Microsoft Defender for Cloud Appsのパイロットとデプロイ
適用対象:
- Microsoft Defender XDR
この記事では、organizationにMicrosoft Defender for Cloud Appsをパイロットしてデプロイするためのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender XDRを使用してエンド ツー エンド ソリューションの一部としてMicrosoft Defender for Cloud Appsをオンボードします。
この記事では、運用環境の Microsoft 365 テナントがあり、この環境でMicrosoft Defender for Cloud Appsのパイロットとデプロイを行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが 、完全なデプロイに対して維持されます。
Defender for Office 365は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの侵害によるビジネス上の損害の防止または軽減に関する記事を参照してください。
Microsoft Defender XDRのエンド ツー エンドのデプロイ
これは、インシデントの調査や対応など、Microsoft Defender XDRのコンポーネントのデプロイに役立つシリーズの 5/6 です。
このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。
| 段階 | リンク |
|---|---|
| A. パイロットを開始する | パイロットを開始する |
| B. Microsoft Defender XDR コンポーネントのパイロットとデプロイ |
-
Defender for Identity をパイロットして展開する - Defender for Office 365をパイロットしてデプロイする - Defender for Endpoint のパイロットとデプロイ - Microsoft Defender for Cloud Appsをパイロットしてデプロイする (この記事) |
| C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
Defender for Cloud Appsのワークフローをパイロットしてデプロイする
次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。
まず、製品またはサービスを評価し、organization内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャ全体またはorganizationがカバーされるまで、デプロイのスコープを徐々に増やします。
運用環境でのDefender for Cloud Appsのパイロットとデプロイのワークフローを次に示します。
次の手順を実行します。
- Defender for Cloud Appsに接続する
- Microsoft Defender for Endpointとの統合
- ファイアウォールやその他のプロキシにログ コレクターをデプロイする
- パイロット グループを作成する
- クラウド アプリの検出と管理
- 条件付きアクセス アプリ制御を構成する
- クラウド アプリにセッション ポリシーを適用する
- その他の機能を試す
デプロイ ステージごとに推奨される手順を次に示します。
| デプロイ ステージ | 説明 |
|---|---|
| 評価 | Defender for Cloud Appsの製品評価を実行します。 |
| パイロット | 運用環境のクラウド アプリの適切なサブセットに対して手順 1 から 4、5 から 8 を実行します。 |
| 完全な展開 | 残りのクラウド アプリに対して手順 5 から 8 を実行し、パイロット ユーザー グループのスコープを調整するか、ユーザー グループを追加してパイロットを超えて拡張し、すべてのユーザー アカウントを含めます。 |
ハッカーからorganizationを保護する
Defender for Cloud Appsは、独自の強力な保護を提供します。 ただし、Microsoft Defender XDRの他の機能と組み合わせると、Defender for Cloud Appsは共有信号にデータを提供し、攻撃を阻止するのに役立ちます。
サイバー攻撃の例と、Microsoft Defender XDRのコンポーネントが検出と軽減にどのように役立つかを次に示します。
Defender for Cloud Appsは、旅行不可能、資格情報アクセス、異常なダウンロード、ファイル共有、メール転送アクティビティなどの異常な動作を検出し、これらの動作をDefender for Cloud Appsに表示します。 Defender for Cloud Appsは、ハッカーによる横移動や機密データの流出を防ぐのにも役立ちます。
Microsoft Defender XDRは、すべてのMicrosoft Defenderコンポーネントからの信号を関連付けて、完全な攻撃ストーリーを提供します。
DEFENDER FOR CLOUD APPS CASB としての役割など
クラウド アクセス セキュリティ ブローカー (CASB) は、エンタープライズ ユーザーと使用するクラウド リソースの間で、ユーザーが配置されている場所や使用しているデバイスに関係なく、リアルタイムでアクセスを仲介するゲートキーパーとして機能します。 サービスとしてのソフトウェア (SaaS) アプリは、ハイブリッド作業環境全体でユビキタスであり、SaaS アプリとそれらが格納する重要なデータを保護することは、組織にとって大きな課題です。
アプリの使用の増加と、会社の境界外の会社のリソースにアクセスする従業員との組み合わせにより、新しい攻撃ベクトルも導入されました。 これらの攻撃に効果的に対処するには、セキュリティ チームには、クラウド アクセス セキュリティ ブローカー (CASB) の従来のスコープを超えて、クラウド アプリ内のデータを保護するアプローチが必要です。
Microsoft Defender for Cloud Appsは、SaaS アプリケーションに対して完全な保護を提供し、次の機能領域でクラウド アプリ データを監視および保護するのに役立ちます。
シャドウ IT 検出、クラウド アプリの使用状況の可視化、クラウド内のどこからでもアプリベースの脅威に対する保護、情報保護とコンプライアンス評価など、クラウド アクセス セキュリティ ブローカー (CASB) の基本的な機能。
SaaS セキュリティ体制管理 (SSPM) 機能により、セキュリティ チームはorganizationのセキュリティ体制を改善できます
Microsoft の拡張検出と応答 (XDR) ソリューションの一環として、高度な攻撃の完全なキル チェーン全体でシグナルと可視性の強力な相関関係を実現する高度な脅威保護
アプリ間の保護。重要なデータとリソースに対するアクセス許可と特権を持つ OAuth 対応アプリにコア脅威シナリオを拡張します。
クラウド アプリの検出方法
Defender for Cloud Appsがないと、organizationによって使用されるクラウド アプリは管理されず、保護されていません。 環境内で使用されているクラウド アプリを検出するには、次の方法の 1 つまたは両方を実装できます。
- Microsoft Defender for Endpointと統合することで、Cloud Discovery を使用してすばやく起動して実行できます。 このネイティブ統合を使用すると、ネットワーク上およびネットワーク外のWindows 10デバイスとWindows 11デバイス間のクラウド トラフィックに関するデータの収集をすぐに開始できます。
- ネットワークに接続されているすべてのデバイスによってアクセスされたすべてのクラウド アプリを検出するには、ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをデプロイします。 このデプロイは、エンドポイントからデータを収集し、分析のためにDefender for Cloud Appsに送信するのに役立ちます。 Defender for Cloud Appsは、さらに多くの機能を提供するために、一部のサードパーティ プロキシとネイティブに統合されます。
この記事には、両方のメソッドのガイダンスが含まれています。
手順 1. Defender for Cloud Appsに接続する
ライセンスを確認し、Defender for Cloud Appsに接続するには、「クイック スタート: Microsoft Defender for Cloud Appsの概要」を参照してください。
ポータルにすぐに接続できない場合は、ファイアウォールの許可リストに IP アドレスを追加する必要がある場合があります。 詳細については、「Defender for Cloud Appsの基本的なセットアップ」を参照してください。
それでも問題が解決しない場合は、「 ネットワーク要件」を確認してください。
手順 2: Microsoft Defender for Endpointと統合する
Microsoft Defender for Cloud AppsはネイティブにMicrosoft Defender for Endpointと統合されます。 この統合により、Cloud Discovery のロールアウトが簡素化され、企業ネットワークを超えて Cloud Discovery 機能が拡張され、デバイスベースの調査が可能になります。 この統合により、IT 管理のWindows 10およびWindows 11 デバイスからアクセスされているクラウド アプリとサービスが明らかになります。
Microsoft Defender for Endpointを既に設定している場合、Defender for Cloud Appsとの統合を構成することは、Microsoft Defender XDRのトグルです。 統合が有効になった後、Defender for Cloud Appsに戻り、Cloud Discovery ダッシュボードで豊富なデータを表示できます。
これらのタスクを実行するには、「Microsoft Defender for EndpointとMicrosoft Defender for Cloud Appsの統合」を参照してください。
手順 3: ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをデプロイする
ネットワークに接続されているすべてのデバイスのカバレッジについては、ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをデプロイして、エンドポイントからデータを収集し、分析のためにDefender for Cloud Appsに送信します。 詳細については、「 継続的レポートの自動ログ アップロードを構成する」を参照してください。
Defender for Cloud Appsは、一般的なクラウド アプリ用の組み込みのアプリ コネクタを提供します。 これらのコネクタでは、アプリ プロバイダーの API を使用して、organizationでのこれらのアプリの使用方法をより詳細に把握し、制御できるようにします。 詳細については、「アプリを接続して、Microsoft Defender for Cloud Appsで可視性と制御を取得する」を参照してください。
次のいずれかの Secure Web Gateway (SWG) を使用している場合、Defender for Cloud Appsはシームレスなデプロイと統合を提供します。
詳細については、「 クラウド アプリの検出の概要」を参照してください。
手順 4. パイロット グループの作成 - パイロット展開のスコープを特定のユーザー グループに設定する
Microsoft Defender for Cloud Appsを使用すると、デプロイのスコープを設定できます。 スコープを使用すると、アプリの監視または監視から除外する特定のユーザー グループを選択できます。 ユーザー グループを含めたり除外したりできます。
詳細については、「 デプロイを特定のユーザーまたはユーザー グループにスコープを設定する」を参照してください。
手順 5. クラウド アプリの検出と管理
Defender for Cloud Appsで最大限の保護を提供するには、organization内のすべてのクラウド アプリを検出し、その使用方法を管理する必要があります。
クラウド アプリを検出する
クラウド アプリの使用を管理するための最初の手順は、organizationで使用されているクラウド アプリを検出することです。 次の図は、クラウド検出がDefender for Cloud Appsでどのように機能するかを示しています。
この図では、ネットワーク トラフィックを監視し、organizationで使用されているクラウド アプリを検出するために使用できる 2 つの方法があります。
Cloud App Discovery は、Microsoft Defender for Endpointとネイティブに統合されます。 Defender for Endpoint は、IT 管理のWindows 10およびWindows 11 デバイスからアクセスされているクラウド アプリとサービスを報告します。
ネットワークに接続されているすべてのデバイスでカバレッジを行うには、ファイアウォールやその他のプロキシにDefender for Cloud Apps ログ コレクターをインストールして、エンドポイントからデータを収集します。 コレクターは、分析のためにこのデータをDefender for Cloud Appsに送信します。
Cloud Discovery ダッシュボードを表示して、organizationで使用されているアプリを確認する
クラウド検出ダッシュボードは、organizationでクラウド アプリがどのように使用されているかについてのより多くの洞察を提供するように設計されています。 使用されているアプリの種類、開いているアラート、organization内のアプリのリスク レベルの概要をひとめで確認できます。
詳細については、「 クラウド検出ダッシュボードを使用して検出されたアプリを表示する」を参照してください。
クラウド アプリを管理する
クラウド アプリを検出し、これらのアプリがorganizationでどのように使用されているかを分析したら、選択したクラウド アプリの管理を開始できます。
この図では、一部のアプリは使用が承認されています。 承認は、アプリを管理するための簡単な方法です。 詳細については、「 検出されたアプリの管理」を参照してください。
手順 6. 条件付きアクセス アプリ制御を構成する
構成できる最も強力な保護の 1 つは、条件付きアクセス アプリ制御です。 この保護には、Microsoft Entra IDとの統合が必要です。 これにより、承認したクラウド アプリに関連するポリシー (正常なデバイスの要求など) を含む条件付きアクセス ポリシーを適用できます。
多要素認証やその他の条件付きアクセス ポリシーを適用するために、Microsoft Entra テナントに SaaS アプリが既に追加されている場合があります。 Microsoft Defender for Cloud Appsは、Microsoft Entra IDとネイティブに統合されます。 必要なのは、Defender for Cloud Appsで条件付きアクセス アプリ制御を使用するようにMicrosoft Entra IDでポリシーを構成することです。 これにより、これらの管理対象 SaaS アプリのネットワーク トラフィックがプロキシとしてDefender for Cloud Apps経由でルーティングされます。これにより、Defender for Cloud Appsはこのトラフィックを監視し、セッション制御を適用できます。
この図について:
- SaaS アプリは、Microsoft Entra テナントと統合されます。 この統合により、Microsoft Entra IDは多要素認証を含む条件付きアクセス ポリシーを適用できます。
- SaaS アプリのトラフィックをDefender for Cloud Appsに転送するポリシーがMicrosoft Entra IDに追加されます。 ポリシーでは、このポリシーを適用する SaaS アプリを指定します。 Microsoft Entra IDはこれらの SaaS アプリに適用される条件付きアクセス ポリシーを適用した後、Microsoft Entra ID Defender for Cloud Appsを介してセッション トラフィックを送信 (プロキシ) します。
- Defender for Cloud Appsは、このトラフィックを監視し、管理者によって構成されたすべてのセッション制御ポリシーを適用します。
Microsoft Entra IDに追加されていないDefender for Cloud Appsを使用して、クラウド アプリを検出して承認した可能性があります。 これらのクラウド アプリを Microsoft Entra テナントと条件付きアクセス 規則のスコープに追加することで、条件付きアクセス アプリ制御を利用できます。
Microsoft Defender for Cloud Appsを使用して SaaS アプリを管理する最初の手順は、これらのアプリを検出してから、Microsoft Entra テナントに追加することです。 検出に関するヘルプが必要な場合は、「 ネットワーク内の SaaS アプリの検出と管理」を参照してください。 アプリを検出したら、これらのアプリを Microsoft Entra テナントに追加します。
次のタスクを使用して、これらのアプリの管理を開始できます。
Microsoft Entra IDで、新しい条件付きアクセス ポリシーを作成し、条件付きアクセス アプリ制御を使用するように構成します。この構成は、要求をDefender for Cloud Appsにリダイレクトするのに役立ちます。 1 つのポリシーを作成し、すべての SaaS アプリをこのポリシーに追加できます。
次に、Defender for Cloud Appsでセッション ポリシーを作成します。 適用するコントロールごとに 1 つのポリシーを作成します。 サポートされているアプリやクライアントなど、詳細については、「Microsoft Defender for Cloud Apps セッション ポリシーを作成する」を参照してください。
サンプル ポリシーについては、「SaaS アプリの推奨Microsoft Defender for Cloud Appsポリシー」を参照してください。 これらのポリシーは、すべての顧客の出発点として推奨される 一連の一般的な ID とデバイス アクセス ポリシー に基づいて構築されます。
手順 7. クラウド アプリにセッション ポリシーを適用する
セッション ポリシーを構成したら、それらをクラウド アプリに適用して、それらのアプリへの制御されたアクセスを提供します。
この図について:
- organization内のユーザーやデバイスから承認されたクラウド アプリへのアクセスは、Defender for Cloud Apps経由でルーティングされます。
- 承認されていない、または明示的に承認されていないクラウド アプリは影響を受けません。
セッション ポリシーを使用すると、クラウド アプリをorganizationで使用する方法にパラメーターを適用できます。 たとえば、organizationが Salesforce を使用している場合は、管理対象デバイスのみが Salesforce でorganizationのデータにアクセスできるようにするセッション ポリシーを構成できます。 より簡単な例として、管理されていないデバイスからのトラフィックを監視するようにポリシーを構成し、より厳しいポリシーを適用する前に、このトラフィックのリスクを分析できます。
詳細については、「Microsoft Defender for Cloud Appsでのアプリの条件付きアクセス制御」を参照してください。
手順 8. その他の機能を試す
次のDefender for Cloud Apps記事を使用して、リスクを発見し、環境を保護します。
- 疑わしいユーザー アクティビティを検出する
- 危険性のあるユーザーを調査する
- 危険な OAuth アプリを調査する
- 機密情報の検出と保護
- organization内のすべてのアプリをリアルタイムで保護する
- 機密情報のダウンロードをブロックする
- 管理者検疫でファイルを保護する
- 危険なアクション時にステップアップ認証を要求する
Microsoft Defender for Cloud Appsデータの高度なハンティングの詳細については、このビデオを参照してください。
SIEM 統合
Defender for Cloud Appsを Microsoft の統合セキュリティ運用プラットフォームまたは汎用セキュリティ情報およびイベント管理 (SIEM) サービスの一部としてMicrosoft Sentinelと統合して、接続されたアプリからのアラートとアクティビティの一元的な監視を可能にすることができます。 Microsoft Sentinelを使用すると、organization全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して効果的かつ即時に対応できます。
Microsoft Sentinelには、Defender for Cloud Appsを含むDefender XDRからのすべての信号をMicrosoft Sentinelに取り込むための XDR データ コネクタのMicrosoft Defenderが含まれています。 Defender ポータルの統合セキュリティ操作プラットフォームを、エンドツーエンドのセキュリティ操作 (SecOps) の 1 つのプラットフォームとして使用します。
詳細については、以下を参照してください:
次の手順
Defender for Cloud Appsのライフサイクル管理を実行します。
Microsoft Defender XDRのエンド ツー エンドデプロイの次の手順
Microsoft Defender XDRを使用して調査して応答するを使用して、Microsoft Defender XDRのエンド ツー エンドのデプロイを続行します。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。