Share via

Microsoft Defender

  • [アーティクル]

Microsoft Defender XDR

Microsoft Defender XDRは、侵害前と侵害後の統合されたエンタープライズ防御スイートです。 Defender XDRは、エンドポイント、ID、電子メール、アプリ間で検出、防止、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供します。

FastTrack には、次のリモート ガイダンスが用意されています。

  • Microsoft 365 セキュリティ センターの概要を提供します。
    • 完全な攻撃範囲、影響を受けた資産、およびグループ化された自動修復アクションを確保することで、重要な内容に焦点を当てるなど、製品間インシデントの概要を提供します。
    • 自動自己修復によって侵害された資産、ユーザー、デバイス、メールボックスの調査を調整する方法を示Microsoft Defender XDR。
    • 顧客が複数のデータ セット間で電子メール、データ、デバイス、アカウントに影響を与える侵入試行と侵害アクティビティを事前に検出する方法の例を説明し、提供します。
    • Microsoft Secure Score を使用して、セキュリティ体制を全体的に確認して改善する方法をお客様に示します。

対象外

  • デプロイガイダンスまたは教育:
    • さまざまなアラートの種類と監視されるアクティビティを修復または解釈する方法。
    • ユーザー、コンピューター、横移動パス、またはエンティティを調査する方法。
    • カスタム脅威ハンティング。
  • セキュリティ情報とイベント管理 (SIEM) または API の統合。

Microsoft の高度なデプロイ ガイド

Microsoft は、Microsoft 365、Microsoft Viva、およびセキュリティ サービスの展開を支援するテクノロジとガイダンスをお客様に提供します。 お客様には、 これらの オファリングを使用してデプロイ体験を開始することをお勧めします。

IT 以外の管理者については、「 Microsoft 365 セットアップ」を参照してください。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Appsは、サービスとしての多目的ソフトウェア (SaaS) セキュリティ ソリューションです。 SaaS のセキュリティ体制管理、データ損失防止、アプリ間の保護、統合された脅威保護を組み合わせて、アプリの包括的なカバレッジを確保します。 SaaS セキュリティ アプローチを採用することで、構成ミスを簡単に特定できます。 これにより、アプリ全体の姿勢が向上し、機密データを保護するためのポリシーが実装され、アプリ間のシナリオが保護され、アプリだけが他のアプリ データにアクセスするための許容可能なアクセス許可を持つことが保証されます。 Microsoft Defender XDRにネイティブに統合する場合、お客様のような組織は、SaaS からのシグナルを使用して環境を積極的に探索し、アプリ、デバイス、ID、電子メール全体でインシデントに対処するメリットがあります。

FastTrack には、次のリモート ガイダンスが用意されています。

  • ポータルの構成:次を含みます。
    • ユーザー グループのインポート。
    • 管理者アクセスと設定の管理。
    • 監視または監視から除外する特定のユーザー グループを選択するようにデプロイをスコープします。
    • IP 範囲とタグを設定する方法。
    • ロゴとカスタム メッセージングを使用してエンド ユーザー エクスペリエンスをカスタマイズする。
  • 次のようなファースト パーティ サービスの統合:
    • Microsoft Defender for Endpoint。
    • Microsoft Defender for Identity。
    • Microsoft Entra ID 保護。
    • Microsoft Purview 情報保護。
  • 次を使用してクラウド検出を設定します。
    • エンドポイントのMicrosoft Defender。
    • Zscaler。
    • iboss.
  • アプリのタグとカテゴリの作成。
  • organizationの優先順位に基づいてアプリのリスク スコアをカスタマイズする。
  • アプリの承認と承認解除。
  • Defender for Cloud Apps と Cloud Discovery ダッシュボードを確認する。
  • アプリ ガバナンスの有効化。
    • 概要ページを通じて顧客をガイドし、最大 5 つの (5) アプリ ガバナンス ポリシーを作成します。
  • アプリ コネクタを使用して注目のアプリを接続する。
  • Microsoft Entra IDおよび Defender for Cloud Apps ポータル内の条件付きアクセスでアプリを条件付きアクセス アプリ制御で保護する。
  • 注目のアプリの条件付きアクセス アプリ制御をデプロイする。
  • 利用可能なアプリのセキュリティ スコアに関する推奨事項の SaaS セキュリティ体制管理 (SSPM) 機能を確認する。
  • アクティビティ ログとファイル ログの使用。
  • OAuth アプリの管理。
  • ポリシー テンプレートの確認と構成。
  • 上位の SaaS ユース ケース (最大 6 つのポリシーの作成または更新を含む) で構成支援を提供します。
  • Microsoft Defender ポータルでのインシデントの相関関係を理解する。

対象外

  • Defender for Cloud Apps を他の Cloud Access Security Broker (CASB) または SaaS セキュリティ オファリングと比較するディスカッション。
  • 特定のコンプライアンスまたは規制要件を満たすように Defender for Cloud Apps を構成する。
  • 運用環境以外のテスト環境にサービスをデプロイする。
  • 概念実証としての Cloud App Discovery のデプロイ。
  • Docker またはログ コレクターを使用して、継続的レポートの自動ログ アップロードのインフラストラクチャ、インストール、またはデプロイを設定する。
  • Cloud Discovery スナップショット レポートの作成。
  • ブロック スクリプトを使用してアプリの使用状況をブロックする。
  • Cloud Discovery へのカスタム アプリの追加。
  • 条件付きアクセス アプリ制御を使用してカスタム アプリを接続する。
  • 任意のアプリの条件付きアクセス アプリ制御のオンボードとデプロイ。
  • サード パーティの ID プロバイダー (IdP) およびデータ損失防止 (DLP) プロバイダーとの統合。
  • 高度な検出に関するトレーニングまたはガイダンス。
  • Microsoft Power Automate プレイブックを含む自動調査と修復。
  • SIEM または API の統合 (Microsoft Sentinel を含む)。

Microsoft の高度なデプロイ ガイド

Microsoft は、Microsoft 365、Microsoft Viva、およびセキュリティ サービスの展開を支援するテクノロジとガイダンスをお客様に提供します。 お客様には、 これらの オファリングを使用してデプロイ体験を開始することをお勧めします。

IT 以外の管理者については、「 Microsoft 365 セットアップ」を参照してください。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、エンタープライズ ネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたプラットフォームです。

FastTrack には、次のリモート ガイダンスが用意されています。

  • OS のバージョンとデバイス管理のアプローチ (Microsoft Intune、Microsoft Endpoint Configuration Manager、グループ ポリシー、サード パーティの構成を含む) と、Windows Defender AV サービスまたはその他のエンドポイント セキュリティ ソフトウェアの状態を評価します。
  • 次を使用して P1 と P2 Microsoft Defender for Endpointオンボードします。
    • ローカル スクリプト。
    • グループ ポリシー。
    • Intune。
    • Configuration Manager。
    • Defender for Endpoint セキュリティ設定の管理。
  • プロキシとファイアウォールを経由する Microsoft トラフィックに推奨される構成ガイダンスを提供し、インターネットに直接接続できないデバイスのネットワーク トラフィックを制限します。
  • サポートされている管理方法のいずれかを使用してエンドポイント検出および応答 (EDR) エージェント プロファイルをデプロイする方法を説明して、Defender for Endpoint サービスを有効にします。
  • デプロイ ガイダンス、構成支援、および次に関する教育:
    • 脆弱性管理コア機能。
    • 攻撃面の縮小。1
    • 次世代の保護。
    • エンドポイントの検出および応答。
    • 調査と修復の自動化。
    • デバイスのセキュリティ スコア。
    • Intuneを使用して SmartScreen 構成をMicrosoft Defenderします。
    • デバイス検出。2
  • シミュレーションとチュートリアル (プラクティス シナリオ、偽のマルウェア、自動調査など) を確認する。
  • レポート機能と脅威分析機能の概要。
  • Microsoft Defender for Office 365、Microsoft Defender for Identity、Defender for Cloud Apps と Defender for Endpoint の統合。
  • Microsoft Defender ポータルのチュートリアルを実行します。
  • 次のオペレーティング システムのオンボードと構成:
    • Windows 10/11(Windows 365 クラウド PC を含む)。
    • R2 をWindows Server 2012します。3
    • Windows Server 2016。3
    • Windows Server 2019。3
    • Windows Server 2022。3
    • Windows Server 2019 Core Edition。3
    • サポートされている macOS バージョン。
    • Android。4
    • Ios。4

1 攻撃面の縮小ルール、制御されたフォルダー アクセス、およびネットワーク保護のみがサポートされます。 その他の攻撃面の縮小機能はすべてスコープ内にありません。 詳細については、次 のスコープ外 のセクションを参照してください。

2 デバイス検出は、一部の側面のみがサポートされています。 詳細については、次 のスコープ外 のセクションを参照してください。

3 Windows Server 2012 R2 および 2016 のサポートは、統合エージェントのオンボードと構成に限定されます。 サーバーは、サポートされているバージョンのConfiguration Managerで管理する必要があります。

4 詳細については、モバイル脅威防御の詳細については、次 のスコープ外 のセクションを参照してください。

対象外

  • プレビュー機能のオンボードと有効化に関するガイダンス。
  • エンゲージメント中に発生した問題のトラブルシューティング (オンボードに失敗したデバイスを含む)。
  • Microsoft Defender for Businessのサポート。
  • 次の Defender for Endpoint エージェントのオンボードまたは構成:
    • Windows Server 2008。
    • Linux。
    • Azure Virtual Desktop およびサード パーティの VDI ソリューションを含む、仮想デスクトップ インフラストラクチャ (VDI) (永続的または非永続的)。
  • サーバーのオンボードと構成:
    • オフライン通信用のプロキシ サーバーの構成。
    • ダウンレベルのConfiguration ManagerインスタンスとバージョンでConfiguration Managerデプロイ パッケージを構成する。
    • Configuration Managerによって管理されていないサーバー。
    • Defender for Endpoint と Microsoft Defender for Servers の統合 (クラウド用Microsoft Defender)。
  • macOS のオンボードと構成:
    • JAMF ベースのデプロイ。
    • その他のモバイル デバイス管理 (MDM) 製品ベースの展開。
    • 手動デプロイ。
  • モバイル脅威防御のオンボードと構成 (Android および iOS):
    • アンマネージドは、独自のデバイス (BYOD) または他のエンタープライズ モビリティ管理システムによって管理されるデバイスを持ち込みます。
    • アプリ保護ポリシー (モバイル アプリ管理 (MAM) など) を設定します。
    • Android デバイス管理者が登録したデバイス。
    • 複数の VPN プロファイルの共存に関するサポート。
    • Intuneへのデバイスのオンボード。 オンボード のサポートの詳細については、「Microsoft Intune」を参照してください。
  • 次の攻撃面の縮小機能の構成:
    • ハードウェア ベースのアプリとブラウザーの分離 (Application Guardを含む)。
    • AppLocker やアプリケーションコントロールWindows Defender含むアプリ コントロール。
    • デバイス制御。
    • Exploit Protection。
    • ネットワークとエンドポイントのファイアウォール。
  • 次のようなアカウント保護機能の構成または管理:
    • Credential Guard。
    • ローカル ユーザー グループ メンバーシップ。
  • BitLocker の構成または管理。

注:

Windows 11に関する BitLocker のサポートについては、「Windows 11」を参照してください。

  • ネットワーク デバイス検出の構成または管理。
  • 次のデバイス検出機能の構成または管理:
    • FastTrack (Linux など) のスコープに含まれていないアンマネージド デバイスのオンボード。
    • Defender for IoT を使用した IoT デバイスの脆弱性評価を含む、モノのインターネット (IoT) デバイスの構成または修復。
    • サード パーティ製ツールとの統合。
    • デバイス検出の除外。
    • 予備的なネットワーク 支援。
    • ネットワークの問題のトラブルシューティング。
  • 攻撃シミュレーション (侵入テストを含む)。
  • Microsoft 脅威エキスパートの登録または構成。
  • API または SIEM 接続の構成またはトレーニング ガイダンス。
  • 高度な検出に関するトレーニングまたはガイダンス。
  • Kusto クエリの使用または作成に関するトレーニングまたはガイダンス。
  • グループ ポリシー オブジェクト (GPO)、Windows セキュリティ、または Microsoft Edge を使用した Defender SmartScreen 構成に関するトレーニングまたはガイダンス。
  • Defender 脆弱性管理アドオン。
  • Defender 脆弱性管理スタンドアロン。

これらのサービスについては、 Microsoft パートナー にお問い合わせください。

Microsoft の高度なデプロイ ガイド

Microsoft は、Microsoft 365、Microsoft Viva、およびセキュリティ サービスの展開を支援するテクノロジとガイダンスをお客様に提供します。 お客様には、 これらの オファリングを使用してデプロイ体験を開始することをお勧めします。

IT 以外の管理者については、「 Microsoft 365 セットアップ」を参照してください。

Microsoft Defender for Identity

Microsoft Defender for Identityはクラウドベースのセキュリティ ソリューションです。 オンプレミスの Active Directory 信号を利用して、高度な脅威、侵害された ID、組織に向けられた悪意のある内部関係者の操作を識別、検出、および調査します。

FastTrack には、次のリモート ガイダンスが用意されています。

  • リソース容量計画のためのサイズ設定ツールの実行。
  • Defender for Identity のインスタンスの作成。
  • Active Directory Domain Services (AD DS)、Active Directory フェデレーション サービス (AD FS) (AD FS)、および Active Directory Certificate Services (AD CS) 間での Windows イベント 収集の構成。
  • 役割グループを使用した管理者アクセスの管理。
  • 単一フォレスト環境と複数フォレスト環境の両方で、Active Directory ドメイン コントローラー上のセンサーをダウンロード、展開、構成する。
  • AD FS サーバー上のセンサーのダウンロード、展開、構成。
  • ポータルの構成(次を含む):
    • 機密性の高いアカウント、デバイス、またはグループにタグを付ける。
    • 正常性の問題とセキュリティ アラートに関する通知をEmailします。
    • アラートの除外。
    • スケジュールされたレポート。
  • デプロイ ガイダンス、構成支援、および次に関する教育を提供します。
    • Microsoft Secure Score 内の ID セキュリティ体制評価レポート。
    • ユーザー調査の優先度スコアとユーザー調査のランク付けレポート。
    • 非アクティブなユーザー レポート。
    • 侵害されたアカウントの修復オプション。
  • Advanced Threat Analytics (ATA) から Defender for Identity (該当する場合) への移行を容易にします。

対象外

  • 概念実証としての Defender for Identity の展開。
  • 次の Defender for Identity センサー アクティビティの展開または実行:
    • 手動での容量計画。
    • スタンドアロン センサーのデプロイ。
    • ネットワーク インターフェイス カード (NIC) チーミング アダプターを使用してセンサーを展開する。
    • サード パーティ製ツールを使用してセンサーをデプロイする。
    • Web プロキシ接続を介して Defender for Identity クラウド サービスに接続する。
  • グループ管理サービス アカウント (gMSA) を含む、ディレクトリ サービス アカウントの作成と構成、または Active Directory でのアクション アカウントの管理。
  • AD FS データベースのアクセス許可の作成と構成。
  • honeytokens アカウントまたはデバイスの作成と管理。
  • ネットワーク名解決 (NNR) を有効にする。
  • 削除済みオブジェクト コンテナーの有効化と構成。
  • デプロイガイダンスまたは教育:
    • さまざまなアラートの種類と監視されたアクティビティを修復または解釈する。
    • ユーザー、コンピューター、横移動パス、またはエンティティの調査。
    • 脅威または高度なハンティング。
    • インシデント対応。
  • Defender for Identity のセキュリティ アラート ラボ チュートリアルを提供する。
  • 指定されたセンサーを介して Syslog サーバーにセキュリティ アラートを送信することで、Defender for Identity が疑わしいアクティビティを検出したときに通知を提供します。
  • セキュリティ アカウント マネージャー リモート (SAMR) プロトコルを使用してクエリを実行するように Defender for Identity を構成し、特定のマシンのローカル管理者を識別します。
  • VPN 接続からユーザーのプロファイル ページに情報を追加するための VPN ソリューションの構成。
  • SIEM または API の統合 (Microsoft Sentinel を含む)。

ソース環境要件

  • Defender for Identity の前提条件に合わせて調整されています。
  • Active Directory、AD FS、および AD CS がデプロイされました。
  • Defender for Identity センサーをインストールする Active Directory ドメイン コントローラーには、Defender for Identity クラウド サービスへのインターネット接続があります。
    • Defender for Identity クラウド サービスと通信するには、ファイアウォールとプロキシを開く必要があります (*.atp.azure.com ポート 443 が開いている必要があります)。
  • 次のいずれかのサーバーで実行されているドメイン コントローラー:
    • Windows Server 2016。
    • windows Server 2019 とKB4487044 (OS ビルド 17763.316 以降)。
    • Windows Server 2022。
  • Microsoft .NET Framework 4.7 以降。
  • 少なくとも 6 GB のディスク領域が必要であり、10 GB が推奨されます。
  • ドメイン コントローラーに 2 つのコアと 6 GB の RAM がインストールされています。

Microsoft の高度なデプロイ ガイド

Microsoft は、Microsoft 365、Microsoft Viva、およびセキュリティ サービスの展開を支援するテクノロジとガイダンスをお客様に提供します。 お客様には、 これらの オファリングを使用してデプロイ体験を開始することをお勧めします。

IT 以外の管理者については、「 Microsoft 365 セットアップ」を参照してください。

Microsoft Defender for Office 365

Microsoft Defender for Office 365は、メール メッセージ、リンク (URL)、添付ファイル、Microsoft Teams、SharePoint、Outlook などのコラボレーション ツールによってもたらされる悪意のある脅威からorganizationを保護します。 脅威と脅威エクスプローラーなどのツールのリアルタイム ビューを使用すると、潜在的な脅威を捜索して先に進むことができます。 攻撃シミュレーショントレーニングを使用して、organizationで現実的な攻撃シナリオを実行します。 これらのシミュレートされた攻撃は、実際の攻撃が収益に影響を与える前に、脆弱なユーザーを特定して見つけるのに役立ちます。

FastTrack には、次のリモート ガイダンスが用意されています。

  • 構成アナライザーまたは推奨構成アナライザー (ORCA) Defender for Office 365確認する。
  • 評価モードの設定。
  • プリセット ポリシーの有効化、安全なリンク (安全なドキュメントを含む)、安全な添付ファイル、マルウェア対策、フィッシング対策、スパム対策、なりすまし対策、偽装、検疫ポリシー。
  • Teams 保護を有効にする。
  • ユーザーが報告したメッセージ設定の構成。
  • 攻撃シミュレーターの使用と高度な配信ポリシーの構成
  • テナント許可/ブロック リスト (TABL) の申請、電子メール エンティティ ページ、レポート、キャンペーン、脅威エクスプローラー、脅威分析の概要。
  • 0 時間自動消去 (ZAP) の自動化と調査と応答 (AIR) の概要。
  • Microsoft Defender ポータルでのインシデントの相関関係を理解する。
  • 現在の設定のインベントリの作成、メッセージを Microsoft 365 に変更する機能の移動、コネクタの強化されたフィルター処理の構成を除き、Microsoft のベスト プラクティス ガイダンスに従ってサードパーティ プロバイダーから移行する。

対象外

  • Defender for Office 365を他のセキュリティ オファリングと比較するディスカッション。
  • 概念実証としてのDefender for Office 365のデプロイ。
  • メール フロー分析。
  • 強化されたフィルター処理。
  • 高度な検出に関するトレーニングまたはガイダンス。
  • Microsoft Power Automate プレイブックとの統合。
  • SIEM または API の統合 (Microsoft Sentinel を含む)。

ソース環境要件

FastTrack コアオンボードに加えて、Exchange Onlineも構成する必要があります。

Microsoft の高度なデプロイ ガイド

Microsoft は、Microsoft 365、Microsoft Viva、およびセキュリティ サービスの展開を支援するテクノロジとガイダンスをお客様に提供します。 お客様には、 これらの オファリングを使用してデプロイ体験を開始することをお勧めします。

IT 以外の管理者については、「 Microsoft 365 セットアップ」を参照してください。