Microsoft Defender XDR セキュリティ サービスを使用して第 2 の防御レイヤーを構築する

Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager

ソリューションのアイデア

この記事ではソリューションのアイデアについて説明します。 クラウド アーキテクトはこのガイダンスを使用すると、このアーキテクチャの一般的な実装の主要コンポーネントを視覚化しやすくなります。 ワークロードの特定の要件に適合する、適切に設計されたソリューションを設計するための出発点として、この記事を使用してください。

多くの組織はハイブリッド環境で動作し、リソースはAzureとオンプレミスの両方でホストされています。 仮想マシン (VM)、Azure アプリケーション、Microsoft Entra IDなどのほとんどのAzureリソースは、Azureの組み込みのセキュリティ サービスを使用してセキュリティで保護できます。

さらに、組織は、Word、Excel、PowerPoint、Exchange Onlineなどのアプリケーションをユーザーに提供するために、Microsoft 365を頻繁にサブスクライブします。 Microsoft 365には、最も広く使用されているAzureリソースの一部に保護レイヤーを追加するために使用できるセキュリティ サービスも用意されています。

Microsoft 365セキュリティ サービスを効果的に利用するには、主要な用語とMicrosoft 365 サービスの構造を理解することが重要です。 5 部構成の記事の 4 番目となる今回は、これまでの記事で取り上げた概念に基づき、特に以下の点に着目して、これらのトピックについてさらに詳しく説明します。

Microsoft 365とOffice 365は、強力なセキュリティ、信頼性、およびユーザーの生産性の向上に対する組織のニーズに対応するように設計されたクラウドベースのサービスです。 Microsoft 365には、Power Automate、Forms、Stream、Sway、Office 365などのサービスが含まれます。 Office 365には、使い慣れた一連の生産性アプリケーションが特に含まれています。 これら 2 つのサービスのサブスクリプション オプションの詳細については、「Microsoft 365 およびプラン オプションのOffice 365を参照してください。

Microsoft 365用に取得したライセンスに応じて、Microsoft 365のセキュリティ サービスを取得することもできます。 これらのセキュリティ サービスは、複数のサービスを提供する Microsoft Defender XDR と呼ばれます。

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office
  • Microsoft Defender for Cloud Apps
  • "security.microsoft.com" を介してアクセスされる "Microsoft Defender for Cloud Apps" は、"portal.azure.com" を介してアクセスされる別のセキュリティ ソリューションである "Microsoft Defender for Cloud" とは異なります。

次の図は、すべてのサービスが一覧に表示されているわけではありませんが、Microsoft 365提供されるソリューションとメイン サービスの関係を示しています。

Microsoft 365 に含まれるサービスと製品のダイアグラム

考えられるユース ケース

多くの場合、Microsoft 365セキュリティ サービスとその IT サイバーセキュリティにおける役割について混乱します。 この混乱の主な原因は、Microsoft Defender for Cloud (以前のAzure Security Center) や Defender for Cloud Apps (旧称 Microsoft Cloud App Security) などの一部のAzureセキュリティ サービスなど、名前の類似性に起因します。

ただし、混乱の原因は用語だけではありません。 一部のサービスでは同様の保護が提供されますが、対象となるリソースが異なっています。 たとえば、Defender for Identity と Azure Identity Protection はどちらも ID サービスを保護しますが、Defender for Identity はオンプレミス ID (Active Directory Domain Services と Kerberos 認証を使用) をセキュリティで保護し、Azure Identity Protection はクラウド ID をセキュリティで保護します (Microsoft Entra IDおよび OAuth 認証)。

これらの例は、Microsoft 365のセキュリティ サービスとAzureのセキュリティ サービスの違いを理解することの重要性を強調しています。 この部分を理解することで、IT 環境の強力なセキュリティ体制を維持しながら、Microsoft クラウドでのセキュリティ戦略をより効果的に計画できます。 この記事は、その実現を支援することを目的としています。

次の図は、Microsoft Defender XDR セキュリティ サービスの実際のユース ケースを示しています。 保護が必要なリソース、環境内で実行されているサービス、および潜在的な脅威が示されています。 Microsoft Defender XDRサービスは中央に配置され、組織のリソースをそれらの脅威から守ります。

脅威、攻撃順序、対象リソース、保護を提供できるMicrosoft Defender XDRのサービスを示すダイアグラム。

アーキテクチャ

Microsoft の拡張検出および応答 (XDR) ソリューション (Microsoft Defender XDR と呼ばれます) は、複数のセキュリティ ツールとサービスを統合して、エンドポイント、ID、電子メール、アプリケーション、クラウド環境全体で統合された保護、検出、応答を提供します。 高度な脅威インテリジェンス、自動化、AI 主導型分析の組み合わせにより、高度なサイバー脅威のリアルタイム検出および対応を実現します。これによりセキュリティ チームは、リスクを迅速に軽減し、攻撃の影響を軽減できます。 Microsoft Defender XDRは、さまざまなソースのセキュリティ データを統合することで、組織が IT インフラストラクチャ全体にわたって包括的で合理化された防御を実現するのに役立ちます。

次の図は、Microsoft Defender XDR セキュリティ サービスを表す DEFENDER としてラベル付けされたレイヤーを示しています。 これらのサービスを IT 環境に追加することで、より良い環境の防御をビルドすることができます。 Defender レイヤー内のサービスは、Azureセキュリティ サービスと連携できます。

サービス、脅威、および IT 環境のリソースに保護を提供するために設定できるセキュリティサービスの図。

このアーキテクチャのVisio ファイルをダウンロードしてください。

©2021 The MITRE Corporation。 この作品は、The MITRE Corporation の許可を得て、複製と配布をしています。

Workflow

  1. Microsoft Defender for Endpoint

    Defender for Endpoint は、企業内のエンドポイントを保護し、ネットワークが高度な脅威を防止、検出、調査、対応することを支援するように設計されています。 Azureとオンプレミスで実行される VM の保護レイヤーが作成されます。 保護できる内容の詳細については、「Microsoft Defender for Endpointを参照してください。

  2. Microsoft Defender for Cloud Apps

    Defender for Cloud Apps は、以前はMicrosoft Cloud Application Security として知られていた、複数の展開モードをサポートするクラウドアクセスセキュリティブローカー(CASB)です。 そのモードには、ログ収集、API コネクター、リバースプロキシーなどがあります。 お使いの Microsoft およびサード パーティ製クラウド サービス全体にわたるサイバー攻撃の脅威を特定し、対処するために、豊富な表示機能、データ送受信の制御、高度な分析を備えています。 クラウドアプリはもちろん、オンプレミスで実行される一部のアプリに対しても、保護とリスク軽減の機能を提供します。 また、それらのアプリにアクセスするユーザーにも保護レイヤーを提供します。 詳細については、「Microsoft Defender for Cloud Appsの概要を参照してください。

    Azure、オンプレミス、およびその他のクラウドで実行されているサーバー、アプリ、ストレージ アカウント、およびその他のリソースのセキュリティ体制の推奨事項とスコアを提供する、Microsoft Defender for Cloudと Defender for Cloud Apps を混同しないようにすることが重要です。 Defender for Cloud では、Azure Security Centerと Azure Defender という 2 つの以前のサービスが統合されています。

  3. Microsoft Defender for Office

    Defender for Office 365は、電子メール メッセージ、リンク (URL)、コラボレーション ツールによってもたらされる悪意のある脅威から組織を保護します。 メールやコラボレーションを保護します。 ライセンスによっては、侵害後の調査、追跡、対応、自動化、シミュレーション(トレーニング用)などを追加することができます。 ライセンス オプションの詳細については、「Microsoft Defender for Office 365 セキュリティの概要を参照してください。

  4. Microsoft Defender for Identity

    Defender for Identity は、on-premises Active Directoryシグナルを使用して、組織に向けられた高度な脅威、侵害された ID、悪意のあるインサイダー アクションを特定、検出、調査するクラウドベースのセキュリティ ソリューションです。 オンプレミスで実行Active Directory Domain Services (AD DS) を保護します。 このサービスはクラウド上で実行されますが、オンプレミスで ID を保護するために機能します。 Defender for Identity は、以前は Azure Advanced Threat Protection という名前でした。 詳細については、「Microsoft Defender for Identityを参照してください。

    Microsoft Entra IDによって提供され、クラウドでネイティブに実行される ID の保護が必要な場合は、Microsoft Entra ID Protectionを検討してください。

  5. Intune (以前は Microsoft Endpoint Manager の一部)

Microsoft Intuneは、組織がデバイス、アプリ、データを管理およびセキュリティで保護するのに役立つクラウドベースのサービスです。 これにより IT 管理者は、ノート PC、スマートフォン、タブレットなどの会社のデバイスの使用方法を制御し、セキュリティ ポリシーへの準拠を確保できます。 Intune では、条件付きアクセスやリモート ワイプなどの機能を使用して、デバイス構成の適用、ソフトウェアの展開、モバイル アプリケーションの管理、企業データの保護を行うことができます。 これは、セキュリティで保護されたリモート作業を有効にし、企業所有デバイスと個人 (BYOD) デバイスの両方を管理し、Windows、iOS、Android、macOS などの多様なプラットフォーム間でデータ セキュリティを確保する場合に特に便利です。

エンドポイント マネージャーの一部であったもう 1 つのサービスは、Configuration Managerです。オンプレミスの管理ソリューションでは、ネットワーク上にあるクライアントコンピューターとサーバー コンピューターを、直接接続またはインターネット経由で管理できます。 クラウド機能を有効にして、Configuration Managerを Intune、Microsoft Entra ID、Defender for Endpoint、およびその他のクラウド サービスと統合できます。 これを使用して、アプリ、ソフトウェアアップデート、オペレーティングシステムを展開します。 また、コンプライアンスの監視、オブジェクトのクエリ、リアルタイムでのクライアントの操作などを行うことができます。 利用可能なすべてのサービスについては、 Microsoft でのエンドポイント管理に関するページを参照してください。

脅威の例の攻撃順序

図に示されている脅威は、一般的な攻撃順序に従います。

  1. 攻撃者は、マルウェアが添付されたフィッシングメールを送信します。

  2. エンドユーザーが添付されたマルウェアを開きます。

  3. マルウェアは、ユーザーが気付かないうちにバックエンドにインストールされます。

  4. インストールされたマルウェアは、一部のユーザーの資格情報を盗みます。

  5. 攻撃者は資格情報を使用して、機密性の高いアカウントにアクセスします。

  6. もし、資格情報が、昇格した特権を持つアカウントへのアクセスを提供するならば、攻撃者は、さらに多くのシステムを危険にさらします。

この図は、DEFENDER というラベルが付いたレイヤーにも示されています。このレイヤーでは、Microsoft Defender XDR サービスがこれらの攻撃を監視および軽減できます。 これは、図に示されているリソースの追加の保護を提供するために、Azure セキュリティ サービスと連携するセキュリティの追加レイヤーを Defender が提供する方法の例です。 潜在的な攻撃がどのように IT 環境を脅かすかについては、このシリーズの2番目の記事「脅威を IT 環境にマッピングする」を参照してください。 Microsoft Defender XDRの詳細については、「Microsoft Defender XDRを参照してください。

Microsoft Defender XDR セキュリティ サービスへのアクセスと管理

次の図は、現在使用可能なポータルとそれらの相互関係を示しています。 この記事の更新時点では、これらのポータルの一部は既に非推奨になっている可能性があります。

現在のポータルとサービスのリレーションシップを示す図。

Security.microsoft.com は、Microsoft Defender for Office 365 (1)、Defender for Endpoint (2)、Defender for Office (3)、Defender for Identity (5)、Defender for Apps (4)、およびMicrosoft Sentinelの機能を提供するため、現在最も重要なポータルです。

Microsoft Sentinelには、いくつかの機能がAzureポータル (portal.azure.com) でのみ実行されることをお知らせすることが重要です。

最後に、endpoint.microsoft.com は、主に Intune とConfiguration Managerだけでなく、エンドポイント マネージャーの一部である他のサービスにも機能を提供します。 security.microsoft.comendpoint.microsoft.com はエンドポイントにセキュリティ保護を提供するため、エンドポイントに優れたセキュリティ体制を提供するために、それらの間で多くの対話が行われます (9)。

コンポーネント

この記事のアーキテクチャ例では、次のAzure コンポーネントを使用します。

  • Microsoft Entra ID は、クラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra IDは、ユーザーが外部リソースと内部リソースにアクセスするのに役立ちます。 このアーキテクチャでは、Microsoft Entra IDは、Microsoft 365、Azure、サービスとしてのソフトウェア (SaaS) アプリケーションにアクセスするユーザーを認証します。 これは、脅威の検出と対応のための ID 基盤として機能します。

  • Azure Virtual Network はAzureのネットワーク サービスであり、Azure リソース、インターネット、オンプレミス ネットワーク間のセキュリティで保護された通信を可能にします。 このアーキテクチャでは、Microsoft Defender XDRが保護するワークロードに対するセキュリティで保護された接続とセグメンテーションをサポートするプライベートネットワークインフラストラクチャを提供します。

  • Azure Load Balancer は、伝送制御プロトコル (TCP) およびユーザー データグラム プロトコル (UDP) トラフィック用の、高パフォーマンスのレイヤー 4 負荷分散サービスです。 このアーキテクチャでは、VM とコンテナー間でトラフィックを分散することで、Azureで実行されるサービスの高可用性とスケーラビリティを確保します。

  • Azure Virtual Machines は、スケーラブルなコンピューティング リソースを提供するサービスとしてのインフラストラクチャ (IaaS) オファリングです。 このアーキテクチャでは、Microsoft Defender XDR ソリューションの一部として、Microsoft Defender for Endpoint が監視および保護するワークロードを VM がホストします。

  • Azure Kubernetes Service (AKS) は、コンテナー化されたアプリケーションをデプロイおよび管理するためのマネージド Kubernetes サービスです。 このアーキテクチャでは、AKS は、Microsoft Defender XDR脅威検出と対応フレームワークに統合されるコンテナー化されたワークロードを実行します。

  • Azure Virtual Desktop は、クラウドホスト型デスクトップへの安全なリモート アクセスを提供するデスクトップおよびアプリ仮想化サービスです。 このアーキテクチャでは、リモート ユーザーをサポートしています。 Defender for Endpoint は、Virtual Desktop を監視して、エンドポイントの脅威を検出して対応します。

  • Azure App ServiceのWeb Apps機能は、Web アプリケーション、REST API、モバイル バックエンドをホストします。 選択した言語で開発できます。 アプリケーションは、Windowsと Linux ベースの両方の環境で簡単に実行およびスケーリングできます。 このアーキテクチャでは、Web Appsは、統合されたセキュリティ機能によって保護され、脅威を監視する HTTP ベースのアプリケーションをホストします。

  • Azure Storage は、オブジェクト、BLOB、ファイル、ディスク、キュー、テーブル ストレージなど、クラウド内のさまざまなデータ オブジェクトのスケーラブルで安全なストレージ サービスです。 Azure Storageは、Azure storage アカウントに書き込まれるすべてのデータを暗号化します。 データへのアクセスをきめ細かく制御できます。 このアーキテクチャでは、アプリケーションとシステムのデータを格納し、データの整合性とアクセス制御を確保するために Defender for Cloud によって保護されています。

  • Azure SQL Database は、修正プログラムの適用、バックアップ、監視を自動化するマネージド リレーショナル データベース エンジンです。 このアーキテクチャでは、構造化されたデータと、Microsoft for Defender XDR 脅威保護機能に合った組み込みのセキュリティ機能の利点を格納します。

貢献者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

主著者

その他の共同作成者:

  • Gary Moore | プログラマー/ライター
  • Andrew Nathan|シニアカスタマーエンジニアリングマネージャー

次の手順

この参照アーキテクチャの詳細については、このシリーズの他の記事を参照してください。