Microsoft Defender for Endpointをパイロットしてデプロイする
適用対象:
- Microsoft Defender XDR
この記事では、organizationでのMicrosoft Defender for Endpointのパイロットとデプロイのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender for Endpointを個々のサイバーセキュリティ ツールとして、またはMicrosoft Defender XDRを使用したエンド ツー エンド ソリューションの一部としてオンボードできます。
この記事では、運用環境の Microsoft 365 テナントがあり、この環境でMicrosoft Defender for Endpointのパイロットとデプロイを行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。
Defender for Endpoint は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの侵害によるビジネス上の損害の防止または軽減に関する記事を参照してください。
Microsoft Defender XDRのエンド ツー エンドのデプロイ
これは、インシデントの調査や対応など、Microsoft Defender XDRのコンポーネントをデプロイするのに役立つシリーズの 6 の記事 4 です。
このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。
| 段階 | リンク |
|---|---|
| A. パイロットを開始する | パイロットを開始する |
| B. Microsoft Defender XDR コンポーネントのパイロットとデプロイ |
-
Defender for Identity をパイロットして展開する - Defender for Office 365をパイロットしてデプロイする - Defender for Endpoint をパイロットして展開する (この記事) - Microsoft Defender for Cloud Appsのパイロットとデプロイ |
| C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
Defender for Identity のワークフローをパイロットしてデプロイする
次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。
まず、製品またはサービスを評価し、organization内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャ全体またはorganizationがカバーされるまで、デプロイのスコープを徐々に増やします。
運用環境で Defender for Identity をパイロットして展開するためのワークフローを次に示します。
次の手順を実行します。
デプロイ ステージごとに推奨される手順を次に示します。
| デプロイ ステージ | 説明 |
|---|---|
| 評価 | Defender for Endpoint の製品評価を実行します。 |
| パイロット | パイロット グループに対して手順 1 ~ 4 を実行します。 |
| 完全な展開 | 手順 3 でパイロット グループを構成するか、パイロットを超えて拡張し、最終的にすべてのデバイスを含むようにグループを追加します。 |
ハッカーからorganizationを保護する
Defender for Identity は、独自の強力な保護を提供します。 ただし、Microsoft Defender XDRの他の機能と組み合わせると、Defender for Endpoint は共有シグナルにデータを提供し、攻撃を阻止するのに役立ちます。
サイバー攻撃の例と、Microsoft Defender XDRのコンポーネントが検出と軽減にどのように役立つかを次に示します。
Defender for Endpoint は、organizationによって管理されているデバイスに対して悪用される可能性があるデバイスとネットワークの脆弱性を検出します。
Microsoft Defender XDRは、すべてのMicrosoft Defenderコンポーネントからの信号を関連付けて、完全な攻撃ストーリーを提供します。
Defender for Endpoint アーキテクチャ
次の図は、アーキテクチャと統合Microsoft Defender for Endpoint示しています。
この表では、図について説明します。
| コールアウト | 説明 |
|---|---|
| 1 | デバイスは、サポートされている管理ツールの 1 つを介してオンボードされます。 |
| 2 | オンボードデバイスは、Microsoft Defender for Endpoint信号データを提供し、応答します。 |
| 3 | マネージド デバイスは、Microsoft Entra IDに参加または登録されます。 |
| 4 | ドメインに参加している Windows デバイスは、Microsoft Entra Connect を使用してMicrosoft Entra IDに同期されます。 |
| 5 | Microsoft Defender for Endpointアラート、調査、応答は、Microsoft Defender XDRで管理されます。 |
ヒント
Microsoft Defender for Endpointには、事前構成済みのデバイスを追加し、シミュレーションを実行してプラットフォームの機能を評価できる製品内評価ラボも付属しています。 ラボには、高度なハンティングや脅威分析などの多くの機能のガイダンスなど、Microsoft Defender for Endpointの価値をすばやく示すのに役立つ、簡略化されたセットアップ エクスペリエンスが付属しています。 詳細については、「機能の 評価」を参照してください。 この記事で説明するガイダンスと評価ラボのメイン違いは、評価環境で運用デバイスを使用するのに対し、評価ラボでは非運用デバイスを使用することです。
手順 1: ライセンスの状態を確認する
まず、ライセンスの状態をチェックして、適切にプロビジョニングされたことを確認する必要があります。 これを行うには、管理センターまたは Microsoft Azure portalを使用します。
ライセンスを表示するには、Microsoft Azure portalに移動し、[Microsoft Azure portal ライセンス] セクションに移動します。
![Microsoft Defender ポータルの [Azure ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-licensing-azure-portal.png)
または、管理センターで[課金>サブスクリプション] に移動します。
画面に、プロビジョニングされたすべてのライセンスとその現在の状態が表示 されます。
![Microsoft Azure portalの [課金ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-billing-subscriptions.png)
![Microsoft Defender ポータルの [Azure ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-licensing-azure-portal.png#lightbox)
![Microsoft Azure portalの [課金ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-billing-subscriptions.png#lightbox)
手順 2: サポートされている管理ツールのいずれかを使用してエンドポイントをオンボードする
ライセンスの状態が正しくプロビジョニングされていることを確認したら、デバイスのサービスへのオンボードを開始できます。
Microsoft Defender for Endpointを評価する目的で、評価を行う Windows デバイスをいくつか選択することをお勧めします。
サポートされている管理ツールのいずれかを使用することもできますが、最適な統合Intune提供されます。 詳細については、「Microsoft IntuneでMicrosoft Defender for Endpointを構成する」を参照してください。
「 デプロイの計画」 トピックでは、Defender for Endpoint の展開に必要な一般的な手順について説明します。
このビデオでは、オンボード プロセスの概要と、使用可能なツールと方法について説明します。
オンボード ツール のオプション
次の表に、オンボードする必要があるエンドポイントに基づく使用可能なツールの一覧を示します。
| エンドポイント | ツール オプション |
|---|---|
| Windows |
-
ローカル スクリプト (最大 10 台のデバイス) - グループ ポリシー - Microsoft Intune/モバイル デバイス マネージャー - Microsoft エンドポイント Configuration Manager - VDI スクリプト |
| macOS |
-
ローカル スクリプト - Microsoft Intune - JAMF Pro - モバイル デバイス管理 |
| iOS | アプリベース |
| Android | Microsoft Intune |
Microsoft Defender for Endpointをパイロットする場合は、organization全体をオンボードする前に、いくつかのデバイスをサービスにオンボードすることを選択できます。
その後、攻撃シミュレーションの実行や Defender for Endpoint による悪意のあるアクティビティの表示方法など、使用可能な機能を試して、効率的な対応を行うことができます。
手順 3: パイロット グループを確認する
[評価の有効化] セクションで説明されているオンボード手順を完了すると、約 1 時間後に [デバイス インベントリ] リストにデバイスが表示されます。
オンボードされたデバイスが表示されたら、機能の試用に進むことができます。
手順 4: 機能を試す
一部のデバイスのオンボードを完了し、サービスに報告していることを確認したので、すぐに利用できる強力な機能を試して製品を理解します。
パイロット中に、複雑な構成手順を実行することなく、いくつかの機能を簡単に試して製品の動作を確認できます。
まず、ダッシュボードをチェックアウトします。
デバイス インベントリを表示する
デバイス インベントリは、ネットワーク内のエンドポイント、ネットワーク デバイス、IoT デバイスの一覧を表示する場所です。 ネットワーク内のデバイスのビューが提供されるだけでなく、ドメイン、リスク レベル、OS プラットフォームなどの詳細な情報も提供され、最も危険にさらされているデバイスを簡単に識別できます。
Microsoft Defender 脆弱性の管理 ダッシュボードを表示する
Defender 脆弱性の管理は、organizationに最も緊急かつ最も高いリスクをもたらす弱点に焦点を当てるのに役立ちます。 ダッシュボードから、organization露出スコア、Microsoft Secure Score for Devices、デバイスの公開配布、上位のセキュリティに関する推奨事項、脆弱な上位のソフトウェア、上位の修復アクティビティ、および上位の公開デバイス データの概要を確認します。
シミュレーションを実行する
Microsoft Defender for Endpointには、パイロット デバイスで実行できる "Do It Yourself" 攻撃シナリオが付属しています。 各ドキュメントには、OS とアプリケーションの要件と、攻撃シナリオに固有の詳細な手順が含まれています。 これらのスクリプトは安全で文書化されており、使いやすいです。 これらのシナリオでは、Defender for Endpoint の機能が反映され、調査エクスペリエンスについて説明します。
提供されたシミュレーションのいずれかを実行するには、少なくとも 1 つのオンボード デバイスが必要です。
ヘルプ>Simulations & チュートリアルで、シミュレートする使用可能な攻撃シナリオを選択します。
シナリオ 1: ドキュメントがバックドアをドロップ する - ソーシャル エンジニアリングされたルアー ドキュメントの配信をシミュレートします。 このドキュメントは、攻撃者に制御を与える特別に細工されたバックドアを起動します。
シナリオ 2: ファイルレス攻撃の PowerShell スクリプト - PowerShell に依存するファイルレス攻撃をシミュレートし、攻撃面の縮小と悪意のあるメモリ アクティビティのデバイス学習検出を示します。
シナリオ 3: 自動インシデント対応 - 自動調査をトリガーします。これにより、侵害アーティファクトを自動的に検索して修復してインシデント対応能力をスケーリングします。
選択したシナリオに付属の対応するチュートリアル ドキュメントをダウンロードして読みます。
シミュレーション ファイルをダウンロードするか、ヘルプ>Simulations & チュートリアルに移動してシミュレーション スクリプトをコピーします。 ファイルまたはスクリプトをテスト デバイスにダウンロードすることもできますが、必須ではありません。
チュートリアル ドキュメントの指示に従って、テスト デバイスでシミュレーション ファイルまたはスクリプトを実行します。
注:
シミュレーション ファイルまたはスクリプトは攻撃アクティビティを模倣しますが、実際には問題なく、テスト デバイスに損害を与えたり、侵害したりしません。
SIEM 統合
Defender for Endpoint をMicrosoft Sentinelまたは汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinelを使用すると、organization全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して効果的かつ即時に対応できます。
Microsoft Sentinelには、Defender for Endpoint コネクタが含まれています。 詳細については、「Microsoft SentinelのコネクタMicrosoft Defender for Endpoint」を参照してください。
汎用 SIEM システムとの統合の詳細については、「Microsoft Defender for Endpointで SIEM 統合を有効にする」を参照してください。
次の手順
Defender for Endpoint Security Operations Guide の情報を SecOps プロセスに組み込みます。
Microsoft Defender XDRのエンド ツー エンドデプロイの次の手順
パイロットを使用してMicrosoft Defender XDRのエンド ツー エンドのデプロイを続行し、Microsoft Defender for Cloud Appsをデプロイします。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。