Microsoft の統合 SecOps プラットフォームをデプロイする

Microsoft の統合セキュリティ運用プラットフォームは、Microsoft Defenderポータル、Microsoft Sentinel、およびその他のMicrosoft Defender サービスの機能を組み合わせています。 このプラットフォームは、organizationのセキュリティ体制の包括的なビューを提供し、organization全体の脅威を検出、調査、対応するのに役立ちます。

Microsoft セキュリティ露出管理と Microsoft Threat Intelligence は、必須のアクセス許可で構成されたユーザーに対して、前提条件を満たす任意の環境で使用できます。

前提条件

• Microsoft の統合セキュリティ運用プラットフォームをデプロイする前に、ワークスペースの設計や、Microsoft Sentinelのコストと課金に関する理解など、計画が整っていることを確認してください。

  詳細については、「 統合セキュリティ運用プラットフォームの計画の概要」を参照してください。

Microsoft Defender XDR サービスをデプロイする

Microsoft Defender XDRは、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、サービス全体で主要な機能を統合することで、インシデント対応を統合します。Microsoft Defender for Cloud Apps、およびMicrosoft Defender for Identity。 この統合されたエクスペリエンスにより、Microsoft Defender ポータルでアクセスできる強力な機能が追加されます。

1. Microsoft Defender XDR必要なアクセス許可を持つ対象のお客様がポータルMicrosoft Defenderアクセスすると、自動的にオンになります。 詳細については、「Microsoft Defender XDRを有効にする」を参照してください。

2. 引き続き、Microsoft Defender XDR サービスをデプロイします。 次の順序を使用することをお勧めします。

   1. Microsoft Defender for Identityをデプロイします。

   2. Microsoft Defender for Office 365をデプロイします。

   3. Microsoft Defender for Endpointをデプロイします。 環境に関連するように、IoT デバイスのMicrosoft Defender 脆弱性の管理やエンタープライズ監視を追加します。

   4. Microsoft Defender for Cloud Appsをデプロイします。

Microsoft Entra ID 保護の構成

Microsoft Defender XDRは、Microsoft Entra ID 保護からのシグナルを取り込んで含めることができます。これは、数十億回のサインイン試行からのリスク データを評価し、環境への各サインインのリスクを評価します。 Microsoft Entra ID 保護データは、条件付きアクセス ポリシーの構成方法に応じて、アカウント アクセスを許可または禁止するために、Microsoft Entra IDによって使用されます。

セキュリティ体制を強化し、統合されたセキュリティ操作にMicrosoft Entraシグナルを追加するようにMicrosoft Entra ID 保護を構成します。 詳細については、「Microsoft Entra ID 保護 ポリシーを構成する」を参照してください。

Microsoft Defender for Cloud をデプロイする

Microsoft Defender for Cloud は、クラウド リソースに統合されたセキュリティ管理エクスペリエンスを提供し、Microsoft Defender XDRにシグナルを送信することもできます。 たとえば、まず Azure サブスクリプションを cloud 用のMicrosoft Defenderに接続してから、他のクラウド環境に進みます。

詳細については、「 Azure サブスクリプションを接続する」を参照してください。

Microsoft Security Copilotへのオンボード

高度な AI 機能を利用してセキュリティ運用を強化するために、Microsoft Security Copilotにオンボードします。 Security Copilotは、脅威の検出、調査、対応を支援し、潜在的な脅威を先取りするのに役立つ実用的な分析情報と推奨事項を提供します。 Security Copilotを使用して、日常的なタスクを自動化し、インシデントを検出して対応する時間を短縮し、セキュリティ チームの全体的な効率を向上させます。

詳細については、「Security Copilotの概要」を参照してください。

ワークスペースを設計し、Microsoft Sentinelにオンボードする

Microsoft Sentinelを使用する最初の手順は、Log Analytics ワークスペースをまだ作成していない場合に作成することです。 多くの環境では 1 つの Log Analytics ワークスペースで十分な場合がありますが、多くの組織では、コストを最適化し、さまざまなビジネス要件をより適切に満たすために複数のワークスペースを作成します。 Microsoft の統合セキュリティ運用プラットフォームでは、1 つのワークスペースのみがサポートされます。

1. ガバナンスのためにセキュリティ リソース グループを作成します。これにより、Microsoft Sentinel リソースとロールベースのアクセスをコレクションに分離できます。
2. セキュリティ リソース グループに Log Analytics ワークスペースを作成し、それにMicrosoft Sentinelオンボードします。

詳細については、「Microsoft Sentinelのオンボード」を参照してください。

ロールとアクセス許可を構成する

前に準備したアクセス プランに基づいてユーザーを プロビジョニングします。 ゼロ トラストの原則に準拠するには、ロールベースのアクセス制御 (RBAC) を使用して、環境全体へのアクセスを提供するのではなく、各ユーザーに対して許可され、関連するリソースにのみユーザー アクセスを提供することをお勧めします。

詳細については、以下を参照してください:

• Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) をアクティブ化する
• Microsoft Entra ID ロールをユーザーに割り当てる
• Azure ロールへのアクセス権をユーザーに付与する

統合 SecOps へのオンボード

Microsoft Sentinelを Defender ポータルにオンボードすると、インシデント管理や高度なハンティングなどのMicrosoft Defender XDRと機能を統合し、統合された SecOps プラットフォームを作成します。

1. コンテンツ ハブからMicrosoft Sentinel用のMicrosoft Defender XDR ソリューションをインストールします。 詳細については、「 すぐに使用するコンテンツのデプロイと管理」を参照してください。
2. Microsoft Defender XDR データ コネクタを有効にして、インシデントとアラートを収集します。 詳細については、「Microsoft Defender XDRからMicrosoft Sentinelにデータを接続する」を参照してください。
3. Microsoft の統合 SecOps プラットフォームにオンボードします。 詳細については、「Microsoft SentinelをMicrosoft Defenderに接続する」を参照してください。

システム構成を微調整する

デプロイを微調整するには、次のMicrosoft Sentinel構成オプションを使用します。

正常性と監査を有効にする

Microsoft Sentinelの [設定] ページの [監査と正常性の監視] 機能をオンにして、サポートされているMicrosoft Sentinel リソースの正常性を監視し、整合性を監査します。 最新の障害イベントや成功状態から失敗状態への変更、未承認のアクションなどの正常性ドリフトに関する分析情報を取得し、この情報を使用して通知やその他の自動アクションを作成します。

詳細については、「Microsoft Sentinelの監査と正常性の監視を有効にする」を参照してください。

Microsoft Sentinelコンテンツを構成する

デプロイを計画するときに選択したデータ ソースに基づいて、Microsoft Sentinel ソリューションをインストールし、データ コネクタを構成します。 Microsoft Sentinelには、さまざまな組み込みソリューションとデータ コネクタが用意されていますが、カスタム コネクタを構築し、CEF または Syslog ログを取り込むコネクタを設定することもできます。

詳細については、以下を参照してください:

• コンテンツを構成する
• すぐに使用Microsoft Sentinelコンテンツを検出して管理する
• データ コネクタを見つける

ユーザーとエンティティの動作分析 (UEBA) を有効にする

Microsoft Sentinelでデータ コネクタを設定したら、ユーザー エンティティの動作分析を有効にして、フィッシング攻撃やランサムウェアなどの最終的な攻撃につながる可能性のある疑わしい動作を特定してください。 詳細については、「Microsoft Sentinelで UEBA を有効にする」を参照してください。

対話型および長期的なデータ保持を設定する

対話型および長期的なデータ保持を設定して、organizationが長期的に重要なデータを保持するようにします。 詳細については、「 対話型および長期的なデータ保持の構成」を参照してください。

分析ルールを有効にする

分析ルールではMicrosoft Sentinel、重要と見なされる一連の条件を使用してイベントにアラートを送信するように指示します。 Microsoft Sentinelが行うすぐに使える決定は、ユーザー エンティティの行動分析 (UEBA) と、複数のデータ ソース間のデータの相関関係に基づいています。 Microsoft Sentinelの分析ルールを有効にする場合は、接続されたデータ ソース、組織のリスク、MITRE 戦術によって有効にすることを優先します。

詳細については、「Microsoft Sentinelでの脅威検出」を参照してください。

異常ルールを確認する

Microsoft Sentinel異常ルールはすぐに使用でき、既定で有効になっています。 異常ルールは、ユーザー、ホストなどの異常な動作にフラグを設定するために、ワークスペース内のデータをトレーニングする機械学習モデルと UEBA に基づいています。 各ルールの異常ルールと異常スコアのしきい値を確認します。 たとえば、誤検知を観察する場合は、ルールを複製してしきい値を変更することを検討してください。

詳細については、「 異常検出分析ルールの操作」を参照してください。

Microsoft Threat Intelligence 分析ルールを使用する

すぐに使用できる Microsoft Threat Intelligence 分析ルールを有効にし、 このルールが Microsoft によって生成された脅威インテリジェンスとログ データと一致することを確認します。 Microsoft には脅威インテリジェンス データの膨大なリポジトリがあり、この分析ルールは、そのサブセットを使用して、トリアージする SOC (セキュリティ オペレーション センター) チームの忠実度の高いアラートとインシデントを生成します。

重複するインシデントを回避する

Microsoft SentinelをMicrosoft Defenderに接続すると、Microsoft Defender XDR インシデントとMicrosoft Sentinel間の双方向同期が自動的に確立されます。 同じアラートに重複するインシデントを作成しないように、Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps、およびなど、Microsoft Defender XDR統合製品のすべての Microsoft インシデント作成ルールをオフにすることをお勧めします。Microsoft Entra ID 保護。

詳細については、「 Microsoft インシデントの作成 」を参照してください。

MITRE ATT&CK クロスウォークを実施する

融合、異常、脅威インテリジェンス分析ルールを有効にして、MITRE Att&ck クロスウォークを実行して、成熟した XDR (拡張検出と応答) プロセスの実装を有効にして完了する残りの分析ルールを決定するのに役立ちます。 これにより、攻撃のライフサイクル全体を通じて検出して対応することができます。

詳細については、「 セキュリティ カバレッジについて」を参照してください。