マイクロソフトの SIEM と XDR の統合ツールでセキュリティ オペレーションを最新化

Rob Lefferts (Microsoft 365 セキュリティ担当コーポレート バイス プレジデント)

サイバー脅威の現状において、監視対象の攻撃の複雑さと巧妙さは増す一方です。攻撃者は組織で最も脆弱なリソースを標的とし、その後、侵入範囲を拡大して価値の高い資産を標的にしていきます。もはやメールやエンドポイントといった個々の領域を保護するだけで安全を確保することは期待できません。検出と対応の拡張 (XDR、英語) は、業界アナリストによって定義された新しいアプローチで、ドメイン全体でインテリジェントな自動化された統合型セキュリティを提供し、防御者が一見他とは異なるアラートを受け取り、攻撃者に先制的に対応できるように設計されています。

本日オンラインで開催する Ignite カンファレンスでは、マイクロソフト独自のアプローチ (英語) を発表します。これにより、セキュリティ担当者が単一のベンダーの SIEM と XDR の統合ツールを使って、現在の複雑な脅威の状況に先回りで対応できるようになり、SIEM と XDR の両方のメリットが得られます。具体的には、すべてのリソースのエンドツーエンドでの脅威の可視化、マイクロソフトの特定のリソースとシグナルをつなぎ合わせる AI に関する深い理解に基づいた相関性のある優先度の高いアラート、全社規模での協調的行動が可能となります。SIEM と XDR を組み合わせることで、防御者はこれまで以上に多くのコンテキストと自動化を利用できるようになり、その分、節約した時間を使って自社の環境内に独自の専門知識を適用し、事前に脅威ハンティング、脅威防止を実施することができます。

また今回、Microsoft Defender ブランドですべての XDR テクノロジが統合されます。新しい Microsoft Defender は現在の市場で最も包括的な XDR であり、ID、エンドポイント、アプリ、メール、IoT、インフラストラクチャ、クラウド プラットフォーム全体で脅威の防止、検出、対応を行います。また、新しい Microsoft Defender のリリースに伴い、既存の脅威防止ポートフォリオの名称を変更し、マルチクラウド (Google Cloud と AWS) およびマルチプラットフォーム (Windows、Mac、Linux、Android、iOS) の追加サポートなどの新しい機能を追加します。

Microsoft Defender は、エンド ユーザー環境向けの Microsoft 365 Defender (英語) と、クラウドまたはハイブリッド インフラストラクチャ向けの Azure Defender の 2 つのカスタム エクスペリエンスで提供されます。
 

Microsoft 365 Defender

Microsoft 365 Defender は、ID、エンドポイント、クラウド アプリ、メール、ドキュメントを対象とする XDR 機能を提供します。人工知能の使用で SOC の作業項目を削減し、最近のテストでは、1,000 個のアラートをわずか 40 個の優先度の高いインシデントに統合しました。また、組み込みの自己修復テクノロジによって、修復にかかる時間の 70% 以上を完全に自動化することで、防御者が自分の持つナレッジと専門知識を活かせる他のタスクに集中できるようにします。

そして本日、Microsoft 365 Defender テクノロジを統合することに伴い、以下の機能の名称を変更します。

  • Microsoft 365 Defender (旧称: Microsoft Threat Protection)
  • Microsoft Defender for Endpoint (旧称: Microsoft Defender Advanced Threat Protection)
  • Microsoft Defender for Office 365 (旧称: Office 365 Advanced Threat Protection)
  • Microsoft Defender for Identity (旧称: Azure Advanced Threat Protection)
     

また、以下の Microsoft 365 Defender の新機能のリリースも発表します。

  • Microsoft Defender for Endpoint のモバイル脅威防御機能を iOS と Android に拡張しました。iOS 向けはプレビューを開始し、Android 向けは一般提供を開始します。これにより、マイクロソフトはすべての主要 OS プラットフォームにわたってエンドポイント保護を提供できるようになります。エンドポイント セキュリティの最新の取り組みについては、こちら (英語) をご確認ください。
  • 脅威と脆弱性の管理を追加して、現行の macOS のサポートを拡張します。詳細はこちらのブログ記事 (英語) をご確認ください。
  • Microsoft Defender for Office 365 の Priority Account Protection は、組織の重要な機密情報へのアクセス権を持つユーザーをねらったフィッシング攻撃からの保護に対応するセキュリティ チームを支援する機能です。優先アカウント ワークフローをカスタマイズして、こうしたユーザーの保護を強化できます。詳細はこちらのブログ記事 (英語) をご確認ください。

 

Microsoft 365 Defender

img_12

Microsoft 365 Defender
 

Azure Defender

Azure Defender は XDR の上記以外の機能を提供し、仮想マシン、データベース、コンテナー、IoT など、マルチクラウドおよびハイブリッドのワークロードを保護します。Azure Defender は Azure Security Center の脅威防止機能の進化版であり、Azure Security Center 内からアクセスできます。

Microsoft 365 のブランド変更に合わせて、このたび Azure Defender サービスのブランドも変更します。たとえば、以下のようになります。

  • Azure Defender for Servers (旧称: Azure Security Center Standard Edition)
  • Azure Defender for IoT (旧称: Azure Security Center for IoT)
  • Azure Defender for SQL (旧称: Advanced Threat Protection for SQL)
     

Azure Defender の新機能もリリースされます。

  • 防御者が保護されていないリソースを特定しリスクを軽減するために、どのリソースが保護され、どのリソースを保護する必要があるかを簡単に把握できる、Azure Defender の新しい統合エクスペリエンスを提供します。この新しいエクスペリエンスにはこちらのページからアクセスでき、今月中に広く利用可能になります。
  • オンプレミスおよびマルチクラウド環境の SQL Server と別のクラウドの仮想マシンの保護を強化し、Kubernetes レベルのポリシー管理やコンテナー レジストリのコンテナー イメージの継続的なスキャンなどのコンテナーの保護を強化します。
  • CyberX (英語) を Azure Defender for IoT に統合し、オペレーショナル テクノロジ ネットワークをサポートします。

Azure Defender

img_13

Defender
 

Azure Sentinel

Azure Defender と Microsoft 365 Defender を通じて提供される Microsoft Defender の XDR 機能は、豊富なインサイトと優先度の高いアラートを提供しますが、環境全体を可視化し、ファイアウォールや既存のセキュリティ ツールのような他のセキュリティ ソリューションからのデータを含めるために、Microsoft Defender をクラウド ネイティブな SIEM である Azure Sentinel に接続します。

Azure Sentinel は Microsoft Defender と緊密に統合されているため、自社の XDR データを数クリックで統合し、それを企業全体のすべてのセキュリティ データと組み合わせることができます。

本日、Azure Sentinel の新機能を発表します。

  • この新しいエンティティ行動分析ビューを使用すると、侵害を受けたアカウントや悪意のある内部関係者の診断がさらに容易になります。
  • 脅威を示す指標の検索/追加/追跡、脅威インテリジェンスの検索の実行、ウォッチリストの作成の機能を追加することで、脅威インテリジェンスの管理を簡素化します。これらの機能の詳細については、Azure Sentinel のブログ記事 (英語) をご確認ください。

Azure Sentinel

img_14

Azure Sentinel
 

セキュリティ オペレーションの最新化

XDR を提供するベンダーもいれば、SIEM を提供するベンダーもいます。マイクロソフトは、緊密に統合された SIEM と XDR を利用することで、防御者がすべての企業資産にわたるエンドツーエンドの可視化と優先度の高い実践的なインサイトというメリットが得られると確信しています。また、広範囲のリソースに対応する最高の統合エクスペリエンスを提供して、皆様の環境の簡素化に力を注いでまいります。

この包括的な脅威防止機能を世界中のお客様に提供するという取り組みにおいて、皆様のご協力とご意見は欠かせないものです。心から感謝を申し上げます。

 

YouTube 動画: Microsoft Defender、検出と応答の拡張 (XDR) | Microsoft Ignite 2020 (英語)

img_15

YouTube 動画: Microsoft Defender、検出と応答の拡張 (XDR) | Microsoft Ignite 2020 (英語)

Stay healthy. Stay safe.

-Rob Lefferts & マイクロソフト セキュリティ チーム一同

マイクロソフトのセキュリティ ソリューションの詳細は、こちらの Web ページをご確認ください。Security ブログ (英語) をブックマークし、セキュリティに関する専門家の記事を随時チェックしてください。サイバーセキュリティに関する最新情報や更新情報を見逃さないよう、Twitter アカウント @MSFTSecurity もぜひフォローしてください。