Microsoft Defender for Endpoint をパイロットして展開する
適用対象:
- Microsoft Defender XDR
この記事では、組織内で Microsoft Defender for Endpoint をパイロットして展開するためのワークフローを提供します。 これらの推奨事項を使用して、Microsoft Defender for Endpoint を個々のサイバーセキュリティ ツールとして、または Microsoft Defender XDR を使用したエンド ツー エンド ソリューションの一部としてオンボードできます。
この記事では、運用環境の Microsoft 365 テナントがあり、この環境で Microsoft Defender for Endpoint をパイロットして展開していることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。
Defender for Endpoint は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの 「侵害によるビジネス上の損害を防止または軽減 する」シナリオを参照してください。
Microsoft Defender XDR のエンド ツー エンドの展開
これは、インシデントの調査や対応など、Microsoft Defender XDR のコンポーネントの展開に役立つシリーズの 6 の記事 4 です。
このシリーズの記事:
| 段階 | リンク |
|---|---|
| A. パイロットを開始する | パイロットを開始する |
| B. Microsoft Defender XDR コンポーネントをパイロットして展開する | - Defender for Identity をパイロットして展開する - Defender for Office 365 をパイロットして展開する - Defender for Endpoint をパイロットして展開する (この記事) - Microsoft Defender for Cloud Apps のパイロットとデプロイ |
| C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
Defender for Identity のワークフローをパイロットしてデプロイする
次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。
まず、製品またはサービスと、それが組織内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャまたは組織全体がカバーされるまで、デプロイの範囲を徐々に増やします。
運用環境で Defender for Identity をパイロットして展開するためのワークフローを次に示します。
次の手順を実行します。
デプロイ ステージごとに推奨される手順を次に示します。
| デプロイ ステージ | 説明 |
|---|---|
| 評価 | Defender for Endpoint の製品評価を実行します。 |
| パイロット | パイロット グループに対して手順 1 ~ 4 を実行します。 |
| 完全な展開 | 手順 3 でパイロット グループを構成するか、パイロットを超えて拡張し、最終的にすべてのデバイスを含むようにグループを追加します。 |
組織をハッカーから保護する
Defender for Identity は、独自の強力な保護を提供します。 ただし、Microsoft Defender XDR の他の機能と組み合わせると、Defender for Endpoint は共有シグナルにデータを提供し、攻撃を阻止するのに役立ちます。
サイバー攻撃の例と、Microsoft Defender XDR のコンポーネントが検出と軽減にどのように役立つかを次に示します。
Defender for Endpoint は、組織が管理するデバイスに対して悪用される可能性があるデバイスとネットワークの脆弱性を検出します。
Microsoft Defender XDR は、すべての Microsoft Defender コンポーネントからのシグナルを関連付けて、完全な攻撃ストーリーを提供します。
Defender for Endpoint アーキテクチャ
次の図は、Microsoft Defender for Endpoint のアーキテクチャと統合を示しています。
この表では、図について説明します。
| コールアウト | 説明 |
|---|---|
| 1 | デバイスは、サポートされている管理ツールの 1 つを介してオンボードされます。 |
| 2 | オンボード デバイスは、Microsoft Defender for Endpoint シグナル データを提供し、応答します。 |
| 3 | マネージド デバイスは、Microsoft Entra ID に参加または登録されます。 |
| 4 | ドメインに参加している Windows デバイスは、Microsoft Entra Connect を使用して Microsoft Entra ID に同期されます。 |
| 5 | Microsoft Defender for Endpoint のアラート、調査、応答は、Microsoft Defender XDR で管理されます。 |
ヒント
Microsoft Defender for Endpoint には、事前構成済みのデバイスを追加し、シミュレーションを実行してプラットフォームの機能を評価できる製品内評価ラボも付属しています。 ラボには、高度なハンティングや脅威分析などの多くの機能のガイダンスなど、Microsoft Defender for Endpoint の価値をすばやく示すのに役立つ、簡略化されたセットアップ エクスペリエンスが付属しています。 詳細については、「機能の 評価」を参照してください。 この記事で提供されるガイダンスと評価ラボの主な違いは、評価環境で運用デバイスを使用するのに対し、評価ラボでは非運用デバイスを使用することです。
手順 1: ライセンスの状態を確認する
まず、ライセンスの状態を確認して、適切にプロビジョニングされたことを確認する必要があります。 これを行うには、管理センターまたは Microsoft Azure portal を使用します。
ライセンスを表示するには、 Microsoft Azure portal に移動し、[ Microsoft Azure portal ライセンス] セクションに移動します。
![Microsoft Defender ポータルの [Azure ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-licensing-azure-portal.png)
または、管理センターで [課金>サブスクリプション] に移動します。
画面に、プロビジョニングされたすべてのライセンスとその現在の状態が表示 されます。
![Microsoft Azure portal の [課金ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-billing-subscriptions.png)
![Microsoft Defender ポータルの [Azure ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-licensing-azure-portal.png#lightbox)
![Microsoft Azure portal の [課金ライセンス] ページのスクリーンショット。](/ja-jp/defender/media/defender/atp-billing-subscriptions.png#lightbox)
手順 2: サポートされている管理ツールのいずれかを使用してエンドポイントをオンボードする
ライセンスの状態が正しくプロビジョニングされていることを確認したら、デバイスのサービスへのオンボードを開始できます。
Microsoft Defender for Endpoint を評価する目的で、評価を実施する Windows デバイスをいくつか選択することをお勧めします。
サポートされている管理ツールのいずれかを使用することもできますが、Intune では最適な統合が提供されます。 詳細については、「 Microsoft Intune で Microsoft Defender for Endpoint を構成する」を参照してください。
「 デプロイの計画」 トピックでは、Defender for Endpoint の展開に必要な一般的な手順について説明します。
このビデオでは、オンボード プロセスの概要と、使用可能なツールと方法について説明します。
オンボード ツール のオプション
次の表に、オンボードする必要があるエンドポイントに基づく使用可能なツールの一覧を示します。
| エンドポイント | ツール オプション |
|---|---|
| Windows | - ローカル スクリプト (最大 10 台のデバイス) - グループ ポリシー - Microsoft Intune/Mobile Device Manager - Microsoft Endpoint Configuration Manager - VDI スクリプト |
| macOS | - ローカル スクリプト - Microsoft Intune - JAMF Pro - モバイル デバイス管理 |
| iOS | アプリベース |
| Android | Microsoft Intune |
Microsoft Defender for Endpoint をパイロットする場合は、組織全体をオンボードする前に、いくつかのデバイスをサービスにオンボードすることを選択できます。
その後、攻撃シミュレーションの実行や Defender for Endpoint による悪意のあるアクティビティの表示方法など、使用可能な機能を試して、効率的な対応を行うことができます。
手順 3: パイロット グループを確認する
[評価の有効化] セクションで説明されているオンボード手順を完了すると、約 1 時間後に [デバイス インベントリ] リストにデバイスが表示されます。
オンボードされたデバイスが表示されたら、機能の試用に進むことができます。
手順 4: 機能を試す
一部のデバイスのオンボードを完了し、サービスに報告していることを確認したので、すぐに利用できる強力な機能を試して製品を理解します。
パイロット中に、複雑な構成手順を実行することなく、いくつかの機能を簡単に試して製品の動作を確認できます。
まず、ダッシュボードをチェックアウトします。
デバイス インベントリを表示する
デバイス インベントリは、ネットワーク内のエンドポイント、ネットワーク デバイス、IoT デバイスの一覧を表示する場所です。 ネットワーク内のデバイスのビューが提供されるだけでなく、ドメイン、リスク レベル、OS プラットフォームなどの詳細な情報も提供され、最も危険にさらされているデバイスを簡単に識別できます。
Microsoft Defender 脆弱性管理ダッシュボードを表示する
Defender 脆弱性管理は、組織に最も緊急かつ最も高いリスクをもたらす弱点に焦点を当てるのに役立ちます。 ダッシュボードから、組織の露出スコア、Microsoft Secure Score for Devices、デバイスの公開配布、上位のセキュリティに関する推奨事項、脆弱な上位のソフトウェア、上位の修復アクティビティ、上位の公開デバイス データの概要を確認します。
シミュレーションを実行する
Microsoft Defender for Endpoint には、パイロット デバイスで実行できる "Do It Yourself" 攻撃シナリオ が付属しています。 各ドキュメントには、OS とアプリケーションの要件と、攻撃シナリオに固有の詳細な手順が含まれています。 これらのスクリプトは安全で文書化されており、使いやすいです。 これらのシナリオでは、Defender for Endpoint の機能が反映され、調査エクスペリエンスについて説明します。
提供されたシミュレーションのいずれかを実行するには、少なくとも 1 つのオンボード デバイスが必要です。
ヘルプ>シミュレーション & チュートリアルで、シミュレートする使用可能な攻撃シナリオを選択します。
シナリオ 1: ドキュメントがバックドアをドロップ する - ソーシャル エンジニアリングされたルアー ドキュメントの配信をシミュレートします。 このドキュメントは、攻撃者に制御を与える特別に細工されたバックドアを起動します。
シナリオ 2: ファイルレス攻撃の PowerShell スクリプト - PowerShell に依存するファイルレス攻撃をシミュレートし、攻撃面の縮小と悪意のあるメモリ アクティビティのデバイス学習検出を示します。
シナリオ 3: 自動インシデント対応 - 自動調査をトリガーします。これにより、侵害アーティファクトを自動的に検索して修復してインシデント対応能力をスケーリングします。
選択したシナリオに付属の対応するチュートリアル ドキュメントをダウンロードして読みます。
[ ヘルプ>シミュレーション] & チュートリアルに移動して、シミュレーション ファイルをダウンロードするか、シミュレーション スクリプトをコピーします。 ファイルまたはスクリプトをテスト デバイスにダウンロードすることもできますが、必須ではありません。
チュートリアル ドキュメントの指示に従って、テスト デバイスでシミュレーション ファイルまたはスクリプトを実行します。
注:
シミュレーション ファイルまたはスクリプトは攻撃アクティビティを模倣しますが、実際には問題なく、テスト デバイスに損害を与えたり、侵害したりしません。
SIEM 統合
Defender for Endpoint を Microsoft Sentinel または汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinel を使用すると、組織全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して、効果的かつ迅速な対応を実現できます。
Microsoft Sentinel には、Defender for Endpoint コネクタが含まれています。 詳細については、「 Microsoft Sentinel 用 Microsoft Defender for Endpoint コネクタ」を参照してください。
汎用 SIEM システムとの統合の詳細については、「 Microsoft Defender for Endpoint で SIEM 統合を有効にする」を参照してください。
次の手順
Defender for Endpoint Security Operations Guide の情報を SecOps プロセスに組み込みます。
Microsoft Defender XDR のエンドツーエンド展開の次の手順
パイロットを使用して Microsoft Defender XDR のエンド ツー エンドの展開を続行 し、Microsoft Defender for Cloud Apps をデプロイします。
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示