Microsoft 365 Business PremiumとDefender for Businessを監視および維持する
Microsoft 365 Business Premiumまたはスタンドアロン バージョンのMicrosoft Defender for Businessを設定して構成したら、次の手順として、メンテナンスと運用の計画を準備します。 サイバー攻撃から保護するために、システム、デバイス、ユーザー アカウント、およびセキュリティ ポリシーを最新の状態に保つことが重要です。 この記事は、プランを準備するためのガイドとして使用できます。
プランを準備するときに、次の表に示すように、さまざまなタスクを 2 つのメイン カテゴリに整理できます。
| タスクの種類 | セクション |
|---|---|
| セキュリティ タスク |
毎日のセキュリティ タスク 毎週のセキュリティ タスク 毎月のセキュリティ タスク 必要に応じて実行するセキュリティ タスク |
| 一般的な管理タスク |
管理 センター タスク ユーザー、グループ、パスワード メールと予定表 デバイス サブスクリプションと課金 |
セキュリティ タスク
セキュリティ タスクは、通常、セキュリティ管理者とセキュリティオペレーターによって実行されます。
毎日のセキュリティ タスク
| タスク | 説明 |
|---|---|
| 脅威の脆弱性管理ダッシュボードを確認する | 脆弱性管理ダッシュボードを見て、脅威の脆弱性のスナップショットを取得します。これは、サイバーセキュリティの脅威に対するorganizationの脆弱性を反映しています。 暴露スコアが低いということは、デバイスが悪用されやすいことを意味します。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [脆弱性管理] > [ダッシュボード] を選択します。 2. 組織の露出スコアを確認します。 許容範囲または "高" の範囲にある場合は、次に進むことができます。 そうでない場合は、[スコアの向上] を選択して、このスコアを向上させるための詳細情報とセキュリティに関する推奨事項を表示します。 露出スコアを認識すると、次のことが役立ちます。 - organizationのセキュリティの状態に関する概要をすばやく理解して特定する - 現在の状態を改善するために調査またはアクションが必要な領域を検出して対応する - セキュリティの取り組みの影響について、ピアや管理と通信する |
| 保留中のアクションをアクション センターで確認する | 脅威が検出されると、 修復アクション が実行されます。 特定の脅威とセキュリティ設定の構成方法によっては、修復アクションが自動的に実行されるか、承認時にのみ実行される可能性があるため、定期的に監視する必要があります。 修復アクションは、アクション センターで追跡されます。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [アクション センター] を選択します。 2. [ 保留中 ] タブを選択して、保留中のアクションを表示および承認 (または拒否) します。 このようなアクションは、ウイルス対策/マルウェア対策保護、自動調査、手動応答アクティビティ、またはライブ応答セッションから発生する可能性があります。 3. [ 履歴 ] タブを選択して、完了したアクションの一覧を表示します。 |
| 脅威の検出を含むデバイスの確認 | デバイスで脅威が検出されると、セキュリティ チームは、デバイスの分離などの必要なアクションを迅速に実行できるように把握する必要があります。 1. Microsoft Defender ポータル (https://security.microsoft.com) のナビゲーション ウィンドウで、[レポート] > [全般] > [セキュリティ レポート] を選択します。 2. [ 脆弱なデバイス ] 行まで下にスクロールします。 デバイスで脅威が検出された場合は、この行でその情報を確認できます。 |
| 新しいインシデントまたはアラートについて学習する | 脅威が検出されアラートがトリガーされると、インシデントが作成されます。 会社のセキュリティ チームは、Microsoft Defender ポータルでインシデントを表示および管理できます。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション メニューの [インシデント] を選択します。 インシデントは、関連するアラートを含むページに表示されます。 2. アラートを選択してポップアップ ウィンドウを開き、アラートの詳細を確認できます。 3. ポップアップで、アラート タイトルを表示し、影響を受けた資産 (エンドポイントやユーザー アカウントなど) の一覧を表示し、使用可能なアクションを実行し、リンクを使用して詳細情報を表示し、選択したアラートの詳細ページを開くことさえできます。 |
| スキャンまたは自動調査を実行する | セキュリティ チームは、高リスク レベルまたは検出された脅威を持つデバイスに対してスキャンまたは自動調査を開始できます。 スキャンまたは自動調査の結果に応じて、 修復アクション は自動的または承認時に実行されます。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [Assets>Devices] を選択します。 2. デバイスを選択してポップアップ パネルを開き、表示されている情報を確認します。 - 省略記号 (...) を選択してアクション メニューを開きます。 - [ウイルス対策スキャンの実行 ] や [ 自動調査の開始] などのアクションを選択します。 |
毎週のセキュリティ タスク
| タスク | 説明 |
|---|---|
| Microsoft セキュリティ スコアを監視して改善する | Microsoft Secure Score は、organizationのセキュリティ体制の測定値です。 数値が大きいほど、必要な改善アクションが少なくなることを示します。 セキュア スコアを使用すると、次のことができます。 - organizationのセキュリティ体制の現在の状態を報告します。 - 検出可能性、可視性、ガイダンス、制御を提供することで、セキュリティ体制を改善します。 - ベンチマークと比較し、主要業績評価指標 (KPI) を確立します。 スコアをチェックするには、次の手順に従います。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [セキュリティ スコア] を選択します。 2. Microsoft の全体的なセキュリティ スコアを向上させるために、修復とアクションに関する確認と決定を行います。 |
| デバイスのセキュリティ スコアを向上させる | セキュリティに関する推奨事項の一覧を使用して問題を修復することで、セキュリティ構成を改善します。 そうすることで、デバイスの Microsoft セキュア スコアが向上し、組織は今後のサイバーセキュリティの脅威や脆弱性への耐障害性を高めます。 スコアを確認して向上させるのに必要な時間は常に価値があります。 セキュリティ スコアをチェックするには、次の手順に従います。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [セキュリティ スコア] を選択します。 2. Defender 脆弱性の管理 ダッシュボードの [デバイスの Microsoft Secure Score] カードから、カテゴリのいずれかを選択します。 そのカテゴリに関連する推奨事項の一覧が、推奨事項と合わせて表示されます。 3.一覧の項目を選択して、推奨事項に関連する詳細を表示します。 4. [修復オプション] を選択します。 5. 説明を読んで、問題のコンテキストと次に何を行うかを理解します。 期限を選択し、メモを追加し、[ すべての修復アクティビティ データを CSV にエクスポート する] を選択して、フォローアップのためにメールに添付できるようにします。 修復タスクが作成されたことを示す確認メッセージが表示されます。 6. フォローアップ メールを IT 管理者に送信し、修復がシステムに反映されるように割り当てた時間を許可します。 7. ダッシュボードの [デバイスの Microsoft セキュア スコア] カードに戻ります。 アクションの結果として、セキュリティ制御に関する推奨事項の数が減少しました。 8. [ セキュリティ コントロール ] を選択して、[セキュリティの推奨事項] ページに戻ります。 アドレス指定した項目が表示されなくなったため、Microsoft のセキュア スコアが向上します。 |
毎月のセキュリティ タスク
| タスク | 説明 |
|---|---|
| レポートを実行する | Microsoft Defender ポータル (https://security.microsoft.com) では、いくつかのレポートを使用できます。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [レポート] を選択します。 2. 確認するレポートを選択します。 各レポートには、そのレポートに関連するカテゴリが多数表示されます。 3. [ 詳細の表示 ] を選択すると、各カテゴリの詳細情報が表示されます。 4. 特定の脅威のタイトルを選択して、それに固有の詳細を表示します。 |
必要に応じて実行するセキュリティ タスク
| タスク | 説明 |
|---|---|
| 誤検知/陰性を管理する | 誤検知とは、エンティティが実際には脅威ではない場合でも、検出され、悪意があると識別されたファイルやプロセスなどのエンティティです。 偽陰性は、実際には悪意があるにもかかわらず、脅威として検出されなかったエンティティです。 偽陽性/陰性は、Microsoft 365 Business Premiumに含まれるMicrosoft Defender for Office 365とMicrosoft Defender for Businessを含むあらゆる脅威保護ソリューションで発生する可能性があります。 幸いなことに、これらの種類の問題に対処し、削減するための手順を実行できます。 デバイスの誤検知/陰性については、「Microsoft Defender for Endpointでの誤検知/負のアドレス指定」を参照してください。 メールの誤検知/陰性については、次の記事を参照してください。 - Microsoft Defender for Office 365を使用して受信者に配信される悪意のあるメール (False Negatives) を処理する方法 - Microsoft Defender for Office 365を使用して、正当なメールがブロック (誤検知) されるのを処理する方法 |
| セキュリティ体制を強化する | Defender for Businessには、公開スコアを提供する脆弱性管理ダッシュボードが含まれており、公開されているデバイスに関する情報を表示したり、関連するセキュリティに関する推奨事項を確認したりできます。 Defender 脆弱性の管理 ダッシュボードを使用すると、露出を減らし、organizationのセキュリティ態勢を向上させることができます。 次の記事をご覧ください。 - Microsoft Defender for Businessで脆弱性管理ダッシュボードを使用する - ダッシュボードの分析情報 |
| セキュリティ ポリシーを調整する |
検出 された脅威、デバイスの状態などの情報を表示できるように、レポートを使用できます。 場合によっては、セキュリティ ポリシーを調整する必要があります。 たとえば、一部のユーザー アカウントまたはデバイスに厳密な保護を適用し、標準保護を他のユーザーに適用できます。 次の記事をご覧ください。 - デバイス保護の場合: Microsoft Defender for Businessでポリシーを表示または編集する - 電子メール保護の場合: EOP とMicrosoft Defender for Office 365セキュリティの推奨設定 |
| 管理者の申請を分析する | 詳細な分析のために、電子メール メッセージ、URL、添付ファイルなどのエンティティを Microsoft に送信することが必要な場合があります。 レポート アイテムは、誤検知/陰性の発生を減らし、脅威検出の精度を向上させるのに役立ちます。 次の記事をご覧ください。 - [申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します - ユーザーが報告したメッセージの管理レビュー |
| 優先度の高いユーザー アカウントを保護する | すべてのユーザー アカウントが同じ会社情報にアクセスできるわけではありません。 一部のアカウントでは、財務データ、製品開発情報、重要なビルド システムへのパートナー アクセスなどの機密情報にアクセスできます。 侵害された場合、機密性の高い情報にアクセスできるアカウントは深刻な脅威になります。 これらの種類のアカウントを優先度アカウントと呼びます。 優先度アカウントには、CEO、CISO、CFO、インフラストラクチャ管理者アカウント、ビルド システム アカウントなどが含まれます (ただし、これらに限定されません)。 次の記事をご覧ください。 - 管理者アカウントを保護する - Microsoft 365 の優先度アカウントのセキュリティに関する推奨事項 |
| リスクの高いデバイスを保護する | デバイスの全体的なリスク評価は、デバイス上のアクティブなアラートの種類や重大度などの要因の組み合わせに基づいています。 セキュリティ チームがアクティブなアラートを解決し、修復アクティビティを承認し、その後のアラートを抑制すると、リスク レベルが低下します。 「Microsoft Defender for Businessでデバイスを管理する」を参照してください。 |
| オンボードデバイスまたはオフボードデバイス | デバイスの交換または廃止、新しいデバイスの購入、またはビジネス ニーズの変化に応じて、Defender for Businessからデバイスをオンボードまたはオフボードできます。 次の記事をご覧ください。 - デバイスをMicrosoft Defender for Businessにオンボードする - Microsoft Defender for Businessからデバイスに乗り込む |
| アイテムを修復する | Microsoft 365 Business Premiumには、いくつかの修復アクションが含まれています。 一部のアクションは自動的に実行され、他のアクションはセキュリティ チームによる承認を待ちます。 1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [Assets>Devices] に移動します。 2. リスクレベルが高いデバイスや露出レベルのデバイスを選択します。 ポップアップ ウィンドウが開き、そのアイテムに対して生成されたアラートとインシデントに関する詳細情報が表示されます。 3. ポップアップで、表示されている情報を表示します。 省略記号 (...) を選択して、使用可能なアクションを一覧表示するメニューを開きます。 4. 使用可能なアクションを選択します。 たとえば、[ウイルス対策スキャンを実行する] を選択すると、Microsoft Defender ウイルス対策によってデバイスでクイック スキャンが開始されます。 または、[自動調査の開始] を選択して、デバイスの自動調査をトリガーすることもできます。 |
デバイスの修復アクション
次の表は、Microsoft 365 Business PremiumとDefender for Businessのデバイスで使用できる修復アクションをまとめたものです。
| ソース | Actions |
|---|---|
| 自動調査 | ファイルの検疫 レジストリ キーの削除 プロセスの強制終了 サービスの停止 ドライバーの無効化 スケジュールされたタスクの削除 |
| 手動応答アクション | ウイルス対策スキャンの実行 デバイスの分離 ファイルのブロックまたは許可するインジケーターの追加 |
| ライブ応答 | フォレンジック データの収集 ファイルを分析する スクリプトの実行 分析のために疑わしいエンティティを Microsoft に送信する ファイルの修復 積極的に脅威を捜索する |
一般的な管理タスク
環境の維持には、ユーザー アカウントの管理、デバイスの管理、最新の状態の維持と正常な動作が含まれます。 管理タスクは、通常、グローバル管理者とテナント管理者によって実行されます。 管理者ロールの詳細情報。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft 365 を初めて使用する場合は、少し時間を取って、Microsoft 365 管理センターの概要を確認してください。
管理 センター タスク
| タスク | 追加情報 |
|---|---|
| Microsoft 365 管理センターの使用を開始する | Microsoft 365 管理センターの概要 |
| Microsoft 365 管理センターの新機能について説明します | Microsoft 365 管理センターの新機能 |
| ユーザーの準備に役立てることができるように、新しい製品の更新プログラムと機能について説明します | Microsoft 365 製品と機能の変更を確認する |
| 使用状況レポートを表示して、ユーザーが Microsoft 365 をどのように使用しているかを確認する | 管理センターの Microsoft 365 レポート |
| テクニカル サポート チケットを開く | ビジネス向け Microsoft 365 のサポートを受ける |
ユーザー、グループ、パスワード
| タスク | 追加情報 |
|---|---|
| 新しいユーザーを追加する | Microsoft 365 に新しい従業員を追加する |
| ユーザーへのライセンスの割り当て/割り当て解除を行う |
Microsoft 365 管理センター内のユーザーのライセンスの割り当てまたは割り当て解除 PowerShell を使用して Microsoft 365 ライセンスをユーザー アカウントに割り当てる |
| 管理者アクセス許可が必要なユーザーに管理者ロールを割り当てる |
Microsoft 365 管理センターで管理者ロールを割り当てる PowerShell を使用して Microsoft 365 ユーザー アカウントに管理者ロールを割り当てる |
| ユーザーからライセンスを削除する |
Microsoft 365 管理センター内のユーザーのライセンスの割り当てまたは割り当て解除 PowerShell を使用してユーザー アカウントから Microsoft 365 ライセンスを削除する |
| 代名詞をオンまたはオフにする | Microsoft 365 管理センターでorganizationの代名詞をオンまたはオフにする |
| organization全体のグループへのゲスト アクセスを許可するか、個々のグループに対してゲスト アクセスを許可するかを決定する (Microsoft 365 Business Premiumに適用されます) |
Microsoft 365 管理センターのゲスト ユーザー |
| 他のユーザーがorganizationを離れたときにユーザー アカウントを削除する | 概要: 元従業員とセキュリティで保護されたデータを削除する |
| ユーザー アカウントのパスワードをリセットする | Microsoft 365 for Business でパスワードをリセットする |
メールと予定表
| タスク | 追加情報 |
|---|---|
| Gmail または別のメール プロバイダーから Microsoft 365 にメールと連絡先を移行する | Microsoft 365 へのメールと連絡先の移行 |
| メール署名、法的免責事項、または開示に関する声明を、送信または送信するメール メッセージに追加する | organization全体の署名と免責事項を作成する |
| セキュリティ グループを設定、編集、または削除する | Microsoft 365 管理センターでセキュリティ グループを作成、編集、削除する |
| 配布グループにユーザーを追加する | Microsoft 365 配布グループにユーザーまたは連絡先を追加する |
共有メールボックスを設定して、ユーザーが一般的なメール アドレス (例: info@contoso.com |
共有メールボックスを作成する |
デバイス
| タスク | 追加情報 |
|---|---|
| Windows Autopilot を使用して新しいデバイスを設定および事前構成する、またはデバイスのリセット、再利用、回復を行う (Microsoft 365 Business Premiumに適用されます) |
Windows Autopilot の概要 |
| デバイスの現在の状態を表示して管理する | Microsoft Defender for Businessでデバイスを管理する |
| Defender for Business へのデバイスのオンボード | Defender for Business へのデバイスのオンボード |
| Defender for Businessからのオフボード デバイス | Defender for Businessからデバイスをオフボードする |
| Intune でデバイスを管理する |
Intuneを使用したデバイス管理とは Microsoft Intuneでデバイスを管理し、デバイス機能を制御する |
ドメイン
| タスク | 追加情報 |
|---|---|
| ドメイン (contoso.com など) を Microsoft 365 サブスクリプションに追加する | Microsoft 365 にドメインを追加する |
| ドメインの購入 | ドメイン名を購入する |
| ドメインを削除する | ドメインを削除する |
サブスクリプションと課金
| タスク | 追加情報 |
|---|---|
| 課金内容または請求書を表示する | Microsoft 365 for business のサブスクリプションの請求書を表示する |
| 支払い方法を管理する | 支払方法を管理する |
| 支払いの頻度を変更する | Microsoft 365 サブスクリプションの請求頻度を変更する |
| 請求先住所を変更する | ビジネス向け Microsoft 365 の請求先住所を変更する |