Microsoft Defender ポータルでのMicrosoft Defender for Identity
適用対象:
Microsoft Defender for Identityは、Microsoft ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視および管理するためのホームである Microsoft Defender ポータルの一部になりました。 Microsoft Defender ポータルを使用すると、セキュリティ管理者はセキュリティ タスクを 1 か所で実行できるため、ワークフローが簡素化され、他のMicrosoft Defender XDR サービスの機能が統合されます。
Microsoft Defender for Identityは、ID に焦点を当てた情報をインシデントに提供し、Microsoft Defender ポータルが提示するアラートを提供します。 この情報は、コンテキストを提供し、Microsoft Defender XDR内の他の製品からのアラートを関連付ける上で重要です。
Microsoft Defender ポータルでのコンバージド エクスペリエンス
Microsoft Defender ポータルには、メール、コラボレーション、ID、デバイスの脅威を保護、検出、調査、応答するセキュリティ機能が組み合わされており、従来の Defender for Identity ポータルで提供されるすべての機能が含まれるようになりました。
データの配置は従来の Defender for Identity ポータルとは異なる場合があります。データは Microsoft Defender ポータル ページに統合され、監視対象のすべてのエンティティでデータを表示できるようになりました。
次のセクションでは、Microsoft Defender ポータルにある強化された Defender for Identity 機能について説明します。
注:
従来の Defender for Identity ポータルを使用しているお客様は、クラシック ポータルに戻すオプションを使用せず、Microsoft Defender ポータルに自動的にリダイレクトされるようになりました。
構成と姿勢
| 分野 | 説明 |
|---|---|
| グローバル除外 | グローバル除外を使用すると、IP アドレス、デバイス、ドメインなどの特定のエンティティを定義して、すべての Defender for Identity 検出で除外できます。 たとえば、デバイスのみを除外する場合、除外は、検出の一部として デバイス ID を持つ検出にのみ適用されます。 詳細については、「 グローバル除外エンティティ」を参照してください。 |
| アクションとディレクトリ サービス アカウントを管理する | 侵害されたユーザーに対応するには、アカウントを無効にするか、パスワードをリセットします。 これらのアクションのいずれかを実行すると、ローカル システム アカウントを使用するように Microsoft Defender ポータルが既定で構成されます。 そのため、アクションとディレクトリ サービス アカウントの設定を構成する必要があるのは、より詳細な制御を行い、ユーザー修復アクションを実行するために別のユーザー アカウントを定義する場合のみです。 詳細については、「アクション アカウントのMicrosoft Defender for Identity」を参照してください。 |
| カスタム アクセス許可ロール | Microsoft Defender ポータルでは、カスタムアクセス許可ロールがサポートされています。 詳細については、「ロールベースのアクセス制御 (RBAC) のMicrosoft Defender XDR」を参照してください。 |
| Microsoft セキュア スコア | Defender for Identity セキュリティ体制の評価は、 Microsoft Secure Score で利用できます。 各評価は、問題を修復または解決するためのアクション プランを作成するための、使用手順とツールを含むダウンロード可能なレポートです。 Id による Microsoft セキュリティ スコアをフィルター処理して 、 Defender for Identity 評価を表示します。 詳細については、「Microsoft Defender for Identityのセキュリティ体制評価」を参照してください。 |
| API | Defender for Identity で次のいずれかのMicrosoft Defender XDR API を使用します。 - API を使用してアクティビティを照会する - API を使用してセキュリティ アラートを管理する - Microsoft Sentinel にセキュリティ アラートとアクティビティをStreamする ヒント: Microsoft Defender ポータルには、高度なハンティング データのみが 30 日間保存されます。 保持期間を長くする必要がある場合は、アクティビティを Microsoft Sentinel または別のパートナーセキュリティ情報とイベント管理 (SIEM) システムにストリーミングします。 |
| オンボーディング | Defender for Identity のオンボードは、ワークスペースを構成する必要がなく、新規のお客様に対して自動的に行われるようになりました。 インスタンスを削除する必要がある場合は、Microsoft サポート ケースを開きます。 |
調査
| 分野 | 説明 |
|---|---|
| ID 領域 | Microsoft Defender ポータルで [ID] 領域を展開し、一般的に使用されるデータを含むグラフとウィジェットのダッシュボード、正常性の問題ページ、Defender for Identity デプロイのすべての正常性の問題の一覧、および一般的に使用されるツールとドキュメントへのリンクを含む [ツール] ページを表示します。 詳細については、「 ITDR ダッシュボードを表示する 」および 「Defender for Identity Health の問題」を参照してください。 |
| [ID] ページ | Microsoft Defender ポータル ID の詳細ページには、次のような各 ID に関する包括的なデータが表示されます。 - 関連するアラート - Active Directory アカウント制御 - 危険な横移動パス - アクティビティとアラートのタイムライン - 監視対象の場所、デバイス、グループの詳細。 詳細については、「Microsoft Defender ポータルでユーザーを調査する」を参照してください。 |
| [デバイス] ページ | Microsoft Defender ポータルのアラート証拠には、各疑わしいアクティビティに接続されているすべてのデバイスとユーザーが一覧表示されます。 さらに調査するには、アラートで特定のデバイスを選択して、デバイスの詳細ページにアクセスします。 詳細については、「Microsoft Defender for Endpoint デバイスの一覧でデバイスを調査する」を参照してください。 |
| 高度な追求 | Microsoft Defender ポータルは、高度なハンティング クエリを使用して、脅威と悪意のあるアクティビティを事前に検索するのに役立ちます。 これらの強力なクエリを使用して、既知の脅威と潜在的な脅威の両方の脅威インジケーターとエンティティを見つけて確認できます。 高度なハンティング クエリからカスタム検出ルールを構築し、侵害アクティビティやデバイスの構成ミスを示す可能性のあるイベントを事前にwatchするのに役立ちます。 詳細については、「Microsoft Defender ポータルで高度なハンティングを使用して脅威を事前に検出する」を参照してください。 |
| グローバル検索 | Microsoft Defender ポータル ページの上部にある検索バーを使用して、ID、エンドポイント、Office 365 データ、Active Directory グループ (プレビュー) など、Microsoft Defender XDRによって監視されているエンティティを検索します。 検索ドロップダウンから直接結果を選択するか、[ すべてのユーザー ] または [ すべてのデバイス ] を選択して、特定の検索用語に関連付けられているすべてのエンティティを表示します。 |
| 横移動パス | Microsoft Defender ポータルでは、ユーザーの詳細ページの [横移動パス] タブに加えて、[高度なハンティング] ページと [横移動パス] セキュリティ評価で横移動パス データが提供されます。 詳細については、「Microsoft Defender for Identityを使用した横移動パス (LMP) の理解と調査」を参照してください。 |
検出と応答
| 分野 | 説明 |
|---|---|
| アラートとインシデントの相関関係 | Defender for Identity アラートがMicrosoft Defender ポータルのアラート キューに含まれるようになり、自動インシデント相関機能で使用できるようになりました。 すべてのアラートを 1 か所で表示し、侵害の範囲を以前よりも迅速に判断します。 詳細については、「Microsoft Defender ポータルで Defender for Identity アラートを調査する」を参照してください。 |
| アラートの除外 | Microsoft Defender ポータルのアラート インターフェイスはより使いやすく、検索機能とグローバル除外が含まれています。つまり、Defender for Identity によって生成されたすべてのアラートから任意のエンティティを除外できます。 詳細については、「Microsoft Defender XDRでの Defender for Identity 検出の除外の構成」を参照してください。 |
| アラートのチューニング | アラートの調整 (以前は アラート抑制) を使用すると、アラートを調整して最適化できます。 アラートのチューニングによって誤検知が減り、SOC チームが優先度の高いアラートに集中できるようになり、システム全体の脅威検出範囲が向上します。 Microsoft Defender XDRで、証拠の種類に基づいてルールの条件を作成し、条件に一致するすべてのルールの種類にルールを適用します。 詳細については、「 アラートの調整」を参照してください。 |
| 修復アクション | アカウントの無効化やパスワードのリセットの要求など、Defender for Identity 修復アクションは、Microsoft Defender ポータルのユーザーの詳細ページから入手できます。 詳細については、「Microsoft Defender for Identityの修復アクション」を参照してください。 |
クイック リファレンス
次の表に、Microsoft Defender for IdentityとMicrosoft Defender ポータルの間のナビゲーションの変更を示します。
| Defender for Id | Microsoft Defender ポータル |
|---|---|
| Timeline | - ポータルのアラート/インシデント キューをMicrosoft Defenderする |
| レポート | 次の種類のレポートは、Microsoft Defender ポータルの [レポート>ID>レポート管理] ページから使用できます。即時ダウンロードまたは定期的な電子メール配信のスケジュールを設定できます。 - 注意すべきアラートと正常性の問題の概要レポート。 - 機密性の高いグループに変更を加えるたびにの一覧。 - クリア テキストで送信されると検出されたソース コンピューターとアカウント パスワードの一覧。 - 横移動パスで公開されている機密性の高いアカウントの一覧。 詳細については、「 レポート管理」を参照してください。 |
| [ID] ページ | ポータルユーザーの詳細ページMicrosoft Defender |
| [デバイス] ページ | ポータル デバイスの詳細ページMicrosoft Defender |
| [グループ] ページ | ポータル グループのサイド ウィンドウMicrosoft Defender |
| [アラート] ページ | ポータルアラートの詳細ページMicrosoft Defender ヒント: アラート調整を使用して、Microsoft Defender ポータルに表示されるアラートを最適化します。 |
| 検索 | ポータル グローバル検索Microsoft Defender |
| 正常性の問題 | Microsoft Defender ポータルの ID 正常性に関する>問題 |
| エンティティ アクティビティ | - 高度なハンティング - デバイス ページ >のタイムライン - [ID] ページ>の [タイムライン] タブ - [グループ] ウィンドウの > [タイムライン] タブ |
| 設定 | 設定 ->ID |
| ユーザーとアカウント | Assets ->ID |
| ID セキュリティ体制 | Microsoft Defender for Identityのセキュリティ体制評価 |
| 新しいワークスペースのオンボード | 設定 ->ID (自動的) |
| About | 設定 > ID > の概要 |
次の手順
詳細については、以下を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。