この記事では、セキュリティ サービスMicrosoft、ID、デバイス、アプリケーション、データ、AI、インフラストラクチャを含むテクノロジの柱全体にわたって保護を提供するために統合システムとして連携する方法について説明します。
最新のエンタープライズ セキュリティは、境界ベースの保護から、ID 駆動型のクラウド統合モデルに移行しました。 組織は、進化する脅威に継続的に適応しながら、ハイブリッド環境とマルチクラウド環境全体でユーザー、デバイス、アプリケーション、データをセキュリティで保護する必要があります。
Microsoftは、シグナルの共有、一貫性のあるポリシーの適用、制御の適用、環境全体での検出と応答の調整を行うために連携するクラウドベースのサービスの統合セットを提供します。
セキュリティの成果
統合Microsoft セキュリティは、次の結果を提供します。
- 統合された信号の可視性: テレメトリは、ID、デバイス、アプリケーション、データ、インフラストラクチャ全体で継続的に収集および一元化され、一元化された実用的な信号に変換されます。
- ID に基づく意思決定: アクセスと適用の決定は、ID、デバイスの状態、リスクシグナル、およびセッション コンテキストに基づいています。
- 一貫した適用: ゼロ トラスト の制御は、アクセス時と使用中の両方で、エンドポイント、クラウド サービス、アプリケーション全体にわたって適用されます。
- 統合された検出と対応: シグナルとアラートはドメイン間で関連付け、統合運用として脅威を検出して対応します。
- 継続的な検証と改善: 検出とリスクシグナルは、時間の経過と伴う保護を強化するためのポリシーの決定に戻ります。
コア セキュリティ サービス
コア セキュリティ サービスは複数のテクノロジの柱にまたがり、それぞれがプラットフォーム全体でシグナル、コンテキスト、および適用を提供します。
|
柱 プライマリ サービス |
Protection | プライマリ ポータル |
|---|---|---|
|
ID とアクセス Microsoft Entra Microsoft Defender for Identity |
Microsoft Entraは、ユーザー、ワークロード、アプリケーションのアクセスを制御します。 ID、デバイス、セッションのシグナルを評価して、アクセスの決定を行います。 id のDefenderは、ハイブリッド ID インフラストラクチャを監視して攻撃を検出します。 |
Microsoft Entra 管理センター Microsoft Defender ポータル |
|
デバイス/エンドポイント Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー) Microsoft Intune |
エンドポイントのDefenderは、エンドポイント テレメトリを収集し、脅威を検出します。 Microsoft Intuneデバイスのコンプライアンスを評価し、ポリシーを適用します。 |
Microsoft Defender ポータル Microsoft Intune 管理センター |
|
電子メールとコラボレーション Office 365 用ディフェンダー |
Exchangeおよびコラボレーション サービス (Microsoft Teams、SharePoint、OneDrive) をマルウェア、悪意のあるリンク/添付ファイル、ビジネス メールの侵害から保護します。 | Microsoft Defender ポータル |
|
データ Microsoft Purview |
エンドポイントとクラウド サービス間でデータ保護とデータ損失防止 (DLP) ポリシーを適用します。 | Microsoft Purview ポータル |
|
インフラストラクチャ/クラウド ワークロード Microsoft Defender for Cloud |
セキュリティ体制を改善し、クラウドとハイブリッドのワークロード全体で脅威の検出を提供します。 |
Microsoft Azure portal Microsoft Defender ポータル |
|
Networks Azure ネットワーク サービス |
ネットワークをセグメント化して保護します。 | Microsoft Azure portal |
|
SaaS/クラウド アプリ Microsoft Defender for Cloud Apps(クラウドアプリを守るマイクロソフトのセキュリティサービス) |
クラウド アプリの使用状況を可視化し、ユーザー アクティビティを監視して危険な動作を検出します。 | Microsoft Defender ポータル |
|
態勢/リスク Microsoft セキュリティ露出管理 |
ID、デバイス、クラウド リソース、アプリケーション間の露出を識別、優先順位付け、および削減します。 | Microsoft Defender ポータル |
|
脅威の検出/対応 Microsoft Defender XDR |
Defender サービス間でシグナルを関連付け、調査と対応のための統一されたインシデントを生成します。 | Microsoft Defender ポータル |
|
セキュリティ操作 Microsoft Sentinel |
Microsoftおよびサードパーティのソースからのテレメトリを集計して、一元的な分析、調査、対応を行います。 |
Microsoft Azure portal Microsoft Defender ポータル |
|
開発者/アプリのセキュリティ Defender for DevOps (Defender for Cloud 内) GitHub Advanced Security |
コード、依存関係、ビルド パイプラインをセキュリティで保護し、DevOps ワークフロー全体にセキュリティ ガバナンスを適用します。 |
Microsoft Defender ポータル GitHub インターフェイス |
ネットワーク保護サービス
次の表は、Azureネットワーク機能と、それらが他のセキュリティ サービスと直接統合する方法をまとめたものです。 サービスは、Microsoft Azure portal で構成されます。
| サービス | Protection | 統合 |
|---|---|---|
| Azure Firewall | IP、ポート、およびアプリケーションの規則を適用して、サブネット、インターネット、オンプレミス ネットワーク全体の受信トラフィックと送信トラフィックを制御します。 Microsoft脅威インテリジェンスを使用して、既知の悪意のあるトラフィックをブロックします。 | Defender for Cloudは、構成の状態を評価します。 診断ログは、Azure Monitor/Log Analyticsに取り込み、検出と相関関係のためにMicrosoft Sentinelによって分析されます。 |
| Azure DDoS Protection | 帯域幅消費型、プロトコル、およびアプリケーション層の攻撃を軽減します。 仮想ネットワーク (VNet) 内のインターネットに接続するリソースを大規模な洪水攻撃から保護します。 | メトリックと攻撃テレメトリは、Azure Monitor/Log Analyticsに取り込まれており、Microsoft Sentinelで分析できます。 Defender for Cloudは、体制に関する推奨事項を提供します。 |
| Azure VNet | Azure リソースのネットワーク分離、セグメント化、プライベート IP アドレス指定を提供します。 サービス間の制御された接続を有効にします。 | Defender for Cloudは、パブリック アクセス パスなどの公開を含む構成状態を評価します。 |
| ネットワーク セキュリティ グループ (NSG) | 許可/拒否規則を使用して、サブネットとネットワーク インターフェイス レベルでトラフィックをフィルター処理します。 不要なトラフィックをリソースに制限します。 | NSG フロー ログ (Azure Monitor 経由) は、トラフィックの可視性と検出のためにMicrosoft Sentinelで分析できます。 Defender for Cloudは NSG ルールの構成を評価します。 |
| Azure Web アプリケーション ファイアウォール (WAF) | OWASP ルール セットを使用して HTTP/HTTPS アプリケーションを保護します。 SQL インジェクションやクロスサイト スクリプティング (XSS) などの一般的な Web 攻撃を防ぐのに役立ちます。 | WAF ログはAzure Monitor/Log Analyticsに取り込み、Microsoft Sentinelによって分析されます。 Defender for Cloudは WAF 構成の状態を評価します。 |
| Azure Front Door | ルーティング、高速化、エッジ セキュリティ機能を備えた Web アプリケーションのグローバル エントリ ポイントを提供します。 アプリケーション保護のために WAF と統合されます。 | 診断ログ (Front Door/WAF) はLog Analyticsに取り込み、Microsoft Sentinelによって分析されます。 Defender for Cloudは、構成の状態を評価します。 |
| Azure Application Gateway | アプリケーション トラフィックを保護およびルーティングするための組み込みの Web アプリケーション ファイアウォール機能を使用して、リージョンの負荷分散を提供します。 | アクセス ログと WAF ログはLog Analyticsに取り込み、Microsoft Sentinelによって分析されます。 Defender for Cloud は、構成状況と公開設定を評価します。 |
| Azure VPN ゲートウェイ | オンプレミス環境と Azure VNet 間の暗号化された IPsec/IKE 接続を提供します。 パブリック ネットワーク経由で転送中のデータを保護します。 | 接続ログとトンネル ログはLog Analyticsに取り込まれており、Microsoft Sentinelで分析できます。 Defender for Cloudは、暗号化設定を含む構成の状態を評価します。 |
| Azure ExpressRoute | オンプレミス環境とAzure間のプライベートな専用接続をMicrosoftバックボーン経由で提供し、パブリック インターネットを回避します。 | 運用テレメトリ (BGP、回線の状態など) は、Azure Monitorを通じて利用でき、Microsoft Sentinelで分析できます。 Defender for Cloudは、高レベルの構成体制を評価します。 |
| Azure Bastion | ブラウザーを介して仮想マシンへの安全な RDP および SSH アクセスを提供し、パブリック IP 公開の必要がなくなります。 | 診断ログはLog Analyticsに取り込み、Microsoft Sentinelによって分析されます。 Defender for Cloud は、縮小された VM は評価しますが、Azure Bastion の構成を直接評価することはありません。 |
| Azure Private Link | プライベート IP アドレスを使用して、Azure PaaS サービスとカスタマー サービスへのプライベート接続を提供し、公開を排除します。 | サービス レベルのログ (ストレージ、SQL、Key VaultなどのPrivate Link経由でアクセスされるサービスの場合) は、Log Analyticsに取り込み、Microsoft Sentinelによって分析されます。 Defender for Cloudは、プライベート リンクを使用して露出を減らすかどうかを評価します。 |
| Azure Network Watcher | Azure リソース全体のネットワーク診断、監視、フロー レベルの可視性を提供します。 | NSG フロー ログと診断はLog Analyticsに取り込まれており、Microsoft Sentinelで分析できます。 Defender for Cloud は、Network Watcher 自体ではなく、NSG 設定などの基盤となるリソースの構成状態を評価します。 |
セキュリティ ワークフロー
セキュリティ サービスは、継続的なパイプラインとして動作します。 信号は継続的に収集、評価、適用され、検出と応答を促進するために使用されます。
| パイプライン | アクション | 主要なアクティビティ |
|---|---|---|
| ステージ 1: シグナル収集 | セキュリティ サービスは、ID、デバイス、アプリケーション、インフラストラクチャ全体でテレメトリを生成します。 | - エンドポイントのDefenderは、デバイス テレメトリを収集します。 - Microsoft Intuneはデバイスのコンプライアンスを評価します。 - Defender for Identity は、オンプレミスの ID アクティビティを監視します。 - Defender for Cloud Apps SaaS アクティビティを監視します。 - Defender for Cloudは、インフラストラクチャ/ワークロードの構成とアクティビティを監視します。 |
| ステージ 2: ポリシーの決定 | シグナルは、アクセス条件と制御アクションを決定するために評価されます。 | Microsoft Entra 条件付きアクセスは、ID リスク、デバイスの信頼、場所、セッション コンテキストを評価します。 |
| ステージ 3: 適用を制御する | セキュリティ制御は、ID、デバイス、セッション、データ、およびネットワーク レイヤー間で適用されます。 | 適用ポイントは次のとおりです。 - 条件付きアクセス (MFA/制限) - Intune (デバイス コンプライアンス) -Defender for Cloud Apps (セッション制御) - Microsoft Purview (DLP) - ネットワークAzure (接続の制限)。 |
| ステージ 4: 検出と応答 | シグナルとアラートは、脅威を検出、調査、修復するために関連付けられます。 | Microsoft Defender XDRは、すべてのDefender製品からのシグナルを統合インシデントに関連付けます。 Microsoft Sentinelは、サードパーティのソースを含め、環境全体にわたってログ、インシデント、ハンティング、セキュリティ オーケストレーション、自動化、対応 (SOAR) を一元化します。 |
| フィードバック ループ | 検出の結果は、保護を継続的に改善するためにポリシーの決定に戻ります。 | リスクと脅威のシグナルによってリアルタイムのポリシー更新が通知され、アダプティブ保護と自動保護が可能になります。 |
セキュリティ サービスの統合
Microsoftセキュリティ サービスは、まとまりのあるパイプラインとして動作する複数のフローを通じて統合され、継続的な保護システムを形成します。
- シグナル (テレメトリ) は、ID、デバイス、アプリケーション、およびその他のリソース全体のアクティビティをキャプチャします。
- コンテキスト (ID、デバイスのポスチャ、およびデータ分類) は、 信号を強化して精度と意思決定を向上させます。
- ポリシー は、評価された条件に基づいて、許可またはブロックされるアクセスを定義します。
- アクションは 、自動化された制御と対応によって決定を強制します。
シグナルがプラットフォームを通過すると、強化され、ポリシーに対して評価され、アクションが実行され、保護と応答の継続的なサイクルが作成されます。
サービスの統合方法
次の表は、セキュリティ サービスが各出力からのシグナルとコンテキストを使用する方法と、それらが出力およびアクションを行う内容をまとめたものです。
| サービス | 消費 | 出力 |
|---|---|---|
| Microsoft Entra ID |
シグナル: 認証アクティビティ (サインイン、リスク イベント)。 Microsoft Intuneからのデバイス コンプライアンスの状態。 Context: エンドポイントのDefenderからのアクセス決定のためのデバイス コンテキスト。 Defender for Cloud Appsからのアクセス決定のセッション コンテキスト。 |
アクション: 条件付きアクセスの決定 (許可、ブロック、制限、制御が必要)。 |
| Microsoft Intune |
シグナル: 管理対象デバイスのインベントリ、正常性、コンプライアンスの状態。 Context: Microsoft Entra IDからの ID の関連付け。 |
Outputs: Microsoft Entra IDへのデバイス コンプライアンス体制。 デバイス監査ログを Microsoft Sentinel に送信する |
| Microsoft Purview |
Signals: Microsoft 365、SaaS アプリ、オンプレミス システム全体のエンタープライズ データ。 コンテキスト: データ分類 (秘密度ラベル、コンテンツ検査、ユーザー アクティビティ)。 |
Outputs: Defender XDRに対するインサイダー リスクとデータ損失保護 (DLP) アラート。 Microsoft Sentinelへのコンプライアンスと監査のログ。 Actions: エンドポイント (エンドポイントのDefender)、およびセッション (Defender for Cloud Apps) にわたる DLP の適用。 |
| エンドポイント用 Defender |
シグナル: エンドポイント テレメトリ (プロセス、ファイル、ネットワーク アクティビティ)。 Context: Microsoft Entra ID (ID コンテキスト)。 Microsoft Intune (デバイスの姿勢)。 Microsoft Purview (DLP ポリシー)。 |
Outputs: Defender XDRとMicrosoft Sentinelへのエンドポイント アラートとテレメトリ。 アクション: エンドポイントの強制 (デバイスの分離、ブロック、修復)。 |
| Defender for Identity | Signals: Active Directory の ID シグナル。 | Output: Defender XDRとMicrosoft Sentinelに対する ID 脅威アラート。 |
| Defender for Cloud Apps |
シグナル: SaaS アプリ アクティビティ (クラウドの使用状況)。 Defender for Endpoint からのネットワークおよびシャドウ IT のテレメトリ。 Context: Microsoft Entra IDからのセッションと認証コンテキスト。 Microsoft Purviewからの DLP ポリシー。 |
Outputs: Defender XDRとMicrosoft Sentinelに対するクラウド アプリアラート。 アクション: セッションの強制 (ブロック、監視、アクセスの制限)。 |
| Defender for Cloud |
Signals: Azureからのリソース操作情報。 エンドポイントのDefenderからのサーバー/ワークロード テレメトリ。 コンテキスト: リソースの構成と体制。 |
出力: Defender XDR および Microsoft Sentinel へのセキュリティ アラートとセキュリティ体制に関する分析情報。 |
| Microsoft セキュリティ露出管理 |
Signals: Defender for Endpoint によるデバイスのリスク スコア。 Defender for Cloudからのクラウド リソース インベントリ、体制、露出、攻撃面の結果。 Microsoft Entraからの ID インベントリとリスクシグナル。 Defender for Cloud Appsからの SaaS アプリのインベントリ、リスク、および使用コンテキスト。 コンテキスト: 統合された露出とリスクの相関関係。 |
Outputs: Microsoft XDR とMicrosoft Sentinelに対する露出の分析情報とリスクの相関関係。 |
| Defender XDR | Signals: Defender for Endpoint (デバイス)、Defender for Identity (ID シグナル)、Defender for Office 365 (メールとコラボレーション)、Defender for Cloud Apps (SaaS/アプリ アクティビティ) からのアラート。 Microsoft Purview (DLP、インサイダー リスク、データ分類)、Microsoft Entra ID 保護 (ID リスクシグナル)、およびDefender for Cloud (ワークロード/クラウド体制) からの追加シグナル。 |
出力: 関連付けられたアラートとインシデントを Microsoft Sentinel に出力します。 アクション: 自動クロスドメイン応答。 |
| Microsoft Sentinel | Signals: アラート、ログ、Defender XDR、Microsoft Purview、クラウド サービス、およびその他のファースト パーティ/サード パーティのソースからのテレメトリ。 |
出力: 分析、調査、インシデント。 アクション: プレイブックを使用した自動応答。 |
| Microsoft Security Copilot |
Signals: Microsoft SentinelとDefender XDRからのインシデントとアラート。 Context: Microsoft Purviewからの機密データとインサイダー リスク コンテキスト。 Microsoft Security Exposure Management から取得したエクスポージャー コンテキスト。 |
出力: 調査の概要、推奨事項、AI 主導の分析情報。 Actions: Microsoft SentinelおよびDefender XDRワークフローを介してルーティングされるガイド付き応答アクション。 |
次のステップ
- 現在のセキュリティ体制について、まずはゼロ トラスト アセスメントから始めます。
- 構造化された adoption モデル に従って、ゼロ トラスト導入を開始します。
- 導入 ビジネス シナリオを使用して、ビジネス リーダーにとって重要なセキュリティ成果について説明します。 まず、ビジネスソリューションの技術ソリューション と、データやデバイスなどのテクノロジの柱を実装します。