Microsoft Defender 関連サービスについて整理してみた
はじめに
Microsoft Defender は、Microsoft 社が提供するセキュリティブランドの名称です。
これにちなんで、Microsoft Defender for 〇〇 という名称を良く目にしますが、これが なかなか わかりづらい状況になっているかと思い、整理してみました。
Security Operations Analyst Associate (SC-200) という資格を学習する際にも この理解をしておくと 学習が捗るのではないかと思います。
(SC-200) 資格情報: Security Operations Analyst Associate
規模による分類
まず、Microsoft Defender ブランドは、大きく 以下の3つの規模に分類できます。
-
"Microsoft Defender XDR" および "Microsoft Defender for Cloud"
大企業向け 統合セキュリティソリューション
→ 本記事のメインテーマ として、次章以降で深堀 解説します。 -
Microsoft Defender for Business
中小企業向け ウイルス対策ソリューション(端末上限 300 台)
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-business -
Microsoft Defender 個人向け
個人向け ウイルス対策ソリューション
https://www.microsoft.com/ja-jp/microsoft-365/microsoft-defender-for-individuals
公開情報:Microsoft Defender
ターゲットによる分類
次に、セキュリティのターゲットが何であるか・・・によって分類することができます。
Microsoft のクラウドサービスは、Microsoft 365 という ユーザー向けサービスを提供するサービスと、Azure というリソースを提供するサービス があります。
Microsoft 365 は、機能ごとに ユーザー単位で ライセンスを契約します。
Azure は、従量課金型で、リソースごとの単価 に対して 使った分だけ支払う共用サービスです。
上記のどちら向けのセキュリティソリューションなのか(ターゲット)によって、使用すべき Defender 製品が決まります。
① Microsoft Defender XDR(旧名:Microsoft 365 Defender)
→ Microsoft 365 や Enterprise Mobility + Security (EMS) 向け
Microsoft Defender ポータル で管理を行う。
② Microsoft Defender for Cloud(旧名:Azure Security Center)
→ Azure や、他社クラウド、オンプレミス のワークロード向け
Azure Portal で管理を行う。
① Microsoft Defender XDR
Enterprise Security + Mobility (EMS) ライセンス を利用して提供されるセキュリティソリューションの統合ポータル的な位置づけ。より上位の Microsoft 365 E3 / E5 ライセンスでも利用可能です。
Microsoft Defender ポータル のアドレス
"https://security.microsoft.com/"
従来は、サービスごとの管理ポータルに分離されていたものを、Microsoft 365 Defender(旧名)として統合された管理メニューで操作できるようになり、さらに 収集データを統合して分析も出来るようにして、Microsoft Defender XDR に改名されました。
公開情報:Microsoft Defender XDRとは
XDR 機能が有効になっていると、各サービスから収集したデータを統合した結果に対して 更なる分析が可能になっています(現在は 既定で 有効)
XDR の有効化
Microsoft Defender for XDR に属するサービスの新旧名称一覧
| 現名称 | 現略称 | 旧名称 | 旧略称 |
|---|---|---|---|
| Microsoft Defender for Endpoint |
MDE | Windows Defender Advanced Threat Protection |
Windows Defender ATP |
| Microsoft Defender for Identity |
MDI | Azure Advanced Threat Protection |
Azure ATP |
| Microsoft Defender for Office 365 |
MDO | Office 365 Advanced Threat Protection |
Office 365 ATP |
| Microsoft Defender for Cloud Apps |
MDA | Microsoft Cloud App Security | MCAS |
上記のように、以前は バラバラ に提供されていたサービスが、XDR に 統合されましたが、引き続き 個別のライセンスを契約して 単独の機能を利用することも可能です。
各機能と ライセンス の関係性は、以下のサイトも参考にしてみてください。
①-1. Microsoft Defender for Endpoint
Windows デバイス向けの統合セキュリティソリューションです。
旧名:Windows Dedender ATP で提供されていた機能は Microsoft Dedender for Endpint P2 ライセンスに移行され、 新たに 下位エディションとなる Microsoft Defender for Endpoint P1 ライセンスが提供された・・・という経緯があります。
公開情報:Microsoft Defender for Endpoint
上記サイトの画像より抜粋
ライセンスごとに、利用できる機能が異なります。
公開情報:Microsoft Defender for Endpoint とは
旧名称 (Windows Defender Advanced Threat Protection) に関する関連記事
①-2. Microsoft Defender for Identity
オンプレミスの Active Directory を監視するセキュリティソリューションです。
オンプレミス AD 側に センサー と呼ばれる監視コンポーネントを導入する事で、クラウド側に情報を集約して監視を行います。
公開情報:Microsoft Defender for Identity とは
旧名称 (Azure Advanced Threat Protection) に関する情報
関連製品:Microsoft Advanced Thread Analytics (ATA)
Azure ATP よりも さらに前の時代から提供されている オンプレミス AD 向けのセキュリティソリューションです。引き続きサポートはされていますが、開発は終了しています。新規に導入する場合は Defender for Identity の方を使いましょう。
①-3. Microsoft Defender for Office 365
Office 365 で利用されている メール、リンク (URLS)、添付ファイル、コラボレーション ツールのセキュリティの脅威から保護を行う セキュリティソリューションです。
公開情報:Microsoft Defender for Office 365 の概要
①-4. Microsoft Defender for Cloud Apps
Office 365 および 他社製のクラウドサービス、全世界の Web サイトへのアクセスを管理するための統合セキュリティソリューションです。
大きく3つの機能を併せ持っています。
-
アプリガバナンス
Microsoft Entra テナントに統合されたアプリケーションのセキュリティを詳細に制御します。
対象のアプリケーションは、条件付きアクセス を使って指定します。
以下のサイトに記載されている通り、Microsoft Entra ID、Google、Salesforce に登録されている OAuth 対応アプリ が対象となります
https://learn.microsoft.com/ja-jp/defender-cloud-apps/app-governance-manage-app-governance
-
Cloud Discovery
利用者の Web サイトへ のアクセスログ を収集して分析できます。
その アクセスログ を アプリカタログと呼ばれる、Web サイトのデータベースとマージされたグラフィカルで判りやすい I/F で確認できます。
アプロカタログは、カテゴリ に分類され、Microsoft 社の診断によって セキュリティリスクが 10 段階にランク付けされています。
管理者は、Web サイトの ジャンルや リスクレベル を指定して、おおざっぱに アクセスの可否を制御するとともに、新たなる シャドーIT を発見して、それに対応するアクションを取る事ができるようになります。
管理者が構成したルールは、各Firewall 製品や Microsoft Defender for Endpoint のルールに連携させることも可能です。
以下のサイトに記載されている Firewall 製品のログを収集&分析できます
https://learn.microsoft.com/ja-jp/defender-cloud-apps/set-up-cloud-discovery#supported-firewalls-and-proxies-
他製品との統合
https://learn.microsoft.com/ja-jp/defender-cloud-apps/mde-integration
上記サイトの左ペインより抜粋した、下図に記載されている製品は、統合する事が可能です。Cloud Discovery で設定したルールを 自動的に Firewall 側へ連携させることができます。
-
アプリコネクタ
ガートナーが提唱する CASB の概念をカバーしており、CASB に対応した他社製クラウドサービスを統合監視します。
CASB に対応したクラウドサービスを 事前に Cloud Apps に接続しておき、情報を連携されます。
この仕組みを利用する事で、例えば Dropbox や AWS のストレージ上に対するファイルアクセスに対しても、監視を行う事ができるようになります。
以下のサイトに記載されているクラウドサービスと接続できます
https://learn.microsoft.com/ja-jp/defender-cloud-apps/enable-instant-visibility-protection-and-governance-actions-for-your-apps
公開情報:Microsoft Defender for Cloud Apps の概要
公開情報:Microsoft Defender for Cloud Apps と Microsoft 365 Cloud App Security の違いは何ですか?
その他の XDR 機能
Defender for Cloud との統合
以下のアクションで Defender XDR と Defender for Cloud を統合して、Microsoft Defender ポータルで統合管理することもできるようになったようです。
新機能:Microsoft Copilot for Security
XDR で統合したセキュリティ情報を Copilot を使って、監視ができるようになる・・・というモノ。これは ものすごい進化をもたらす気がします。
Microsoft Copilot for Security の価格
→ 必要な分析力ごとに、Security Compute Units (SCU) を購入していく仕組み。
1 SCU が月額 46 万円くらいするので、個人レベルで おいそれと手は出せないですね。
セミナーに参加して質問してみたのですが、無料評価版の提供は無い模様(2024/6 時点)でした。
② Microsoft Defender for Cloud
Microsoft Defender for Cloud は、Azure や 他社クラウド、オンプレミスなどの さまざまなサービスから情報を収集して、サイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計されたセキュリティソリューションです。
利用料としては、データを保存する LogAnalytics ワークスペース (Azure Monitor) のデータ保存量と 後述する データ収集方法の プラン の利用有無 によって決まります。
Azure Monitor の価格 5GB まで無料ですが、それ以上は 従量料金。コミットメント(予約)することでコストダウン可
管理画面
Defender for Cloud の管理は、Azure Portal から行います。
"https://portal.azure.com"
- 検索窓に Defender と入力して Microsoft Defender for Cloud を選択する。
- 以下が Microsoft Defender for Cloud の管理画面です。
公開情報:Microsoft Defender for Cloud とは
マルチクラウド セキュリティの新しい名前: Microsoft Defender for Cloud(和名) → 旧名の Azure Security Center が Microsoft Defender for Cloud に改名されたことが説明されています。
Defender for Cloud では、さまざまなサービスに対応させるために、データの収集方法 という手段で、各サービス と連携させるための方法が提供されています(カバレッジとも言います)
以下の一覧は、この データの収集方法 の名称の一覧です。
各 データの収集方法 には、プラン という価格体系が設定されており、プラン毎に 有効・無効 を選択することができます。
- Microsoft Defender for API
- Microsoft Defender for Servers
- Microsoft Defender for Databases ※1
- Microsoft Defender for Containers
- Microsoft Defender for App Service
- Microsoft Defender for Storage
- Microsoft Defender for Key Vault
- Microsoft Defender for Resource Manager
- Microsoft Defender for DNS
- Microsoft Defender for Cloud DevOps
- AI のための ワークロード(注:これだけ 〇〇 for AI じゃない)
※1 Microsoft Defender for Databases は、さらに 以下のようなものがあります。
- Microsoft Defender for Azure SQL
- Microsoft Defender for SQL servers on machines
- Microsoft Defender for MySQL
- Microsoft Defender for PostgreSQL
- Microsoft Defender for MariaDB
- Microsoft Defender for Azure Cosmos DB
公開情報:Microsoft Defender for Cloud によるデータの収集方法
上記の公開情報を開き、以下の赤枠を掘り下げて参照することで、各プラン の利用方法が説明されています。
公開情報:Microsoft Defender for Cloud 各プラン の価格
監視コンポーネントが必要になる収集方法
以下の3つのデータ収集方法を使う場合は、監視コンポーネントが使われます。
Azure VM の場合は、エージェントが自動的にデプロイされますが、他社クラウドやオンプレミスの場合は、手動でデプロイが必要です。
- Microsoft Defender for Servers
- Microsoft Defender for SQL servers on machines
- Microsoft Defender for Containers
上記以外の収集方法の場合は、コンポーネントは使われず、Azure 基盤を通じて 自動的に収集が行われます。
詳細は、以下の公開情報で説明されています。
公開情報:監視コンポーネントを使用するプラン
あとがき
SC-200 の研修を受けたのを機に、ややこしい と感じていた Defender for 〇〇 の整理をしてみたいと思って一気に着手したのですが、記事を書きながらでも、分類の関係性が違う事に気づいたりして、完成するまでに 構成変更を余儀なくされることがありましたが、まあ キレイに整理できたかなと思います。
記事をまとめることで、私自身も、SC-200 の勉強にもなりました。
Discussion