Defender for Cloud Appsを使用してorganizationを保護するためのベスト プラクティス
この記事では、Microsoft Defender for Cloud Appsを使用してorganizationを保護するためのベスト プラクティスについて説明します。 これらのベスト プラクティスは、Defender for Cloud Appsに関する Microsoft の経験と、お客様のような顧客のエクスペリエンスから得られます。
この記事で説明するベスト プラクティスは次のとおりです。
- クラウド アプリの検出と評価
- クラウド ガバナンス ポリシーを適用する
- 共有データの露出を制限し、コラボレーション ポリシーを実施する
- クラウドに保存されている規制対象および機密データを検出、分類、ラベル付け、保護する
- クラウドに保存されているデータに DLP およびコンプライアンス ポリシーを適用する
- 管理されていないデバイスやリスクの高いデバイスへの機密データのダウンロードをブロックして保護する
- リアルタイムのセッション制御を実施することで、外部ユーザーとの安全なコラボレーションを実現する
- クラウドの脅威、侵害されたアカウント、悪意のある内部ユーザー、およびランサムウェアを検出する
- フォレンジック調査のためにアクティビティの監査証跡を使用する
- 安全な IaaS サービスとカスタム アプリ
クラウド アプリの検出と評価
Defender for Cloud AppsとMicrosoft Defender for Endpointを統合すると、企業ネットワークやセキュリティで保護された Web ゲートウェイ以外のクラウド検出を使用できます。 ユーザーとデバイスの情報を組み合わせることで、危険なユーザーまたはデバイスを特定し、使用しているアプリを確認し、Defender for Endpoint ポータルでさらに調査できます。
ベスト プラクティス: Defender for Endpoint を使用してシャドウ IT 検出を有効にする
詳細: クラウド検出では、Defender for Endpoint によって収集されたトラフィック ログが分析され、特定されたアプリがクラウド アプリ カタログに対して評価され、コンプライアンスとセキュリティ情報が提供されます。 クラウド検出を構成することで、クラウドの使用、シャドウ IT、ユーザーが使用している承認されていないアプリの継続的な監視を可視化できます。
詳細については、次の情報を参照してください。
ベスト プラクティス: 危険なアプリ、準拠していないアプリ、傾向のあるアプリを事前に特定するようにアプリ検出ポリシーを構成する
詳細: アプリ検出ポリシーを使用すると、organizationで検出された重要なアプリケーションを簡単に追跡し、これらのアプリケーションを効率的に管理できます。 危険、非準拠、トレンド、または大量として識別される新しいアプリを検出するときにアラートを受信するポリシーを作成します。
詳細については、次の情報を参照してください。
ベスト プラクティス: ユーザーによって承認された OAuth アプリを管理する
詳細: 多くのユーザーは、アカウント情報にアクセスするための OAuth アクセス許可をサード パーティのアプリに何気なく付与し、その際に誤って他のクラウド アプリのデータへのアクセス権も付与します。 通常、IT にはこれらのアプリの可視性がないため、アプリのセキュリティ リスクを、アプリが提供する生産性のメリットと比較して比較することが困難になります。
Defender for Cloud Appsは、ユーザーが付与したアプリのアクセス許可を調査および監視する機能を提供します。 この情報を使用して疑わしい可能性のあるアプリを特定し、危険であると判断した場合は、そのアプリへのアクセスを禁止できます。
詳細については、次の情報を参照してください。
クラウド ガバナンス ポリシーを適用する
ベスト プラクティス: アプリにタグを付け、ブロック スクリプトをエクスポートする
詳細: organizationで検出されたアプリの一覧を確認したら、不要なアプリの使用から環境をセキュリティで保護できます。
承認タグは、organizationによって承認されたアプリに適用し、承認されていないアプリには承認されていないタグを適用できます。 検出フィルターを使用して承認されていないアプリを監視したり、スクリプトをエクスポートして、オンプレミスのセキュリティ アプライアンスを使用して承認されていないアプリをブロックしたりできます。 タグとエクスポート スクリプトを使用すると、安全なアプリにのみアクセスできるようにすることで、アプリを整理し、環境を保護できます。
詳細については、次の情報を参照してください。
共有データの露出を制限し、コラボレーション ポリシーを実施する
ベスト プラクティス: Microsoft 365 を接続する
詳細: Microsoft 365 をDefender for Cloud Appsに接続すると、ユーザーのアクティビティ、アクセスしているファイルをすぐに確認でき、Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange、Dynamics のガバナンス アクションが提供されます。
詳細については、次の情報を参照してください。
ベスト プラクティス: アプリを接続する
詳細: アプリをDefender for Cloud Appsに接続すると、ユーザーのアクティビティ、脅威検出、ガバナンス機能に関する分析情報が向上します。 サポートされているサード パーティ製アプリ API を確認するには、[ アプリの接続] に移動します。
詳細については、次の情報を参照してください。
ベスト プラクティス: 個人用アカウントとの共有を削除するポリシーを作成する
詳細: Microsoft 365 をDefender for Cloud Appsに接続すると、ユーザーのアクティビティ、アクセスしているファイルをすぐに確認でき、Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange、Dynamics のガバナンス アクションが提供されます。
詳細については、次の情報を参照してください。
クラウドに保存されている規制対象および機密データを検出、分類、ラベル付け、保護する
ベスト プラクティス: Microsoft Purview Information Protectionと統合する
詳細: Microsoft Purview Information Protectionとの統合により、秘密度ラベルを自動的に適用し、必要に応じて暗号化保護を追加できます。 統合を有効にすると、ガバナンス アクションとしてラベルを適用し、分類別にファイルを表示し、分類レベルでファイルを調査し、分類されたファイルが適切に処理されていることを確認するための詳細なポリシーを作成できます。 統合を有効にしない場合は、クラウド内のファイルを自動的にスキャン、ラベル付け、暗号化する機能の恩恵を受けることはできません。
詳細については、次の情報を参照してください。
- Microsoft Purview Information Protection統合
- チュートリアル: Microsoft Purview Information Protectionから秘密度ラベルを自動的に適用する
ベスト プラクティス: データ公開ポリシーを作成する
詳細: ファイル ポリシーを使用して、情報共有を検出し、クラウド アプリ内の機密情報をスキャンします。 次のファイル ポリシーを作成して、データの公開が検出されたときに警告します。
- 機密データを含む外部で共有されるファイル
- 外部で共有され、機密としてラベル付けされたファイル
- 未承認のドメインと共有されるファイル
- SaaS アプリで機密ファイルを保護する
詳細については、次の情報を参照してください。
ベスト プラクティス: [ファイル ] ページでレポートを確認する
詳細: アプリ コネクタを使用してさまざまな SaaS アプリを接続したら、Defender for Cloud Appsはこれらのアプリによって保存されたファイルをスキャンします。 さらに、ファイルが変更されるたびに、再度スキャンされます。 [ ファイル ] ページを使用して、クラウド アプリに格納されているデータの種類を理解して調査できます。 調査を支援するために、ドメイン、グループ、ユーザー、作成日、拡張子、ファイル名と種類、ファイル ID、秘密度ラベルなどをフィルター処理できます。 これらのフィルターを使用すると、ファイルの調査方法を制御して、どのデータも危険にさらされていないかどうかを確認できます。 データの使用方法を理解したら、これらのファイル内の機密性の高いコンテンツをスキャンするポリシーを作成できます。
詳細については、次の情報を参照してください。
クラウドに保存されているデータに DLP およびコンプライアンス ポリシーを適用する
ベスト プラクティス: 外部ユーザーと共有されないように機密データを保護する
詳細: ユーザーが機密機密ラベルを持つファイルをorganization外部のユーザーと共有しようとしたときに検出するファイル ポリシーを作成し、外部ユーザーを削除するようにガバナンス アクションを構成します。 このポリシーにより、機密データがorganizationから離れず、外部ユーザーがアクセスできなくなります。
詳細については、次の情報を参照してください。
管理されていないデバイスやリスクの高いデバイスへの機密データのダウンロードをブロックして保護する
ベスト プラクティス: リスクの高いデバイスへのアクセスを管理および制御する
詳細: 条件付きアクセス アプリ制御を使用して、SaaS アプリのコントロールを設定します。 セッション ポリシーを作成して、高リスクの低信頼セッションを監視できます。 同様に、管理されていないデバイスまたは危険なデバイスから機密データにアクセスしようとしているユーザーによるダウンロードをブロックおよび保護するセッション ポリシーを作成できます。 リスクの高いセッションを監視するセッション ポリシーを作成しない場合、Web クライアントのダウンロードをブロックして保護する機能と、Microsoft とサード パーティのアプリの両方で低信頼セッションを監視する機能が失われます。
詳細については、次の情報を参照してください。
リアルタイムのセッション制御を実施することで、外部ユーザーとの安全なコラボレーションを実現する
ベスト プラクティス: 条件付きアクセス アプリ制御を使用して外部ユーザーとのセッションを監視する
詳細: 環境内のコラボレーションをセキュリティで保護するために、内部ユーザーと外部ユーザーの間のセッションを監視するセッション ポリシーを作成できます。 これにより、ユーザー間のセッションを監視する機能 (およびユーザーのセッション アクティビティが監視されていることを通知する) だけでなく、特定のアクティビティを制限することもできます。 アクティビティを監視するセッション ポリシーを作成するときは、監視するアプリとユーザーを選択できます。
詳細については、次の情報を参照してください。
クラウドの脅威、侵害されたアカウント、悪意のある内部ユーザー、およびランサムウェアを検出する
ベスト プラクティス: 異常ポリシーの調整、IP 範囲の設定、アラートに関するフィードバックの送信
詳細: 異常検出ポリシーでは、すぐに使用できるユーザーとエンティティの行動分析 (UEBA) と機械学習 (ML) が提供されるため、クラウド環境全体で高度な脅威検出をすぐに実行できます。
異常検出ポリシーは、環境内のユーザーによって実行される異常なアクティビティがある場合にトリガーされます。 Defender for Cloud Appsはユーザーのアクティビティを継続的に監視し、UEBA と ML を使用してユーザーの通常の動作を学習および理解します。 組織の要件に合わせてポリシー設定を調整できます。たとえば、ポリシーの機密性を設定したり、ポリシーを特定のグループにスコープ設定したりできます。
[異常検出ポリシーの調整とスコープ]: たとえば、不可能な移動アラート内の誤検知の数を減らすために、ポリシーの秘密度スライダーを低に設定できます。 organizationに頻繁に企業出張者が存在するユーザーがいる場合は、ユーザー グループに追加し、ポリシーのスコープでそのグループを選択できます。
IP 範囲の設定: DEFENDER FOR CLOUD APPS IP アドレス範囲が設定されると、既知の IP アドレスを識別できます。 IP アドレス範囲を構成すると、ログとアラートの表示方法と調査方法をタグ付け、分類、カスタマイズできます。 IP アドレス範囲を追加すると、誤検知の検出を減らし、アラートの精度を向上させることができます。 IP アドレスを追加しないことを選択した場合は、調査する可能性のある誤検知とアラートの数が増える可能性があります。
アラートに関するフィードバックの送信
アラートを無視または解決する場合は、アラートを無視した理由や、その解決方法を含むフィードバックを必ず送信してください。 この情報は、アラートを改善し、誤検知を減らすDefender for Cloud Appsに役立つ情報です。
詳細については、次の情報を参照してください。
ベスト プラクティス: 予期しない場所または国/地域からのアクティビティを検出する
詳細: ユーザーが予期しない場所または国/地域からサインインしたときに通知するアクティビティ ポリシーを作成します。 これらの通知は、環境内で侵害された可能性のあるセッションを警告して、脅威が発生する前に検出して修復できるようにします。
詳細については、次の情報を参照してください。
ベスト プラクティス: OAuth アプリ ポリシーを作成する
詳細: OAuth アプリが特定の条件を満たしたときに通知する OAuth アプリ ポリシーを作成します。 たとえば、高いアクセス許可レベルを必要とする特定のアプリに 100 人以上のユーザーがアクセスしたときに通知を受け取ることができます。
詳細については、次の情報を参照してください。
フォレンジック調査のためにアクティビティの監査証跡を使用する
ベスト プラクティス: アラートを調査するときにアクティビティの監査証跡を使用する
詳細: ユーザー、管理者、またはサインイン アクティビティがポリシーに準拠していない場合、アラートがトリガーされます。 環境内に脅威が存在する可能性があるかどうかを把握するには、アラートを調査することが重要です。
アラートを調査するには、[アラート] ページでアラートを選択し、その アラート に関連するアクティビティの監査証跡を確認します。 監査証跡を使用すると、アラートの全体的なストーリーを提供するために、同じ種類の同じユーザー、同じ IP アドレス、場所のアクティビティを表示できます。 アラートでさらに調査が必要な場合は、organizationでこれらのアラートを解決する計画を作成します。
アラートを無視する場合は、重要性がない理由や誤検知の理由を調査して理解することが重要です。 このようなアクティビティの量が多い場合は、アラートをトリガーするポリシーの確認とチューニングを検討することもできます。
詳細については、次の情報を参照してください。
安全な IaaS サービスとカスタム アプリ
ベスト プラクティス: Azure、AWS、GCP を接続する
詳細: これらの各クラウド プラットフォームをDefender for Cloud Appsに接続すると、脅威検出機能の向上に役立ちます。 これらのサービスの管理およびサインイン アクティビティを監視することで、ブルート フォース攻撃の可能性、特権ユーザー アカウントの悪意のある使用、環境内のその他の脅威を検出して通知することができます。 たとえば、VM の異常な削除や、これらのアプリでの偽装アクティビティなどのリスクを特定できます。
詳細については、次の情報を参照してください。
- Azure を Microsoft Defender for Cloud Apps に接続する
- Amazon Web Services を Microsoft Defender for Cloud Apps に接続する
- Google ワークスペースをMicrosoft Defender for Cloud Appsに接続する
ベスト プラクティス: カスタム アプリをオンボードする
詳細: 基幹業務アプリからアクティビティをさらに可視化するには、カスタム アプリをDefender for Cloud Appsにオンボードできます。 カスタム アプリを構成すると、そのユーザー、使用されている IP アドレス、アプリに出入りするトラフィックの量に関する情報が表示されます。
さらに、カスタム アプリを条件付きアクセス アプリ制御アプリとしてオンボードして、低信頼セッションを監視できます。 Microsoft Entra IDアプリは自動的にオンボードされます。
詳細については、次の情報を参照してください。