月次運用ガイド - Microsoft Defender for Cloud Apps
この記事では、Microsoft Defender for Cloud Appsで実行することをお勧めする毎月の運用アクティビティの一覧を示します。
毎月のアクティビティは、環境やニーズに応じて、より頻繁に、または必要に応じて実行できます。
ポリシー評価を確認する
場所: Microsoft Defender XDR ポータルで、[クラウド アプリ] > [ポリシー] > [ポリシー管理] を選択します
ペルソナ: セキュリティとコンプライアンスの管理者
ポリシーを確認し、必要な更新を行って、organizationに適していることを確認します。
誤検知率と良性の真陽性率を確認し、レートが高すぎるポリシーを調整します。 たとえば、新しい企業 IP アドレスがDefender for Cloud Apps設定で適切に構成されていることを確認して、旅行の誤検知を回避します。
ビジネス ニーズを確認し、カスタム ポリシーの要件を評価します。 たとえば、各ポリシーによって検出された脅威は引き続き関連していますか? それとも、その脅威を検出するための新しい組み込みのソリューションはありますか?
古いアラートをクリアします。 以下に例を示します。
- 過去 6 か月間のアラートを表示します。 解決済みとしてマークされているアラートを除外し、同様のアラートをグループ化して表示を簡単にします。
- 表示される各アラートがアドレス指定されていない理由を確認します。
- アラートが問題のない場合は、アラートを無視し、必要に応じてポリシーを調整します。
詳細については、「 ポリシーを使用してクラウド アプリを制御する」を参照してください。
アクティビティ ログを確認する
場所: Microsoft Defender XDR ポータルの [クラウド アプリ] で、[アクティビティ ログ] を選択します。
ペルソナ: セキュリティとコンプライアンスの管理者
アラートと脅威調査の一環として、アクティビティ ログを頻繁に確認します。 複数の検索や同じユーザーによるサインインなど、同じエンティティによるアクティビティを繰り返す場合は、アクティビティ ログを毎月見直してチェックすることをお勧めします。
- 失敗したサインイン、特権の削除または割り当てなど、アクティビティの種類別にピボット結果。
- アクティビティをアプリまたはユーザーに絞り込みます。
- 結果を使用して、より緊密に監視し、潜在的な脅威に対応するのに役立つ新しいポリシーを作成します。
詳細については、「 アクティビティ クエリ」を参照してください。