はじめに

Microsoft Defender は、Microsoft 社が提供するセキュリティブランドの名称です。
これにちなんで、Microsoft Defender for 〇〇という名称を良く目にしますが、これがなかなかわかりづらい状況になっているかと思い、整理してみました。

Security Operations Analyst Associate (SC-200) という資格を学習する際にもこの理解をしておくと学習が捗るのではないかと思います。
Microsoft Certified: Security Operations Analyst Associate
https://learn.microsoft.com/ja-jp/credentials/certifications/security-operations-analyst/?practice-assessment-type=certification

規模による分類

まず、Microsoft Defender ブランドは、大きく以下の３つの規模に分類できます。

"Microsoft Defender XDR" および "Microsoft Defender for Cloud"
大企業向け統合セキュリティソリューション
→　本記事のメインテーマとして、次章以降で深堀解説します。
　
Microsoft Defender for Business
中小企業向けウイルス対策ソリューション（端末上限 300 台）
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-business
　
Microsoft Defender 個人向け
個人向けウイルス対策ソリューション
https://www.microsoft.com/ja-jp/microsoft-365/microsoft-defender-for-individuals

公開情報：Microsoft Defender
https://www.microsoft.com/ja-jp/security/business/microsoft-defender

for Business と個人向けは、単なるウイルス対策ソリューションなので、掘り下げた説明は割愛します。

次章以降では、大企業向けソリューションの深堀をしていきます。

例外
Microsoft Defender Firewall は、従来からクライアント OS に備わっていた Windows Defender Firewall と同じです。これはこれでややこしい状況があるので、別途以下の記事にまとめてあります。

ターゲットによる分類

次に、セキュリティのターゲットが何であるか・・・によって分類することができます。
Microsoft のクラウドサービスは、Microsoft 365 というユーザー向けサービスを提供するサービスと、Azure というリソースを提供するサービスがあります。

Microsoft 365 は、機能ごとにユーザー単位でライセンスを契約します。
Azure は、従量課金型で、リソースごとの単価に対して使った分だけ支払う共用サービスです。

上記のどちら向けのセキュリティソリューションなのか（ターゲット）によって、使用すべき Defender 製品が決まります。

① Microsoft Defender XDR（旧名：Microsoft 365 Defender）
　→　Microsoft 365 や Enterprise Mobility + Security (EMS) 向け
　　　Microsoft Defender ポータルで管理を行う。

② Microsoft Defender for Cloud（旧名：Azure Security Center）
　→　Azure や、他社クラウド、オンプレミスのワークロード向け
　　　Azure Portal で管理を行う。

① Microsoft Defender XDR

Enterprise Security + Mobility (EMS) ライセンスを利用して提供されるセキュリティソリューションの統合ポータル的な位置づけ。より上位の Microsoft 365 E3 / E5 ライセンスでも利用可能です。

Microsoft Defender ポータルのアドレス
https://security.microsoft.com/

従来は、サービスごとの管理ポータルに分離されていたものを、Microsoft 365 Defender（旧名）として統合された管理メニューで操作できるようになり、さらに収集データを統合して分析も出来るようにして、Microsoft Defender XDR に改名されました。

公開情報：Microsoft Defender XDRとは
https://learn.microsoft.com/ja-jp/defender-xdr/microsoft-365-defender

XDR 機能が有効になっていると、各サービスから収集したデータを統合した結果に対して更なる分析が可能になっています（現在は既定で有効）
XDR の有効化
https://learn.microsoft.com/ja-jp/defender-xdr/m365d-enable

Microsoft Defender for XDR に属するサービスの新旧名称一覧

現名称	現略称	旧名称	旧略称
Microsoft Defender for Endpoint	MDE	Windows Defender Advanced Threat Protection	Windows Defender ATP
Microsoft Defender for Identity	MDI	Azure Advanced Threat Protection	Azure ATP
Microsoft Defender for Office 365	MDO	Office 365 Advanced Threat Protection	Office 365 ATP
Microsoft Defender for Cloud Apps	MDA	Microsoft Cloud App Security	MCAS

上記のように、以前はバラバラに提供されていたサービスが、XDR に統合されましたが、引き続き個別のライセンスを契約して単独の機能を利用することも可能です。

各機能とライセンスの関係性は、以下のサイトも参考にしてみてください。

①-1. Microsoft Defender for Endpoint

エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計された、マルチプラットフォームなデバイス 向けのエンドポイントセキュリティソリューションです。

単なるウイルス対策にとどまらず、以下の機能が提供されています。

脆弱性管理
エンドポイントの脆弱性と構成ミスの検出、評価、優先順位付け、修復に最新のリスクベースのアプローチを使用します。
攻撃面の縮小
構成が正しく設定されていることを確認して悪用に対する修復テクニックを適用することにより、攻撃と悪用に対抗します。
次世代保護
今までに無かった新たな脅威をキャッチできるように設計されています。
自動調査と修復
大規模なアラートを数分で解決するために役立ちます。
デバイスのセキュリティスコア
企業ネットワーク内デバイスのセキュリティ状態をスコアで評価し、保護されていないシステムを見える化し、組織の全体的なセキュリティを向上させるために推奨されるアクションを明確にします。
Microsoft 脅威エキスパート
セキュリティ運用センター (SOC) が脅威を迅速かつ正確に特定して対応できるようにする支援を提供します（いわゆる通知）

命名変更の経緯
旧名：Windows Dedender ATP で提供されていた機能は Microsoft Dedender for Endpint P2 ライセンスに移行され、新たに下位エディションとなる Microsoft Defender for Endpoint P1 ライセンスが提供された・・・という経緯があります。

公開情報：Microsoft Defender for Endpoint
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-endpoint

上記サイトの画像より抜粋
ライセンスごとに、利用できる機能が異なります。

公開情報：Microsoft Defender for Endpoint とは
https://learn.microsoft.com/ja-jp/defender-endpoint/microsoft-defender-endpoint

旧名称 (Windows Defender Advanced Threat Protection) に関する関連記事
https://www.softbanktech.co.jp/special/blog/it-keyword/2021/0026/

Windows Defender ATP よりも昔の時代には、System Center Endpoint Protection (SCEP) という製品もありました。

①-2. Microsoft Defender for Identity

オンプレミスの Active Directory を監視するセキュリティソリューションです。

オンプレミス AD 側にセンサーと呼ばれる監視コンポーネントを導入する事で、クラウド側に情報を集約して監視を行います。

公開情報：Microsoft Defender for Identity とは
https://learn.microsoft.com/ja-jp/defender-for-identity/what-is

旧名称 (Azure Advanced Threat Protection) に関する情報

関連製品：Microsoft Advanced Thread Analytics (ATA)
Azure ATP よりもさらに前の時代から提供されているオンプレミス AD 向けのセキュリティソリューションです。引き続きサポートはされていますが、開発は終了しています。新規に導入する場合は Defender for Identity の方を使いましょう。
https://learn.microsoft.com/ja-jp/advanced-threat-analytics/what-is-ata

①-3. Microsoft Defender for Office 365

Office 365 で利用されているメール、リンク (URLS)、添付ファイル、コラボレーションツールのセキュリティの脅威から保護を行うセキュリティソリューションです。

公開情報：Microsoft Defender for Office 365 の概要
https://learn.microsoft.com/ja-jp/defender-office-365/mdo-about

①-4. Microsoft Defender for Cloud Apps

Office 365 および他社製のクラウドサービス、全世界の Web サイトへのアクセスを管理するための統合セキュリティソリューションです。

大きく３つの機能を併せ持っています。

アプリガバナンス
Microsoft Entra テナントに統合されたアプリケーションのセキュリティを詳細に制御します。
対象のアプリケーションは、条件付きアクセスを使って指定します。
以下のサイトに記載されている通り、Microsoft Entra ID、Google、Salesforce に登録されている OAuth 対応アプリが対象となります
https://learn.microsoft.com/ja-jp/defender-cloud-apps/app-governance-manage-app-governance
　
Cloud Discovery
利用者の Web サイトへのアクセスログを収集して分析できます。
そのアクセスログをアプリカタログと呼ばれる、Web サイトのデータベースとマージされたグラフィカルで判りやすい I/F で確認できます。

アプロカタログは、カテゴリに分類され、Microsoft 社の診断によってセキュリティリスクが 10 段階にランク付けされています。
管理者は、Web サイトのジャンルやリスクレベルを指定して、おおざっぱにアクセスの可否を制御するとともに、新たなるシャドーIT を発見して、それに対応するアクションを取る事ができるようになります。

管理者が構成したルールは、各Firewall 製品や Microsoft Defender for Endpoint のルールに連携させることも可能です。

以下のサイトに記載されている Firewall 製品のログを収集＆分析できます
https://learn.microsoft.com/ja-jp/defender-cloud-apps/set-up-cloud-discovery#supported-firewalls-and-proxies-

他製品との統合
https://learn.microsoft.com/ja-jp/defender-cloud-apps/mde-integration
上記サイトの左ペインより抜粋した、下図に記載されている製品は、統合する事が可能です。Cloud Discovery で設定したルールを自動的に Firewall 側へ連携させることができます。

　
アプリコネクタ
ガートナーが提唱する CASB の概念をカバーしており、CASB に対応した他社製クラウドサービスを統合監視します。
CASB に対応したクラウドサービスを事前に Cloud Apps に接続しておき、情報を連携されます。
この仕組みを利用する事で、例えば Dropbox や AWS のストレージ上に対するファイルアクセスに対しても、監視を行う事ができるようになります。
以下のサイトに記載されているクラウドサービスと接続できます
https://learn.microsoft.com/ja-jp/defender-cloud-apps/enable-instant-visibility-protection-and-governance-actions-for-your-apps

公開情報：Microsoft Defender for Cloud Apps の概要
https://learn.microsoft.com/ja-jp/defender-cloud-apps/what-is-defender-for-cloud-apps

公開情報：Microsoft Defender for Cloud Apps と Microsoft 365 Cloud App Security の違いは何ですか?
https://learn.microsoft.com/ja-jp/defender-cloud-apps/editions-cloud-app-security-o365

その他の XDR 機能

Defender for Cloud との統合
以下のアクションで Defender XDR と Defender for Cloud を統合して、Microsoft Defender ポータルで統合管理することもできるようになったようです。

新機能：Microsoft Copilot for Security
XDR で統合したセキュリティ情報を Copilot を使って、監視ができるようになる・・・というモノ。これはものすごい進化をもたらす気がします。
https://learn.microsoft.com/ja-jp/copilot/security/microsoft-security-copilot

Microsoft Copilot for Security の価格
https://azure.microsoft.com/en-us/pricing/details/microsoft-copilot-for-security/
→　必要な分析力ごとに、Security Compute Units (SCU) を購入していく仕組み。
　　1 SCU が月額 46 万円くらいするので、個人レベルでおいそれと手は出せないですね。
セミナーに参加して質問してみたのですが、無料評価版の提供は無い模様（2024/6 時点）でした。

② Microsoft Defender for Cloud

Microsoft Defender for Cloud は、Azure や他社クラウド、オンプレミスなどのさまざまなサービスから情報を収集して、サイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計されたセキュリティソリューションです。

利用料としては、データを保存する LogAnalytics ワークスペース (Azure Monitor) のデータ保存量と後述するデータ収集方法のプランの利用有無によって決まります。

Azure Monitor の価格
https://azure.microsoft.com/ja-jp/pricing/details/monitor/#pricing
5GB まで無料ですが、それ以上は従量料金。コミットメント（予約）することでコストダウン可

管理画面
Defender for Cloud の管理は、Azure Portal から行います。
https://portal.azure.com

検索窓に Defender と入力して Microsoft Defender for Cloud を選択する。

　
以下が Microsoft Defender for Cloud の管理画面です。

公開情報：Microsoft Defender for Cloud とは
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloud-introduction

マルチクラウドセキュリティの新しい名前: Microsoft Defender for Cloud（和名）
https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/a-new-name-for-multi-cloud-security-microsoft-defender-for-cloud/ba-p/2943020
→　旧名の Azure Security Center が Microsoft Defender for Cloud に改名されたことが説明されています。

Defender for Cloud では、さまざまなサービスに対応させるために、データの収集方法 という手段で、各サービスと連携させるための方法が提供されています（カバレッジとも言います）

以下の一覧は、この データの収集方法 の名称の一覧です。
各 データの収集方法 には、プラン という価格体系が設定されており、プラン毎に有効・無効を選択することができます。

Microsoft Defender for API
Microsoft Defender for Servers
Microsoft Defender for Databases ※1
Microsoft Defender for Containers
Microsoft Defender for App Service
Microsoft Defender for Storage
Microsoft Defender for Key Vault
Microsoft Defender for Resource Manager
Microsoft Defender for DNS
Microsoft Defender for Cloud DevOps
AI のためのワークロード（注：これだけ〇〇 for AI じゃない）

※1 Microsoft Defender for Databases は、さらに以下のようなものがあります。

Microsoft Defender for Azure SQL
Microsoft Defender for SQL servers on machines
Microsoft Defender for MySQL
Microsoft Defender for PostgreSQL
Microsoft Defender for MariaDB
Microsoft Defender for Azure Cosmos DB

公開情報：Microsoft Defender for Cloud によるデータの収集方法
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/monitoring-components

上記の公開情報を開き、以下の赤枠を掘り下げて参照することで、各プランの利用方法が説明されています。

公開情報：Microsoft Defender for Cloud 各プランの価格
https://azure.microsoft.com/ja-jp/pricing/details/defender-for-cloud/

このプランの名称が Microsoft Defender for 〇〇になっているので、サービス名と混同することになり、ややこしさを増している気がします。

監視コンポーネントが必要になる収集方法

以下の３つのデータ収集方法を使う場合は、監視コンポーネントが使われます。
Azure VM の場合は、エージェントが自動的にデプロイされますが、他社クラウドやオンプレミスの場合は、手動でデプロイが必要です。

Microsoft Defender for Servers
Microsoft Defender for SQL servers on machines
Microsoft Defender for Containers

上記以外の収集方法の場合は、コンポーネントは使われず、Azure 基盤を通じて自動的に収集が行われます。

詳細は、以下の公開情報で説明されています。

公開情報：監視コンポーネントを使用するプラン
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/monitoring-components#what-plans-use-monitoring-components

上記の監視コンポーネントとして Microsoft Defender for Endpoint が登場してくるので、ややこしいです。
この場合は、単なるコンポーネントの名前として考えれば良いです。

注意
監視コンポーネントのうち、LogAnalytics エージェントはサービス終了の予定があり、Azure Monitor エージェント (AMA) への移行が進められている状況です。

しかし、2024/6 時点では、以下の状況のため、まだ移行中の段階です。

SQL Server は、AMA が利用できる
Azure VM は、まだ LogAnalytics が使われている

あとがき

SC-200 の研修を受けたのを機に、ややこしいと感じていた Defender for 〇〇の整理をしてみたいと思って一気に着手したのですが、記事を書きながらでも、分類の関係性が違う事に気づいたりして、完成するまでに構成変更を余儀なくされることがありましたが、まあキレイに整理できたかなと思います。

記事をまとめることで、私自身も、SC-200 の勉強にもなりました。

Microsoft Defender 関連サービスについて整理してみた