毎日の運用ガイド - Microsoft Defender for Cloud Apps

この記事では、Defender for Cloud Appsで実行することをお勧めする毎日の運用アクティビティの一覧を示します。

アラートとインシデントを確認する

アラートとインシデントは、セキュリティ運用 (SOC) チームが毎日確認する必要がある最も重要な項目の 2 つです。

• インシデントとアラートをMicrosoft Defender XDRのインシデント キューから定期的にトリアージし、重大度の高いアラートと中程度のアラートを優先します。

• SIEM システムを使用している場合は、通常、SIEM システムがトリアージの最初の停止です。 SIEM システムでは、追加のログと SOAR 機能により多くのコンテキストが提供されます。 次に、アラートまたはインシデント タイムラインをより深く理解するには、Microsoft Defender XDRを使用します。

Microsoft Defender XDRからインシデントをトリアージする

場所: Microsoft Defender XDRで、[インシデント] & [アラート] を選択します

ペルソナ: SOC アナリスト

インシデントをトリアージする場合:

1. インシデント ダッシュボードで、次の項目をフィルター処理します。

   Filter	値
   状態	新規、進行中
   重大度	高、中、低
   サービス ソース	すべてのサービス ソースをオンのままにします。 すべてのサービス ソースをチェックしたままにすると、他の Microsoft XDR ワークロード間の相関関係と共に、最も忠実なアラートが一覧表示されます。 [Defender for Cloud Apps] を選択すると、Defender for Cloud Appsから特別に取得された項目が表示されます。

2. 各インシデントを選択して、すべての詳細を確認します。 インシデント内のすべてのタブ、アクティビティ ログ、高度なハンティングを確認します。

   インシデントの [ 証拠と応答 ] タブで、各証拠項目を選択します。 [Investigate] >オプション メニューを選択し、必要に応じて [アクティビティ ログ] または [Go hunt] を選択します。

3. インシデントをトリアージします。 インシデントごとに、[インシデントの 管理 ] を選択し、次のいずれかのオプションを選択します。

   • 真正
   • 誤検知
   • 情報に関する、想定されるアクティビティ

   真のアラートの場合は、治療の種類を指定して、セキュリティ チームが脅威パターンを確認し、organizationをリスクから守るのに役立ちます。

4. アクティブな調査を開始する準備ができたら、インシデントをユーザーに割り当て、インシデントの状態を [進行中] に更新します。

5. インシデントが修復されたら、それを解決して、リンクされたすべてのアクティブなアラートを解決します。

詳細については、以下を参照してください:

• Microsoft Defender XDRでのインシデントの優先順位付け
• Microsoft Defender XDRでアラートを調査する
• インシデント対応プレイブック
• 異常検出アラートを調査する方法
• アプリ ガバナンス アラートを管理する
• 脅威検出アラートを調査する

SIEM システムからインシデントをトリアージする

ペルソナ: SOC アナリスト

前提条件: SIEM システムに接続する必要があり、Microsoft Sentinelとの統合をお勧めします。 詳細については、以下を参照してください:

• Microsoft Sentinel統合 (プレビュー)
• Microsoft Defender XDRからMicrosoft Sentinelにデータを接続する
• 一般的な SIEM 統合

Microsoft Defender XDRとMicrosoft Sentinelを統合すると、すべてのMicrosoft Defender XDRインシデントをMicrosoft Sentinelにストリーミングし、両方のポータル間で同期を維持できます。 Microsoft SentinelのMicrosoft Defender XDRインシデントには、関連するすべてのアラート、エンティティ、関連情報が含まれており、トリアージして予備調査を実行するのに十分なコンテキストが提供されます。

Microsoft Sentinelに入ると、インシデントはMicrosoft Defender XDRと同期され、調査で両方のポータルの機能を使用できるようになります。

• Microsoft Defender XDR用Microsoft Sentinelのデータ コネクタをインストールするときは、必ず Microsoft Defender for Cloud Apps オプションを含めます。
• ストリーミング API を使用してイベント ハブにデータを送信することを検討します。この API は、イベント ハブ コネクタを使用して任意のパートナー SIEM を介して使用したり、Azure Storage に配置したりできます。

詳細については、以下を参照してください:

• Microsoft Defender XDRとMicrosoft Sentinelの統合
• Microsoft Sentinelでのインシデントの移動と調査
• 脅威を検出するカスタム分析ルールを作成する

脅威検出データを確認する

場所: Microsoft Defender XDR ポータルで、次を選択します。

• インシデント & アラート
• 脅威検出 > ポリシー > ポリシー管理 > クラウド アプリ
• Oauth アプリ > クラウド アプリ

ペルソナ: セキュリティ管理者と SOC アナリスト

クラウド アプリの脅威検出では、多くの SOC アナリストが毎日のアクティビティに焦点を当て、異常な動作を示すリスクの高いユーザーを特定します。

Defender for Cloud Apps脅威検出では、Microsoft の脅威インテリジェンスとセキュリティ調査データが使用されます。 アラートはMicrosoft Defender XDRで使用でき、定期的にトリアージする必要があります。

セキュリティ管理者と SOC アナリストがアラートを処理すると、次の種類の脅威検出ポリシーメイン処理されます。

• アクティビティ ポリシー
• 異常検出ポリシー
• OAuth ポリシー と アプリ ガバナンス ポリシー

ペルソナ: セキュリティ管理者

前提条件の処理など、organizationで必要な脅威保護ポリシーを必ず作成してください。

アプリケーション ガバナンスを確認する

場所: Microsoft Defender XDR ポータルで、次を選択します。

• インシデント & アラート
• インシデント & アラート/アプリ ガバナンス

ペルソナ: SOC アナリスト

アプリ ガバナンスでは、OAuth アプリの詳細な可視性と制御が提供されます。 アプリ ガバナンスは、オンプレミスやクラウド インフラストラクチャにデプロイされたアプリを悪用する高度なキャンペーンに対処し、特権エスカレーション、横移動、およびデータ流出の出発点を確立するのに役立ちます。

アプリ ガバナンスは、Defender for Cloud Appsと共に提供されます。 アラートはMicrosoft Defender XDRでも使用でき、定期的にトリアージする必要があります。

詳細については、以下を参照してください:

• 検出アラート
• 定義済みのアプリ ポリシー アラートを調査する
• 危険な OAuth アプリを調査して修復する

アプリ ガバナンスの概要ページを確認する

場所: Microsoft Defender XDR ポータルで、次を選択します。

• インシデント & アラート
• クラウド アプリ > アプリ ガバナンス > 概要

ペルソナ: SOC アナリストとセキュリティ管理者

アプリとインシデントのコンプライアンス体制を毎日迅速に評価することをお勧めします。 たとえば、次の詳細をチェックします。

• 特権を超えるアプリまたは高い特権を持つアプリの数
• 未確認の発行元を持つアプリ
• Graph APIを使用してアクセスされたサービスとリソースのデータ使用量
• 最も一般的な秘密度ラベルを持つデータにアクセスしたアプリの数
• Microsoft 365 サービス全体で秘密度ラベルの有無にかかわらずデータにアクセスしたアプリの数
• アプリ ガバナンス関連のインシデントの概要

レビューするデータに基づいて、新しいポリシーを作成したり、アプリ ガバナンス ポリシーを調整したりできます。

詳細については、以下を参照してください:

• インシデントとアラートを表示し、管理する
• アプリ ガバナンスを使用してアプリの詳細を表示する
• アプリ ガバナンスでアプリ ポリシーを作成します。

OAuth アプリ データを確認する

場所: Microsoft Defender XDR ポータルで、次を選択します。

• インシデント & アラート
• Azure AD > アプリ ガバナンス > クラウド アプリ

OAuth 対応アプリの一覧を、関連するアプリのメタデータと使用状況データと共に毎日チェックすることをお勧めします。 アプリを選択すると、より深い分析情報と情報が表示されます。

アプリ ガバナンスでは、機械学習ベースの検出アルゴリズムを使用して、Microsoft Defender XDR テナント内の異常なアプリの動作を検出し、表示、調査、解決できるアラートを生成します。 この組み込みの検出機能を超えて、一連の既定のポリシー テンプレートを使用したり、他のアラートを生成する独自のアプリ ポリシーを作成したりできます。

詳細については、以下を参照してください:

• インシデントとアラートを表示し、管理する
• アプリ ガバナンスを使用してアプリの詳細を表示する
• アプリの詳細情報を取得する

アプリ ガバナンス ポリシーの作成と管理

場所: Microsoft Defender XDR ポータルで、[クラウド アプリ] > [アプリ ガバナンス] > [ポリシー] を選択します

ペルソナ: セキュリティ管理者

定期的な詳細な可視性と制御のために、OAuth アプリを毎日チェックすることをお勧めします。 機械学習アルゴリズムに基づいてアラートを生成し、アプリ ガバナンス用のアプリ ポリシーを作成します。

詳細については、以下を参照してください:

• アプリ ガバナンスでアプリ ポリシーを作成する
• アプリ ポリシーを管理する

条件付きアクセス アプリの制御を確認する

場所: Microsoft Defender XDR ポータルで、次を選択します。

• インシデント & アラート
• 条件付きアクセス > ポリシー > ポリシー管理 > クラウド アプリ

条件付きアクセス アプリ制御を構成するには、[条件付きアクセス アプリ制御] > [クラウド アプリ>設定] を選択します

ペルソナ: セキュリティ管理者

条件付きアクセス アプリ制御を使用すると、アクセス ポリシーとセッション ポリシーに基づいて、ユーザー アプリのアクセスとセッションをリアルタイムで監視および制御できます。

生成されたアラートはMicrosoft Defender XDRで使用でき、定期的にトリアージする必要があります。

既定では、アクセス ポリシーやセッション ポリシーはデプロイされていないため、関連するアラートは使用できません。 アクセスとセッション制御を操作するために任意の Web アプリをオンボードできます。Microsoft Entra IDアプリは自動的にオンボードされます。 organizationに必要に応じて、セッション ポリシーとアクセス ポリシーを作成することをお勧めします。

詳細については、以下を参照してください:

• インシデントとアラートを表示し、管理する
• Microsoft Defender for Cloud Apps条件付きアクセス アプリ制御を使用してアプリを保護する
• 管理されていないデバイスやリスクの高いデバイスへの機密データのダウンロードをブロックして保護する
• リアルタイムのセッション制御を実施することで、外部ユーザーとの安全なコラボレーションを実現する

ペルソナ: SOC 管理者

条件付きアクセス アプリ制御アラートを毎日確認し、アクティビティ ログを確認することをお勧めします。 ソース、アクセス制御、セッション制御によってアクティビティ ログをフィルター処理します。

詳細については、「アラートとインシデントを確認する」を参照してください。

シャドウ IT - クラウド検出を確認する

場所: Microsoft Defender XDR ポータルで、次を選択します。

• インシデント & アラート
• クラウド アプリ > クラウド検出/クラウド アプリ カタログ
• クラウド アプリ > ポリシー > ポリシー管理 > シャドウ IT

ペルソナ: セキュリティ管理者

Defender for Cloud Apps は、31,000 を超えるクラウド アプリのクラウド アプリ カタログに対してトラフィック ログを分析します。 アプリは、クラウドの使用、シャドウ IT、およびシャドウ IT がorganizationに与えるリスクを継続的に可視化するために、90 を超えるリスク要因に基づいてランク付けされ、スコア付けされます。

クラウド検出に関連するアラートは、Microsoft Defender XDRで使用でき、定期的にトリアージする必要があります。

リスク スコア、カテゴリ、毎日のトラフィックやダウンロードされたデータなどのアプリの動作など、特定の条件に基づいて新しく検出されたアプリのアラートとタグ付けを開始するアプリ検出ポリシーを作成します。

詳細については、以下を参照してください:

• インシデントとアラートを表示し、管理する
• クラウド検出ポリシー
• クラウド検出ポリシーを作成する
• クラウド検出を設定する
• クラウド アプリの検出と評価

ペルソナ: セキュリティとコンプライアンスの管理者、SOC アナリスト

検出されたアプリが多数ある場合は、フィルター処理オプションを使用して、検出されたアプリの詳細を確認できます。

詳細については、「Microsoft Defender for Cloud Appsで検出されたアプリのフィルターとクエリ」を参照してください。

クラウド検出ダッシュボードを確認する

場所: Microsoft Defender XDR ポータルで、[クラウド アプリ] > [クラウド検出] > [ダッシュボード] を選択します。

ペルソナ: セキュリティとコンプライアンスの管理者、SOC アナリスト

クラウド検出ダッシュボードを毎日確認することをお勧めします。 クラウド検出ダッシュボードは、organizationでのクラウド アプリの使用方法に関するより多くの洞察を提供するように設計されており、使用されているアプリの子、開いているアラート、organization内のアプリのリスク レベルの概要をひとめで確認できます。

クラウド検出ダッシュボードで、次の操作を行います。

1. ページの上部にあるウィジェットを使用して、クラウド アプリの全体的な使用状況を把握します。

2. 関心に応じて、ダッシュボード グラフをフィルター処理して特定のビューを生成します。 以下に例を示します。

   • 特に承認されたアプリに対して、組織で使用されるアプリの上位カテゴリについて理解します。
   • 検出されたアプリのリスク スコアを確認します。
   • ビューをフィルター処理して、特定のカテゴリの上位アプリを表示します。
   • 上位のユーザーと IP アドレスを表示して、organizationでクラウド アプリの最も主要なユーザーであるユーザーを特定します。
   • 世界地図上のアプリ データを表示して、検出されたアプリが地理的な場所によってどのように広がっているかを理解します。

環境内で検出されたアプリの一覧を確認した後、安全なアプリ (承認された アプリ) を承認するか、不要なアプリ (承認されていない アプリ) を禁止するか、カスタム タグを適用して、環境をセキュリティで保護することをお勧めします。

また、環境内で検出される前に、クラウド アプリ カタログで利用可能なアプリにタグを事前に確認して適用することもできます。 これらのアプリケーションの管理を支援するには、特定のタグによってトリガーされる関連するクラウド検出ポリシーを作成します。

詳細については、以下を参照してください:

• 検出データの操作
• 検出されたアプリの操作

情報保護を確認する

場所: Microsoft Defender XDR ポータルで、次を選択します。

• インシデント & アラート
• クラウド アプリ > ファイル
• クラウド アプリ > ポリシー > ポリシー管理 > 情報保護

ペルソナ: セキュリティとコンプライアンスの管理者、SOC アナリスト

Defender for Cloud Appsファイル ポリシーとアラートを使用すると、さまざまな自動プロセスを適用できます。 継続的なコンプライアンス スキャン、法的電子情報開示タスク、公開されている機密コンテンツのデータ損失保護 (DLP) など、情報保護を提供するポリシーを作成します。

アラートとインシデントのトリアージに加えて、SOC チームが追加のプロアクティブなアクションとクエリを実行することをお勧めします。 [クラウド アプリ > ファイル] ページで、次の質問をチェックします。

• 誰もがリンクなしでアクセスできるように、パブリックに共有されるファイルの数はいくつですか?
• 送信共有を使用してファイルを共有しているパートナーはどれですか?
• 機密性の高い名前を持つファイルはありますか?
• 他のユーザーの個人用アカウントと共有されているファイルはありますか?

これらのクエリの結果を使用して、既存のファイル ポリシーを調整するか、新しいポリシーを作成します。

詳細については、以下を参照してください:

• インシデントとアラートを表示し、管理する
• 情報保護ポリシー。

関連コンテンツ

運用ガイドMicrosoft Defender for Cloud Apps