ラボ: Microsoft Defender for Cloud Apps について調べる

このラボは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft セキュリティ ソリューションの機能について説明する
  • モジュール: Microsoft 365 の脅威に対する保護機能について説明する
  • ユニット: Microsoft Defender for Cloud Apps について説明する

ラボのシナリオ

このラボでは、Microsoft Defender for Cloud Apps の機能の詳細を確認します。 Cloud Discovery ダッシュボードで得られる情報、クラウド アプリ カタログ、検出事項の調査に利用できる機能、ポリシーを通して組織への影響を制御する方法について説明します。 注: 組織には、ユーザーベースのサブスクリプション サービスである Microsoft Defender for Cloud Apps を使用するためのライセンスが必要です。

推定時間:30 分

タスク 1 - Cloud Discovery の詳細を確認する

Cloud Discovery の詳細を確認します。

  1. Microsoft Edge を開きます。 アドレス バーに、「admin.microsoft.com」と入力します。

  2. Microsoft 365 テナントの管理者資格情報を使ってサインインします。
    1. [サインイン] ウィンドウで、「admin@WWLxZZZZZZ.onmicrosoft.com」 (ZZZZZZ はラボ ホスティング プロバイダーから指定された固有のテナント ID) と入力してから、[次へ] を選択します。
    2. ラボ ホスティング プロバイダーから提供されている管理者パスワードを入力します。 [サインイン] を選択します。
    3. 以前に管理者としてログインしたことがある場合は、MFA の一部として、セカンダリ認証を完了するように求められます。 以前に管理者としてログインしたことがない場合は、MFA 登録プロセスを完了するように求められます。画面の指示に従って MFA をセットアップします。
    4. サインインしたままにするかどうかを尋ねられたら、[はい] を選択します。 これにより、[Microsoft 365 管理センター] ページにリダイレクトされます。

  3. Microsoft 365 管理センターの左ナビゲーション ペインで、[すべて表示] を選択します。

  4. [管理センター] で、[セキュリティ] を選択します。 新しいブラウザー タブが開き、Microsoft 365 Defender ポータルのウェルカム ページが表示されます。

  5. Microsoft 365 Defender ポータルに初めてアクセスする場合は、ポップアップ ウィンドウを表示してクイック ツアーを行うことができます。 これを閉じます。

  6. 左側のナビゲーション パネルで、[クラウド アプリ] を選択して一覧を展開し、[Cloud Discovery] を選択します。 これにより、ダッシュボード ビューが表示されます。 ダッシュボードで得られる情報に注目します。 ダッシュボード ビューでは、ページの上部から別のタブを選択できます。

  7. [検出されたアプリ] を選択します。 検出されたアプリ ウィンドウには、リスク スコア、トラフィック、ユーザー数など、検出されたアプリのより詳細なビューが表示されます。
    1. 一覧の任意の項目から、テーブルの [アクション] 列で省略記号 (…) を選択します。 アプリに承認または承認されていないタグを付ける機能など、使用可能なさまざまなオプションに注意してください。 もう一度省略記号 (…) を選択して、[アクション] ボックスを閉じます。
    2. 特定の行項目を選択すると、特定のアプリの詳細ページが開きます。 リストから項目を選択し、概要ページで得られる情報を確認します。 選択した項目で、[クラウド アプリの使用状況] タブを選択すると、使用状況ユーザーIP アドレスアラートなどの詳細情報が表示されます。 詳細ページの探索が完了したら、ページの上部にある階層リンクから [Cloud Discovery] を選択して、[検出されたアプリ] ページに戻ります。 左側のナビゲーション パネルから [Cloud Discovery] を選択すると、ダッシュボード ビューに戻ります。
    3. ページの上部で [IP アドレス] タブを選択します。ここで、トランザクションの数、トラフィックの量、アップロード量などのデータを IP アドレス別に確認できます。 特定の IP アドレスでフィルター処理したり、データをエクスポートして詳細な分析を行ったりすることもできます。
    4. ページの最上部から [ユーザー] を選択します。 これは、IP アドレスを選択したときに表示されるものと同じ種類の情報ですが、代わりに個々のユーザーについて一覧表示されます。 ここでも、特定のユーザーでフィルター処理し、データをエクスポートして詳細な分析を行います。
  8. Cloud Discovery ページと関連タブに表示される情報は、ファイアウォールとプロキシから手動でアップロードするトラフィック ログからのスナップショット レポート、または Cloud App Security を使用するネットワークから転送されるすべてのログを分析する継続的レポートのいずれかに基づきます。 これが設定されている場所を表示するには、ページの右上隅で、[アクション] を選択します。
    1. 最初のオプションである [Cloud Discovery スナップショット レポートの作成] を選択して、[次へ] を選択します。 ここでは、要求された詳細を入力し、トラフィック ログをアップロードしてレポートを生成してアップロードします。 [終了] を選択し、確認のメッセージが表示されたら、もう一度 [終了] を選択します。 ラボ テナントに表示されるデータはスナップショット レポートからのデータであり、この情報は Cloud Discovery ウィンドウの上部に表示されます。
    2. 継続的レポートのオプションを表示するには、ページの右上隅にある [アクション] を選択し、ドロップダウンから [自動アップロードを構成する] を選択します。 データ ソースは接続されませんが、ここでデータ ソースを追加します。 [データ ソースの追加] を選択し、[アプライアンスの選択] フィールドのドロップダウン矢印を選択して、データ ソースとして接続できるアプライアンスの種類を確認します。 [キャンセル] を選択して終了します。
    3. 左側のナビゲーション パネルで、[Cloud Discovery] を選択して [Cloud Discovery] ページに戻ります。

  9. アプリ コネクタを設定すると、アプリに直接接続でき、クラウド アプリの可視性と制御が向上します。 画面の右上隅にある [アクション] を選び、 [Cloud Discovery の設定] を選びます。 画面の左側にある [接続されているアプリ] で、[アプリ コネクタ] を選択します。

    1. [接続されているアプリ] ページで、一覧から [Office 365] を選択し利用できる詳細情報を表示した後、画面の右側にある縦の省略記号 (⋮) を選択し、[アプリ コネクタ設定の表示] を選択して [アプリ コネクタ] ページに戻ります。 Office 365 で接続エラーが表示される場合、監査がオンになっていないこと可能性があります。 監査が有効になっている場合は、行項目の右側にある縦方向の省略記号 (⋮) から [設定の編集] を選択します。 再接続するには、ページの下部にある [Office 365 を接続する] を選択します。 ページに、Office 365 が接続されたことが表示されます。 [完了] を選択します。 状態が黄色の警告記号と共に表示されます。これは、最近の状態がないことを示します。 アプリごとに遡及的なスキャン期間が異なり、ラボ テナントで通常よりも長い遅延が発生する場合があるため、状態が更新されるまでに時間がかかります。

    2. 次に、新しいアプリ コネクタを設定します。 [+ アプリを接続] を選択し、ドロップダウン リストで、[Microsoft Azure] を選択します。 [Microsoft Azure] ポップアップ ウィンドウで、[Microsoft Azure を接続する] を選択し、[完了] を選択します。 接続済みの状態が表示されます (表示されない場合はブラウザーを更新してください)。 [Microsoft Azure] を選ぶと、ユーザー、データ、アクティビティのスキャンに関する詳細情報が表示されます。 左端のナビゲーション パネルからクラウド アプリの [Cloud Discovery] を選んで、Cloud Discovery ダッシュボードに戻ります。

  10. 次のタスクで使用するため、このページは開いたままにしておきます。

タスク 2 - クラウド アプリ カタログの詳細を確認する

Cloud Discovery では、31,000 を超えるクラウド アプリを掲載した Microsoft Defender for Cloud Apps クラウド アプリ カタログに照らしてトラフィック ログを分析します。 このアプリは 80 を超えるリスク要因に基づいてランクおよびスコア付けされ、クラウドの使用状況、シャドウ IT の状況、およびシャドウ IT の組織に対するリスクを継続して把握できるようになります。 このタスクでは、クラウド アプリ カタログの機能について詳細を確認します。

  1. 左側のナビゲーション パネルで、[クラウド アプリ カタログ] を選択します。

  2. クラウド アプリ カタログを使用すると、組織のセキュリティ要件に適合するアプリを選択できます。 管理者は、ページの上部に表示されるアプリの基本的なフィルター処理 (アプリが承認されている、承認されていない、またはタグなしのいずれであるかによるフィルター処理や、リスク スコア、コンプライアンス リスク要因、セキュリティ リスク要因によるフィルター処理など) を実行できます。 たとえば、コンプライアンス リスク要因でフィルター処理すると、アプリが準拠している可能性のある特定の標準、認定、コンプライアンスを検索できます。 コンプライアンスには、HIPAA、ISO 27001、SOC 2、PCI DSS などがあります。 [コンプライアンス リスク要因] を選択して、使用可能なオプションを表示します。 ページの上部にあるリスク スコアのスライダーを移動すると、リスク スコアでさらにフィルター処理できます。 スライドを移動した場合は、範囲が 0 から 10 に設定されるように設定してください。

  3. 管理者は、カテゴリ別にアプリを検索することもできます。 たとえば、[カテゴリの検索] フィールドに「ソーシャル ネットワーク」と入力し、[ソーシャル ネットワーク] を選択します。 詳細ビューの一覧から任意の項目を選びます。 特定のカテゴリの任意のトピック上にマウス ポインターを合わせると、そのトピックに関する詳細情報を取得するために選択できる情報アイコンが表示されます。

  4. 次のタスクで使用するため、このページは開いたままにしておきます。

タスク 3 - アクティビティ ログとファイルの詳細を確認する

アクティビティ ログとファイルを使用して記録されたアクティビティを調査する方法の詳細を確認します。

  1. 左側のナビゲーション パネルで、[アクティビティ ログ] を選択します。 ここでは、接続しているアプリのすべてのアクティビティを表示します。 監査が有効になった後、事後対応スキャンの実行に数時間かかる可能性があり、ラボのテナントでは通常よりも長い遅延が発生する可能性があるため、データが一覧表示されない場合があります。 使用可能なフィルター オプションと、検索に基づいて新しいポリシーを作成するオプションに注目します。

  2. データ保護を提供するために、Microsoft Defender for Cloud Apps には、接続されているアプリのすべてのファイル、たとえば SharePoint と Salesforce に格納されているすべてのファイルを表示する機能があります。 左側のナビゲーション ウィンドウで、[ファイル] オプションを選んで確認します。
    1. ファイルをスキャンする機能は、Microsoft 365 Cloud アプリの情報保護設定の一部として有効にする必要があります。 [ファイルの監視を有効にする] を選び、[ファイルの監視を有効にする] の横にあるボックスをオンにして、[保存] を選びます。
    2. 左側のナビゲーション パネルから [クラウド アプリ] の下に一覧表示されている [ファイル] を選んで、ファイルに戻ります。 前述のように、ファイルが表示されるまで数日かかることがあります。ファイルの監視を有効にして、ファイルを一覧表示したら、アプリ、所有者、アクセス レベル、ファイルの種類、一致するポリシーでデータをフィルター処理できることに留意してください。 また、データの検索とエクスポートから新しいポリシーを作成します。
  3. 次のタスクで使用するため、このページは開いたままにしておきます。

タスク 4 - ポリシーの詳細を確認する

このタスクでは、Microsoft Defender for Cloud Apps のポリシーの詳細を確認します。

  1. 左側のナビゲーション パネルで、[ポリシー] を選択し、[ポリシー管理] を選択します。 一覧表示されているポリシーは、ポリシーによって生成されたアラートの数、重大度などに関する情報を提供します。任意の行項目を選択すると、ポリシーに関する詳細情報が提供されます。
    1. ポリシーを作成することもできる点に注目します。 [+ ポリシーの作成] を選択して、作成できるポリシーの種類を表示します。 [アクティビティ ポリシー] を選択して、ポリシーの作成に使用できるさまざまなオプションを表示します。 [キャンセル] を選択して、構成ウィンドウを終了します。
    2. ポリシー情報をエクスポートするオプションも用意されていることに注目します。

  2. 左側のナビゲーション パネルで、[ポリシー テンプレート] を選択します。 使用できるテンプレートからポリシーを作成するには、テンプレートの行項目の右側にある [+] を選びます。 ポリシーのさまざまな構成オプションを表示します。 [キャンセル] を選択して、ウィンドウを終了します。

  3. ブラウザー ウィンドウを閉じます。

確認

このラボでは、Microsoft Defender for Cloud Apps の機能の詳細を確認しました。 Cloud Discovery ダッシュボードで得られる情報、クラウド アプリ カタログ、検出事項の調査に利用できる機能、ポリシーを通して組織への影響を制御する方法について説明しました。