セキュリティ ロードマップ - 最初の 30 日間、90 日間、およびそれ以降の最優先事項

注意

Microsoft 365 Defender を体験してみませんか? Microsoft 365 Defenderを評価してパイロットする方法の詳細については、こちらを参照してください。

この記事には、Microsoft 365環境を保護するためのセキュリティ機能を実装するための Microsoft のサイバーセキュリティ チームからの最高の推奨事項が含まれています。 この記事は、Microsoft Ignite セッション (サイバーセキュリティ担当者のようなセキュリティで保護されたMicrosoft 365: 最初の 30 日間、90 日間、およびそれ以降の最優先事項) から調整されています。 このセッションは、Mark Simos と Matt Kemelhar (Enterprise Cybersecurity Architects) によって開発され、発表されました。

この記事の内容:

ロードマップの成果

これらのロードマップの推奨事項は、次の目標を持つ論理的な順序で 3 つのフェーズにわたってステージングされます。

時間枠 結果
30 日間 迅速な構成:
  • 基本的な管理者保護。
  • ログ記録と分析。
  • 基本的な ID 保護。

テナントの構成。

関係者を準備する。

90 日間 高度な保護:
  • 管理者アカウント。
  • データとユーザー アカウント。

コンプライアンス、脅威、ユーザーのニーズを可視化します。

既定のポリシーと保護を調整して実装します。

を超えて キー ポリシーとコントロールを調整および調整します。

保護をオンプレミスの依存関係に拡張します。

ビジネスおよびセキュリティ プロセス (法的、インサイダーの脅威など) と統合します。

30 日間 — 強力なクイック 勝利

タスクはすぐに実行できますので、ユーザーへの影響は少なくて済みます。

分野 タスク
セキュリティ管理
脅威に対する保護 異常な動作に既定の脅威検出ポリシーを使用して監視を開始するMicrosoft Defender for Cloud AppsをConnect Microsoft 365します。 異常検出のベースラインを構築するには、7 日間かかります。

管理者アカウントの保護を実装する:

ID およびアクセス管理
情報保護 情報保護に関する推奨事項の例を確認します。 情報保護には、組織全体の調整が必要です。 次のリソースの使用を開始する:

90 日間 — 強化された保護

タスクの計画と実装に少し時間がかかりますが、セキュリティ体制は大幅に向上します。

分野 タスク
セキュリティ管理
  • お使いの環境に推奨されるアクションについては、セキュア スコアを確認してください (https://security.microsoft.com/securescore)。
  • Microsoft 365 Defender ポータル、Defender for Cloud アプリ、SIEM ツールでダッシュボードとレポートを定期的に確認し続けます。
  • ソフトウェア更新プログラムを探して実装します。
  • 攻撃シミュレーション トレーニング (Office 365脅威インテリジェンスに付属) を使用して、スピア フィッシング、パスワード スプレー、ブルートフォース パスワード攻撃の攻撃シミュレーションを実行します。
  • Defender for Cloud Apps の組み込みレポート ([調査] タブ) を確認して、リスクの共有を探します。
  • コンプライアンス マネージャーを確認して、組織に適用される規制 (GDPR、NIST 800-171 など) の状態を確認します。
脅威に対する保護 管理者アカウントの強化された保護を実装します。
  • 管理者アクティビティ 用に Privileged Access Workstations (PAW) を構成します。
  • Azure AD Privileged Identity Managementを構成します
  • Office 365、Defender for Cloud Apps、および AD FS を含むその他のサービスからログ データを収集するためのセキュリティ情報とイベント管理 (SIEM) ツールを構成します。 監査ログには、90 日間だけデータが格納されます。 SIEM ツールでこのデータをキャプチャすると、より長い期間データを格納できます。
ID およびアクセス管理
情報保護 情報保護ポリシーを調整して実装する。 これらのリソースには、次の例があります。

Microsoft 365に格納されたデータ (Defender for Cloud アプリの代わりに) に Microsoft Purview でデータ損失防止ポリシーと監視ツールを使用します。

高度なアラート機能 (データ損失防止以外) には、Defender for Cloud アプリとMicrosoft 365を使用します。

を超えて

これらは、前の作業に基づいて構築された重要なセキュリティ対策です。

分野 タスク
セキュリティ管理
  • セキュア スコア (https://security.microsoft.com/securescore) を使用して、次のアクションの計画を続行します。
  • Microsoft 365 Defender ポータル、Defender for Cloud アプリ、SIEM ツールでダッシュボードとレポートを定期的に確認し続けます。
  • ソフトウェア更新プログラムを引き続き検索して実装します。
  • 電子情報開示を法的および脅威対応プロセスに統合します。
脅威に対する保護
  • オンプレミスの ID コンポーネント (AD、AD FS) に セキュリティで保護された特権アクセス (SPA) を実装します。
  • Defender for Cloud アプリを使用して、インサイダーの脅威を監視します。
  • Defender for Cloud アプリを使用してシャドウ IT SaaS の使用状況を検出します。
ID およびアクセス管理
  • ポリシーと運用プロセスを絞り込みます。
  • Azure AD Identity Protection を使用してインサイダーの脅威を特定します。
情報保護 情報保護ポリシーを絞り込む:
  • 機密ラベルとデータ損失防止 (DLP)、または Azure Information ProtectionをMicrosoft 365してOffice 365します。
  • Defender for Cloud アプリのポリシーとアラート。

Petya や WannaCrypt などの迅速なサイバー攻撃を軽減する方法」も参照してください。