デモ: Microsoft Defender for Cloud Apps

このデモは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft セキュリティ ソリューションの機能について説明する
  • モジュール: Microsoft Defender XDR の脅威に対する保護機能について説明する
  • ユニット: Microsoft Defender for Cloud Apps について説明する

デモのシナリオ

このデモでは、Microsoft Defender for Cloud Apps の機能について説明します。 Cloud Discovery ダッシュボードで得られる情報、クラウド アプリ カタログ、[アクティビティ ログ] および [ファイル] で検索結果を調べるために利用できる機能、ポリシーを使用して組織への影響を制御する方法について学習者に説明します。 注: 組織には、ユーザーベースのサブスクリプション サービスである Microsoft Defender for Cloud Apps を使用するためのライセンスが必要です。

デモ パート 1:Cloud Discovery を探索する

  1. アドレス バーに、「admin.microsoft.com」と入力します。 認可されたラボ ホスト (ALH) から提供された Microsoft 365 テナントの管理者の資格情報を使ってサインインし、Microsoft 365 管理センターにアクセスします。

  2. Microsoft 365 管理センターの左ナビゲーション ペインで、[すべて表示] を選択します。

  3. [管理センター] で、[セキュリティ] を選択します。 新しいブラウザー タブが開き、Microsoft Defender ポータルのウェルカム ページが表示されます。

  4. Microsoft Defender ポータルに初めてアクセスする場合は、ポップアップ ウィンドウを表示してクイック ツアーを行うことができます。

  5. 左側のナビゲーション パネルで、[クラウド アプリ] を選択して一覧を展開し、[Cloud Discovery] を選択します。 これにより、ダッシュボード ビューが表示されます。 ダッシュボードで得られる情報について説明します。 ダッシュボード ビューでは、ページの上部から別のタブを選択できます。 ページの上部にあるタブについて 1 つずつ順番に説明します。

  6. [検出されたアプリ] を選択します。 検出されたアプリ ウィンドウには、リスク スコア、トラフィック、ユーザー数など、検出されたアプリのより詳細なビューが表示されます。
    1. 一覧の任意の項目から、テーブルの [アクション] 列で省略記号を選択します。 アプリに承認または承認されていないタグを付ける機能など、使用可能なさまざまなオプションに注意してください。 もう一度省略記号を選択して、[アクション] ボックスを閉じます。
    2. 特定の行項目を選択すると、特定のアプリの詳細ページが開きます。 リストから項目を選択します。 選択した項目で、[クラウド アプリの使用状況] タブを選択すると、使用状況ユーザーIP アドレスアラートなどの詳細情報が表示されます。 詳細ページの探索が完了したら、ページの上部にある階層リンクから [Cloud Discovery] を選択して、[検出されたアプリ] ページに戻ります。 左側のナビゲーション パネルから [Cloud Discovery] を選択すると、ダッシュボード ビューに戻ります。
    3. ページの上部で [IP アドレス] タブを選択します。ここで、トランザクションの数、トラフィックの量、アップロード量などのデータを IP アドレス別に確認できます。 特定の IP アドレスでフィルター処理したり、データをエクスポートして詳細な分析を行ったりすることもできます。
    4. ページの上部で [ユーザー] を選択します。 これは、IP アドレスを選択したときに表示されるものと同じ種類の情報ですが、代わりに個々のユーザーについて一覧表示されます。 ここでも、特定のユーザーでフィルター処理し、データをエクスポートして詳細な分析を行います。
  7. 特に説明する必要がある重要な点は、[Cloud Discovery] ページと関連タブに表示される情報が、ファイアウォールとプロキシから手動でアップロードするトラフィック ログからのスナップショット レポート、または Cloud App Security を使用するネットワークから転送されるすべてのログを分析する継続的レポートのいずれかに基づいているということです。 これが設定されている場所を表示するには、ページの右上隅で、[アクション] を選択します。
    1. 最初のオプションである [Cloud Discovery スナップショット レポートの作成] を選択して、[次へ] を選択します。 ここでは、要求された詳細を入力し、トラフィック ログをアップロードしてレポートを生成してアップロードします。 [終了] を選択し、確認のメッセージが表示されたら、もう一度 [終了] を選択します。 ラボ テナントに表示されるデータはスナップショット レポートからのデータであり、この情報は Cloud Discovery ウィンドウの上部に表示されます。
    2. 継続的レポートのオプションを表示するには、ページの右上隅にある [アクション] を選択し、ドロップダウンから [自動アップロードを構成する] を選択します。 データ ソースは接続されませんが、ここでデータ ソースを追加します。 [データ ソースの追加] を選択し、[アプライアンスの選択] フィールドのドロップダウン矢印を選択して、データ ソースとして接続できるアプライアンスの種類を確認します。 [キャンセル] を選択して終了します。
    3. 左側のナビゲーション パネルで、[Cloud Discovery] を選択して [Cloud Discovery] ページに戻ります。
  8. Microsoft Defender for Cloud アプリを使用すると、クラウド アプリの可視性と制御を向上させるアプリ コネクタを設定することで、アプリに直接接続できます。 画面の右上隅にある [アクション] を選択し、[Cloud Discovery の設定] を選択します。 使用できる設定を確認します。
    1. クラウド アプリの設定ウィンドウの左側のナビゲーション パネルで、[アプリ コネクタ] を選びます (必要に応じて下にスクロールします)。
    2. [アプリ コネクタ] ページには、既にセットアップされているアプリ コネクタが表示されます。また、ここでアプリ コネクタを追加できます。
    3. 一覧に Microsoft 365 が表示されます。 接続エラーが表示される場合は、行項目の右側にある縦方向の省略記号に移動し、[設定の編集] を選びます。 再接続するには、ページの下部にある [Office 365 を接続する] を選択します。 ページに、Office 365 が接続されたことが表示されます。[完了] を選択します。 状態が黄色の警告記号と共に表示されます。これは、最近の状態がないことを示します。 アプリごとに遡及的なスキャン期間が異なり、ラボ テナントで通常よりも長い遅延が発生する場合があるため、状態が更新されるまでに時間がかかります。
    4. 新しいアプリ コネクタを設定するには。 [+ アプリの接続] を選びます。 ドロップダウン リストには、選択できるリストが表示されます。 また、リストに [その他のアプリを提案する] オプションなどがあることを説明することもできます。
    5. 必要に応じて、Microsoft Azure コネクタを追加することもできます。 ドロップダウン リストから [Microsoft Azure] を選びます。 [Microsoft Azure] ポップアップ ウィンドウで、[Microsoft Azure を接続する] を選択し、[完了] を選択します。 接続状態 (表示されない場合はブラウザーを更新します) と、ユーザー、データ、アクティビティのスキャンに関する情報が表示されます。
  9. また、[クラウド アプリの設定] ページでは、数分かけて他の Cloud Discovery 設定の一部について説明することもお勧めします。
    1. [アプリの条件付きアクセス制御アプリ] を選び、”The Conditional Access App Control adds real-time monitoring and control capabilities for your apps” (アプリの条件付きアクセス制御により、アプリのリアルタイム監視と制御機能が追加されます) という説明を確認します。
    2. [Microsoft Information Protection] を選択し、使用できる設定を読み上げます。
    3. 必要に応じて他の項目も確認します。 統合と柔軟性のレベルについて説明します。

  10. 左端のナビゲーション パネルから Cloud Discovery を選択して、Cloud Discovery ダッシュボードに戻ります。

  11. 次のパートで使用するため、このページは開いたままにしておきます。

デモ パート 2 - クラウド アプリ カタログを探索する

デモのこの部分では、クラウド アプリ カタログの機能を紹介します。 Cloud Discovery では、31,000 を超えるクラウド アプリを掲載した Microsoft Defender for Cloud Apps クラウド アプリ カタログに照らしてトラフィック ログを分析します。 このアプリは 80 を超えるリスク要因に基づいてランクおよびスコア付けされ、クラウドの使用状況、シャドウ IT の状況、およびシャドウ IT の組織に対するリスクを継続して把握できるようになります。

  1. 左側のナビゲーション パネルで、[クラウド アプリ カタログ] を選択します。

  2. クラウド アプリ カタログを使用すると、組織のセキュリティ要件に適合するアプリを選択できます。 管理者は、ページの上部に表示されるアプリの基本的なフィルター処理 (アプリが承認されている、承認されていない、またはタグなしのいずれであるかによるフィルター処理や、リスク スコア、コンプライアンス リスク要因、セキュリティ リスク要因によるフィルター処理など) を実行できます。 たとえば、コンプライアンス リスク要因でフィルター処理すると、アプリが準拠している可能性のある特定の標準、認定、コンプライアンスを検索できます。 コンプライアンスには、HIPAA、ISO 27001、SOC 2、PCI DSS などがあります。 [コンプライアンス リスク要因] を選択して、使用可能なオプションを表示します。 ページの上部にあるリスク スコアのスライダーを移動すると、リスク スコアでさらにフィルター処理できます。 スライドを移動した場合は、範囲が 0 から 10 に設定されるように設定してください。

  3. 管理者は、カテゴリ別にアプリを検索することもできます。 たとえば、[カテゴリの検索] フィールドに「ソーシャル ネットワーク」と入力し、[ソーシャル ネットワーク] を選択します。 詳細ビューの一覧から任意の項目を選びます。 特定のカテゴリの任意のトピック上にマウス ポインターを合わせると、そのトピックに関する詳細情報を取得するために選択できる情報アイコンが表示されます。

  4. 次のタスクで使用するため、このページは開いたままにしておきます。

デモ パート 3: アクティビティ ログを探索する

アクティビティ ログを使用して記録されたアクティビティを調査する方法の詳細を確認します。

  1. 左側のナビゲーション パネルで、[アクティビティ ログ] を選択します。 ここでは、接続しているアプリのすべてのアクティビティを表示します。 監査が有効になった後、事後対応スキャンの実行に数時間かかる可能性があり、ラボのテナントでは通常よりも長い遅延が発生する可能性があるため、データが一覧表示されない場合があります。 使用可能なフィルター オプションと、検索に基づいて新しいポリシーを作成するオプションに注目します。

  2. 次のタスクで使用するため、このページは開いたままにしておきます。

デモ パート 4 - ポリシーを探索する

このパートでは、Microsoft Defender for Cloud Apps のポリシーで使用できるオプションを紹介します。

  1. 左ナビゲーション パネルで [ポリシー] を選びます。
    1. [ポリシー管理] を選びます。 一覧表示されているポリシーは、ポリシーによって生成されたアラートの数、重大度などに関する情報を提供します。任意の行項目を選択すると、ポリシーに関する詳細情報が提供されます。 一覧から項目を選ぶと、ポリシーに関する詳細情報が表示されます。 一部のオプションを読み上げ、[キャンセル] を選びます。
    2. ポリシーを作成することもできる点に注目します。 [+ ポリシーの作成] を選択して、作成できるポリシーの種類を表示します。 [アクティビティ ポリシー] を選択して、ポリシーの作成に使用できるさまざまなオプションを表示します。 [キャンセル] を選択して、構成ウィンドウを終了します。
    3. ポリシー情報をエクスポートするオプションも用意されていることに注目します。

  2. 左側のナビゲーション パネルで、[ポリシー テンプレート] を選択します。 使用可能なテンプレートからポリシーを作成するには、テンプレートの行項目の右側にある [+] を選びます。 ポリシーのさまざまな構成オプションを表示します。 [キャンセル] を選択して、ウィンドウを終了します。

  3. 左側のナビゲーション パネルで [ホーム] を選択して、Microsoft Defender のホーム ページに戻ります。

  4. 次のデモに進む予定の場合は、ブラウザー タブを開いたままにします。

確認

このデモでは、Microsoft Defender for Cloud Apps の機能について説明しました。 Cloud Discovery ダッシュボードで得られる情報、クラウド アプリ カタログ、[アクティビティ ログ] および [ファイル] で検索結果を調べるために利用できる機能、ポリシーを使用して組織への影響を制御する方法について説明しました