次の方法で共有

Defender for Office 365 をパイロットして展開する

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

この記事では、組織で Microsoft Defender for Office 365 をパイロットして展開するためのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender for Office 365 を個々のサイバーセキュリティ ツールとして、または Microsoft Defender XDR を使用したエンドツーエンド ソリューションの一部としてオンボードできます。

この記事では、運用環境の Microsoft 365 テナントがあり、この環境で Microsoft Defender for Office 365 をパイロットして展開していることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。

Defender for Office 365 は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの 「侵害によるビジネス上の損害を防止または軽減 する」シナリオを参照してください。

Microsoft Defender XDR のエンド ツー エンドの展開

これは、インシデントの調査や対応など、Microsoft Defender XDR のコンポーネントの展開に役立つシリーズの 6 の記事 3 です。

パイロットで Microsoft Defender for Office 365 を示し、Microsoft Defender XDR プロセスを展開する図。

このシリーズの記事:

段階 リンク
A. パイロットを開始する パイロットを開始する
B. Microsoft Defender XDR コンポーネントをパイロットして展開する - Defender for Identity をパイロットして展開する

- Defender for Office 365 をパイロットして展開 する (この記事)

- Defender for Endpoint のパイロットとデプロイ

- Microsoft Defender for Cloud Apps のパイロットとデプロイ
C. 脅威の調査と対応 インシデントの調査と対応を実践する

Defender for Office 365 のワークフローをパイロットして展開する

次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。

パイロット、評価、および完全なデプロイ導入フェーズの図。

まず、製品またはサービスと、それが組織内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャまたは組織全体がカバーされるまで、デプロイの範囲を徐々に増やします。

運用環境で Defender for Office 365 をパイロットおよび展開するためのワークフローを次に示します。 Microsoft Defender for Office 365 をパイロットして展開する手順を示す図。

次の手順を実行します。

  1. パブリック MX レコードを監査して確認する
  2. 承認済みドメインの監査
  3. 受信コネクタを監査する
  4. 評価をアクティブ化する
  5. パイロット グループを作成する
  6. 保護の構成
  7. 機能を試す

デプロイ ステージごとに推奨される手順を次に示します。

デプロイ ステージ 説明
評価 Defender for Office 365 の製品評価を実行します。
パイロット パイロット グループに対して手順 1 ~ 7 を実行します。
完全な展開 手順 5 でパイロット ユーザー グループを構成するか、パイロットを超えて拡張し、最終的にすべてのユーザー アカウントを含むようにユーザー グループを追加します。

Defender for Office 365 のアーキテクチャと要件

次の図は、サードパーティの SMTP ゲートウェイまたはオンプレミス統合を含めることができる Microsoft Defender for Office 365 のベースライン アーキテクチャを示しています。 ハイブリッド共存シナリオ (つまり、運用メールボックスはオンプレミスとオンラインの両方) では、より複雑な構成が必要であり、この記事や評価ガイダンスでは説明しません。

Microsoft Defender for Office 365 のアーキテクチャの図。

次の表に、この図を示します。

コールアウト 説明
1 外部送信者のホスト サーバーは、通常、MX レコードのパブリック DNS 参照を実行します。これにより、メッセージを中継するターゲット サーバーが提供されます。 この紹介は、Exchange Online (EXO) を直接使用することも、EXO に対してリレーするように構成された SMTP ゲートウェイでもかまいません。
2 Exchange Online Protection は、受信接続をネゴシエートして検証し、メッセージ ヘッダーとコンテンツを検査して、追加のポリシー、タグ付け、または処理が必要かどうかを判断します。
3 Exchange Online は、Microsoft Defender for Office 365 と統合され、より高度な脅威保護、軽減、修復を提供します。
4 迷惑メール、メールボックス ルール、またはその他の設定に関連するユーザー設定が評価およびトリガーされる、悪意のある、ブロックされた、検疫されていないメッセージが処理され、EXO の受信者に配信されます。
5 Microsoft Entra Connect を使用して、オンプレミスの Active Directory との統合を有効にして、メールが有効なオブジェクトとアカウントを Microsoft Entra ID と最終的に Exchange Online に同期およびプロビジョニングできます。
6 オンプレミス環境を統合する場合は、Exchange サーバーを使用して、メール関連の属性、設定、構成の管理と管理をサポートすることをお勧めします。
7 Microsoft Defender for Office 365 は、拡張検出と応答 (XDR) のために Microsoft Defender XDR にシグナルを共有します。

オンプレミスの統合は一般的ですが、省略可能です。 環境がクラウド専用の場合は、このガイダンスも有効です。

Defender for Office 365 の評価または運用パイロットが成功するには、次の前提条件が必要です。

  • 現在、すべての受信者メールボックスは Exchange Online にあります。
  • パブリック MX レコードは、EOP またはサードパーティの簡易メール転送プロトコル (SMTP) ゲートウェイに直接解決され、受信外部メールが EOP に直接中継されます。
  • プライマリ メール ドメインは、Exchange Online で 権限のある ドメインとして構成されています。
  • 必要に応じて 、ディレクトリ ベースのエッジ ブロッキング (DBEB) を正常にデプロイして構成しました。 詳細については、「 Directory-Based Edge ブロッキングを使用して無効な受信者に送信されたメッセージを拒否する」を参照してください。

重要

これらの要件が適用されない場合、またはハイブリッド共存シナリオにまだ存在する場合、Microsoft Defender for Office 365 の評価では、このガイダンスで完全に説明されていない、より複雑な構成または高度な構成が必要になる可能性があります。

手順 1: パブリック MX レコードを監査して確認する

Microsoft Defender for Office 365 を効果的に評価するには、テナントに関連付けられている Exchange Online Protection (EOP) インスタンスを介して受信外部メールを中継することが重要です。

  1. の M365 管理ポータルで https://admin.microsoft.com..を展開します。 必要に応じてすべてを表示し 、[設定] を展開し、[ ドメイン] を選択します。 または、[ ドメイン] ページに直接移動するには、 を使用 https://admin.microsoft.com/Adminportal/Home#/Domainsします。
  2. [ ドメイン] ページで、チェック ボックス以外のエントリの任意の場所をクリックして、確認済みのメール ドメインを選択します。
  3. 開いたドメインの詳細ポップアップで、[ DNS レコード ] タブを選択します。生成され、EOP テナントに割り当てられている MX レコードを書き留めます。
  4. 外部 (パブリック) DNS ゾーンにアクセスし、メール ドメインに関連付けられているプライマリ MX レコードを確認します。
    • パブリック MX レコードが現在、割り当てられた EOP アドレス (contoso-com.mail.protection.outlook.com など) と一致している場合は、それ以上のルーティング変更は必要ありません
    • パブリック MX レコードが現在サード パーティまたはオンプレミスの SMTP ゲートウェイに解決されている場合は、追加のルーティング構成が必要になる場合があります。
    • パブリック MX レコードが現在オンプレミスの Exchange に解決されている場合でも、一部の受信者メールボックスがまだ EXO に移行されていないハイブリッド モデルに存在する可能性があります。

手順 2: 承認済みドメインを監査する

  1. の Exchange 管理センター (EAC) で https://admin.exchange.microsoft.com、[ メール フロー] を展開し、[ 承認済みドメイン] をクリックします。 または、[ 承認済みドメイン ] ページに直接移動するには、 を使用 https://admin.exchange.microsoft.com/#/accepteddomainsします。
  2. [ 承認済みドメイン ] ページで、プライマリ メール ドメインの [ドメインの種類 ] の値を書き留めます。
    • ドメインの種類が [権限あり] に設定されている場合は、組織のすべての受信者メールボックスが現在 Exchange Online に存在していると見なされます。
    • ドメインの種類が InternalRelay に設定されている場合でも、一部の受信者メールボックスがまだオンプレミスに存在するハイブリッド モデルに属している可能性があります。

手順 3: 受信コネクタを監査する

  1. の Exchange 管理センター (EAC) で https://admin.exchange.microsoft.com、[ メール フロー] を展開し、[ コネクタ] をクリックします。 または、[コネクタ] ページに直接移動するには、https://admin.exchange.microsoft.com/#/connectors を使用します。
  2. [ コネクタ ] ページで、次の設定を使用してコネクタをメモします。
    • From 値は、サードパーティの SMTP ゲートウェイに関連付ける可能性があるパートナー組織です。
    • [From]\(開始\) の値は[組織] で、ハイブリッド シナリオにまだ参加していることを示している可能性があります。

手順 4: 評価をアクティブにする

Microsoft Defender ポータルから Microsoft Defender for Office 365 評価をアクティブ化するには、こちらの手順に従います。

詳細については、「 Microsoft Defender for Office 365 を試す」を参照してください。

  1. の Microsoft Defender ポータルで https://security.microsoft.com、[ 電子メール & コラボレーション> ] を展開し、[ ポリシー & ルール> ] を選択し、[ 脅威ポリシー> ] を下にスクロールして [ その他 ] セクションに移動し、[ 評価モード] を選択します。 または、[ 評価モード ] ページに直接移動するには、 を使用 https://security.microsoft.com/atpEvaluationします。

  2. [ 評価モード ] ページで、[ 評価の開始] をクリックします。

    [評価モード] ページと [評価の開始] ボタンをクリックするスクリーンショット。

  3. [ 保護を有効にする ] ダイアログで、[ いいえ、レポートのみを表示する] を選択し、[ 続行] をクリックします。

    [保護を有効にする] ダイアログと [いいえ、レポートのみを選択する] オプションのスクリーンショット。

  4. [ 含めるユーザーの選択 ] ダイアログで、[ すべてのユーザー] を選択し、[ 続行] をクリックします。

    [含めるユーザーの選択] ダイアログと、選択する [すべてのユーザー] オプションのスクリーンショット。

  5. [ メール フローの理解に役立つ ] ダイアログで、ドメインの MX レコードの検出に基づいて、次のいずれかのオプションが自動的に選択されます。

    • Microsoft Exchange Online のみを使用しています:ドメインの MX レコードは Microsoft 365 を指しています。 構成するものは何も残っていないので、[ 完了] をクリックします。

      [Microsoft Exchange Online のみを使用しています] オプションが選択されている [メール フローの理解に役立つ] ダイアログのスクリーンショット。

    • サード パーティまたはオンプレミスのサービス プロバイダーを使用しています:今後の画面で、そのソリューションからのメールを受け入れる受信コネクタと共にベンダー名を選択します。 また、サード パーティの保護サービスまたはデバイスからの受信メッセージのスパム フィルター処理をスキップする Exchange Online メール フロー ルール (トランスポート ルールとも呼ばれます) が必要かどうかを決定します。 完了したら、 [完了] をクリックします。

手順 5: パイロット グループを作成する

Microsoft Defender for Office 365 をパイロットする場合は、組織全体のポリシーを有効にして適用する前に、特定のユーザーをパイロットすることを選択できます。 配布グループを作成すると、デプロイ プロセスの管理に役立ちます。 たとえば、 Defender for Office 365 Users - Standard ProtectionDefender for Office 365 Users - Strict ProtectionDefender for Office 365 Users - Custom ProtectionDefender for Office 365 Users - Exceptions などのグループを作成します。

"Standard" と "Strict" がこれらのグループで使用される用語である理由は明らかではないかもしれませんが、Defender for Office 365 セキュリティ プリセットの詳細を調べると明らかになります。 名前付けグループ 'custom' と 'exception' は自分自身で話しますが、ほとんどのユーザーは 標準厳格なカスタムグループと例外グループに該当する必要がありますが、リスクの管理に関する貴重なデータが収集されます。

配布グループは、Exchange Online で直接作成および定義することも、オンプレミスの Active Directory から同期することもできます。

  1. Exchange Admin Center (EAC) https://admin.exchange.microsoft.com にサインインするには、受信者管理者ロールが付与されているか、グループ管理アクセス許可が委任されているアカウントを使用します。

  2. [受信者グループ] に移動します>。

    [グループ] メニュー項目のスクリーンショット。

  3. [ グループ ] ページで、[ グループ の追加] アイコンを選択します。グループを追加します

    [グループの追加] オプションのスクリーンショット。

  4. [グループの種類] で [ 配布] を選択し、[ 次へ] をクリックします。

    [グループの種類の選択] セクションのスクリーンショット。

  5. グループに [名前] とオプションの [説明] を指定し、[次へ] をクリックします。

    [基本のセットアップ] セクションのスクリーンショット。

  6. 残りのページで、所有者を割り当て、グループにメンバーを追加し、メール アドレス、参加/出発制限、およびその他の設定を設定します。

手順 6: 保護を構成する

Defender for Office 365 の一部の機能は既定で構成され、有効になっていますが、セキュリティ操作では、保護のレベルを既定から引き上げる必要がある場合があります。

一部の機能 はまだ構成されていません 。 保護を構成するには、次のオプションがあります (後で簡単に変更できます)。

  • ユーザーを事前設定されたセキュリティ ポリシーに割り当てる: すべての機能に対して一貫したレベルの保護をすばやく割り当てるには、事前設定された セキュリティ ポリシー を使用することをお勧めします。 [標準] または [厳密な保護] から選択できます。 Standard と Strict の設定については、こちらの表を参照 してください。 Standard と Strict の違いは、次の表にまとめ られています

    事前設定されたセキュリティ ポリシーの利点は、データセンター内の監視に基づいて Microsoft の推奨設定を使用して、ユーザーのグループをできるだけ迅速に保護することです。 新しい保護機能が追加され、セキュリティ環境が変化すると、事前設定されたセキュリティ ポリシーの設定が推奨設定に自動的に更新されます。

    既定のセキュリティ ポリシーの欠点は、既定のセキュリティ ポリシーのセキュリティ設定を実質的にカスタマイズできないことです (たとえば、アクションを配信から迷惑メールから検疫に変更したり、その逆に変更したりすることはできません)。 例外は、 ユーザー偽装とドメイン偽装保護のエントリと省略可能な例外であり、手動で構成する必要があります。

    また、事前設定されたセキュリティ ポリシーは、カスタム ポリシーの前 に常に 適用されます。 そのため、カスタム ポリシーを作成して使用する場合は、それらのカスタム ポリシーのユーザーを事前設定されたセキュリティ ポリシーから除外する必要があります。

  • カスタム保護ポリシーを構成する: 環境を自分で構成する場合は、EOP と Microsoft Defender for Office 365 のセキュリティの推奨設定で、既定の Standard と Strict の設定を比較します。 カスタム ビルドが逸脱した場所のスプレッドシートを保持します。

    構成アナライザーを使用して、カスタム ポリシーの設定を Standard 値と Strict 値と比較することもできます。

事前設定されたセキュリティ ポリシーとカスタム ポリシーの選択の詳細については、「 保護ポリシー戦略を決定する」を参照してください。

事前設定されたセキュリティ ポリシーを割り当てる

評価の一環として、特定のパイロット ユーザーまたは定義済みのグループに割り当てることで、EOP と Defender for Office 365 の 事前設定されたセキュリティ ポリシー を迅速に使用することをお勧めします。 事前設定されたポリシーは、ベースライン 標準 保護テンプレートまたはより積極的な 厳格 な保護テンプレートを提供します。これは個別に割り当てることができます。

たとえば、パイロット評価の EOP 条件は、受信者が定義された EOP Standard Protection グループのメンバーである場合に適用し、そのグループにアカウントを追加するか、グループからアカウントを削除することによって管理できます。

同様に、Defender for Office 365 条件は、受信者が定義済みの Defender for Office 365 Standard Protection グループのメンバーであり、グループを介してアカウントを追加または削除することによって管理される場合に、パイロット評価の Defender for Office 365 条件を適用できます。

完全な手順については、「 Microsoft Defender ポータルを使用して Standard および Strict の事前設定されたセキュリティ ポリシーをユーザーに割り当てる」を参照してください。

カスタム保護ポリシーを構成する

定義済みの Standard または Strict Defender for Office 365 ポリシー テンプレートは、パイロット ユーザーに推奨されるベースライン保護を提供します。 ただし、評価の一環としてカスタム保護ポリシーを構築して割り当てることもできます。

「事前設定されたセキュリティ ポリシーやその他のポリシーの優先順位」で説明されているように、これらの保護ポリシーが適用および適用されるときに適用される優先順位に注意することが重要です。

「保護ポリシーの構成」の説明と表は、構成する必要がある内容に関する便利なリファレンスです。

手順 7: 機能を試す

パイロットのセットアップと構成が完了したら、Microsoft Defender for Microsoft 365 に固有のレポート、監視、攻撃のシミュレーション ツールについて理解を深めるのに役立ちます。

機能 説明 詳細情報
脅威エクスプローラー 脅威エクスプローラーは、セキュリティ運用チームが脅威を調査して対応するのに役立つ強力なほぼリアルタイムのツールであり、検出されたマルウェアとフィッシングに関する情報を Office 365 のメールやファイルに表示したり、組織に対するその他のセキュリティの脅威やリスクを表示したりできます。 脅威エクスプローラーについて
攻撃シミュレーション トレーニング Microsoft Defender ポータルで攻撃シミュレーション トレーニングを使用して、組織で現実的な攻撃シナリオを実行できます。これは、実際の攻撃が環境に影響を与える前に脆弱なユーザーを特定して見つけるのに役立ちます。 攻撃シミュレーション トレーニングの使用を開始する
レポート ダッシュボード 左側のナビゲーション メニューで、[レポート] をクリックし、[メール & コラボレーション] 見出しを展開します。 電子メール & コラボレーション レポートは、セキュリティの傾向を見つけることに関するレポートであり、その中には、アクションを実行できるもの ([送信に移動] などのボタンを使用)、傾向を示すその他のレポートがあります。 これらのメトリックは自動的に生成されます。 Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する

Microsoft Defender ポータルで Defender for Office 365 レポートを表示する

SIEM 統合

Defender for Office 365 を Microsoft Sentinel または一般的なセキュリティ情報とイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinel を使用すると、組織全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して、効果的かつ迅速な対応を実現できます。

MICROSOFT Defender for Office 365 と SIEM 統合のアーキテクチャを示す図。

Microsoft Sentinel には、Defender for Office 365 コネクタが含まれています。 詳細については、「 Microsoft Defender for Office 365 からのアラートの接続」を参照してください。

Microsoft Defender for Office 365 は、 Office 365 Activity Management API を使用して他の SIEM ソリューションに統合することもできます。 汎用 SIEM システムとの統合の詳細については、「 汎用 SIEM 統合」を参照してください。

次の手順

Microsoft Defender for Office 365 セキュリティ運用ガイドの情報を SecOps プロセスに組み込みます。

Microsoft Defender XDR のエンドツーエンド展開の次の手順

パイロットを使用して Microsoft Defender XDR のエンド ツー エンドの展開を続行 し、Defender for Endpoint をデプロイします

パイロットで Microsoft Defender for Endpoint を示し、Microsoft Defender XDR プロセスを展開する図。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。