Microsoft Defender for EndpointとMicrosoft Defender for Cloud Appsの統合

Microsoft Defender for Endpointは、インテリジェントな保護、検出、調査、対応のためのセキュリティ プラットフォームです。 Defender for Endpoint は、エンドポイントをサイバー脅威から保護し、高度な攻撃とデータ侵害を検出し、セキュリティ インシデントを自動化し、セキュリティ体制を改善します。

この記事では、Microsoft Defender for Cloud AppsとMicrosoft Defender for Endpointの間で利用できるすぐに使用できる統合について説明します。これにより、クラウドの検出が簡素化され、デバイスベースの調査が可能になります。

重要

この記事では、Defender for Endpoint ログからのシャドウ IT 検出機能について説明します。 Defender for Endpoint を使用したシャドウ IT ガバナンス機能の詳細については、「Microsoft Defender for Endpointを使用して検出されたアプリを管理する」を参照してください。

前提条件

• Microsoft Defender for Cloud Apps ライセンス

• 以下のいずれか:

  • プラン 2 を使用したMicrosoft Defender for Endpoint
  • premium またはスタンドアロン ライセンスを使用したMicrosoft Defender for Business

  詳細については、「 Microsoft エンドポイント セキュリティ プランの比較」を参照してください。

• 次のいずれかのオペレーティング システムを使用するアプリ:

  • Windows 10 バージョン 1709 (OS ビルド 16299.1085 とKB4493441)
  • Windows 10 バージョン 1803 (OS ビルド 17134.704 とKB4493464)
  • Windows 10 バージョン 1809 (OS ビルド 17763.379 とKB4489899)、またはそれ以降のWindows 10およびWindows 11 バージョン
  • macOS( Defender for Endpoint バージョン 20.123072.25.0 以上のデバイス上)

• macOS アプリの統合をサポートするには、Microsoft Defender for Endpointでネットワーク保護機能を有効にする必要があります。 ネットワーク保護は TCP 接続のクローズ イベントのみを監査するため、UDP プロトコルは macOS サポートの対象になりません。 詳細については、「ネットワーク保護を有効にする」を参照してください。

• (推奨)Microsoft Defenderウイルス対策を有効にする:

  • リアルタイム保護が有効
  • クラウド配信保護が有効
  • ネットワーク保護が有効で、ブロック モードに構成されている

注:

Microsoft Defenderウイルス対策は検出に強くお勧めしますが、必須ではありません。 Defender ウイルス対策が無効になっている場合、一部の検出データは引き続き使用できます。

メカニズム

Defender for Cloud Appsは、アップロードしたログを使用するか、自動ログ アップロードを構成して、エンドポイントからログを収集します。 すぐに使用できる統合により、Defender for Endpoint のエージェントが Windows 上で実行され、ネットワーク トランザクションを監視するときに作成されるログを利用できます。 この情報は、ネットワーク上の Windows デバイス全体でのシャドウ IT 検出に使用します。

統合では、追加のデプロイ手順や、エンドポイントからのルーティングまたはミラーリング トラフィックは必要ありません。次のように機能します。

• Defender for Cloud Appsに送信されるエンドポイントからのログは、トラフィック アクティビティのユーザーとデバイスの情報を提供します。 デバイス コンテキストとユーザー名をペアリングすると、ネットワーク全体の全体像が表示され、どのユーザーがどのデバイスからどのアクティビティを実行したかを判断できます。
• 危険なユーザーを特定する場合は、ユーザーがアクセスしたデバイスをチェックして潜在的なリスクを検出します。 危険なデバイスを特定する場合は、それを使用したすべてのユーザーをチェックして、さらに潜在的なリスクを検出します。
• トラフィック情報が収集されたら、organizationでのクラウド アプリの使用について詳しく調べる準備が整います。 Defender for Cloud Appsは、Defender for Endpoint Network Protection 機能を利用して、クラウド アプリへのエンドポイント デバイス アクセスをブロックします。 検出されたアプリの管理の詳細については、「Microsoft Defender for Endpointを使用して検出されたアプリを管理する」を参照してください。

macOS デバイスと統合しているお客様は、CPU 消費量が急増する可能性があります。

ヒント

Defender for Cloud Appsで Defender for Endpoint を使用する利点を示すビデオをご覧ください。

Microsoft Defender for EndpointとDefender for Cloud Appsの統合

Defender for Endpoint と Defender for Cloud Appsの統合を有効にするには:

1. Microsoft Defender ポータルのナビゲーション ウィンドウで、設定>Endpoints>General>Advanced 機能を選択します。
2. Microsoft Defender for Cloud Appsを [オン] に切り替えます。
3. [適用] を選択します。

注:

データがDefender for Cloud Appsに表示されるまでに、統合を有効にしてから最大 2 時間かかります。

Microsoft Defender for Endpointに送信されるアラートの重大度を構成するには:

1. Microsoft Defender ポータルで、設定>Cloud Apps>Cloud Discovery>Microsoft Defender for Endpoint を選択します。

2. [ アラート] で、アラートのグローバル重大度レベルを選択します。

3. [保存] を選択します。

   

次の手順

Microsoft Defender for Endpointによって検出されたアプリを調査する

Microsoft Defender for Endpointによって検出されたアプリを管理する

関連するビデオ

Defender for Endpoint を使用してシャドウ IT を検出してブロックする

企業ネットワークを超えたシャドウ IT 検出

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。