このソリューション ガイドでは、Microsoft 拡張検出および応答 (XDR) ツールを設定する方法と、これらを Microsoft Sentinel と統合して、組織がサイバーセキュリティ攻撃に迅速に対応して修復できるようにする方法について説明します。
Microsoft Defender XDR は、Microsoft 365 環境全体からシグナル、脅威、アラート データを自動的に収集、関連付け、分析する XDR ソリューションです。
Microsoft Sentinel は、セキュリティ情報とイベント管理 (SIEM) とセキュリティ オーケストレーション、自動化、応答 (SOAR) 機能を提供するクラウドネイティブ ソリューションです。 Microsoft Sentinel と Microsoft Defender XDR は、組織が最新の攻撃から防御するのに役立つ包括的なソリューションを提供します。
このガイダンスは、ゼロ トラストの原則を次の方法でマッピングすることで、ゼロ トラスト アーキテクチャを改善するのに役立ちます。
| ゼロ トラストの原則 | 以下により適合 |
|---|---|
| 明示的に検証する | Microsoft Sentinel は、環境全体からデータを収集し、脅威や異常を分析して、組織や自動化が検証済みデータに対してアクションを実行できるようにします。 Microsoft Defender XDR は、ユーザー、ID、デバイス、アプリ、および電子メール全体で拡張された検出と応答を提供します。 Microsoft Defender XDR によってキャプチャされたリスクベースのシグナルを使用して、リスクに基づくトラフィックのブロックや承認などのアクションを実行するように、Microsoft Sentinel 自動化を構成します。 |
| 最小限の特権アクセスを使用する | Microsoft Sentinel は、UEBA エンジンを介して異常なアクティビティを検出します。 セキュリティ シナリオが急速に変化するにつれて、脅威インテリジェンスは Microsoft およびサード パーティプロバイダーからデータをインポートして、新たな脅威を検出してコンテキスト化します。 Microsoft Defender XDR には、ID リスクに基づいてユーザーをブロックする Microsoft Entra ID Protection が含まれています。 関連するデータを Microsoft Sentinel にフィードして、さらに分析と自動化を行います。 |
| 侵害を前提とする | Microsoft Defender XDR は、脅威と脆弱性の環境を継続的にスキャンします。 Microsoft Sentinel は、収集されたデータと行動の傾向を分析して、企業全体の疑わしいアクティビティ、異常、およびマルチステージの脅威を検出します。 Microsoft Defender XDR と Microsoft Sentinel の両方で、調査、デバイスの分離、データ検疫などの自動修復タスクが実装されています。 Microsoft Entra 条件付きアクセスのシグナルとしてデバイス リスクを使用します。 |
Microsoft Defender XDR の使い方入門
Microsoft Defender XDR の展開は、組織内でインシデント検出と対応機能を構築するための優れた出発点です。 Defender XDR は Microsoft 365 E5 に含まれており、 Microsoft 365 E5 試用版ライセンスを使用して開始することもできます。 Defender XDR は、Microsoft Sentinel または 汎用 SIEM ツールと統合できます。
詳細については、「 パイロットと Microsoft Defender XDR の展開」を参照してください。
Microsoft Sentinel と XDR のアーキテクチャ
Microsoft Sentinel のお客様は、次のいずれかの方法を使用して、Microsoft Sentinel と Microsoft Defender XDR サービスを統合できます。
Microsoft Sentinel を Defender ポータルにオンボードして、統合されたセキュリティ操作に Microsoft Defender XDR と共に使用します。 Defender のインシデント、アラート、脆弱性、セキュリティ データと共に、Defender ポータルで Microsoft Sentinel データを直接表示します。
Microsoft Sentinel データ コネクタを使用して、Microsoft Defender XDR サービス データを Microsoft Sentinel に取り込みます。 Azure portal で Microsoft Sentinel データを表示します。
このガイダンス センターでは、両方の方法に関する情報を提供します。 ワークスペースを Defender ポータルにオンボードした場合は、それを使用します。そうでない場合は、特に指定がない限り、Azure portal を使用します。
次の図は、Microsoft の XDR ソリューションが Defender ポータルで Microsoft Sentinel と統合される方法を示しています。
この図の内容は次のとおりです。
- 組織全体のシグナルからの分析情報は、Microsoft Defender XDR と Microsoft Defender for Cloud に送られます。
- Microsoft Sentinel はマルチクラウド環境のサポートを提供し、サードパーティのアプリやパートナーと統合されます。
- Microsoft Sentinel データは、組織のデータと共に Microsoft Defender ポータルに取り込まれます。
- SecOps チームは、Microsoft Defender ポータルで Microsoft Sentinel と Microsoft Defender XDR によって識別された脅威を分析して対応できます。
主要な機能
Microsoft Sentinel と Defender XDR の機能を使用してインシデントを管理するためのゼロ トラスト アプローチを実装します。 Defender ポータルにオンボードされているワークスペースの場合は、Defender ポータルで Microsoft Sentinel を使用します。
| 機能 | 説明 | プロダクト |
|---|---|---|
| 自動調査 & 応答 (AIR) | AIR 機能は、アラートを調査し、侵害を解決するために直ちにアクションを実行するように設計されています。 AIR 機能によってアラートの量を大幅に削減できるため、セキュリティ運用チームはより高度な脅威やその他の価値の高い取り組みに集中できます。 | Microsoft Defender XDR |
| 高度な追求 | 高度なハンティングは、最大 30 日間の生データを探索できるクエリ ベースの脅威ハンティング ツールです。 ネットワーク上のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限に捜索できます。 | Microsoft Defender XDR |
| カスタム ファイル インジケーター | 悪意のある可能性のあるファイルや疑わしいマルウェアを禁止することで、組織内の攻撃をさらに伝播しないようにします。 | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery は、Defender for Endpoint によって収集されたトラフィック ログを分析し、クラウド アプリ カタログに対して識別されたアプリを評価して、コンプライアンスとセキュリティ情報を提供します。 | クラウドアプリ向けのMicrosoft Defender |
| カスタム ネットワーク インジケーター | IP と URL、またはドメインのインジケーターを作成すると、独自の脅威インテリジェンスに基づいて、IP、URL、またはドメインを許可またはブロックできるようになります。 | Microsoft Defender XDR |
| エンドポイントの検出と応答 (EDR) ブロック | Microsoft Defender ウイルス対策 (MDAV) がプライマリ ウイルス対策製品ではなく、パッシブ モードで実行されている場合に、悪意のある成果物からの保護を強化します。 ブロック モードの EDR は、EDR 機能によって検出された悪意のあるアーティファクトを修復するためにバックグラウンドで機能します。 | Microsoft Defender XDR |
| デバイスの応答機能 | デバイスを分離するか、調査パッケージを収集して、検出された攻撃に迅速に対応する | Microsoft Defender XDR |
| ライブ応答 | ライブ応答により、セキュリティ運用チームはリモート シェル接続を使用してデバイス (マシンとも呼ばれます) に瞬時にアクセスできます。 これにより、詳細な調査作業を行い、即座に対応アクションを実行して、特定された脅威をリアルタイムで迅速に含めることができるようになります。 | Microsoft Defender XDR |
| クラウド アプリケーションをセキュリティで保護する | マルチクラウド環境と複数パイプライン環境全体でコード レベルでセキュリティ管理を統合する開発セキュリティ運用 (DevSecOps) ソリューション。 | Microsoft Defender for Cloud |
| セキュリティ体制を向上させる | 侵害を防ぐために実行できるアクションを示すクラウド セキュリティ態勢管理 (CSPM) ソリューション。 | Microsoft Defender for Cloud |
| クラウド ワークロードを保護する | サーバー、コンテナー、ストレージ、データベース、およびその他のワークロードに固有の保護を備えたクラウド ワークロード保護プラットフォーム (CWPP)。 | Microsoft Defender for Cloud |
| ユーザーとエンティティの行動分析 (UEBA) | ユーザー、ホスト、IP アドレス、アプリケーションなどの組織エンティティの動作を分析します | Microsoft Sentinel |
| 融合 | スケーラブルな機械学習アルゴリズムに基づく相関エンジン。 キル チェーンのさまざまな段階で観察される異常な動作と疑わしいアクティビティの組み合わせを識別することで、高度な永続的な脅威 (APT) とも呼ばれるマルチステージ攻撃を自動的に検出します。 | Microsoft Sentinel |
| 脅威インテリジェンス | Microsoft サードパーティ プロバイダーを使用してデータを強化し、環境内のアクティビティ、アラート、ログに関する追加のコンテキストを提供します。 | Microsoft Sentinel |
| オートメーション | 自動化ルールは、さまざまなシナリオに適用できる少数のルールセットを定義して調整できるようにすることで、Microsoft Sentinel で自動化を一元的に管理する方法です。 | Microsoft Sentinel |
| 異常ルール | 異常ルール テンプレートでは、機械学習を使用して、特定の種類の異常な動作を検出します。 | Microsoft Sentinel |
| スケジュールされたクエリ | 疑わしいアクティビティ チェーン、既知の脅威について、Microsoft Sentinel によって収集されたログを検索する、Microsoft セキュリティエキスパートによって作成された組み込みのルール。 | Microsoft Sentinel |
| ほぼリアルタイム (NRT) ルール | NRT ルールは、可能な限り up-to分の情報を提供するために、毎分 1 回実行するように設計された、スケジュールされたルールの限られたセットです。 | Microsoft Sentinel |
| 狩猟 | セキュリティ アナリストが、セキュリティ アプリやスケジュールされた分析ルールによって検出されなかった新しい異常を事前に検索できるように、Microsoft Sentinel の組み込みハンティング クエリを使用すると、ネットワーク上に既に存在するデータの問題を見つけるために適切な質問を行うことができます。 | Microsoft Sentinel Defender ポータルにオンボードされているワークスペースの場合は、Microsoft Defender ポータルの高度なハンティング機能を使用します。 |
| Microsoft Defender XDR コネクタ | Microsoft Defender XDR コネクタは、ログとインシデントを Microsoft Sentinel に同期します。 | Microsoft Defender XDR と Microsoft Sentinel |
| データ コネクタ | Microsoft Sentinel で分析用のデータの取り込みを許可します。 | Microsoft Sentinel |
| コンテンツ ハブ ソリューション -Zero 信頼 (TIC 3.0) | ゼロ トラスト (TIC 3.0) には、ワークブック、分析ルール、プレイブックが含まれています。これらは、ゼロ トラスト原則の自動化された視覚化を提供し、トラスト インターネット接続フレームワークにマッピングされており、組織が時間の経過とともに構成を監視するのに役立ちます。 | Microsoft Sentinel |
| セキュリティ オーケストレーション、自動化、および応答 (SOAR) | セキュリティ上の脅威に対応するために自動化ルールとプレイブックを使用すると、SOC の有効性が向上し、時間とリソースが節約されます。 | Microsoft Sentinel |
| SOC の最適化 | 特定の脅威に対するカバレッジギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を強化します。 | Microsoft Sentinel Defender ポータルにオンボードされているワークスペースの場合は、Microsoft Defender ポータルで SOC 最適化を使用します。 |
このソリューションの内容
このソリューションは、Microsoft Sentinel と Microsoft Defender XDR の実装をガイドすることで、セキュリティ運用チームがゼロ トラスト アプローチを使用してインシデントを修復するのに役立ちます。 実装には、次のフェーズが含まれます。
| フェーズ | 説明 |
|---|---|
| 1. Microsoft Defender XDR サービスをパイロットして展開する | 組織全体の展開を完了する前に、Microsoft Defender XDR サービスの機能を評価できるように、まずパイロットを行います。 |
| 2. デプロイを計画する | 次に、Microsoft Sentinel の XDR サービスとワークスペースを含め、完全な SIEM と XDR のデプロイを計画します。 |
| 3. XDR ツールを設定し、ワークスペースを設計する | このフェーズでは、環境全体で使用することを決定した XDR サービスをデプロイし、SIEM と XDR ソリューションをサポートするために Microsoft Sentinel やその他のサービスをデプロイします。 Azure portal から作業する予定の場合は、 Microsoft Sentinel を Microsoft Defender ポータルに接続する手順をスキップします。 この手順は、Microsoft Sentinel Defender ポータルを使用する場合にのみ関連し、Azure portal でインシデントに対応する場合は関係ありません。 |
| 4. インシデントへの対応 | 最後に、Defender ポータルにオンボードしたかどうかに基づいてインシデントに対応します。 - Defender ポータルからインシデントに対応する - Azure portal からインシデントに対応する |
関連コンテンツ
詳細については、「 Microsoft Sentinel と Defender XDR を使用したゼロ トラスト セキュリティ 」およびポータルの関連コンテンツを参照してください。
Microsoft 365 でのゼロ トラスト原則の適用の詳細については、以下を参照してください。