Microsoft Defender for Endpoint を Microsoft Defender for Cloud Apps と統合する

[アーティクル]
06/15/2024

Microsoft Defender for Endpoint は、インテリジェントな保護、検出、調査、対応のためのセキュリティプラットフォームです。 Defender for Endpoint を使うと、エンドポイントがサイバー脅威から保護され、高度な攻撃とデータ侵害が検出され、セキュリティインシデントが自動化されて、セキュリティ体制が強化されます。

この記事では、Microsoft Defender for Cloud アプリと Microsoft Defender for Endpoint の間で使用できるすぐに使用できる統合について説明します。これにより、Cloud Discovery が簡素化され、デバイスベースの調査が可能になります。

重要

この記事では、Defender for Endpoint ログからのシャドウ IT 検出機能に焦点を当てます。 Defender for Endpoint によるシャドウ IT 管理機能の詳細については、「Microsoft Defender for Endpoint を使用して検出されたアプリを管理する」を参照してください。

前提条件

Microsoft Defender for Cloud Apps のライセンス
次のいずれか:
- Microsoft Defender for Endpoint を Plan 2 と統合する
- Premium ライセンスまたはスタンドアロンライセンスによる Microsoft Defender for Business
詳細については、「Microsoft エンドポイントセキュリティプランの比較」を参照してください。
次のいずれかのオペレーティングシステムを実行しているアプリ:
- Windows 10 バージョン 1709 (KB4493441 を含む OS ビルド16299.1085)
- Windows 10 バージョン 1803 (KB4493464 を含む OS ビルド 17134.704)
- Windows 10 バージョン 1809 (KB4489899 の OS ビルド 17763.379) 以降の Windows 10 および Windows 11 バージョン
- macOS、Defender for Endpoint バージョン 20.123072.25.0 以降のデバイス上
macOS アプリの統合をサポートするには、Microsoft Defender for Endpoint でネットワーク保護機能を有効にする必要があります。ネットワーク保護は TCP 接続のクローズイベントのみを監査するため、UDP プロトコルは macOS サポートの対象になりません。詳細については、「ネットワーク保護をオンにする」を参照してください。
(推奨) Microsoft Defender ウイルス対策を有効化:

Note

Microsoft Defender ウイルス対策は検出に強くお勧めしますが、必須ではありません。 Defender ウイルス対策が無効になっていても、一部の検出データは引き続き使用できます。

しくみ

Defender for Cloud Apps 自体では、ユーザーがアップロードしたログを使用して、または自動ログアップロードを構成することにより、エンドポイントからログが収集されます。すぐに利用可能な統合により、Defender for Endpoint のエージェントが Windows 上で実行され、ネットワークトランザクションを監視するときに作成されるログを利用できます。この情報は、ネットワーク上の Windows デバイス全体でのシャドウ IT の検出に使用します。

統合には、追加のデプロイ手順や、エンドポイントからのトラフィックのルーティングやミラーリングは必要ありません。また、次のように機能します。

エンドポイントから Defender for Cloud アプリに送信されるログは、トラフィックアクティビティに関するユーザーとデバイスの情報を提供します。 デバイスコンテキストとユーザー名を組み合わせると、ネットワーク全体の全体像が得られ、どのユーザーがどのデバイスからどのアクティビティを行ったかを判断できるようになります。
さらに、危険なユーザーを特定したら、そのユーザーがアクセスしたすべてのデバイスをチェックして、潜在的なリスクを検出できます。危険なデバイスを特定した場合は、そのデバイスを使用したすべてのユーザーをチェックして、さらなる潜在的なリスクを検出します。
トラフィック情報が収集されたら、組織内でクラウドアプリの使用を詳しく調べることができます。 Defender for Cloud Apps によって Defender for Endpoint のネットワーク保護機能が利用され、エンドポイントデバイスからクラウドアプリへのアクセスがブロックされます。検出されたアプリの管理の詳細については、「Microsoft Defender for Endpoint を使用して検出されたアプリを管理する」を参照してください。

macOS デバイスと統合しているお客様は、CPU 消費量の急増が見られる場合があります。

ヒント

Defender for Endpoint と Defender for Cloud Apps を使用する利点を示す、こちらの動画をご覧ください。

Microsoft Defender for Endpoint を Defender for Cloud アプリと統合する

Defender for Endpoint と Defender for Cloud Apps の統合を有効にするには:

Microsoft Defender ポータルのナビゲーションペインで、[設定]>[エンドポイント]>[全般]>[高度な機能] の順に選択します。
[Microsoft Defender for Cloud Apps] を [オン] に切り替えます。
[適用] を選択します。

Note

統合を有効にしてから、データが Defender for Cloud Apps に表示されるようになるまでに、最大で 2 時間かかります。

Defender for Endpoint 設定のスクリーンショット。

Microsoft Defender for Endpoint に送信されるアラートの重大度を構成するには:

Microsoft Defender ポータルで、[設定]>[クラウドアプリ]>[Cloud Discovery]>[Microsoft Defender for Endpoint] の順に選択します。
[アラート] で、アラートのグローバル重大度レベルを選択します。
[保存] を選択します。