Microsoft 365 Defender の Microsoft Defender for Endpoint

注意

Microsoft 365 Defender を体験してみませんか? Microsoft 365 Defenderを評価してパイロットする方法の詳細については、こちらを参照してください。

適用対象:

クイック リファレンス

次の図と表は、Microsoft Defender セキュリティ センターとMicrosoft 365 Defender間のナビゲーションの変更を示しています。

Microsoft Defender セキュリティ センター Microsoft 365 Defender
ダッシュ ボード
  • セキュリティ操作
  • 脅威の分析
Home
  • 脅威の分析
インシデント インシデントとアラート
デバイス一覧 デバイス一覧
アラート キュー インシデントとアラート
自動化された調査 アクション センター
高度な追及 検索
レポート レポート
パートナー& API パートナー& API
脅威&脆弱性管理 脆弱性管理
評価とチュートリアル 評価&チュートリアル
構成管理環境 構成管理環境
Settings Settings

強化されたMicrosoft 365 Defenderhttps://security.microsoft.comは、電子メール、コラボレーション、ID、デバイスの脅威を保護、検出、調査、および対応するセキュリティ機能を組み合わせたものです。 これにより、Microsoft Defender セキュリティ センターやOffice 365 セキュリティ & コンプライアンス センターなど、既存の Microsoft セキュリティ ポータルの機能がまとめられます。

Microsoft Defender セキュリティ センターに慣れている場合は、この記事では、Microsoft 365 Defenderの変更と機能強化の一部について説明するのに役立ちます。 ただし、注意すべき新しい要素と更新された要素がいくつかあります。

これまで、Microsoft Defender セキュリティ センターはMicrosoft Defender for Endpointのホームでした。 Enterpriseセキュリティ チームは、セキュリティ チームを使用して、潜在的な高度な永続的な脅威アクティビティまたはデータ侵害のアラートの監視と対応を支援してきました。 ポータルの数を減らすために、Microsoft 365 Defenderは、Microsoft ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視および管理するためのホームになります。

Microsoft 365 DefenderのMicrosoft Defender for Endpointでは、Microsoft Defender セキュリティ センターでアクセスが許可されるのと同じ方法でマネージド セキュリティ サービス プロバイダー (MSSP) へのアクセスを許可できます。

重要

Microsoft 365 Defenderに表示される内容は、現在のサブスクリプションによって異なります。 たとえば、Microsoft Defender for Office 365のライセンスがない場合、[電子メール & コラボレーション] セクションは表示されません。

注意

Microsoft 365 Defenderは次の目的では使用できません。

  • 米国Government Community Cloud (GCC)
  • US Government Community Cloud High (GCC High)
  • 米国国防総省
  • 商用ライセンスを持つすべての米国政府機関

Microsoft 365 Defenderを見てみましょうhttps://security.microsoft.com

利点の詳細を確認する: Microsoft 365 Defenderの概要

変更内容

この表は、Microsoft Defender セキュリティ センターとMicrosoft 365 Defenderの間の変更のクイック リファレンスです。

アラートとアクション

分野 変更の説明
インシデント&アラート Microsoft 365 Defenderでは、すべてのエンドポイント、電子メール、ID でインシデントとアラートを管理できます。 関連するイベントをより簡単に見つけられるように、エクスペリエンスを集約しました。 詳細については、「 インシデントの概要」を参照してください。
検索 id テーブルと電子メール テーブルを含めるためにMicrosoft Defender for Endpointで作成されたカスタム検出ルールを変更すると、自動的にMicrosoft 365 Defenderに移動されます。 対応するアラートは、Microsoft 365 Defenderにも表示されます。 これらの変更の詳細については、「 カスタム検出規則の移行」を参照してください。

高度なハンティングのテーブルはDeviceAlertEvents、Microsoft 365 Defenderでは使用できません。 Microsoft 365 Defenderでデバイス固有のアラート情報にクエリを実行するには、さまざまなソースのセットからさらに多くの情報に対応するために、テーブルとAlertEvidenceテーブルを使用AlertInfoします。 DeviceAlertEvents を使用せずに書き込みクエリに従って、次のデバイス関連のクエリを作成します
アクション センター 自動調査と修復アクションの後に実行された保留中のアクションと完了したアクションを一覧表示します。 以前は、Microsoft Defender セキュリティ センターのアクション センターには、デバイスでのみ実行された修復アクションの保留中と完了のアクションが一覧表示され、自動調査ではアラートと状態が一覧表示されました。 改善されたMicrosoft 365 Defenderでは、アクション センターは、電子メール、デバイス、ユーザー全体にわたる修復アクションと調査をすべて 1 つの場所にまとめます。
脅威の分析 ナビゲーション バーの上部に移動し、検出と使用を容易にします。 エンドポイントと電子メールとコラボレーションの両方の脅威情報が含まれるようになりました。

エンドポイント

分野 変更の説明
検索 検索バーはページの上部にあります。 入力時に提案が提供されます。 Defender for Endpoint と Defender for Identity では、次のエンティティを検索できます。

- デバイス - Defender for Endpoint と Defender for Identity の両方でサポートされます。 たとえば、"contains" を使用してホスト名の一部を検索するなど、検索演算子を使用することもできます。

- ユーザー - Defender for Endpoint と Defender for Identity の両方でサポートされています。

- ファイル、IP、URL - Defender for Endpoint と同じ機能。
注: *IP と URL の検索は完全に一致し、検索結果ページには表示されません。エンティティ ページに直接移動します。

- TVM - Defender for Endpoint と同じ機能 (脆弱性、ソフトウェア、推奨事項)。

強化された検索結果ページでは、すべてのエンティティからの結果が一元化されます。
ダッシュボード これはセキュリティ操作ダッシュボードです。 アクティブなアラートの数、どのデバイスが危険にさらされているか、どのユーザーが危険にさらされているか、アラート、デバイス、ユーザーの重大度レベルの概要を確認します。 センサーの問題、サービスの全体的な正常性、未解決のアラートが検出された方法についても確認できます。
デバイス一覧 変更はありません。
脆弱性管理 ナビゲーション ウィンドウに収まるように名前が短くされました。 脅威と脆弱性の管理 セクションと同じで、下のすべてのページが表示されます。
パートナーと API 変更はありません。
評価&チュートリアル 新しいテストと学習機能。
構成管理環境 変更はありません。

注意

自動調査と修復 がインシデントの一部になりました。 [ インシデント >調査] タブに自動調査と修復イベントが表示されます。

ヒント

デバイス検索は、Endpoints > Search から実行されます。

アクセスとレポート

分野 変更の説明
レポート 脅威の保護、デバイスの正常性とコンプライアンス、脆弱なデバイスなど、エンドポイントと電子メール &コラボレーションのレポートを参照してください。
正常性 現在、Microsoft 365 管理センターの [サービス正常性] ページにリンクしています。
Settings Microsoft 365 Defender、エンドポイント、電子メール &コラボレーション、ID、デバイス検出の設定を管理します。

Microsoft 365セキュリティ ナビゲーションと機能

左側のナビゲーションまたはクイック起動バーは見慣れたものに見えます。 ただし、Microsoft 365 Defender ポータルには、いくつかの新しい要素と更新された要素があります。

インシデントと警告

メール、デバイス、ID 全体でインシデントと通知の管理を 1 か所で行います。 アラート ページでは、攻撃信号を組み合わせて詳細なストーリーを構築することで、アラートに対する完全なコンテキストを提供します。 新しく統合されたエクスペリエンスにより、さまざまなワークロード全体で一貫した警告が表示されます。 トリアージ、調査、効果的なアクションをすばやく実行できます。

Microsoft 365 Defender ポータルの [アラートとアクション] クイック起動バー

検索

エンドポイント、Office 365 メールボックスなどに対する脅威、マルウェア、悪意のあるアクティビティを積極的に検索するために、高度な検索クエリを使用します。 これらの強力なクエリを使用して、既知の脅威と潜在的な脅威の両方の脅威インジケーターとエンティティを見つけて確認できます。

カスタム検出ルール は、高度なハンティング クエリから構築でき、侵害アクティビティや不適切な構成されたデバイスを示す可能性があるイベントを事前に監視するのに役立ちます。

アクション センター

アクション センターには、自動調査と自動応答機能によって作成された調査が表示されます。 この Microsoft 365 Defender の自動自己修復機能は、特定のイベントに自動的に応答することでセキュリティ チームを支援します。

アクション センターの詳細については、こちらを参照してください

脅威の分析

専門家の Microsoft セキュリティ調査員から脅威インテリジェンスを取得します。 脅威の分析は、新たな脅威に直面している場合に、セキュリティ チームの効率を向上するのに役立ちます。 脅威の分析には以下が含まれます。

  • Microsoft Defender for Office 365 からのメール関連の検出と移行。 これは、Microsoft Defender for Endpoint から既に利用できるエンドポイント データに加えて表示されます。
  • 脅威に関連するインシデントが表示されます。
  • レポート内のアクション可能な情報をすばやく認識して使用するための強化されたエクスペリエンス。

脅威分析には、Microsoft 365 Defenderの左上のナビゲーション バーから、または組織のトップ脅威を示す専用ダッシュボード カードからアクセスできます。

脅威分析を使用して 、新たな脅威を追跡して対応する方法の詳細を確認します。

[エンドポイント] セクション

組織内のエンドポイントのセキュリティを表示および管理します。 Microsoft Defender セキュリティ センターを使用した場合は、使い慣れた外観になります。

Microsoft 365 Defender ポータルの [Endpoints] クイック起動バー

アクセスとレポート

レポートの表示、設定の変更、およびユーザーの役割変更を行います。

Microsoft 365 Defender ポータルの [アクセスとレポート] クイック起動バー

SIEM API 接続

Defender for Endpoint SIEM API を使用する場合は、引き続き実行できます。 アラート ページまたは Microsoft 365 セキュリティ ポータルのインシデント ページを指す新しいリンクが API ペイロードに追加されました。 新しい API フィールドには、LinkToMTP と IncidentLinkToMTP が含まれます。 詳細については、「Microsoft Defender for EndpointからMicrosoft 365 Defenderへのアカウントのリダイレクト」を参照してください。

電子メール アラート

Defender for Endpoint には引き続き電子メール アラートを使用できます。 アラート ページまたはMicrosoft 365 Defenderのインシデント ページを指す新しいリンクが電子メールに追加されました。 詳細については、「Microsoft Defender for EndpointからMicrosoft 365 Defenderへのアカウントのリダイレクト」を参照してください。

マネージド セキュリティ サービス プロバイダー (MSSP)

同じ閲覧セッションで同時に複数のテナントにログインすることは、現在、統合ポータルではサポートされていません。 以前のMicrosoft Defender for Endpoint ポータルに戻すことで、自動リダイレクトをオプトアウトして、問題が解決するまでこの機能を維持できます。