ぐのに役立ちます。 Microsoft 356 Defender for Cloud は、すべてのコンポーネントからのシグナルを関連付けて、完全な攻撃ストーリーを提供します。
主要な概念を理解する
次の表では、Microsoft Defender for Cloud Appsを評価、構成、デプロイするときに理解することが重要な重要な概念を示しています。
| 概念 | 説明 | 詳細情報 |
|---|---|---|
| Defender for Cloud Apps ダッシュボード | organizationに関する最も重要な情報の概要を示し、より詳細な調査へのリンクを提供します。 | ダッシュボードの操作 |
| アプリの条件付きアクセスを制御する | ID プロバイダー (IdP) と統合して、Microsoft Entra条件付きアクセス ポリシーを提供し、セッション制御を選択的に適用するリバース プロキシ アーキテクチャ。 | Microsoft Defender for Cloud Apps条件付きアクセス アプリ制御を使用してアプリを保護する |
| Cloud App Catalog | Cloud App Catalog は、80 を超えるリスク要因に基づいてランク付けおよびスコア付けされた 16,000 を超えるクラウド アプリの Microsoft カタログに対する全体像を提供します。 | アプリ リスク スコアの操作 |
| Cloud Discovery ダッシュボード | Cloud Discovery はトラフィック ログを分析し、organizationでクラウド アプリがどのように使用されているかに関するより多くの分析情報を提供し、アラートとリスク レベルを提供するように設計されています。 | 検出されたアプリの操作 |
| 接続済みアプリ | Defender for Cloud Apps は、Cloud-to-Cloud 統合、API コネクタ、条件付きアプリ アクセス制御を使用したリアルタイム アクセスとセッション制御を使用して、接続されたアプリに対してエンドツーエンドの保護を提供します。 | 接続されているアプリの保護 |
アーキテクチャ要件を確認する
クラウド アプリの検出
環境内で使用されているクラウド アプリを検出するには、次の方法の 1 つまたは両方を実装できます。
- Microsoft Defender for Endpointと統合することで、Cloud Discovery を使用してすばやく起動して実行できます。 このネイティブ統合を使用すると、ネットワーク上およびネットワーク外のWindows 11デバイスとWindows 10デバイス間のクラウド トラフィックに関するデータの収集をすぐに開始できます。
- ネットワークに接続されているすべてのデバイスによってアクセスされたすべてのクラウド アプリを検出するには、ファイアウォールやその他のプロキシに Defender for Cloud Apps ログ コレクターをデプロイします。 このデプロイは、エンドポイントからデータを収集し、分析のために Defender for Cloud Apps に送信するのに役立ちます。 Defender for Cloud Apps は、一部のサードパーティ プロキシとネイティブに統合され、さらに多くの機能が提供されます。
これらのオプションは 、手順 2 に含まれています。評価環境を有効にします。
Microsoft Entra条件付きアクセス ポリシーをクラウド アプリに適用する
条件付きアクセス アプリ制御 (条件付きアクセス ポリシーをクラウド アプリに適用する機能) には、Microsoft Entra IDとの統合が必要です。 この統合は、Defender for Cloud Apps の使用を開始するための要件ではありません。 これは、パイロット フェーズ (手順 3) で試してみることをお勧めします。パイロット Microsoft Defender for Cloud Apps。
SIEM 統合
Microsoft Defender for Cloud Appsを汎用 SIEM サーバーまたは Microsoft Sentinel と統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。
さらに、Microsoft Sentinel には、Microsoft Sentinel とのより深い統合を提供するMicrosoft Defender for Cloud Apps コネクタが含まれています。 この配置により、クラウド アプリの可視性を高めるだけでなく、サイバー脅威を特定して戦い、データの移動方法を制御するための高度な分析を得ることができます。
次の手順
手順 2/3: Microsoft Defender for Cloud Appsの評価環境を有効にする
[評価] Microsoft Defender for Cloud Appsの概要に戻ります
評価とパイロット Microsoft Defender XDRの概要に戻ります
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示