Microsoft 365 Security for Business Decision Makers (BDM)Microsoft 365 Security for Business Decision Makers (BDMs)

この記事では、Microsoft 365 環境で組織が現在直面している最も一般的な脅威と攻撃のシナリオと、これらのリスクを軽減するための推奨されるアクションについて説明します。This article discusses some of the most common threat and attack scenarios currently faced by organizations for their Microsoft 365 environments, and recommended actions for mitigating these risks. Microsoft 365 には、事前に構成されたさまざまなセキュリティ機能が付属しますが、クラウド サービスへのアクセスに使用される独自の ID、データ、およびデバイスをセキュリティで保護する責任を顧客として必要とします。While Microsoft 365 comes with a wide array of pre-configured security features, it also requires you as the customer to take responsibility to secure your own identities, data, and devices used to access cloud services. このガイダンスは、Kozeta Beam (Microsoft Cloud Security Architect) と Thiagaraj Sundararajan (Microsoft シニア コンサルタント) によって開発されました。This guidance was developed by Kozeta Beam (Microsoft Cloud Security Architect) and Thiagaraj Sundararajan (Microsoft Senior Consultant).

この記事は、テナント、電子メール、SharePoint などの最も重要なサービスと資産の管理に使用されるアカウントの保護から始まる、作業の優先順位によって整理されています。This article is organized by priority of work, starting with protecting those accounts used to administer the most critical services and assets, such as your tenant, e-mail, and SharePoint. これは、セキュリティにアプローチするための方法を提供し、次のスプレッドシートと一緒に動作し、組織内の関係者やチームとの進捗状況を追跡することができます 。Microsoft 365 security for BDMsスプレッドシート。It provides a methodical way for approaching security and works together with the following spreadsheet so you can track your progress with stakeholders and teams across your organization: Microsoft 365 security for BDMs spreadsheet.

Thumb image Microsoft 365 BDM セキュリティ推奨事項スプレッドシートThumb image Microsoft 365 BDM security recommendations spreadsheet

Microsoft は、テナント内の Secure Score ツールを提供し、通常のアクティビティに基づいてセキュリティの態勢を自動的に分析し、スコアを割り当て、セキュリティ改善の推奨事項を提供します。Microsoft provides you with the Secure Score tool within your tenant to automatically analyze your security posture based on your regular activities, assign a score, and provide security improvement recommendations. この記事で推奨されるアクションを実行する前に、現在のスコアと推奨事項に注意してください。Before taking the actions recommended in this article, take note of your current score and recommendations. この記事で推奨されるアクションは、スコアを増やします。The actions recommended in this article will increase your score. 目標は、最大スコアを達成するのではなく、ユーザーの生産性に悪影響を及ぼさない方法で環境を保護する機会を認識する方法です。The goal is not to achieve the max score, but to be aware of opportunities to protect your environment in a way that does not negatively affect productivity for your users. 「Microsoft Secure Score」を参照してくださいSee Microsoft Secure Score.


始める前にもう 1 つ。One more thing before we get started . .. .. 監査ログを 有効にしてくださいbe sure to turn on the audit log. インシデントや侵害を調査する必要がある場合は、後でこのデータが必要になります。You'll need this data later, in the event you need to investigate an incident or a breach.

特権アカウントの保護Protect privileged accounts

最初の手順として、これらのアカウントには重要なサービスとリソースを管理および変更するためのアクセス権とアクセス許可が付与され、侵害された場合に組織全体に悪影響を及ぼす可能性があるので、環境内の重要なアカウントに保護の層を追加することをお勧めします。As a first step, we recommend ensuring critical accounts in the environment are given an extra layer of protection as these accounts have access and permissions to manage and alter critical services and resources, which can negatively impact the entire organization, if compromised. 特権アカウントの保護は、侵害されたアカウントのアクセス許可を管理アカウントに昇格する攻撃者から保護する最も効果的な方法の 1 つです。Protecting privileged accounts is one of the most effective ways to protect against an attacker who seeks to elevate the permissions of a compromised account to an administrative one.

推奨事項Recommendation E3E3 E5E5
すべての管理アカウントに多要素認証 (MFA) を適用します。Enforce multi-factor authentication (MFA) for all administrative accounts. 緑のチェック マーク 緑のチェック マーク
Azure Active Directory (Azure AD) 特権 ID 管理 (PIM) を実装して、Azure のリソースと Azure リソースに just-in-time 特権アクセスAD適用します。Implement Azure Active Directory (Azure AD) Privileged Identity Management (PIM) to apply just-in-time privileged access to Azure AD and Azure resources. また、アクセス権を持つユーザーを検出し、特権アクセスを確認できます。You can also discover who has access and review privileged access. 緑のチェック マーク
特権アクセス管理を実装して、365 の特権管理者タスクに対する詳細なアクセス制御Officeします。Implement privileged access management to manage granular access control over privileged admin tasks in Office 365. 緑のチェック マーク
サービスを管理するには、特権アクセス ワークステーション (PAW) を構成して使用します。Configure and use Privileged Access Workstations (PAW) to administer services. インターネットを閲覧し、管理アカウントに関連しない電子メールを確認する場合は、同じワークステーションを使用しない。Do not use the same workstations for browsing the Internet and checking email not related to your administrative account. 緑のチェック マーク 緑のチェック マーク

次の図は、これらの機能を示しています。The following diagram illustrates these capabilities. 特権アカウントを保護するための推奨機能Recommended capabilities for protecting privileged accounts

追加の推奨事項:Additional recommendations:

  • オンプレミスから同期されるアカウントに、クラウド サービスの管理者ロールが割り当てられていないか確認します。Ensure accounts that are synchronized from on-premises are not assigned admin roles for cloud services. これにより、攻撃者がオンプレミス アカウントを適用してクラウド サービスへの管理アクセスを取得するのを防ぐのに役立ちます。This helps prevent an attacker from applying on-premises accounts to gain administrative access to cloud services.
  • サービス アカウントに管理者ロールが割り当てられていないか確認します。Ensure service accounts are not assigned admin roles. 多くの場合、これらのアカウントは監視され、有効期限が切れないパスワードで設定されます。These accounts are often not monitored and set with passwords that do not expire. まず、AADConnect および ADFS サービス アカウントが既定でグローバル管理者ではないか確認します。Start by ensuring the AADConnect and ADFS services accounts are not Global Admins by default.
  • 管理者アカウントからライセンスを削除します。Remove licenses from admin accounts. 特定の管理者アカウントにライセンスを割り当てる特定の使用例がない限り、これらのアカウントからライセンスを削除します。Unless there is a specific use case to assign licenses to specific admin accounts, remove licenses from these accounts.

攻撃の表面を減らすReduce the surface of attack

次のフォーカス領域は、攻撃の表面を減らすことです。The next focus area is reducing the surface of attack. これは、ユーザーとサービスへの最小限の労力と影響で実現できます。This can be accomplished with minimal effort and impact to your users and services. 攻撃の表面領域を減らすことで、攻撃者は組織に対して攻撃を開始する方法が少なくなっています。By reducing the surface area of attack, attackers have fewer ways to launch an attack against your organization.

次に例を示します。Here are some examples:

  • POP3、IMAP、および SMTP プロトコルを無効にします。Disable POP3, IMAP, and SMTP protocols. 最新のほとんどの組織では、これらの古いプロトコルは使用されなくなりました。Most modern organizations no longer use these older protocols. これらを安全に無効にし、必要に応じて例外のみを許可できます。You can safely disable these and allow exceptions only as needed.
  • テナント内のグローバル管理者の数を最小限に抑えます。Reduce and keep the number of Global Admins in the tenant to the absolute minimum required. これにより、すべてのクラウド アプリケーションの攻撃領域が直接減少します。This directly reduces the surface area of attack for all Cloud applications.
  • 環境で使用されなくなったサーバーとアプリケーションを廃止します。Retire servers and applications that are no longer used in your environment.
  • 使用されなくなったアカウントを無効にして削除するためのプロセスを実装します。Implement a process for disabling and deleting accounts that are no longer used.

既知の脅威から保護するProtect against known threats

既知の脅威には、マルウェア、侵害されたアカウント、フィッシングが含まれます。Known threats include malware, compromised accounts, and phishing. これらの脅威に対する一部の保護は、ユーザーに直接影響を与え、迅速に実装できる一方で、より多くの計画とユーザートレーニングが必要な場合もあります。Some protections against these threats can be implemented quickly with no direct impact to your users, while others require more planning and user training.

推奨事項Recommendation E3E3 E5E5
多要素認証をセットアップし、サインイン リスク ポリシーを 含む推奨条件付きアクセス ポリシーを使用します。Setup multi-factor authentication and use recommended conditional access policies, including sign-in risk policies. Microsoft では、すべてのクラウド アプリ (Office 365 サービスと Microsoft 365 サービスを含む) を保護するために、一連のポリシーを推奨し、テストしています。Microsoft recommends and has tested a set of policies that work together to protect all cloud apps, including Office 365 and Microsoft 365 services. 「Identity and device access configurations」を参照してくださいSee Identity and device access configurations. 緑のチェック マーク
すべてのユーザーに多要素認証が必要ですRequire multi-factor authentication for all users. 推奨される条件付きアクセス ポリシーを実装するために必要なライセンスが必要ない場合は、少なくともすべてのユーザーに多要素認証が必要です。If you don't have the licensing required to implement the recommended conditional access policies, at a minimum require multi-factor authentication for all users. 緑のチェック マーク 緑のチェック マーク
メール内のマルウェアに対する保護のレベルを上げるRaise the level of protection against malware in mail. 365 Office Microsoft 365 環境にはマルウェアに対する保護が含まれていますが、マルウェアに一般的に使用されるファイルの種類を含む添付ファイルをブロックすることで、この保護を強化できます。Your Office 365 or Microsoft 365 environment includes protection against malware, but you can increase this protection by blocking attachments with file types that are commonly used for malware. 緑のチェック マーク 緑のチェック マーク
標的型フィッシング攻撃からメールを保護しますProtect your email from targeted phishing attacks. Office 365 環境または Microsoft 365 環境用に 1 つ以上のカスタム ドメインを構成している場合は、ターゲットフィッシング対策保護を構成できます。If you've configured one or more custom domains for your Office 365 or Microsoft 365 environment, you can configure targeted anti-phishing protection. Office 365 用 Defender の一部であるフィッシング対策保護は、悪意のある偽装ベースのフィッシング攻撃や他のフィッシング攻撃から組織を保護するのに役立ちます。Anti-phishing protection, part of Defender for Office 365, can help protect your organization from malicious impersonation-based phishing attacks and other phishing attacks. カスタム ドメインを構成していない場合は、これを行う必要があります。If you haven't configured a custom domain, you do not need to do this. 緑のチェック マーク
電子メールでのランサムウェア攻撃から保護しますProtect against ransomware attacks in email. ランサムウェアは、ファイルを暗号化したり、コンピューターの画面をロックしたりして、データへのアクセスを取り去る。Ransomware takes away access to your data by encrypting files or locking computer screens. その後、データへのアクセスを返すのと引き換えに、通常はBitcoinのような暗号化の形で「身代金」を求め、被害者から金銭を強要しようとする。It then attempts to extort money from victims by asking for "ransom," usually in form of cryptocurrencies like Bitcoin, in exchange for returning access to your data. 1 つ以上のメール フロー ルールを作成して、ランサムウェアに一般的に使用されるファイル拡張子をブロックしたり、電子メールでこれらの添付ファイルを受け取るユーザーに警告したりすることで、ランサムウェアからの防御を支援できます。You can help defend against ransomware by creating one or more mail flow rules to block file extensions that are commonly used for ransomware, or to warn users who receive these attachments in email. 緑のチェック マーク 緑のチェック マーク
ビジネスを行う国からの接続をブロックしますBlock connections from countries that you don't do business with. Azure AD条件付きアクセス ポリシーを作成して、これらの国からの接続をブロックし、テナントの周囲に地理的ファイアウォールを効果的に作成します。Create an Azure AD conditional access policy to block any connections coming from these countries, effectively creating a geo firewall around your tenant. 緑のチェック マーク

次の図は、これらの機能を示しています。The following diagram illustrates these capabilities. 既知の脅威から保護するための推奨機能Recommended capabilities for protecting against known threats

未知の脅威から保護するProtect against unknown threats

特権アカウントに追加の保護を追加し、既知の攻撃から保護した後、未知の脅威からの保護に注意を移してください。After adding extra protections to your privileged accounts and protecting against known attacks, shift your attention to protecting against unknown threats. より決定された高度な敵対者は、組織を攻撃するために革新的で新しい未知の方法を使用します。The more determined and advanced adversaries use innovative and new, unknown methods to attack organizations. Microsoft は、数十億を超えるデバイス、アプリケーション、およびサービスを収集した膨大なデータを使用して、Windows、Office 365、Azure で Office 365 の Defender を実行して、Zero-Day 攻撃を防止し、サンド ボックス環境を利用し、コンテンツへのアクセスを許可する前に有効性を確認することができます。With Microsoft's vast telemetry of data gathered over billions of devices, applications, and services, we are able to perform Defender for Office 365 on Windows, Office 365, and Azure to prevent against Zero-Day attacks, utilizing sand box environments, and checking validity before allowing access to your content.

推奨事項Recommendation E3E3 E5E5
Microsoft Defender for Office 365:Configure Microsoft Defender for Office 365:
* 安全な添付ファイル* Safe Attachments
* 安全なリンク* Safe Links
* Microsoft Defender for Endpoint for SharePoint、OneDrive、Microsoft Teams* Microsoft Defender for Endpoint for SharePoint, OneDrive, and Microsoft Teams
* 365 保護のための Defender Officeフィッシング対策* Anti-phishing in Defender for Office 365 protection
緑のチェック マーク
Microsoft Defender for Endpoint の機能を構成しますConfigure Microsoft Defender for Endpoint capabilities:
* Windows Defenderウイルス対策* Windows Defender Antivirus
* エクスプロイト保護* Exploit protection
* 攻撃表面の縮小* Attack surface reduction
* ハードウェア ベースの分離* Hardware-based isolation
* フォルダー アクセスの制御* Controlled folder access
緑のチェック マーク
Microsoft Cloud App Security を使用して SaaS アプリを検出し、動作分析と異常検出の使用を開始します。Use Microsoft Cloud App Security to discover SaaS apps and begin to use behavior analytics and anomaly detection. 緑のチェック マーク

次の図は、これらの機能を示しています。The following diagram illustrates these capabilities. 不明な脅威から保護するための推奨機能Recommended capabilities for protecting against unknown threats

追加の推奨事項:Additional recommendations:

  • TLS を使用したメールのようなパートナー チャネル通信をセキュリティで保護します。Secure partner channel communications like Emails using TLS.
  • Teams フェデレーションは、通信するパートナーにのみ開きます。Open Teams Federation only to Partners you communicate with.
  • 送信者ドメイン、個々の送信者、または送信元 IP を許可リストに追加しない。これにより、スパムやマルウェアのチェックを回避できます。一般的な方法として、ユーザーが独自の受け入れドメインや、電子メール フローの問題が許可リストに報告されている可能性のあるその他のドメインを追加します。Do not add sender domains, individual senders, or source IPs to your allowlist as this allows these to bypass spam and malware checks — A common practice with customers is adding their own accepted domains or a number of other domains where email flow issues may have been reported to the allowlist. [スパムと接続フィルター] ボックスの一覧にドメインを追加しない場合は、すべてのスパム チェックがバイパスされる可能性があります。Do not add domains in the Spam and Connection Filtering list as this potentially bypasses all spam checks.
  • 送信スパム通知を有効にする - 内部ユーザーが外部からスパムメールを送信している場合に、ヘルプデスクまたは IT 管理者チームに内部的に配布リストへの送信スパム通知を有効にします。Enable outbound spam notifications — Enable outbound spam notifications to a distribution list internally to the Helpdesk or IT Admin team to report if any of the internal users are sending out Spam emails externally. これは、アカウントが侵害されたというインジケーターである可能性があります。This could be an indicator that the account has been compromised.
  • すべてのユーザーに対してリモート PowerShell を無効にします。リモート PowerShell は主に管理者が管理目的またはプログラムによる API アクセスのためにサービスにアクセスするために使用されます。Disable Remote PowerShell for all users — Remote PowerShell is mainly used by Admins to access services for administrative purposes or programmatic API access. 管理者以外のユーザーがアクセスするビジネス要件がない限り、管理者以外のユーザーに対してこのオプションを無効にし、偵察を避けることをお勧めします。We recommended disabling this option for non-Admin users to avoid reconnaissance unless they have a business requirement to access it.
  • 管理者以外のすべてのユーザーに対する Microsoft Azure 管理ポータルへのアクセスをブロックします。Block access to the Microsoft Azure Management portal to all non-administrators. これを行うには、管理者を除くすべてのユーザーをブロックする条件付きアクセス ルールを作成します。You can accomplish this by creating a conditional access rule to block all users, except for admins.

違反を想定するAssume breach

Microsoft は、脅威や攻撃を防止するためにあらゆる手段を講じながら、常に "違反を想定する" 考え方で作業することをお勧めします。While Microsoft takes every possible measure to prevent against threats and attacks, we recommend always working under the "Assume Breach" mindset. 攻撃者が何とか環境に侵入した場合でも、攻撃者が環境からデータや ID 情報を引き出さなくてもいいです。Even if an Attacker has managed to intrude into the environment, we need to make sure they are unable to exfiltrate data or identity information from the environment. このため、社会保障番号、クレジット カード番号、追加の個人情報、その他の組織レベルの機密情報などの機密データ漏洩に対する保護を有効にすることをお勧めします。For this reason, we recommend enabling protection against sensitive data leaks such as Social Security numbers, credit cards numbers, additional personal information, and other organizational level confidential information.

"違反を想定する" という考え方では、ゼロトラスト ネットワーク戦略を実装する必要があります。つまり、ユーザーがネットワークの内部であるからといって完全に信頼されていないという意味です。The "Assume Breach" mindset requires implementing a zero trust network strategy, which means users are not fully trusted just because they are internal to the network. 代わりに、ユーザーが実行できる操作の承認の一環として、条件のセットが指定され、そのような条件が満たされた場合、特定のコントロールが適用されます。Instead, as part of authorization of what users can do, sets of conditions are specified, and when such conditions are met, certain controls are enforced. 条件には、デバイスの正常性状態、アクセスするアプリケーション、実行されている操作、およびユーザー リスクが含まれます。Conditions may include device health status, application being accessed, operations being performed, and user risk. たとえば、デバイス登録アクションは常に MFA 認証をトリガーして、ルージュ デバイスが環境に追加されていないことを確認する必要があります。For example, a device enrollment action should always trigger MFA authentication to ensure no rouge devices are added to your environment.

また、ゼロトラスト ネットワーク戦略では、情報の保存場所を知り、分類、保護、保持に適切なコントロールを適用する必要があります。A zero trust network strategy also requires that you know where your information is stored and apply appropriate controls for classification, protection, and retention. 最も重要で機密性の高い資産を効果的に保護するには、まず、これらの資産の場所を特定し、インベントリを取得する必要があります。これは困難な場合があります。To effectively protect your most critical and sensitive assets you need to first identify where these are located and take inventory, which can be challenging. 次に、組織と一緒にガバナンス戦略を定義します。Next, work with your organization to define a governance strategy. 組織の分類スキーマを定義し、ポリシー、ラベル、および条件を構成するには、慎重な計画と準備が必要です。Defining a classification schema for an organization and configuring policies, labels, and conditions require careful planning and preparation. これは IT に基づくプロセスではないと認識することが重要です。It is important to realize that this is not an IT driven process. 法務およびコンプライアンス チームと一緒に、組織のデータに適した分類とラベル付けスキーマを開発してください。Be sure to work with your legal and compliance team to develop an appropriate classification and labeling schema for your organization's data.

Microsoft 365 の情報保護機能は、ユーザーが持っている情報、保存場所、追加の保護が必要な情報を検出するのに役立ちます。Microsoft 365 information protection capabilities can help you discover what information you have, where it is stored, and which information requires additional protection. 情報保護は継続的なプロセスであり、Microsoft 365 の機能を使用すると、ユーザーが機密情報を使用して配布する方法、情報が現在保存されている場所、および情報が流れる場所を可視化できます。Information protection is a continuous process and Microsoft 365 capabilities provide you with visibility into how users are using and distributing sensitive information, where your information is currently stored, and where it flows. また、適切なラベルと保護が適用されるのを確認するために規制されている情報を扱うユーザーの方法も確認できます。You can also see how users handling information that is regulated to be sure the appropriate labels and protections are applied.

推奨事項Recommendation E3E3 E5E5
条件付きアクセスと関連するポリシー を確認して最適化し、ゼロトラスト ネットワークの目標に合わせて調整します。Review and optimize your conditional access and related policies to align with your objectives for a zero trust network. 既知の脅威からの保護には、一連の推奨ポリシー の実装が含まれますProtecting against known threats includes implementing a set of recommended policies. これらのポリシーの実装を確認して、ネットワークにアクセスしたハッカーからアプリとデータを保護します。Review your implementation of these policies to ensure you're protecting your apps and data against hackers who have gained access to your network. Windows 10 の推奨される Intune アプリ保護ポリシーでは、Windows 情報保護 (WIP) が有効です。The recommended Intune app protection policy for Windows 10 enables Windows Information Protection (WIP). WIP は、電子メール、ソーシャル メディア、パブリック クラウドなど、アプリやサービスを通じて組織データが偶発的に漏洩しないように保護します。WIP protects against accidental leaks of your organization data through apps and services, like email, social media, and the public cloud. 緑のチェック マーク
外部メール転送を無効にしますDisable external email forwarding. ユーザーのメールボックスにアクセスするハッカーは、メールを自動的に転送するメールボックスを設定することで、メールを盗む可能性があります。Hackers who gain access to a user's mailbox can steal your mail by setting the mailbox to automatically forward email. これは、ユーザーの認識がなくても発生する可能性があります。This can happen even without the user's awareness. メール フロー ルールを構成することで、この問題を回避できます。You can prevent this from happening by configuring a mail flow rule. 緑のチェック マーク 緑のチェック マーク
匿名の外部予定表の共有を無効にしますDisable anonymous external calendar sharing. 既定では、外部の匿名予定表の共有が許可されます。By default external anonymous calendar sharing is allowed. 予定表の共有を無効 にして、機密情報の潜在的なリークを減らします。Disable calendar sharing to reduce potential leaks of sensitive information. 緑のチェック マーク 緑のチェック マーク
機密データのデータ損失防止ポリシーを構成しますConfigure data loss prevention policies for sensitive data. セキュリティ コンプライアンス センターでデータ損失防止ポリシーを作成し、クレジット カード番号、社会保障番号、銀行口座番号などの機密データを検出して & 保護します。Create a Data Loss Prevention Policy in the Security & Compliance center to discover and protect sensitive data such as credit card numbers, Social Security numbers and bank account numbers. Microsoft 365 には、データ損失防止ポリシーで使用できる定義済みの機密情報の種類が多数含まれています。Microsoft 365 includes many predefined sensitive information types you can use in data loss prevention policies. また、環境に合った機密データ用に独自の機密情報の種類を作成することもできます。You can also create your own sensitive information types for sensitive data that is custom to your environment. 緑のチェック マーク 緑のチェック マーク
データ分類と情報保護ポリシーを実装しますImplement data classification and information protection policies. 機密ラベルを実装し、これらを使用して機密データを分類して保護を適用します。Implement sensitivity labels and use these to classify and apply protection to sensitive data. これらのラベルは、データ損失防止ポリシーでも使用できます。You can also use these labels in data loss prevention policies. Azure Information Protection ラベルを使用している場合は、他の管理センターで新しいラベルを作成しないようにすることをお勧めします。If you are using Azure Information Protection labels, we recommend that you avoid creating new labels in other admin centers. 緑のチェック マーク
Cloud App Security を使用して、サードパーティのアプリとサービスのデータを保護しますProtect data in third-party apps and services by using Cloud App Security. サードパーティのクラウド アプリ (Salesforce、Box、Dropbox など) 全体で機密情報を保護するために、Cloud App Security ポリシーを構成します。Configure Cloud App Security policies to protect sensitive information across third-party cloud apps, such as Salesforce, Box, or Dropbox. 機密情報の種類と、Cloud App Security ポリシーで作成した機密ラベルを使用して、SaaS アプリ全体に適用できます。You can use sensitive information types and the sensitivity labels you created in Cloud App Security policies and apply these across your SaaS apps.

Microsoft Cloud App Security を使用すると、さまざまな自動化プロセスを適用できます。Microsoft Cloud App Security allow you to enforce a wide range of automated processes. ポリシーは、継続的なコンプライアンス スキャン、法的な電子情報開示タスク、公開で共有される機密性の高いコンテンツの DLP を提供するために設定できます。Policies can be set to provide continuous compliance scans, legal eDiscovery tasks, DLP for sensitive content shared publicly, and more. Cloud App Security では、20 を超えるメタデータ フィルター (アクセス レベル、ファイルの種類など) に基づいて、任意の種類のファイルを監視できます。Cloud App Security can monitor any file type based on more than 20 metadata filters (for example, access level, file type).
緑のチェック マーク
Microsoft Defender for Endpoint を使用して 、ユーザーが自分の Windows デバイスに機密情報を保存している場合を識別しますUse Microsoft Defender for Endpoint to identify if users store sensitive information on their Windows devices. 緑のチェック マーク
AIP スキャナーを使用して 、サーバーとファイル共有間の情報を識別および分類しますUse AIP Scanner to identify and classify information across servers and file shares. AIP レポート ツールを使用して結果を表示し、適切なアクションを実行します。Use the AIP reporting tool to view the results and take appropriate actions. 緑のチェック マーク

次の図は、これらの機能を示しています。The following diagram illustrates these capabilities. 侵害から保護するための推奨機能Recommended capabilities for protecting against breach

継続的な監視と監査Continuous monitoring and auditing

Windows およびデバイスと共に Microsoft 365 環境の継続的な監視と監査は、侵入を迅速に検出して修復するために重要です。Last, but not least Continuous Monitoring and Auditing of the Microsoft 365 environment along with the Windows and Devices is critical to making sure you are able to quickly detect and remediate any intrusions. Secure Score、Security Center、Microsoft Intelligent Graph の高度な分析などのツールは、テナントに貴重な情報を提供し、膨大な量の脅威インテリジェンスとセキュリティ データをリンクして、比類のない脅威の保護と検出を提供します。Tools such as Secure Score, Security Center, and Microsoft Intelligent Graph's advanced analytics provide invaluable information into your tenant and link massive amounts of threat intelligence and security data to provide you unparalleled threat protection and detection.

推奨事項Recommendation E3E3 E5E5
監査ログ が有効 になっていることを確認します。Ensure the audit log is turned on. 緑のチェック マーク 緑のチェック マーク
週に 1 回セキュリティで保護されたスコアを確認する - セキュリティスコアは、会社のセキュリティ状態にアクセスし、セキュリティスコアの推奨事項に基づいてアクションを実行するための中心的な場所です。Review Secure Score weekly — Secure score is a central location to access the Security status of your company and take actions based on Secure score recommendations. このチェックは毎週実行する必要があります。It is recommended to perform this check weekly. 緑のチェック マーク 緑のチェック マーク
Microsoft Defender を 365 ツールOffice使用 します。Use Microsoft Defender for Office 365 tools:
* 脅威の調査と対応機能* Threat investigation and response capabilities
* 自動調査と対応* Automated investigation and response
緑のチェック マーク
エンドポイント に Microsoft Defender を使用する:Use Microsoft Defender for Endpoint:
* エンドポイントの検出と応答* Endpoint detection and response
* 自動調査と修復 セキュア スコア* Automated investigation and remediation Secure score
* 高度な検索* Advanced hunting
緑のチェック マーク
Microsoft Cloud App Security を使用して、クラウド アプリ全体で異常な動作を検出して、ランサムウェア、侵害されたユーザー、または不正なアプリケーションを特定し、リスクの高い使用状況を分析し、組織のリスクを制限するために自動的に修復します。Use Microsoft Cloud App Security to detect unusual behavior across cloud apps to identify ransomware, compromised users or rogue applications, analyze high-risk usage and remediate automatically to limit the risk to your organization. 緑のチェック マーク
Microsoft Azure Sentinel または 現在の SIEM ツールを使用して、環境全体の脅威を監視します。Use Microsoft Azure Sentinel or your current SIEM tool to monitor for threats across your environment. 緑のチェック マーク
Microsoft Defender for Identity を展開 して、オンプレミスの Active Directory 環境を対象とした脅威を監視および保護します。Deploy Microsoft Defender for Identity to monitor and protect against threats targeted to your on-premises Active Directory environment. 緑のチェック マーク
Azure Defender _ を使用 して、ハイブリッドワークロードとクラウド ワークロード全体の脅威を監視します。Use the Azure Defender _ to monitor for threats across hybrid and cloud workloads. Azure Defender_には、リソース時間またはトランザクションに基づいて支払われる無料の機能層と標準レベルの機能が含まれます。Azure Defender_ includes a free tier of capabilities and a standard tier of capabilities that are paid for based on resource hours or transactions.

次の図は、これらの機能を示しています。The following diagram illustrates these capabilities. 継続的な監視と監査に推奨される機能Recommended capabilities for continuous monitoring and auditing

推奨される監視アクションの上位:Top recommended monitoring actions:

  • Microsoft Secure Score を毎週確認 する - Secure score は、テナントのセキュリティ状態にアクセスし、トップ推奨事項に基づいてアクションを実行するための中心的な場所です。Review Microsoft Secure Score weekly — Secure score is a central location to access the security status of your tenant and to take actions based on top recommendations. このチェックは毎週実行する必要があります。It is recommended to perform this check weekly. Secure Score には、Azure AD、Intune、Cloud App Security、Microsoft Defender for Endpoint、および Microsoft Defender for Endpoint、および 365 Officeが含まれます。Secure Score includes recommendations from across Azure AD, Intune, Cloud App Security, and Microsoft Defender for Endpoint, as well as Office 365.
  • リスクの高いログインを 毎週確認する - Azure AD管理センターを使用して、リスクの高いサインインを毎週確認します。Review risky logins weekly — Use the Azure AD admin center to review risky sign-ins weekly. 推奨される ID およびデバイス アクセス ルール セットには、危険なサインインにパスワード変更を適用するポリシーが含まれています。The recommended identity and device access ruleset includes a policy to enforce password change on risky sign-ins.
  • マルウェアとフィッシング詐欺の上位ユーザーを毎週確認する - Microsoft Defender for Office 365 Threat Explorer を使用して、マルウェアとフィッシングを対象とした上位ユーザーを確認し、これらのユーザーが影響を受ける理由の根本原因を調べた。Review top malware and phished users weekly — Use Microsoft Defender for Office 365 Threat Explorer to review top users targeted with malware and phish and to find out the root cause of why these users are affected.