Microsoft Defender for Cloud Apps の新機能
適用対象: Microsoft Defender for Cloud Apps
この記事は、Microsoft Defender for Cloud Apps の最新リリースの新機能がわかるように頻繁に更新されます。
その他の Microsoft Defender セキュリティ製品の新機能に関する詳細情報は、以下を参照してください。
- Microsoft Defender XDR の新機能
- Microsoft Defender for Endpoint の新機能
- Microsoft Defender for Identity の新機能
以前のリリースに関するニュースについては、「Microsoft Defender for Cloud Apps の過去の更新プログラムのアーカイブ」を参照してください。
2024 年 10 月
内部セッション制御アプリケーションに関する通知
エンタープライズ アプリケーション "Microsoft Defender for Cloud Apps – セッション制御" は、条件付きアクセス アプリ制御サービスによって内部的に使用されます。
このアプリケーションへのアクセスを制限する CA ポリシーがないことを確認してください。
すべてのアプリケーションまたは特定のアプリケーションを制限するポリシーについては、このアプリケーションが例外として一覧表示されていることを確認するか、ブロック ポリシーが意図的であることを確認してください。
詳細については、「 サンプル: Defender for Cloud Apps で使用する Microsoft Entra ID 条件付きアクセス ポリシーを作成するを参照してください。
高度なハンティング CloudAppEvents テーブルの新しい異常データ
Microsoft Defender ポータルで高度なハンティングを使用する Defender for Cloud Apps ユーザーは、新しい LastSeenForUser と UncommonForUser 列をクエリと検出ルールに利用できるようになりました。
新しい列は、疑わしいと思われる可能性がある一般的でないアクティビティをより適切に識別し、より正確なカスタム検出を作成し、発生した疑わしいアクティビティを調査できるように設計されています。
詳細については、「高度なハンティング "CloudAppEvents" データ スキーマ」を参照してください。
高度なハンティング CloudAppEvents テーブルの新しい条件付きアクセス アプリ制御/インライン データ
Microsoft Defender ポータルで高度なハンティングを使用する Defender for Cloud Apps ユーザーは、クエリと検出のルールに新しい AuditSource 列と SessionData 列を使用できるようになりました。
このデータを使用すると、アクセスとセッション制御を含む特定の監査ソースを考慮するクエリと、特定のインライン セッションによるクエリが可能になります。
詳細については、「高度なハンティング "CloudAppEvents" データ スキーマ」を参照してください。
高度なハンティング CloudAppEvents テーブルの新しいデータ - OAuthAppId
Microsoft Defender ポータルで高度なハンティングを使用する Defender for Cloud Apps ユーザーは、クエリと検出ルールに新しい OAuthAppId 列を使用できるようになりました。
OAuthAppId を使用すると、特定の OAuth アプリケーションを考慮するクエリを使用して、クエリと検出ルールをより正確にできます。
詳細については、「高度なハンティング "CloudAppEvents" データ スキーマ」を参照してください。
2024 年 9 月
ビジネス アプリにアクセスするときに Edge ブラウザー内保護を強制する
Edge のブラウザー内保護の威力を理解している管理者は、会社のリソースにアクセスするときにユーザーに Edge の使用を強制できるようになりました。
主な理由はセキュリティです。Edge を使用してセッション制御を回避するセキュリティ対策はリバース プロキシ テクノロジよりもはるかに強力であるためです。
詳細については、「ビジネス アプリにアクセスするときに Edge ブラウザー内保護を強制する」を参照してください。
Mural を Defender for Cloud Apps に接続する (プレビュー)
Defender for Cloud Apps では、アプリ コネクタ API を使用した Mural アカウントへの接続がサポートされるようになりました。これにより、組織の Mural の使用を可視化し、制御できるようになりました。
詳細については、以下を参照してください:
- Defender for Cloud Apps が Mural 環境の保護に役立つしくみ
- アプリを接続して可視化し、Microsoft Defender for Cloud Apps で制御する
- Mural ヘルプ センター
ブロックされたアクションについてエンド ユーザーにメールを送信する機能の削除
2024 年 10 月 1 日をもって、セッション ポリシーによってアクションがブロックされたときにエンド ユーザーにメールで通知する機能が廃止されます。
このオプションでは、ユーザーのアクションがブロックされると、ブラウザー メッセージとメール通知の両方がユーザーに届きます。
管理者は、新しいセッション ポリシーを作成するときにこの設定を構成できなくなります。
この設定がある既存のセッション ポリシーでは、ブロック アクションが発生しても、エンド ユーザーへのメール通知はトリガーされません。
エンド ユーザーは今後ブラウザーから直接ブロック メッセージを受信することになり、メールによるブロック通知は届かなくなります。
メールによるエンド ユーザーへの通知オプションのスクリーンショット:
2024 年 8 月
Defender for Cloud Apps のドキュメントの再編成
主要な製品の柱とユース ケースを強調し、全体的な Microsoft Defender ドキュメントに合わせて、Microsoft Defender for Cloud Apps のドキュメントを再編成しました。
Defender for Cloud Apps のドキュメントについてお気付きの点がありましたら、各ドキュメント ページの上部と下部にあるフィードバック メカニズムを使用して、コメントをお寄せください。
アクティビティ ログの大規模なエクスポート (プレビュー)
"アクティビティ ログ" ページから、最大で過去 6 か月間または最大 10 万件のイベントをエクスポートするオプションをユーザーに提供することに特化した新しいユーザー エクスペリエンス。
時間範囲やその他のさまざまなフィルターを使用して結果をフィルター処理できるほか、プライベート アクティビティを非表示にすることもできます。
詳細については、過去 6 か月間のアクティビティのエクスポートに関する記述を参照してください。
2024 年 7 月
ブロック ページでのカスタム サポート URL の構成と埋め込み (プレビュー)
Cloud Discovery を使用してブロックされるアプリの Microsoft Defender for Cloud Apps (MDA) ブロック エクスペリエンスをカスタマイズします。
ブロック ページでのカスタム リダイレクト URL のセットアップは、次の目的で行います。
- エンド ユーザーに情報を伝え、組織の利用規約にリダイレクトする
- ブロック用に例外を確保するための手順をエンドユーザーに伝える
詳細については、MDA ブロック ページのカスタム URL の構成に関するページを参照してください。
macOS ユーザーと新しくサポートされるポリシーに対するブラウザー内保護 (プレビュー)
セッション ポリシーをスコープとした macOS の Edge ブラウザー ユーザーが、ブラウザー内保護で保護されるようになりました。
次のセッション ポリシーがサポートされるようになりました。
- 機密性の高いファイルのアップロードのブロックとモニタリング
- 貼り付けのブロックとモニタリング
- マルウェアのアップロードのブロックとモニタリング
- マルウェアのダウンロードのブロックとモニタリング
ブラウザー内保護に関するページを参照してください。
ブラウザー内保護は、最後の 2 つの安定したバージョンの Edge でサポートされています (たとえば、最新の Edge が 126 の場合、ブラウザー内保護は v126 と v125 に対して機能します)。
「Microsoft Edge リリース」を参照してください。
2024 年 6 月
従来の Defender for Cloud Apps ポータルの自動リダイレクト - 一般提供
従来の Microsoft Defender for Cloud Apps ポータルの操作性と機能は、Microsoft Defender XDR ポータルに集約されています。 2024 年 6 月現在、従来の Defender for Cloud Apps ポータルを使用しているすべてのお客様は、Microsoft Defender XDR に自動的にリダイレクトされ、従来のポータルに戻すオプションはありません。
詳細については、「Microsoft Defender XDR の Microsoft Defender for Cloud Apps」を参照してください。
Microsoft Entra ID アプリは、条件付きアクセス アプリ制御 (プレビュー) に自動的にオンボードされます。
条件付きアクセス アプリ制御を使用してアクセス ポリシーまたはセッション ポリシーを作成すると、Microsoft Entra ID アプリが自動的にオンボードされ、ポリシーで使用できるようになります。
アクセス ポリシーとセッション ポリシーを作成するときは、Microsoft Entra ID アプリの場合は 自動 Azure AD オンボーディング、Microsoft IdP 以外のアプリの場合は 手動オンボーディングでフィルター処理してアプリを選択します。
次に例を示します。
条件付きアクセス アプリ制御を使用するための追加手順には、以下が含まれます。
- Defender for Cloud Apps の条件付きアクセス アプリ制御を使用して制御するアプリに対して、Microsoft Entra ID 条件付きアクセス ポリシーを作成 します。
- Microsoft 以外の IdP アプリをオンボードするための手動の手順 (IdP を Defender for Cloud Apps と連携するように構成する手順を含む)。
詳細については、以下を参照してください:
- Microsoft Defender for Cloud Apps の条件付きアクセス アプリ制御でアプリを保護する
- 条件付きアクセス アプリ制御プロセス フロー
- アクセスポリシーの作成
- セッションポリシーの作成
macOS での Defender for Cloud アプリの検出 (プレビュー)
Defender for Cloud アプリでは、macOS デバイスでの Cloud App Discovery と Microsoft Defender for Endpoint の統合がサポートされるようになりました。 Defender for Cloud アプリとDefender for Endpoint を組み合わせることで、シームレスなシャドー IT の可視性と制御ソリューションが提供されます。
この機能強化とともに、 [Cloud Discovery] ページの [Win10 エンドポイント ユーザー] オプションの名前が、 [Defender マネージド エンドポイント]に変更されました。
詳細については、以下を参照してください:
- Microsoft Defender for Endpoint を Microsoft Defender for Cloud Apps と統合する
- Microsoft Defender for Endpoint によって検出されたアプリを調査する
自動ログ収集でサポートされている AKS (プレビュー)
Microsoft Defender for Cloud アプリ ログ コレクターは、受信者の種類が Syslog-tls
の場合に、 Azure Kubernetes Service (AKS) をサポートし、Defender for Cloud アプリの継続的レポートの AKS で自動ログ収集を構成できるようになりました。
詳細については、 「Azure Kubernetes Service (AKS) で Docker を使用して自動ログ アップロードを構成する」を参照してください。
高度なハンティング CloudAppEvents テーブルの新しい条件付きアクセス アプリ制御 / インライン データ
Microsoft Defender ポータルで高度なハンティングを使用する Defender for Cloud Apps ユーザーは、クエリと検出のルールに新しい AuditSource 列と SessionData 列を使用できるようになりました。 このデータを使用すると、アクセスとセッション制御を含む特定の監査ソースを考慮するクエリと、特定のインライン セッションによるクエリが可能になります。
詳細については、「高度なハンティング "CloudAppEvents" データ スキーマ」を参照してください。
同じアプリの複数のインスタンスに対する SSPM のサポートが一般公開されました
Defender for Cloud Apps では、同じアプリの複数のインスタンスにわたって SaaS セキュリティ態勢管理 (SSPM) がサポートされるようになりました。 たとえば、Okta のインスタンスが複数ある場合は、各インスタンスに対してセキュア スコアの推奨事項を個別に構成できます。 各インスタンスは、 [アプリ コネクター] ページに個別の項目として表示されます。 次に例を示します。
詳細については、「SaaS セキュリティ態勢管理 (SSPM)」を参照してください。
2024 年 5 月
Microsoft Defender ポータルの Defender for Cloud Apps - リダイレクトの一般提供と事前通知
Microsoft Defender ポータルの Defender for Cloud Apps エクスペリエンスは一般提供されており、クラシック ポータルからの自動リダイレクトはすべての顧客に対して既定でオンになっています。
2024 年 6 月 16 日以降、リダイレクト トグルは使用できなくなります。 それ以降、従来の Microsoft Defender for Cloud Apps ポータルにアクセスするすべてのユーザーは自動的に Microsoft Defender ポータルに再ルーティングされ、オプトアウトするオプションはありません。
この変更に備えて、クラシック ポータルを使用しているお客様は、Microsoft Defender ポータルに運用を移動することをお勧めします。 詳細については、「Microsoft Defender XDR の Microsoft Defender for Cloud Apps」を参照してください。
メインの Microsoft Defender XDR 設定のプレビュー オプションを有効にする (プレビュー)
プレビューのお客様は、他の Microsoft Defender XDR プレビュー機能と共にプレビュー機能の設定を管理できるようになりました。
[設定] > [Microsoft Defender XDR] > [一般設定] > [プレビュー] の順に選択し、必要に応じて、プレビュー機能のオン/オフを切り替えます。 次に例を示します。
プレビュー機能をまだ使用していないお客様は、 [設定] > [クラウド アプリ] > [システム] > [プレビュー] 機能の順に選択すると引き続きレガシー設定を表示できます。
詳細については、 「Microsoft Defender XDR プレビュー機能」を参照してください。
政府機関向けクラウドで利用できるアプリ ガバナンス
Defender for Cloud Apps のアプリ ガバナンス機能が、政府機関向けクラウドで利用できるようになりました。 詳細については、以下を参照してください:
2024 年 4 月
Microsoft Defender ポータルからデータ暗号化を有効にする
これで、Microsoft Defender ポータルの [設定] 領域からデータの暗号化を有効にすることで、保存中の Defender for Cloud Apps データを独自のキーで暗号化するプロセスを完了できます。
この機能は、従来の Microsoft Defender for Cloud Apps ポータルで制限され、Microsoft Defender ポータルからのみ使用できるようになりました。
詳細については、「独自のキーを使って Defender for Cloud Apps の保存データを暗号化する (BYOK)」を参照してください。
2024 年 3 月
新しいログ コレクターのバージョンをリリース
最新の脆弱性の修正を含む新しいログ コレクターのバージョンがリリースされました。 新しいバージョンは columbus-0.272.0-signed.jar
、イメージ名は mcaspublic.azurecr.io/public/mcas/logcollector
、タグは latest/0.272.0
です。
変更には、次のような依存関係のアップグレードが含まれます。
- amazon-corretto
- Ubuntu
- libssl
- oauthlib
- logback
- setuptools
詳細については、「ログ コレクターのネットワークの要件」に関する記事を参照してください。
自動ログ収集でサポートされている Podman (プレビュー)
Microsoft Defender for Cloud Apps ログ コレクターで Podman がサポートされるようになりました。また、Defender for Cloud Apps で継続的なレポートを作成するために、Podman で自動ログ収集を構成できます。
自動ログ収集は、複数のオペレーティング システムで Docker コンテナーを使用することでサポートされています。 RHEL バージョン 7.1 以降を使用する Linux ディストリビューションでは、コンテナーのランタイム システムとして Podman を使用する必要があります。
詳細については、「Podman を使用した自動ログ アップロードを構成する」を参照してください。
高度なハンティング CloudAppEvents テーブルの新しい異常データ
Microsoft Defender ポータルで高度なハンティングを使用する Defender for Cloud Apps ユーザーは、クエリと検出のルールに新しい LastSeenForUser 列と UncommonForUser 列を使用できるようになりました。 このデータを使用すると、擬陽性を除外し、異常を見つけることができます。
詳細については、「高度なハンティング "CloudAppEvents" データ スキーマ」を参照してください。
Microsoft Copilot for Microsoft 365 向けの新しい脅威検出
Defender for Cloud Apps では、Microsoft Copilot for Microsoft 365 と Microsoft 365 コネクタでの危険なユーザー アクティビティに対する新しい検出が提供されるようになりました。
- 関連するアラートは、他の Microsoft Defender XDR アラートと共に Microsoft Defender ポータルに表示されます。
- Copilot for Microsoft 365 アクティビティは、Defender for Cloud Apps アクティビティ ログで入手できます。
- Microsoft Defender ポータルの 高度なハンティング ページでは、Microsoft 365 の Copilot アクティビティは CloudAppEvents テーブルの Microsoft Copilot for Microsoft 365 アプリケーション下で入手できます。
詳細については、以下を参照してください:
- Microsoft Copilot for Microsoft 365 を使ってみる
- Defender for Cloud Apps が Microsoft 365 環境の保護にどのように役立つか
- Microsoft Defender XDR のアラートを調査する
- Defender for Cloud Apps のアクティビティ ログ
- 高度な追求を使用して脅威を積極的に追求する
- 高度なハンティング スキーマの CloudAppEvents テーブル
Microsoft Edge for Business ユーザーの移動中のデータ保護 (プレビュー)
Microsoft Edge for Businessを使用し、セッションポリシーの対象となるクラウドアプリのDefenderユーザーは、ブラウザー内から直接保護されるようになりました。 ブラウザー内保護によりプロキシの必要性が減り、セキュリティと生産性の両方が向上します。
保護されたユーザーは、待機時間やアプリの互換性の問題がなく、より高いレベルのセキュリティ保護を使用して、クラウドアプリでスムーズなエクスペリエンスを体験できます。
ブラウザー内保護は既定で有効になっており、2024年3月の初めからテナント全体で段階的にロールアウトされています。
詳細については、「Microsoft Edge for Business (プレビュー) を使用したブラウザー内保護」、「Microsoft Defender for Cloud Appsの条件付きアクセスアプリ制御、および セッションポリシーを使用してアプリを保護する」を参照してください。
Microsoft Defender ポータルの Defender for Cloud Apps は、すべての Defender for Cloud Apps ロールで使用できるようになりました
Microsoft Defender ポータルの クDefender for Cloud Apps のエクスペリエンスは、以前は制限されていた次のロールを含む、すべての Defender for Cloud Apps ロールで利用できるようになりました。
- アプリ/インスタンス管理者
- ユーザーグループ管理者
- Cloud Discovery グローバル管理者
- Cloud Discoveryレポート管理者
詳細については、「Defender for Cloud Apps の組み込み管理者ロール」を参照してください。
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 組織のセキュリティ向上に貢献します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定して使用する必要があります。
2024 年 2 月
SSPM の一般提供における接続アプリの追加サポート
Defender for Cloud Apps には、潜在的なリスクの防止に役立つ、SaaS アプリケ―ションのセキュリティに関する推奨事項が用意されています。 これらの推奨事項は、アプリケーションへのコネクタを設定したら、 Microsoft セキュア スコア を介して表示されます。
Defender for Cloud Apps は、以下のアプリを含む SSPM サポートの一般提供を強化しました。
SSPM は、一般提供の Google Workspace でもサポートされるようになりました。
メモ
これらのアプリのいずれかにコネクタが既にある場合は、セキュア スコアが適時自動更新される可能性があります。
詳細については、以下を参照してください:
資格情報アクセスとラテラル ムーブメントに関する新しいアプリ ガバナンス アラート
アプリ ガバナンスのお客様向けに、次の新しいアラートが追加されました。
- アプリケーションが複数回失敗した KeyVault 読み取りアクティビティを開始しても成功しない
- 主に MS Graph または Exchange Web サービスを使用する休止中の OAuth アプリが、最近 Azure Resource Manager ワークロードにアクセスしていることが確認された
詳細については、「Microsoft Defender for Cloud Apps でのアプリ ガバナンス」を参照してください。
2024 年 1 月
同じアプリの複数のインスタンスに対する SSPM のサポート (プレビュー)
Defender for Cloud Apps では、同じアプリの複数のインスタンスにわたって SaaS セキュリティ態勢管理 (SSPM) がサポートされるようになりました。 たとえば、AWS のインスタンスが複数ある場合は、各インスタンスに対してセキュア スコアの推奨事項を個別に構成できます。 各インスタンスは、 [アプリ コネクター] ページに個別の項目として表示されます。 次に例を示します。
詳細については、「SaaS セキュリティ態勢管理 (SSPM)」を参照してください。
セッション ポリシーでアップロードを制御できるファイル数の制限が削除 (プレビュー)
セッション ポリシーで、100 以上のファイルを含むフォルダーのアップロードを制御できるようになりました。また、アップロードに含めることができるファイル数に制限はありません。
詳細については、「Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御によるアプリの保護」を参照してください。
従来の Defender for Cloud Apps ポータルの自動リダイレクト(プレビュー)
従来の Microsoft Defender for Cloud Apps ポータルの操作性と機能は、Microsoft Defender XDR ポータルに集約されています。 2024 年 1 月 9 日から、プレビュー機能で従来の Defender for Cloud Apps ポータルを使用しているお客様は、Microsoft Defender XDR に自動的にリダイレクトされるようになりました。従来のポータルに戻すことはできません。
詳細については、以下を参照してください:
次のステップ
- ここに示されるもの以前のリリースについて詳しくは、「Microsoft Cloud App Security の過去のリリース」を参照してください。
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。