Microsoft Defender for Cloud Appsのパイロットとデプロイ
適用対象:
- Microsoft Defender XDR
この記事では、organizationにMicrosoft Defender for Cloud Appsをパイロットしてデプロイするためのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender for Cloud Appsを個々のサイバーセキュリティ ツールとして、またはMicrosoft Defender XDRを使用したエンド ツー エンド ソリューションの一部としてオンボードできます。
この記事では、運用環境の Microsoft 365 テナントがあり、この環境でMicrosoft Defender for Cloud Appsのパイロットとデプロイを行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。
Defender for Office 365は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの侵害によるビジネス上の損害の防止または軽減に関する記事を参照してください。
Microsoft Defender XDRのエンド ツー エンドのデプロイ
これは、インシデントの調査や対応など、Microsoft Defender XDRのコンポーネントのデプロイに役立つシリーズの 5/6 です。
このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。
| 段階 | リンク |
|---|---|
| A. パイロットを開始する | パイロットを開始する |
| B. Microsoft Defender XDR コンポーネントのパイロットとデプロイ |
-
Defender for Identity をパイロットして展開する - Defender for Office 365をパイロットしてデプロイする - Defender for Endpoint のパイロットとデプロイ - Microsoft Defender for Cloud Appsをパイロットしてデプロイする (この記事) |
| C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
Defender for Cloud Appsのワークフローをパイロットしてデプロイする
次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。
まず、製品またはサービスを評価し、organization内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャ全体またはorganizationがカバーされるまで、デプロイのスコープを徐々に増やします。
運用環境でのDefender for Cloud Appsのパイロットとデプロイのワークフローを次に示します。
次の手順を実行します。
- Defender for Cloud Apps ポータルに接続する
- Microsoft Defender for Endpointとの統合
- ファイアウォールやその他のプロキシにログ コレクターをデプロイする
- パイロット グループを作成する
- クラウド アプリの検出と管理
- 条件付きアクセス アプリ制御を構成する
- クラウド アプリにセッション ポリシーを適用する
- その他の機能を試す
デプロイ ステージごとに推奨される手順を次に示します。
| デプロイ ステージ | 説明 |
|---|---|
| 評価 | Defender for Cloud Appsの製品評価を実行します。 |
| パイロット | 運用環境のクラウド アプリの適切なサブセットに対して手順 1 から 4、5 から 8 を実行します。 |
| 完全な展開 | 残りのクラウド アプリに対して手順 5 から 8 を実行し、パイロット ユーザー グループのスコープを調整するか、ユーザー グループを追加してパイロットを超えて拡張し、すべてのユーザー アカウントを含めます。 |
ハッカーからorganizationを保護する
Defender for Cloud Appsは、独自の強力な保護を提供します。 ただし、Microsoft Defender XDRの他の機能と組み合わせると、Defender for Cloud Appsは共有信号にデータを提供し、攻撃を阻止するのに役立ちます。
サイバー攻撃の例と、Microsoft Defender XDRのコンポーネントが検出と軽減にどのように役立つかを次に示します。
Defender for Cloud Appsは、旅行不可能、資格情報アクセス、異常なダウンロード、ファイル共有、メール転送アクティビティなどの異常な動作を検出し、これらの動作をDefender for Cloud Apps ポータルに表示します。 Defender for Cloud Appsは、ハッカーによる横移動や機密データの流出を防ぐのにも役立ちます。
Microsoft Defender XDRは、すべてのMicrosoft Defenderコンポーネントからの信号を関連付けて、完全な攻撃ストーリーを提供します。
CASB としてのDefender for Cloud Appsロール
クラウド アクセス セキュリティ ブローカー (CASB) は、エンタープライズ ユーザーと使用するクラウド リソースの間で、ユーザーが配置されている場所や使用しているデバイスに関係なく、リアルタイムでアクセスを仲介するゲートキーパーとして機能します。 Defender for Cloud Appsは、organizationのクラウド アプリの CASB です。 Defender for Cloud Appsは、Microsoft Defender XDRを含む Microsoft のセキュリティ機能とネイティブに統合されます。
Defender for Cloud Appsがないと、organizationによって使用されるクラウド アプリは管理されず、保護されていません。
この図について:
- organizationによるクラウド アプリの使用は監視されておらず、保護されていません。
- この使用は、マネージド organization内で実現される保護の範囲外です。
環境内で使用されているクラウド アプリを検出するには、次の方法の 1 つまたは両方を実装できます。
- Microsoft Defender for Endpointと統合することで、Cloud Discovery を使用してすばやく起動して実行できます。 このネイティブ統合を使用すると、ネットワーク上およびネットワーク外のWindows 10デバイスとWindows 11デバイス間のクラウド トラフィックに関するデータの収集をすぐに開始できます。
- ネットワークに接続されているすべてのデバイスによってアクセスされたすべてのクラウド アプリを検出するには、ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをデプロイします。 このデプロイは、エンドポイントからデータを収集し、分析のためにDefender for Cloud Appsに送信するのに役立ちます。 Defender for Cloud Appsは、さらに多くの機能を提供するために、一部のサードパーティ プロキシとネイティブに統合されます。
この記事には、両方のメソッドのガイダンスが含まれています。
手順 1. Defender for Cloud Apps ポータルに接続する
ライセンスを確認し、Defender for Cloud Apps ポータルに接続するには、「クイック スタート: Microsoft Defender for Cloud Appsの概要」を参照してください。
ポータルにすぐに接続できない場合は、ファイアウォールの許可リストに IP アドレスを追加する必要がある場合があります。 「Defender for Cloud Appsの基本的なセットアップ」を参照してください。
それでも問題が解決しない場合は、「 ネットワーク要件」を確認してください。
手順 2: Microsoft Defender for Endpointと統合する
Microsoft Defender for Cloud AppsはネイティブにMicrosoft Defender for Endpointと統合されます。 この統合により、Cloud Discovery のロールアウトが簡素化され、企業ネットワークを超えて Cloud Discovery 機能が拡張され、デバイスベースの調査が可能になります。 この統合により、IT 管理のWindows 10およびWindows 11 デバイスからアクセスされているクラウド アプリとサービスが明らかになります。
Microsoft Defender for Endpointを既に設定している場合、Defender for Cloud Appsとの統合を構成することは、Microsoft Defender XDRのトグルです。 統合が有効になった後、Defender for Cloud Apps ポータルに戻り、Cloud Discovery ダッシュボードで豊富なデータを表示できます。
これらのタスクを実行するには、「Microsoft Defender for Cloud Appsとの統合Microsoft Defender for Endpoint」を参照してください。
手順 3: ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをデプロイする
ネットワークに接続されているすべてのデバイスのカバレッジについては、ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをデプロイしてエンドポイントからデータを収集し、分析のためにDefender for Cloud Appsに送信します。
次のいずれかの Secure Web Gateway (SWG) を使用している場合、Defender for Cloud Appsはシームレスなデプロイと統合を提供します。
- Zscaler
- iboss
- Corrata
- Menlo セキュリティ
これらのネットワーク デバイスとの統合の詳細については、「 Cloud Discovery の設定」を参照してください。
手順 4. パイロット グループの作成 - パイロット展開のスコープを特定のユーザー グループに設定する
Microsoft Defender for Cloud Appsを使用すると、デプロイのスコープを設定できます。 スコープを使用すると、アプリの監視または監視から除外する特定のユーザー グループを選択できます。 ユーザー グループを含めたり除外したりできます。 パイロットデプロイのスコープを設定するには、「 スコープ付きデプロイ」を参照してください。
手順 5. クラウド アプリの検出と管理
Defender for Cloud Appsで最大限の保護を提供するには、organization内のすべてのクラウド アプリを検出し、その使用方法を管理する必要があります。
クラウド アプリを検出する
クラウド アプリの使用を管理するための最初の手順は、organizationで使用されているクラウド アプリを検出することです。 次の図は、クラウド検出がDefender for Cloud Appsでどのように機能するかを示しています。
この図では、ネットワーク トラフィックを監視し、organizationで使用されているクラウド アプリを検出するために使用できる 2 つの方法があります。
Cloud App Discovery は、Microsoft Defender for Endpointとネイティブに統合されます。 Defender for Endpoint は、IT 管理のWindows 10およびWindows 11 デバイスからアクセスされているクラウド アプリとサービスを報告します。
ネットワークに接続されているすべてのデバイスでカバレッジを行うには、ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをインストールして、エンドポイントからデータを収集します。 コレクターは、分析のためにこのデータをDefender for Cloud Appsに送信します。
Cloud Discovery ダッシュボードを表示して、organizationで使用されているアプリを確認する
Cloud Discovery ダッシュボードは、organizationでクラウド アプリがどのように使用されているかについてのより多くの洞察を提供するように設計されています。 使用されているアプリの種類、開いているアラート、organization内のアプリのリスク レベルの概要をひとめで確認できます。
Cloud Discovery ダッシュボードの使用を開始するには、「 検出されたアプリの操作」を参照してください。
クラウド アプリを管理する
クラウド アプリを検出し、これらのアプリがorganizationでどのように使用されているかを分析したら、選択したクラウド アプリの管理を開始できます。
この図について:
- 一部のアプリは、使用が承認されています。 承認は、アプリを管理するための簡単な方法です。
- アプリコネクタを使用してアプリを接続することで、可視性と制御を強化できます。 アプリ コネクタでは、アプリ プロバイダーの API が使用されます。
アプリの管理を開始するには、アプリを承認、承認解除、または完全にブロックします。 アプリの管理を開始するには、「 検出されたアプリの管理」を参照してください。
手順 6. 条件付きアクセス アプリ制御を構成する
構成できる最も強力な保護の 1 つは、条件付きアクセス アプリ制御です。 この保護には、Microsoft Entra IDとの統合が必要です。 これにより、承認したクラウド アプリに関連するポリシー (正常なデバイスの要求など) を含む条件付きアクセス ポリシーを適用できます。
多要素認証やその他の条件付きアクセス ポリシーを適用するために、Microsoft Entra テナントに SaaS アプリが既に追加されている場合があります。 Microsoft Defender for Cloud Appsは、Microsoft Entra IDとネイティブに統合されます。 必要なのは、Defender for Cloud Appsで条件付きアクセス アプリ制御を使用するようにMicrosoft Entra IDでポリシーを構成することです。 これにより、これらの管理対象 SaaS アプリのネットワーク トラフィックがプロキシとしてDefender for Cloud Apps経由でルーティングされます。これにより、Defender for Cloud Appsはこのトラフィックを監視し、セッション制御を適用できます。
この図について:
- SaaS アプリは、Microsoft Entra テナントと統合されます。 この統合により、Microsoft Entra IDは多要素認証を含む条件付きアクセス ポリシーを適用できます。
- SaaS アプリのトラフィックをDefender for Cloud Appsに転送するポリシーがMicrosoft Entra IDに追加されます。 ポリシーでは、このポリシーを適用する SaaS アプリを指定します。 Microsoft Entra IDはこれらの SaaS アプリに適用される条件付きアクセス ポリシーを適用した後、Microsoft Entra ID Defender for Cloud Appsを介してセッション トラフィックを送信 (プロキシ) します。
- Defender for Cloud Appsは、このトラフィックを監視し、管理者によって構成されたすべてのセッション制御ポリシーを適用します。
Microsoft Entra IDに追加されていないDefender for Cloud Appsを使用して、クラウド アプリを検出して承認した可能性があります。 条件付きアクセス アプリ制御を利用するには、これらのクラウド アプリをMicrosoft Entra テナントと条件付きアクセス規則のスコープに追加します。
Microsoft Defender for Cloud Appsを使用して SaaS アプリを管理する最初の手順は、これらのアプリを検出してから、Microsoft Entra テナントに追加することです。 検出に関するヘルプが必要な場合は、「 ネットワーク内の SaaS アプリの検出と管理」を参照してください。 アプリを検出したら、これらのアプリを Microsoft Entra テナントに追加します。
次のタスクを使用して、これらのアプリの管理を開始できます。
- Microsoft Entra IDで、新しい条件付きアクセス ポリシーを作成し、[条件付きアクセス アプリ制御を使用する] に構成します。この構成は、要求をDefender for Cloud Appsにリダイレクトするのに役立ちます。 1 つのポリシーを作成し、すべての SaaS アプリをこのポリシーに追加できます。
- 次に、Defender for Cloud Appsでセッション ポリシーを作成します。 適用するコントロールごとに 1 つのポリシーを作成します。
サポートされているアプリやクライアントなど、詳細については、「条件付きアクセス アプリ制御を使用してアプリMicrosoft Defender for Cloud Apps保護する」を参照してください。
ポリシーの例については、「SaaS アプリの推奨Microsoft Defender for Cloud Appsポリシー」を参照してください。 これらのポリシーは、すべての顧客の出発点として推奨される 一連の一般的な ID とデバイス アクセス ポリシー に基づいて構築されます。
手順 7. クラウド アプリにセッション ポリシーを適用する
Microsoft Defender for Cloud Appsはリバース プロキシとして機能し、承認されたクラウド アプリへのプロキシ アクセスを提供します。 このプロビジョニングを使用すると、Defender for Cloud Appsが構成したセッション ポリシーを適用できます。
この図について:
- organization内のユーザーやデバイスから承認されたクラウド アプリへのアクセスは、Defender for Cloud Apps経由でルーティングされます。
- このプロキシ アクセスにより、セッション ポリシーを適用できます。
- 承認されていない、または明示的に承認されていないクラウド アプリは影響を受けません。
セッション ポリシーを使用すると、クラウド アプリをorganizationで使用する方法にパラメーターを適用できます。 たとえば、organizationが Salesforce を使用している場合は、管理対象デバイスのみが Salesforce でorganizationのデータにアクセスできるようにするセッション ポリシーを構成できます。 より簡単な例として、管理されていないデバイスからのトラフィックを監視するようにポリシーを構成し、より厳しいポリシーを適用する前に、このトラフィックのリスクを分析できます。
詳細については、「 セッション ポリシーの作成」を参照してください。
手順 8. その他の機能を試す
次のDefender for Cloud Appsチュートリアルを使用して、リスクを発見し、環境を保護します。
- 疑わしいユーザー アクティビティを検出する
- 危険性のあるユーザーを調査する
- 危険な OAuth アプリを調査する
- 機密情報の検出と保護
- organization内のすべてのアプリをリアルタイムで保護する
- 機密情報のダウンロードをブロックする
- 管理者検疫でファイルを保護する
- 危険なアクション時にステップアップ認証を要求する
Microsoft Defender for Cloud Appsデータの高度なハンティングの詳細については、このビデオを参照してください。
SIEM 統合
Defender for Cloud AppsをMicrosoft Sentinelまたは汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinelを使用すると、organization全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して効果的かつ即時に対応できます。
Microsoft Sentinelには、Defender for Cloud Apps コネクタが含まれています。 これにより、クラウド アプリの可視性を高めるだけでなく、サイバー脅威を特定して対処し、データの移動方法を制御するための高度な分析を取得することもできます。 詳細については、「Defender for Cloud AppsからMicrosoft Sentinelへの統合とStreamアラートと Cloud Discovery ログのMicrosoft Sentinel」を参照してください。
サード パーティの SIEM システムとの統合の詳細については、「 汎用 SIEM 統合」を参照してください。
次の手順
Defender for Cloud Appsのライフサイクル管理を実行します。
Microsoft Defender XDRのエンド ツー エンドデプロイの次の手順
Microsoft Defender XDRを使用して調査して応答するを使用して、Microsoft Defender XDRのエンド ツー エンドのデプロイを続行します。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。