Defender ポータルでのMicrosoft Defender XDR
Microsoft 統合 SecOps プラットフォームのMicrosoft Defender XDRは、デバイスとエンドポイント、ID、電子メール、Microsoft 365 サービス、SaaS アプリなど、さまざまな資産にわたって脅威保護を統合および調整します。
Defender XDRは、Microsoft Defender ポータルの 1 つの場所からセキュリティの脅威を監視および管理できるように、資産全体の脅威シグナルとデータを統合します。
Defender XDRは、複数の Microsoft セキュリティ サービスを組み合わせたものです。
| サービス | 詳細 |
|---|---|
| Defender for Office 365を使用して電子メールの脅威から保護する | 電子メールとOffice 365リソースを保護するのに役立ちます。 |
| Defender for Endpoint を使用してデバイスを保護する | デバイスの予防保護、侵害後の検出、自動調査と対応を提供します。 |
| Defender for Identity を使用して Active Directory を保護する | Active Directory シグナルを使用して、高度な脅威、侵害された ID、悪意のあるインサイダー アクションを特定、検出、調査します。 |
| Defender for Cloud Appsを使用して SaaS クラウド アプリを保護する | SaaS および PaaS クラウド アプリの詳細な可視性、強力なデータ制御、強化された脅威保護を提供します。 |
| Microsoft Sentinelを使用して広範な脅威から保護する | Microsoft SentinelはDefender XDRとシームレスに統合され、両方の製品の機能を統合されたセキュリティ プラットフォームに組み合わせて、脅威の検出、調査、ハンティング、対応を行うことができます。 |
脅威の検出
Defender XDRは、継続的な脅威監視を提供します。 脅威が検出されると、 セキュリティ アラート が作成されます。 Defender は、関連するアラートとセキュリティシグナルを セキュリティ インシデントに自動的に集計します。
インシデントは、攻撃の全体像を定義します。 インシデントは、SOC チームが攻撃を理解し、より迅速に対応するのに役立ちます。 インシデントは、関連するアラート、攻撃の範囲と進行状況に関する情報、および攻撃に関連するエンティティと資産を収集します。
Defender ポータルの 1 つのインシデント キュー では、最新のアラートとインシデント、履歴データを完全に可視化できます。 インシデント キューを検索してクエリを実行し、重大度に基づいて応答に優先順位を付けることができます。
![Microsoft Defender ポータルの [インシデント] ページのスクリーンショット](media/defender-xdr-portal/incidents-page.png#lightbox)
横移動攻撃の検出
Defender for XDR には、人が操作する横移動を検出するための 詐欺機能 が含まれています。これは、ランサムウェアや電子メールの侵害などの一般的な攻撃でよく使用されます。
欺瞞機能は、おとり資産を生成します。 攻撃者がこれらの資産と対話すると、詐欺機能によって高信頼度のアラートが生成され、ポータルの [アラート] ページで表示できます。
脅威を自動的に中断する
Defender XDRは、進行中の攻撃を封じ込め、攻撃への影響を制限し、セキュリティ チームが対応する時間を増やすために、自動攻撃の中断を使用します。
自動中断は、100 万個の Defender 製品信号間のインシデント相関と、Microsoft のセキュリティ調査チームからの継続的な調査分析情報によって生成される忠実度の高い信号に依存して、高い信号対ノイズ比を確保します。
自動中断では、攻撃が検出されたときにDefender XDR応答アクションが使用されます。 応答には、資産の格納または無効化が含まれます。
攻撃の中断は、Defender XDR インシデント キューと特定のインシデント ページで明確にマークされます。
脅威を探す
プロアクティブ ハンティングでは、セキュリティ イベントとデータを検査および調査して、既知および潜在的なセキュリティの脅威を特定します。
Defender XDRは、Defender ポータルで脅威ハンティング機能を提供します。
高度なハンティング: SOC チームは、ポータルの Kusto 照会言語 (KQL) で高度なハンティングを使用して、エンタープライズ全体で脅威ハンティング用のカスタム クエリとルールを作成できます。 アナリストは、Defender XDR データ ソース全体の侵害、異常、疑わしいアクティビティのインジケーターを検索できます。
KQL に慣れていない場合、Defender XDRは、視覚的にクエリを作成するためのガイド付きモードと定義済みのクエリ テンプレートを提供します。
カスタム検出ルール: SOC チームは、高度なハンティングに加えて、イベントとシステムの状態を事前に監視して対応するための カスタム検出ルール を作成できます。 ルールは、アラートまたは自動応答アクションをトリガーできます。
脅威への対応
Defender for XDR には、 自動調査と対応 機能が用意されています。 自動化により、SOC チームが手動で処理する必要があるアラートの量が減ります。
アラートによってインシデントが作成されると、自動調査によって、脅威が検出されたかどうかを判断する判定が生成されます。 疑わしい脅威と悪意のある脅威が特定されると、修復アクションには、検疫へのファイルの送信、プロセスの停止、URL のブロック、デバイスの分離が含まれます。
自動調査と応答の概要は、ポータルの [ホーム] ページで確認できます。 保留中の修復アクションは、ポータルのアクション センターで処理されます。