Microsoft Defender for Endpoint を Microsoft Defender for Cloud Apps と統合する

Microsoft Defender for Endpoint は、インテリジェントな保護、検出、調査、対応のためのセキュリティ プラットフォームです。 Defender for Endpoint を使うと、エンドポイントがサイバー脅威から保護され、高度な攻撃とデータ侵害が検出され、セキュリティ インシデントが自動化されて、セキュリティ体制が強化されます。

この記事では、Microsoft Defender for Cloud アプリと Microsoft Defender for Endpoint の間で使用できるすぐに使用できる統合について説明します。これにより、Cloud Discovery が簡素化され、デバイスベースの調査が可能になります。

重要

この記事では、Defender for Endpoint ログからのシャドウ IT 検出機能に焦点を当てます。 Defender for Endpoint によるシャドウ IT 管理機能の詳細については、「Microsoft Defender for Endpoint を使用して検出されたアプリを管理する」を参照してください。

前提条件

• Microsoft Defender for Cloud Apps のライセンス

• 次のいずれか:

  • Microsoft Defender for Endpoint を Plan 2 と統合する
  • Premium ライセンスまたはスタンドアロン ライセンスによる Microsoft Defender for Business

  詳細については、「Microsoft エンドポイント セキュリティ プランの比較」を参照してください。

• 次のいずれかのオペレーティング システムを実行しているアプリ:

  • Windows 10 バージョン 1709 (KB4493441 を含む OS ビルド16299.1085)
  • Windows 10 バージョン 1803 (KB4493464 を含む OS ビルド 17134.704)
  • Windows 10 バージョン 1809 (KB4489899 の OS ビルド 17763.379) 以降の Windows 10 および Windows 11 バージョン
  • macOS、Defender for Endpoint バージョン 20.123072.25.0 以降のデバイス上

• macOS アプリの統合をサポートするには、Microsoft Defender for Endpoint でネットワーク保護機能を有効にする必要があります。 ネットワーク保護は TCP 接続のクローズ イベントのみを監査するため、UDP プロトコルは macOS サポートの対象になりません。 詳細については、「ネットワーク保護をオンにする」を参照してください。

• (推奨) Microsoft Defender ウイルス対策を有効化:

  • リアルタイム保護が有効
  • クラウド提供の保護が有効化
  • ネットワーク保護が有効、ブロック モードに構成

Note

Microsoft Defender ウイルス対策は検出に強くお勧めしますが、必須ではありません。 Defender ウイルス対策が無効になっていても、一部の検出データは引き続き使用できます。

しくみ

Defender for Cloud Apps 自体では、ユーザーがアップロードしたログを使用して、または自動ログ アップロードを構成することにより、エンドポイントからログが収集されます。 すぐに利用可能な統合により、Defender for Endpoint のエージェントが Windows 上で実行され、ネットワーク トランザクションを監視するときに作成されるログを利用できます。 この情報は、ネットワーク上の Windows デバイス全体でのシャドウ IT の検出に使用します。

統合には、追加のデプロイ手順や、エンドポイントからのトラフィックのルーティングやミラーリングは必要ありません。また、次のように機能します。

• エンドポイントから Defender for Cloud アプリに送信されるログは、トラフィック アクティビティに関するユーザーとデバイスの情報を提供します。 デバイス コンテキストとユーザー名を組み合わせると、ネットワーク全体の全体像が得られ、どのユーザーがどのデバイスからどのアクティビティを行ったかを判断できるようになります。
• さらに、危険なユーザーを特定したら、そのユーザーがアクセスしたすべてのデバイスをチェックして、潜在的なリスクを検出できます。 危険なデバイスを特定した場合は、そのデバイスを使用したすべてのユーザーをチェックして、さらなる潜在的なリスクを検出します。
• トラフィック情報が収集されたら、組織内でクラウド アプリの使用を詳しく調べることができます。 Defender for Cloud Apps によって Defender for Endpoint のネットワーク保護機能が利用され、エンドポイント デバイスからクラウド アプリへのアクセスがブロックされます。 検出されたアプリの管理の詳細については、「Microsoft Defender for Endpoint を使用して検出されたアプリを管理する」を参照してください。

macOS デバイスと統合しているお客様は、CPU 消費量の急増が見られる場合があります。

ヒント

Defender for Endpoint と Defender for Cloud Apps を使用する利点を示す、こちらの動画をご覧ください。

Microsoft Defender for Endpoint を Defender for Cloud アプリ と統合する

Defender for Endpoint と Defender for Cloud Apps の統合を有効にするには:

1. Microsoft Defender ポータルのナビゲーション ペインで、[設定]>[エンドポイント]>[全般]>[高度な機能] の順に選択します。
2. [Microsoft Defender for Cloud Apps] を [オン] に切り替えます。
3. [適用] を選択します。

Note

統合を有効にしてから、データが Defender for Cloud Apps に表示されるようになるまでに、最大で 2 時間かかります。

Microsoft Defender for Endpoint に送信されるアラートの重大度を構成するには:

1. Microsoft Defender ポータルで、[設定]>[クラウド アプリ]>[Cloud Discovery]>[Microsoft Defender for Endpoint] の順に選択します。

2. [アラート] で、アラートのグローバル重大度レベルを選択します。

3. [保存] を選択します。

   

次のステップ

Microsoft Defender for Endpoint によって検出されたアプリを調査する

Microsoft Defender for Endpoint によって検出された管理アプリ

関連ビデオ

Defender for Endpoint を使用してシャドー IT を検出およびブロックする

企業ネットワークを超えたシャドーITの発見

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。