Microsoft Defender ポータルの概要

6 分

統合セキュリティオペレーションプラットフォームは、セキュリティチームが環境全体で脅威の防止、検出、調査、対応を行うための完全に統合されたツールセットです。 Microsoft にとって、これは SIEM、XDR、態勢管理、脅威インテリジェンスを高度な生成 AI と共に単一プラットフォームとして提供することを意味します。

Microsoft は、Microsoft Defender ポータルを通じて統合セキュリティオペレーションプラットフォームの義務を果たし、利用者が組織のセキュリティ正常性を確認できるようにします。 Microsoft Defender ポータルは、組織全体での保護、検出、調査、脅威への対応とそのすべてのコンポーネントを一元的な場所に集約します。

ポータルにアクセスするには、Microsoft Entra ID 内で Microsoft Defender ポータルにアクセスするためのグローバル管理者、セキュリティ管理者、セキュリティオペレーター、セキュリティ閲覧者などの適切なロールが割り当てられている必要があります。

Defender ポータルは、情報への素早いアクセス、シンプルなレイアウト、利便性のために関連情報を集約することを重視しています。

Microsoft Defender ポータルのホームページには、セキュリティチームが必要とする多くの共通カードが表示されます。カードとデータの構成は、ユーザーロールによって異なります。 Microsoft Defender ポータルではロールベースのアクセス制御が使われるため、それぞれのロールには、その日常業務にとってより有意義なカードが表示されます。

Microsoft Defender ポータルでは、日常的な運用のニーズに合わせてナビゲーションウィンドウを調整できます。特定の設定に基づいて機能やサービスを表示または非表示にするようにナビゲーションウィンドウをカスタマイズすることができます。カスタマイズは各自に固有のものであるため、他の管理者がその変更を目にすることはありません。

左側のナビゲーションウィンドウは、Microsoft Defender XDR サービスのスイートへの簡単なアクセスを提供します。また、Microsoft Sentinel やその他の多くの機能にアクセスすることもできます。以下のセクションでは、Microsoft Defender ポータルの左側のナビゲーションバーからアクセスできる機能について簡単に説明します。

露出管理

Microsoft Security Exposure Management は、会社の資産とワークロード全体のセキュリティ態勢に関する統合ビューを提供するセキュリティソリューションです。 Security 露出管理は、攻撃面のプロアクティブな管理、重要な資産の保護、露出リスクの調査と軽減に役立つセキュリティコンテキストで資産情報を強化します。

Security Exposure Management を使用すると、資産の検出と監視、リッチなセキュリティ分析情報の取得、セキュリティイニシアティブを使用した特定のリスク領域の調査、組織全体のメトリックの追跡を行ってセキュリティ態勢を改善できます。

攻撃面の

Security 露出管理により、資産およびワークロード全体で収集されたデータに基づいて、攻撃パスが自動的に生成されます。攻撃シナリオがシミュレートされ、攻撃者が悪用する可能性がある脆弱性と弱点が特定されます。

セキュリティ分析情報

Microsoft Security Exposure Management 内の露出分析情報は、ワークロードとリソース全体にわたってセキュリティ態勢データと分析情報を継続的に集計し、1 つのパイプラインに集めます。

イニシアティブは、特定のセキュリティ領域またはワークロードのセキュリティに関する準備状況を評価し、その領域またはワークロードの露出リスクを長期にわたって継続的に追跡して測定する簡単な方法を提供します。
Microsoft Security Exposure Management のメトリックは、セキュリティイニシアティブ内の資産またはリソースの特定のスコープに対するセキュリティ露出を測定します。
推奨事項は、特定のセキュリティイニシアティブのコンプライアンスの状態を把握するのに役立ちます。
イベントは、イニシアティブの変更を監視するのに役立ちます。

セキュリティスコア

Microsoft Defender ポータルのツールの 1 つである Microsoft セキュアスコアは、会社のセキュリティ態勢を表すものです。スコアが高いほど、適切に保護されています。組織は Microsoft Defender ポータルの一元化されたダッシュボードから、Microsoft 365 の ID、アプリ、デバイスを監視してセキュリティを改善できます。

セキュアスコアには、スコアの内訳、組織のスコアを上げることができる改善アクション、および組織のセキュアスコアが他の類似する組織と比べてどの程度優れているかが示されます。

データコネクタ

データコネクタを使用すると、データソースを接続してよりリッチで一元化された露出管理エクスペリエンスを実現できます。

調査と対応

[調査と対応] タブには、インシデントとアラート、ハンティング、アクションと提出、パートナーカタログへのアクセスが含まれます。

[調査と対応] で利用できる選択肢が表示された Microsoft Defender ポータルのスクリーンショット。それらはインシデントとアラート、ハンティング、アクションと提出、パートナーカタログです。

インシデントとアラート

Microsoft Defender ポータル内のインシデントは、関連するアラート、資産、調査、証拠のコレクションであり、攻撃全体に対する包括的な可視性を提供します。これは、SOC がその攻撃を調査し、それに対する対応の管理、実装、文書化を行うために使用できるケースファイルとして機能します。 Microsoft Defender ポータルは統合セキュリティオペレーションプラットフォームの上に構築されているため、Microsoft Defender XDR ソリューション、Microsoft Sentinel、その他のソリューションのスイートから生成されたインシデントを含むすべてのインシデントを表示できます。

インシデント内では、ネットワークに影響を与えるアラートを分析し、それらが何を意味するのかを理解し、証拠を照合して、効果的な修復計画を立てることができるようにします。インシデントに関して提供されている情報には、以下が含まれます。

アラート、資産、実行された修復アクションすべてを含む、攻撃の全ストーリー。
インシデントに関連するすべてのアラート。
インシデントに含まれている、または関連することが特定されたすべての資産 (デバイス、ユーザー、メールボックス、アプリ)。
インシデントのアラートによってトリガーされたすべての自動調査。
サポートされているすべての証拠と応答。

組織が Microsoft Copilot for Security にオンボードしている場合は、インシデント要約やガイド付き応答などを確認することもできます。

インシデント
インシデントの詳細ページ

検出

高度な追求は、Microsoft Defender XDR と Microsoft Sentinel から最大 30 日間分の生データを調査できるクエリベースの脅威ハンティングツールです。ハンティングクエリを通してネットワーク内のイベントを積極的に調査することで、脅威インジケーターとエンティティを見つけることができます。ハンティングクエリの作成は、クエリエディターを介して (Kusto 照会言語 (KQL) に慣れている場合)、クエリビルダーを使用して、または Copilot for Security を通して行うことができます。 Microsoft Copilot for Security にオンボードされているユーザーの場合は、自然言語で要求を行ったり質問したりすると、Copilot for Security が要求に対応する KQL クエリを生成します。

同じ脅威ハンティングクエリを使用してカスタムの検出ルールを構築できます。侵害の疑いのあるアクティビティ、構成が不適切なマシン、その他の検出結果を確認し、それに対応するために、これらの規則は自動的に実行されます。

アクションと提出

統合アクションセンターには、Microsoft Defender for Endpoint と Microsoft Defender for Office 365 での修復アクションがまとめられています。デバイス、メールとコラボレーションコンテンツ、ID に対する保留中および完了済みの修復アクションが 1 か所に一覧表示されます。

Exchange Online メールボックス使用する Microsoft 365 組織の場合、管理者は Microsoft Defender ポータル内の [提出] ページを使用して、メッセージ、URL、添付ファイルを分析用に Microsoft に提出することができます。

パートナーカタログ

パートナーカタログには、サポートされているテクノロジパートナーと、組織がプラットフォームの検出、調査、脅威インテリジェンス機能を強化するのに役立つプロフェッショナルサービスが一覧表示されます。

脅威インテリジェンス

ユーザーは [脅威インテリジェンス] タブから Microsoft Defender 脅威インテリジェンスにアクセスします。詳細については、"Microsoft Defender 脅威インテリジェンスについて説明する" ユニットを参照してください。

アセット

[資産] タブでは、組織の保護された資産と検出された資産 (デバイスと ID) のインベントリを表示して管理できます。

[デバイスインベントリ] には、アラートが生成されたネットワーク内のデバイスの一覧が表示されます。既定では、キューには過去 30 日間に表示されたデバイスが表示されます。ドメイン、リスクレベル、OS プラットフォーム、最も危険な状態のデバイスを簡単に特定するためのその他の詳細などの情報を一目で確認することができます。

ID インベントリは、クラウドとオンプレミスの両方のすべての企業 ID の包括的なビューを提供します。

デバイス
ID

Microsoft Sentinel

Microsoft Sentinel の一部の機能 (統合インシデントキューなど) には、Defender ポータルの [インシデントとアラート] ページを通じて、他の Microsoft Defender サービスからのインシデントと共にアクセスできます。その他の多くの Microsoft Sentinel 機能は、Defender ポータルの [Microsoft Sentinel] セクションで使用できます。

詳細については、"Microsoft Sentinel 内の機能について説明する" モジュールを参照してください。このリンクは要約とリソースユニットに含まれています。

ID

Microsoft Defender ポータルの左側のナビゲーションパネル上の [ID] ノードは、Microsoft Defender for Identity に関連付けられている機能にマップされます。詳細については、"Microsoft Defender for Identity について説明する" ユニットを参照してください。

エンドポイント

Microsoft Defender ポータルの左側のナビゲーションパネルの [エンドポイント] ノードは、Microsoft Defender for Endpoints に関連付けられている機能にマップされます。詳細については、"Microsoft Defender for Endpoints について説明する" ユニットを参照してください。

電子メールとコラボレーション

左側のナビゲーションパネル上の [メールとコラボレーション] ノードでは、ユーザーのメールに対する脅威の追跡と調査、キャンペーンの追跡などを行うことができる Microsoft Defender for Office 365 機能を利用できます。詳細については、"Microsoft Defender for Office 365 について説明する" ユニットを参照してください。

クラウドアプリ

左側のナビゲーションパネル上の [クラウドアプリ] ノードでは、Microsoft Defender for Cloud Apps 機能を利用できます。詳細については、"Microsoft Defender for Cloud Apps について説明する" ユニットを参照してください。

SOC の最適化

セキュリティオペレーションセンター (SOC) チームは、プロセスと結果の両方を最適化する機会を常に探しています。

SOC の最適化は、セキュリティコントロールを最適化し、時間の経過とともに Microsoft セキュリティサービスからより多くの価値を得られるようにする方法を明らかにします。

Reports

レポートは Microsoft Defender ポータルで統合されます。管理者は一般的なセキュリティレポートから開始して、エンドポイント、メールとコラボレーション、クラウドアプリ、インフラストラクチャ、ID についての個別レポートへと進むことができます。ここでのリンクは、ワークロードの構成に基づいて動的に生成されます。

ラーニングハブ

ラーニングハブは、トレーニングコース、チュートリアル、ドキュメント、その他の関連資料にアクセスできる Microsoft Learn をリンクしています。

System

Defender ポータル内のシステムオプションには、アクセス許可の構成、サービス正常性の表示、全般設定の選択肢が含まれています。

続行