🛡️

Microsoft Defender 関連サービスについて整理してみた

2024/06/15に公開

はじめに

Microsoft Defender は、Microsoft 社が提供するセキュリティブランドの名称です。
これにちなんで、Microsoft Defender for 〇〇 という名称を良く目にしますが、これが なかなか わかりづらい状況になっているかと思い、整理してみました。

Security Operations Analyst Associate (SC-200) という資格を学習する際にも この理解をしておくと 学習が捗るのではないかと思います。

(SC-200) 資格情報: Security Operations Analyst Associate
https://learn.microsoft.com/ja-jp/credentials/certifications/security-operations-analyst/?practice-assessment-type=certification

規模による分類

まず、Microsoft Defender ブランドは、大きく 以下の3つの規模に分類できます。

公開情報:Microsoft Defender
https://www.microsoft.com/ja-jp/security/business/microsoft-defender

ターゲットによる分類

次に、セキュリティのターゲットが何であるか・・・によって分類することができます。
Microsoft のクラウドサービスは、Microsoft 365 という ユーザー向けサービスを提供するサービスと、Azure というリソースを提供するサービス があります。

Microsoft 365 は、機能ごとに ユーザー単位で ライセンスを契約します。
Azure は、従量課金型で、リソースごとの単価 に対して 使った分だけ支払う共用サービスです。

上記のどちら向けのセキュリティソリューションなのか(ターゲット)によって、使用すべき Defender 製品が決まります。

① Microsoft Defender XDR(旧名:Microsoft 365 Defender)
 → Microsoft 365 や Enterprise Mobility + Security (EMS) 向け
    Microsoft Defender ポータル で管理を行う。

② Microsoft Defender for Cloud(旧名:Azure Security Center)
 → Azure や、他社クラウド、オンプレミス のワークロード向け
   Azure Portal で管理を行う。

① Microsoft Defender XDR

Enterprise Security + Mobility (EMS) ライセンス を利用して提供されるセキュリティソリューションの統合ポータル的な位置づけ。より上位の Microsoft 365 E3 / E5 ライセンスでも利用可能です。

Microsoft Defender ポータル のアドレス
"https://security.microsoft.com/"

従来は、サービスごとの管理ポータルに分離されていたものを、Microsoft 365 Defender(旧名)として統合された管理メニューで操作できるようになり、さらに 収集データを統合して分析も出来るようにして、Microsoft Defender XDR に改名されました。

公開情報:Microsoft Defender XDRとは
https://learn.microsoft.com/ja-jp/defender-xdr/microsoft-365-defender

XDR 機能が有効になっていると、各サービスから収集したデータを統合した結果に対して 更なる分析が可能になっています(現在は 既定で 有効)
XDR の有効化
https://learn.microsoft.com/ja-jp/defender-xdr/m365d-enable

Microsoft Defender for XDR に属するサービスの新旧名称一覧

現名称 現略称 旧名称 旧略称
Microsoft Defender
for Endpoint
MDE Windows Defender
Advanced Threat Protection
Windows Defender ATP
Microsoft Defender
for Identity
MDI Azure
Advanced Threat Protection
Azure ATP
Microsoft Defender
for Office 365
MDO Office 365
Advanced Threat Protection
Office 365 ATP
Microsoft Defender
for Cloud Apps
MDA Microsoft Cloud App Security MCAS

上記のように、以前は バラバラ に提供されていたサービスが、XDR に 統合されましたが、引き続き 個別のライセンスを契約して 単独の機能を利用することも可能です。

各機能と ライセンス の関係性は、以下のサイトも参考にしてみてください。

https://qiita.com/carol0226/items/afb358fafb6901ccf588

①-1. Microsoft Defender for Endpoint

Windows デバイス向けの統合セキュリティソリューションです。

旧名:Windows Dedender ATP で提供されていた機能は Microsoft Dedender for Endpint P2 ライセンスに移行され、 新たに 下位エディションとなる Microsoft Defender for Endpoint P1 ライセンスが提供された・・・という経緯があります。

公開情報:Microsoft Defender for Endpoint
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-endpoint

上記サイトの画像より抜粋
ライセンスごとに、利用できる機能が異なります。
image.png

公開情報:Microsoft Defender for Endpoint とは
https://learn.microsoft.com/ja-jp/defender-endpoint/microsoft-defender-endpoint

旧名称 (Windows Defender Advanced Threat Protection) に関する関連記事
https://www.softbanktech.co.jp/special/blog/it-keyword/2021/0026/

①-2. Microsoft Defender for Identity

オンプレミスの Active Directory を監視するセキュリティソリューションです。

オンプレミス AD 側に センサー と呼ばれる監視コンポーネントを導入する事で、クラウド側に情報を集約して監視を行います。

公開情報:Microsoft Defender for Identity とは
https://learn.microsoft.com/ja-jp/defender-for-identity/what-is

旧名称 (Azure Advanced Threat Protection) に関する情報
image.png

関連製品:Microsoft Advanced Thread Analytics (ATA)
Azure ATP よりも さらに前の時代から提供されている オンプレミス AD 向けのセキュリティソリューションです。引き続きサポートはされていますが、開発は終了しています。新規に導入する場合は Defender for Identity の方を使いましょう。
https://learn.microsoft.com/ja-jp/advanced-threat-analytics/what-is-ata

①-3. Microsoft Defender for Office 365

Office 365 で利用されている メール、リンク (URLS)、添付ファイル、コラボレーション ツールのセキュリティの脅威から保護を行う セキュリティソリューションです。

公開情報:Microsoft Defender for Office 365 の概要
https://learn.microsoft.com/ja-jp/defender-office-365/mdo-about

①-4. Microsoft Defender for Cloud Apps

Office 365 および 他社製のクラウドサービス、全世界の Web サイトへのアクセスを管理するための統合セキュリティソリューションです。

大きく3つの機能を併せ持っています。

  • アプリガバナンス
    Microsoft Entra テナントに統合されたアプリケーションのセキュリティを詳細に制御します。
    対象のアプリケーションは、条件付きアクセス を使って指定します。
    以下のサイトに記載されている通り、Microsoft Entra ID、Google、Salesforce に登録されている OAuth 対応アプリ が対象となります
    https://learn.microsoft.com/ja-jp/defender-cloud-apps/app-governance-manage-app-governance

  • Cloud Discovery
    利用者の Web サイトへ のアクセスログ を収集して分析できます。
    その アクセスログ を アプリカタログと呼ばれる、Web サイトのデータベースとマージされたグラフィカルで判りやすい I/F で確認できます。

    アプロカタログは、カテゴリ に分類され、Microsoft 社の診断によって セキュリティリスクが 10 段階にランク付けされています。
    管理者は、Web サイトの ジャンルや リスクレベル を指定して、おおざっぱに アクセスの可否を制御するとともに、新たなる シャドーIT を発見して、それに対応するアクションを取る事ができるようになります。

    管理者が構成したルールは、各Firewall 製品や Microsoft Defender for Endpoint のルールに連携させることも可能です。

    以下のサイトに記載されている Firewall 製品のログを収集&分析できます
    https://learn.microsoft.com/ja-jp/defender-cloud-apps/set-up-cloud-discovery#supported-firewalls-and-proxies-

    他製品との統合
    https://learn.microsoft.com/ja-jp/defender-cloud-apps/mde-integration
    上記サイトの左ペインより抜粋した、下図に記載されている製品は、統合する事が可能です。Cloud Discovery で設定したルールを 自動的に Firewall 側へ連携させることができます。
    image.png
  • アプリコネクタ
    ガートナーが提唱する CASB の概念をカバーしており、CASB に対応した他社製クラウドサービスを統合監視します。
    CASB に対応したクラウドサービスを 事前に Cloud Apps に接続しておき、情報を連携されます。
    この仕組みを利用する事で、例えば Dropbox や AWS のストレージ上に対するファイルアクセスに対しても、監視を行う事ができるようになります。
    以下のサイトに記載されているクラウドサービスと接続できます
    https://learn.microsoft.com/ja-jp/defender-cloud-apps/enable-instant-visibility-protection-and-governance-actions-for-your-apps

公開情報:Microsoft Defender for Cloud Apps の概要
https://learn.microsoft.com/ja-jp/defender-cloud-apps/what-is-defender-for-cloud-apps

公開情報:Microsoft Defender for Cloud Apps と Microsoft 365 Cloud App Security の違いは何ですか?
https://learn.microsoft.com/ja-jp/defender-cloud-apps/editions-cloud-app-security-o365

その他の XDR 機能

Defender for Cloud との統合
以下のアクションで Defender XDR と Defender for Cloud を統合して、Microsoft Defender ポータルで統合管理することもできるようになったようです。

https://learn.microsoft.com/ja-jp/defender-xdr/microsoft-365-security-center-defender-cloud

新機能:Microsoft Copilot for Security
XDR で統合したセキュリティ情報を Copilot を使って、監視ができるようになる・・・というモノ。これは ものすごい進化をもたらす気がします。
https://learn.microsoft.com/ja-jp/copilot/security/microsoft-security-copilot

Microsoft Copilot for Security の価格
https://azure.microsoft.com/en-us/pricing/details/microsoft-copilot-for-security/
→ 必要な分析力ごとに、Security Compute Units (SCU) を購入していく仕組み。
  1 SCU が月額 46 万円くらいするので、個人レベルで おいそれと手は出せないですね。
セミナーに参加して質問してみたのですが、無料評価版の提供は無い模様(2024/6 時点)でした。

② Microsoft Defender for Cloud

Microsoft Defender for Cloud は、Azure や 他社クラウド、オンプレミスなどの さまざまなサービスから情報を収集して、サイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計されたセキュリティソリューションです。

利用料としては、データを保存する LogAnalytics ワークスペース (Azure Monitor) のデータ保存量と 後述する データ収集方法の プラン の利用有無 によって決まります。

Azure Monitor の価格
https://azure.microsoft.com/ja-jp/pricing/details/monitor/#pricing
5GB まで無料ですが、それ以上は 従量料金。コミットメント(予約)することでコストダウン可

管理画面
Defender for Cloud の管理は、Azure Portal から行います。
"https://portal.azure.com"

  1. 検索窓に Defender と入力して Microsoft Defender for Cloud を選択する。
    image.png
  2. 以下が Microsoft Defender for Cloud の管理画面です。
    image.png

公開情報:Microsoft Defender for Cloud とは
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloud-introduction

マルチクラウド セキュリティの新しい名前: Microsoft Defender for Cloud(和名)
https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/a-new-name-for-multi-cloud-security-microsoft-defender-for-cloud/ba-p/2943020
→ 旧名の Azure Security Center が Microsoft Defender for Cloud に改名されたことが説明されています。

Defender for Cloud では、さまざまなサービスに対応させるために、データの収集方法 という手段で、各サービス と連携させるための方法が提供されています(カバレッジとも言います)

以下の一覧は、この データの収集方法 の名称の一覧です。
データの収集方法 には、プラン という価格体系が設定されており、プラン毎に 有効・無効 を選択することができます。

  • Microsoft Defender for API
  • Microsoft Defender for Servers
  • Microsoft Defender for Databases ※1
  • Microsoft Defender for Containers
  • Microsoft Defender for App Service
  • Microsoft Defender for Storage
  • Microsoft Defender for Key Vault
  • Microsoft Defender for Resource Manager
  • Microsoft Defender for DNS
  • Microsoft Defender for Cloud DevOps
  • AI のための ワークロード(注:これだけ 〇〇 for AI じゃない)

※1 Microsoft Defender for Databases は、さらに 以下のようなものがあります。

  • Microsoft Defender for Azure SQL
  • Microsoft Defender for SQL servers on machines
  • Microsoft Defender for MySQL
  • Microsoft Defender for PostgreSQL
  • Microsoft Defender for MariaDB
  • Microsoft Defender for Azure Cosmos DB

公開情報:Microsoft Defender for Cloud によるデータの収集方法
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/monitoring-components

上記の公開情報を開き、以下の赤枠を掘り下げて参照することで、各プラン の利用方法が説明されています。
image.png

公開情報:Microsoft Defender for Cloud 各プラン の価格
https://azure.microsoft.com/ja-jp/pricing/details/defender-for-cloud/

監視コンポーネントが必要になる収集方法

以下の3つのデータ収集方法を使う場合は、監視コンポーネントが使われます。
Azure VM の場合は、エージェントが自動的にデプロイされますが、他社クラウドやオンプレミスの場合は、手動でデプロイが必要です。

  • Microsoft Defender for Servers
  • Microsoft Defender for SQL servers on machines
  • Microsoft Defender for Containers

上記以外の収集方法の場合は、コンポーネントは使われず、Azure 基盤を通じて 自動的に収集が行われます。

詳細は、以下の公開情報で説明されています。

公開情報:監視コンポーネントを使用するプラン
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/monitoring-components#what-plans-use-monitoring-components

あとがき

SC-200 の研修を受けたのを機に、ややこしい と感じていた Defender for 〇〇 の整理をしてみたいと思って一気に着手したのですが、記事を書きながらでも、分類の関係性が違う事に気づいたりして、完成するまでに 構成変更を余儀なくされることがありましたが、まあ キレイに整理できたかなと思います。

記事をまとめることで、私自身も、SC-200 の勉強にもなりました。

Discussion