Defender for Office 365をパイロットしてデプロイする
適用対象:
- Microsoft Defender XDR
この記事では、organizationでMicrosoft Defender for Office 365をパイロットしてデプロイするためのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender for Office 365を個々のサイバーセキュリティ ツールとして、またはMicrosoft Defender XDRを使用したエンド ツー エンド ソリューションの一部としてオンボードできます。
この記事では、運用環境の Microsoft 365 テナントがあり、この環境でMicrosoft Defender for Office 365のパイロットと展開を行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。
Defender for Office 365は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの侵害によるビジネス上の損害の防止または軽減に関する記事を参照してください。
Microsoft Defender XDRのエンド ツー エンドのデプロイ
これは、インシデントの調査や対応など、Microsoft Defender XDRのコンポーネントのデプロイに役立つシリーズの 6 の記事 3 です。
このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。
| 段階 | リンク |
|---|---|
| A. パイロットを開始する | パイロットを開始する |
| B. Microsoft Defender XDR コンポーネントのパイロットとデプロイ |
-
Defender for Identity をパイロットして展開する - Defender for Office 365のパイロットとデプロイ (この記事) - Defender for Endpoint のパイロットとデプロイ - Microsoft Defender for Cloud Appsのパイロットとデプロイ |
| C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
Defender for Office 365のワークフローをパイロットしてデプロイする
次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。
まず、製品またはサービスを評価し、organization内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャ全体またはorganizationがカバーされるまで、デプロイのスコープを徐々に増やします。
運用環境でのDefender for Office 365のパイロットとデプロイのワークフローを次に示します。
次の手順を実行します。
デプロイ ステージごとに推奨される手順を次に示します。
| デプロイ ステージ | 説明 |
|---|---|
| 評価 | Defender for Office 365の製品評価を実行します。 |
| パイロット | パイロット グループに対して手順 1 ~ 7 を実行します。 |
| 完全な展開 | 手順 5 でパイロット ユーザー グループを構成するか、パイロットを超えて拡張し、最終的にすべてのユーザー アカウントを含むようにユーザー グループを追加します。 |
Defender for Office 365アーキテクチャと要件
次の図は、サード パーティの SMTP ゲートウェイまたはオンプレミス統合を含めることができる、Microsoft Defender for Office 365のベースライン アーキテクチャを示しています。 ハイブリッド共存シナリオ (つまり、運用メールボックスはオンプレミスとオンラインの両方) では、より複雑な構成が必要であり、この記事や評価ガイダンスでは説明しません。
次の表に、この図を示します。
| コールアウト | 説明 |
|---|---|
| 1 | 外部送信者のホスト サーバーは、通常、MX レコードのパブリック DNS 参照を実行します。これにより、メッセージを中継するターゲット サーバーが提供されます。 この紹介は、直接Exchange Online (EXO) することも、EXO に対してリレーするように構成された SMTP ゲートウェイでもかまいません。 |
| 2 | Exchange Online Protection受信接続をネゴシエートして検証し、メッセージ ヘッダーとコンテンツを検査して、追加のポリシー、タグ付け、または処理が必要かどうかを判断します。 |
| 3 | Exchange OnlineはMicrosoft Defender for Office 365と統合され、より高度な脅威保護、軽減、修復が提供されます。 |
| 4 | 迷惑メール、メールボックス ルール、またはその他の設定に関連するユーザー設定が評価およびトリガーされる、悪意のある、ブロックされた、検疫されていないメッセージが処理され、EXO の受信者に配信されます。 |
| 5 | オンプレミスの Active Directoryとの統合は、Microsoft Entra Connect を使用して、メールが有効なオブジェクトとアカウントを同期およびプロビジョニングしてMicrosoft Entra IDし、最終的にExchange Onlineを有効にすることができます。 |
| 6 | オンプレミス環境を統合する場合は、メール関連の属性、設定、構成の管理と管理をサポートするために Exchange サーバーを使用することをお勧めします。 |
| 7 | Microsoft Defender for Office 365は、拡張検出と応答 (XDR) のMicrosoft Defender XDRに信号を共有します。 |
オンプレミスの統合は一般的ですが、省略可能です。 環境がクラウド専用の場合は、このガイダンスも有効です。
Defender for Office 365評価または運用パイロットが成功するには、次の前提条件が必要です。
- 現在、すべての受信者メールボックスがExchange Online。
- パブリック MX レコードは、EOP またはサードパーティの簡易メール転送プロトコル (SMTP) ゲートウェイに直接解決され、受信外部メールが EOP に直接中継されます。
- プライマリ 電子メール ドメインは、Exchange Onlineで権限のあるドメインとして構成されています。
- 必要に応じて 、ディレクトリ ベースのエッジ ブロッキング (DBEB) を正常にデプロイして構成しました。 詳細については、「 Directory-Based Edge ブロッキングを使用して無効な受信者に送信されたメッセージを拒否する」を参照してください。
重要
これらの要件が適用されない場合、またはハイブリッド共存シナリオにまだ存在する場合は、Microsoft Defender for Office 365評価では、このガイダンスで完全に説明されていない、より複雑な構成または高度な構成が必要になる可能性があります。
手順 1: パブリック MX レコードを監査して確認する
Microsoft Defender for Office 365を効果的に評価するには、テナントに関連付けられているExchange Online Protection (EOP) インスタンスを介して受信外部メールを中継することが重要です。
- https://admin.microsoft.comの M365 管理 ポータルで、..を展開します。必要に応じてすべてを表示し、[設定] を展開し、[ドメイン] を選択します。 または、[ ドメイン] ページに直接移動するには、 https://admin.microsoft.com/Adminportal/Home#/Domainsを使用します。
- [ドメイン] ページで、[チェック] ボックス以外のエントリの任意の場所をクリックして、確認済みのメール ドメインを選択します。
- 開いたドメインの詳細ポップアップで、[ DNS レコード ] タブを選択します。生成され、EOP テナントに割り当てられている MX レコードを書き留めます。
- 外部 (パブリック) DNS ゾーンにアクセスし、電子メール ドメインに関連付けられているプライマリ MX レコードをチェックします。
- パブリック MX レコードが現在、割り当てられた EOP アドレス (contoso-com.mail.protection.outlook.com など) と一致している場合は、それ以上のルーティング変更は必要ありません。
- パブリック MX レコードが現在サード パーティまたはオンプレミスの SMTP ゲートウェイに解決されている場合は、追加のルーティング構成が必要になる場合があります。
- パブリック MX レコードが現在オンプレミスの Exchange に解決されている場合でも、一部の受信者メールボックスがまだ EXO に移行されていないハイブリッド モデルに存在する可能性があります。
手順 2: 承認済みドメインを監査する
- https://admin.exchange.microsoft.comの Exchange 管理センター (EAC) で、[メール フロー] を展開し、[承認済みドメイン] をクリックします。 または、[ 承認済みドメイン ] ページに直接移動するには、 https://admin.exchange.microsoft.com/#/accepteddomainsを使用します。
- [ 承認済みドメイン ] ページで、プライマリ メール ドメインの [ドメインの種類 ] の値を書き留めます。
- ドメインの種類が [権限あり] に設定されている場合、現在、organizationのすべての受信者メールボックスがExchange Onlineに存在すると見なされます。
- ドメインの種類が InternalRelay に設定されている場合でも、一部の受信者メールボックスがまだオンプレミスに存在するハイブリッド モデルに属している可能性があります。
手順 3: 受信コネクタを監査する
- https://admin.exchange.microsoft.comの Exchange 管理センター (EAC) で、[メール フロー] を展開し、[コネクタ] をクリックします。 または、[コネクタ] ページに直接移動するには、https://admin.exchange.microsoft.com/#/connectors を使用します。
- [ コネクタ ] ページで、次の設定を使用してコネクタをメモします。
- From 値は、サードパーティの SMTP ゲートウェイに関連付ける可能性があるパートナー組織です。
- [From]\(開始\) の値は[組織] で、ハイブリッド シナリオにまだ参加していることを示している可能性があります。
手順 4: 評価をアクティブにする
Microsoft Defender ポータルからMicrosoft Defender for Office 365評価をアクティブ化するには、こちらの手順に従います。
詳細については、「Microsoft Defender for Office 365を試す」を参照してください。
https://security.microsoft.comのMicrosoft Defender ポータルで、[Email &コラボレーション] を展開し>[ポリシー] & ルールを選択し>[脅威ポリシー] を選択し> [その他] セクションまで下にスクロールして、[評価モード] を選択します。 または、[ 評価モード ] ページに直接移動するには、 https://security.microsoft.com/atpEvaluationを使用します。
[ 評価モード ] ページで、[ 評価の開始] をクリックします。
![[評価モード] ページと [評価の開始] ボタンをクリックするスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_05.png)
[ 保護を有効にする ] ダイアログで、[ いいえ、レポートのみを表示する] を選択し、[ 続行] をクリックします。
![[保護を有効にする] ダイアログと [いいえ、レポートのみを選択する] オプションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_06.png)
[ 含めるユーザーの選択 ] ダイアログで、[ すべてのユーザー] を選択し、[ 続行] をクリックします。
![[含めるユーザーの選択] ダイアログと、選択する [すべてのユーザー] オプションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_07.png)
[ メール フローの理解に役立つ ] ダイアログで、ドメインの MX レコードの検出に基づいて、次のいずれかのオプションが自動的に選択されます。
私はMicrosoft Exchange Onlineのみを使用しています:ドメインの MX レコードは Microsoft 365 を指しています。 構成するものは何も残っていないので、[ 完了] をクリックします。
![[I'm using only using Microsoft Exchange Online] オプションが選択されている [メール フローの理解に役立つ] ダイアログのスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_08a.png)
サード パーティまたはオンプレミスのサービス プロバイダーを使用しています:今後の画面で、そのソリューションからのメールを受け入れる受信コネクタと共にベンダー名を選択します。 また、サード パーティの保護サービスまたはデバイスからの受信メッセージのスパム フィルター処理をスキップするExchange Onlineメール フロー ルール (トランスポート ルールとも呼ばれます) が必要かどうかを決定します。 完了したら、 [完了] をクリックします。
![[評価モード] ページと [評価の開始] ボタンをクリックするスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_05.png#lightbox)
![[保護を有効にする] ダイアログと [いいえ、レポートのみを選択する] オプションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_06.png#lightbox)
![[含めるユーザーの選択] ダイアログと、選択する [すべてのユーザー] オプションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_07.png#lightbox)
![[I'm using only using Microsoft Exchange Online] オプションが選択されている [メール フローの理解に役立つ] ダイアログのスクリーンショット。](/ja-jp/defender/media/mdo-eval/mdo-eval-activate-eval_08a.png#lightbox)
手順 5: パイロット グループを作成する
Microsoft Defender for Office 365をパイロットする場合は、organization全体のポリシーを有効にして適用する前に、特定のユーザーをパイロットすることを選択できます。 配布グループを作成すると、デプロイ プロセスの管理に役立ちます。 たとえば、Defender for Office 365 ユーザー - Standard保護、Defender for Office 365 ユーザー- 厳密な保護、Defender for Office 365 ユーザー - カスタム保護などのグループを作成します。Defender for Office 365 ユーザー - 例外。
"Standard" と "Strict" がこれらのグループに使用される用語である理由は明らかではないかもしれませんが、セキュリティ プリセット Defender for Office 365の詳細を調べると明らかになります。 名前付けグループ 'custom' と 'exception' は自分自身で話しますが、ほとんどのユーザーは 標準 で 厳格なカスタムグループと例外グループに該当する必要がありますが、リスクの管理に関する貴重なデータが収集されます。
配布グループは、Exchange Onlineで直接作成および定義することも、オンプレミスの Active Directoryから同期することもできます。
受信者管理者ロールが付与されているか、グループ管理アクセス許可が委任されているアカウントを使用して、https://admin.exchange.microsoft.comで Exchange 管理 Center (EAC) にサインインします。
[受信者>グループ] に移動します。
[グループ] ページで、[
] を選択します。グループを追加します。![[グループの追加] オプションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/2_mdo-eval-pilot-add-group.png)
[グループの種類] で [ 配布] を選択し、[ 次へ] をクリックします。
![[グループの種類の選択] セクションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/3-mdo-eval-pilot-group-type.png)
グループに [名前] とオプションの [説明] を指定し、[次へ] をクリックします。
![[基本のセットアップ] セクションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/4_mdo-eval-pilot-set-up-basics.png)
残りのページで、所有者を割り当て、グループにメンバーを追加し、メール アドレス、参加/出発制限、およびその他の設定を設定します。
![[グループの追加] オプションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/2_mdo-eval-pilot-add-group.png#lightbox)
![[グループの種類の選択] セクションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/3-mdo-eval-pilot-group-type.png#lightbox)
![[基本のセットアップ] セクションのスクリーンショット。](/ja-jp/defender/media/mdo-eval/4_mdo-eval-pilot-set-up-basics.png#lightbox)
手順 6: 保護を構成する
Defender for Office 365の一部の機能は既定で構成され、有効になっていますが、セキュリティ操作では、保護のレベルを既定から引き上げる必要がある場合があります。
一部の機能 はまだ構成されていません 。 保護を構成するには、次のオプションがあります (後で簡単に変更できます)。
ユーザーを事前設定されたセキュリティ ポリシーに割り当てる: すべての機能に対して一貫したレベルの保護をすばやく割り当てるには、事前設定された セキュリティ ポリシー を使用することをお勧めします。 Standardまたは厳密な保護から選択できます。 Standardと Strict の設定については、こちらの表を参照してください。 Standardと Strict の違いを次の表にまとめます。
事前設定されたセキュリティ ポリシーの利点は、データセンター内の監視に基づいて Microsoft の推奨設定を使用して、ユーザーのグループをできるだけ迅速に保護することです。 新しい保護機能が追加され、セキュリティ環境が変化すると、事前設定されたセキュリティ ポリシーの設定が推奨設定に自動的に更新されます。
既定のセキュリティ ポリシーの欠点は、既定のセキュリティ ポリシーのセキュリティ設定を実質的にカスタマイズできないことです (たとえば、アクションを配信から迷惑メールから検疫に変更したり、その逆に変更したりすることはできません)。 例外は、 ユーザー偽装とドメイン偽装保護のエントリと省略可能な例外であり、手動で構成する必要があります。
また、事前設定されたセキュリティ ポリシーは、カスタム ポリシーの前 に常に 適用されます。 そのため、カスタム ポリシーを作成して使用する場合は、それらのカスタム ポリシーのユーザーを事前設定されたセキュリティ ポリシーから除外する必要があります。
カスタム保護ポリシーを構成する: 環境を自分で構成する場合は、「EOP とMicrosoft Defender for Office 365セキュリティの推奨設定」の既定の設定、Standard、および厳密な設定を比較します。 カスタム ビルドが逸脱した場所のスプレッドシートを保持します。
構成アナライザーを使用して、カスタム ポリシーの設定を Standard 値と Strict 値と比較することもできます。
事前設定されたセキュリティ ポリシーとカスタム ポリシーの選択の詳細については、「 保護ポリシー戦略を決定する」を参照してください。
事前設定されたセキュリティ ポリシーを割り当てる
EOP の事前設定されたセキュリティ ポリシーから始めて、評価の一環として特定のパイロット ユーザーまたは定義済みのグループに割り当てることで、迅速にDefender for Office 365することをお勧めします。 事前設定されたポリシーは、ベースラインStandard保護テンプレートまたはより積極的な厳格な保護テンプレートを提供します。これは個別に割り当てることができます。
たとえば、パイロット評価の EOP 条件は、受信者が定義済みの EOP Standard Protection グループのメンバーである場合に適用され、グループにアカウントを追加するか、グループからアカウントを削除することで管理できます。
同様に、パイロット評価のDefender for Office 365条件は、受信者が定義済みのDefender for Office 365 Standard Protection グループのメンバーである場合に適用され、グループを介してアカウントを追加または削除することによって管理できます。
完全な手順については、「Microsoft Defender ポータルを使用してStandardおよび厳密な事前設定されたセキュリティ ポリシーをユーザーに割り当てる」を参照してください。
カスタム保護ポリシーを構成する
事前に定義されたStandardまたは厳密なDefender for Office 365 ポリシー テンプレートを使用すると、パイロット ユーザーに推奨されるベースライン保護が提供されます。 ただし、評価の一環としてカスタム保護ポリシーを構築して割り当てることもできます。
「事前設定されたセキュリティ ポリシーやその他のポリシーの優先順位」で説明されているように、これらの保護ポリシーが適用および適用されるときに適用される優先順位に注意することが重要です。
「保護ポリシーの構成」の説明と表は、構成する必要がある内容に関する便利なリファレンスです。
手順 7: 機能を試す
パイロットの設定と構成が完了したら、Microsoft 365 のMicrosoft Defenderに固有のレポート、監視、攻撃のシミュレーション ツールについて理解を深めるのに役立ちます。
| 機能 | 説明 | 詳細情報 |
|---|---|---|
| 脅威エクスプローラー | 脅威エクスプローラーは、セキュリティ運用チームが脅威を調査して対応するのに役立つ、ほぼリアルタイムの強力なツールであり、検出されたマルウェアやフィッシングに関する情報をOffice 365のメールやファイルに表示したり、organizationに対するその他のセキュリティ上の脅威やリスクを表示したりできます。 | 脅威エクスプローラーについて |
| 攻撃シミュレーション トレーニング | Microsoft Defender ポータルの攻撃シミュレーション トレーニングを使用して、organizationで現実的な攻撃シナリオを実行できます。これは、実際の攻撃が環境に影響を与える前に脆弱なユーザーを特定して見つけるのに役立ちます。 | 攻撃シミュレーション トレーニングの使用を開始する |
| レポート ダッシュボード | 左側のナビゲーション メニューで、[レポート] をクリックし、Email &コラボレーション見出しを展開します。 Email &コラボレーション レポートは、セキュリティの傾向を見つけることに関するレポートであり、その中には、アクションを実行できる ([送信に移動] などのボタンを使用する)、傾向を示すその他のレポートがあります。 これらのメトリックは自動的に生成されます。 |
Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する Microsoft Defender ポータルでDefender for Office 365 レポートを表示する |
SIEM 統合
Defender for Office 365をMicrosoft Sentinelまたは一般的なセキュリティ情報とイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinelを使用すると、organization全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して効果的かつ即時に対応できます。
Microsoft Sentinelには、Defender for Office 365 コネクタが含まれています。 詳細については、「Microsoft Defender for Office 365からアラートを接続する」を参照してください。
Microsoft Defender for Office 365は、Office 365 Activity Management API を使用して他の SIEM ソリューションに統合することもできます。 汎用 SIEM システムとの統合の詳細については、「 汎用 SIEM 統合」を参照してください。
次の手順
Microsoft Defender for Office 365セキュリティ運用ガイドの情報を SecOps プロセスに組み込みます。
Microsoft Defender XDRのエンド ツー エンドデプロイの次の手順
パイロットを使用してMicrosoft Defender XDRのエンド ツー エンドのデプロイを続行し、Defender for Endpoint をデプロイします。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。