Microsoft 365 Defender とは

注:

Microsoft 365 Defender を体験してみませんか? Microsoft 365 Defenderを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft 365 Defender

Microsoft 365 Defender は、エンドポイント、ID、メール、およびアプリケーション全体での検出、防止、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供する、侵害の前後に対応した統合エンタープライズ防御スイートです。

さまざまなMicrosoft 365 Defender製品とソリューションの一覧を次に示します。

Azure Active Directory Identity Protection (AAD IP) はパブリック プレビュー段階であり、商用リリース前に大幅に変更される可能性があることに注意してください。 AAD IP は、顧客が既にMicrosoft 365 Defenderしている場合にのみ使用できます。

統合された Microsoft 365 Defender ソリューションを使用すると、セキュリティ担当者は、これらの各製品が受け取る脅威シグナルを結合し、脅威の完全な範囲と影響 (環境に入った方法、影響を受ける内容、現在組織に与える影響) を判断できます。 Microsoft 365 Defender は、攻撃を防止または停止し、影響を受けるメールボックス、エンドポイント、およびユーザー ID を自己修復する自動アクションを実行します。

Microsoft 365 Defender 対話型ガイド

この対話型ガイドでは Microsoft 365 Defender で組織を保護する方法について説明します。 Microsoft 365 Defender を使用して、セキュリティ 上のリスクを検出し、組織への攻撃を調査し、有害なアクティビティを自動的に防止する方法について説明します。

対話型のガイドをチェックしてください

Microsoft 365 Defender の保護

Microsoft 365 Defender サービスは次の保護を行います。

  • Defender for Endpoint を使用するエンドポイント - Defender for Endpointは、予防的保護、違反後の検出、自動調査、および対応のための統合エンドポイント プラットフォームです。
  • Defender 脆弱性管理を使用した資産 - Microsoft Defender の脆弱性管理は、継続的な資産の可視性、インテリジェントなリスクベースの評価、組み込みの修復ツールを提供し、セキュリティと IT チームが組織全体の重大な脆弱性や不適切な構成に優先順位を付けて対処するのに役立ちます。
  • 電子メールと Defender for Office 365 との協働 - Defender for Office 365 は、電子メール メッセージ、リンク (URL)、およびコラボレーション ツールによって引き起こされる悪意のある脅威から組織を保護します。
  • Defender for Identity と Azure Active Directory (Azure AD) Identity Protection を使用した ID - Microsoft Defender for Identity は、オンプレミスの Active Directoryを活用するクラウドベースのセキュリティ ソリューションです。 は、組織に向けられた高度な脅威、侵害された ID、悪意のあるインサイダー アクションを特定、検出、調査するためのシグナルです。 Azure AD Identity Protection では、Azure AD を持つ組織、Microsoft アカウントを持つコンシューマー空間、Xbox を使用したゲームで、ユーザーを保護する立場から得たMicrosoft学習を使用します。
  • Microsoft Defender for Cloud Apps を搭載したアプリケーション - Microsoft Defender for Cloud Apps は、高度な可視性、強力なデータ制御、強化された脅威からの保護をクラウドアプリに提供する包括的なクロス SaaS ソリューションです。

Microsoft 365 Defender の独自の製品間レイヤーは、個々のサービス コンポーネントを次の要素に拡張します。

  • シグナル共有と自動化されたアクションを通じて、攻撃から保護し、サービス全体の防御的な対応を調整します。
  • アラート、疑わしいイベント、影響を受ける資産に関するデータを "インシデント" に参加させることで、製品のアラート、動作、セキュリティ チームのコンテキスト全体にわたる攻撃の全容を説明します。
  • 自動修復によって影響を受ける資産の自己復旧をトリガーすることで、侵害への対応を自動化します。
  • セキュリティ チームがエンドポイントと Office データ全体で詳細かつ効果的な脅威ハンティングを実行できるようにします。

Microsoft 365 Defender ポータルが、製品間で関連するすべてのアラートを 1 つのインシデントに関連付ける方法の例を次に示します。

インシデントの概要ページ

インシデントに関連するアラートの一覧の例を次に示します。

インシデントのアラートのリストの例

電子メールとエンドポイントの生データに基づくクエリベースのハンティングの例を次に示します。

クエリの詳細を含む高度なハンティングページ

Microsoft 365 Defender クロスプロダクト機能には、次のようなものがあります。

  • Microsoft 365 Defender ポータルの製品間の単一ウィンドウ - Microsoft 365 Defender ポータルの単一のキューとウィンドウでの検出、影響を受けた資産、実行された自動アクション、および関連する証拠に関するすべての情報の一元的なビュー。

  • 複合インシデント キュー - セキュリティ担当者が、攻撃範囲全体、影響を受ける資産、自動修復アクションをグループ化し、適切なタイミングで表示できるようにすることで、重要な情報に集中できるようにします。

  • 脅威への自動対応 - Microsoft 365 Defender 製品間で重要な脅威情報がリアルタイムで共有され、攻撃の進行を阻止できます。

    たとえば、Defender for Endpoint によって保護されているエンドポイントで悪意のあるファイルが検出された場合、Defender for Office 365 は、すべての電子メール メッセージからファイルをスキャンして削除するように指示します。 ファイルは、Microsoft 365 セキュリティ スイート全体によってブロックされます。

  • 侵害されたデバイス、ユーザー ID、メールボックスの自己復旧 - Microsoft 365 Defender では、AI を利用した自動アクションとプレイブックを使用して、影響を受けた資産をセキュリティで保護された状態に修復します。 Microsoft 365 Defender では、スイート製品の自動修復機能を利用して、インシデントに関連するすべての影響を受ける資産が可能な限り自動的に修復されるようにします。

  • 製品間脅威ハンティング - セキュリティ チームは、組織的知識を活用して、さまざまな保護製品によって収集された生データに対して独自のカスタム クエリを作成することで、侵害の兆候を探し出すことができます。 Microsoft 365 Defender は、エンドポイントと Defender for Office 365 データ全体で 30 日間の履歴の生信号とアラート データへのクエリ ベースのアクセスを提供します。

概要

https://security.microsoft.com で Microsoft 365 Defender ポータルにてサービスを有効にするには、Microsoft 365 Defender のライセンス要件を満たす必要があります。詳細については、以下を参照してください。