はじめに
Microsoft Defender は、Microsoft 社が提供するセキュリティブランドの名称です。
これにちなんで、Microsoft Defender for 〇〇 という名称を良く目にしますが、これが なかなか わかりづらい状況になっているかと思い、整理してみました。
Security Operations Analyst Associate (SC-200) という資格を学習する際にも この理解をしておくと 学習が捗るのではないかと思います。
Microsoft Certified: Security Operations Analyst Associate
https://learn.microsoft.com/ja-jp/credentials/certifications/security-operations-analyst/?practice-assessment-type=certification
規模による分類
まず、Microsoft Defender ブランドは、大きく 以下の3つの規模に分類できます。
-
"Microsoft Defender XDR" および "Microsoft Defender for Cloud"
大企業向け 統合セキュリティソリューション
→ 本記事のメインテーマ として、次章以降で深堀 解説します。
-
Microsoft Defender for Business
中小企業向け ウイルス対策ソリューション(端末上限 300 台)
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-business
-
Microsoft Defender 個人向け
個人向け ウイルス対策ソリューション
https://www.microsoft.com/ja-jp/microsoft-365/microsoft-defender-for-individuals
公開情報:Microsoft Defender
https://www.microsoft.com/ja-jp/security/business/microsoft-defender
for Business と 個人向けは、単なる ウイルス対策ソリューションなので、掘り下げた説明は割愛します。
次章以降では、大企業向けソリューション の深堀をしていきます。
例外
Microsoft Defender Firewall は、従来から クライアント OS に備わっていた Windows Defender Firewall と同じです。これはこれでややこしい状況があるので、別途 以下の記事にまとめてあります。
ターゲットによる分類
次に、セキュリティのターゲットが何であるか・・・によって分類することができます。
Microsoft のクラウドサービスは、Microsoft 365 という ユーザー向けサービスを提供するサービスと、Azure というリソースを提供するサービス があります。
Microsoft 365 は、機能ごとに ユーザー単位で ライセンスを契約します。
Azure は、従量課金型で、リソースごとの単価 に対して 使った分だけ支払う共用サービスです。
上記のどちら向けのセキュリティソリューションなのか(ターゲット)によって、使用すべき Defender 製品が決まります。
① Microsoft Defender XDR(旧名:Microsoft 365 Defender)
→ Microsoft 365 や Enterprise Mobility + Security (EMS) 向け
Microsoft Defender ポータル で管理を行う。
② Microsoft Defender for Cloud(旧名:Azure Security Center)
→ Azure や、他社クラウド、オンプレミス のワークロード向け
Azure Portal で管理を行う。
① Microsoft Defender XDR
Enterprise Security + Mobility (EMS) ライセンス を利用して提供されるセキュリティソリューションの統合ポータル的な位置づけ。より上位の Microsoft 365 E3 / E5 ライセンスでも利用可能です。
Microsoft Defender ポータル のアドレス
https://security.microsoft.com/
従来は、サービスごとの管理ポータルに分離されていたものを、Microsoft 365 Defender(旧名)として統合された管理メニューで操作できるようになり、さらに 収集データを統合して分析も出来るようにして、Microsoft Defender XDR に改名されました。
公開情報:Microsoft Defender XDRとは
https://learn.microsoft.com/ja-jp/defender-xdr/microsoft-365-defender
XDR 機能が有効になっていると、各サービスから収集したデータを統合した結果に対して 更なる分析が可能になっています(現在は 既定で 有効)
XDR の有効化
https://learn.microsoft.com/ja-jp/defender-xdr/m365d-enable
Microsoft Defender for XDR に属するサービスの新旧名称一覧
現名称 | 現略称 | 旧名称 | 旧略称 |
---|---|---|---|
Microsoft Defender for Endpoint |
MDE | Windows Defender Advanced Threat Protection |
Windows Defender ATP |
Microsoft Defender for Identity |
MDI | Azure Advanced Threat Protection |
Azure ATP |
Microsoft Defender for Office 365 |
MDO | Office 365 Advanced Threat Protection |
Office 365 ATP |
Microsoft Defender for Cloud Apps |
MDA | Microsoft Cloud App Security | MCAS |
上記のように、以前は バラバラ に提供されていたサービスが、XDR に 統合されましたが、引き続き 個別のライセンスを契約して 単独の機能を利用することも可能です。
各機能と ライセンス の関係性は、以下のサイトも参考にしてみてください。
①-1. Microsoft Defender for Endpoint
エンタープライズネットワークによる 高度な脅威の防止、検出、調査、および応答を支援するために設計された、マルチプラットフォームなデバイス 向けの エンドポイントセキュリティソリューションです。
単なるウイルス対策にとどまらず、以下の機能が提供されています。
-
脆弱性管理
エンドポイントの脆弱性と構成ミスの検出、評価、優先順位付け、修復に最新のリスクベースのアプローチを使用します。 -
攻撃面の縮小
構成が正しく設定されていることを確認して悪用に対する修復テクニックを適用することにより、攻撃と悪用に対抗します。 -
次世代保護
今までに無かった新たな脅威をキャッチできるように設計されています。 -
自動調査と修復
大規模なアラートを数分で解決するために役立ちます。 -
デバイスのセキュリティスコア
企業ネットワーク内デバイスのセキュリティ状態をスコアで評価し、保護されていないシステムを見える化し、組織の全体的なセキュリティを向上させるために推奨されるアクションを明確にします。 -
Microsoft 脅威エキスパート
セキュリティ 運用センター (SOC) が脅威を迅速かつ正確に特定して対応できるようにする支援を提供します(いわゆる通知)
命名変更の経緯
旧名:Windows Dedender ATP で提供されていた機能は Microsoft Dedender for Endpint P2 ライセンスに移行され、 新たに 下位エディションとなる Microsoft Defender for Endpoint P1 ライセンスが提供された・・・という経緯があります。
公開情報:Microsoft Defender for Endpoint
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-endpoint
上記サイトの画像より抜粋
ライセンスごとに、利用できる機能が異なります。
公開情報:Microsoft Defender for Endpoint とは
https://learn.microsoft.com/ja-jp/defender-endpoint/microsoft-defender-endpoint
旧名称 (Windows Defender Advanced Threat Protection) に関する関連記事
https://www.softbanktech.co.jp/special/blog/it-keyword/2021/0026/
Windows Defender ATP よりも昔の時代には、System Center Endpoint Protection (SCEP) という製品もありました。
①-2. Microsoft Defender for Identity
オンプレミスの Active Directory を監視するセキュリティソリューションです。
オンプレミス AD 側に センサー と呼ばれる監視コンポーネントを導入する事で、クラウド側に情報を集約して監視を行います。
公開情報:Microsoft Defender for Identity とは
https://learn.microsoft.com/ja-jp/defender-for-identity/what-is
旧名称 (Azure Advanced Threat Protection) に関する情報
関連製品:Microsoft Advanced Thread Analytics (ATA)
Azure ATP よりも さらに前の時代から提供されている オンプレミス AD 向けのセキュリティソリューションです。引き続きサポートはされていますが、開発は終了しています。新規に導入する場合は Defender for Identity の方を使いましょう。
https://learn.microsoft.com/ja-jp/advanced-threat-analytics/what-is-ata
①-3. Microsoft Defender for Office 365
Office 365 で利用されている メール、リンク (URLS)、添付ファイル、コラボレーション ツールのセキュリティの脅威から保護を行う セキュリティソリューションです。
公開情報:Microsoft Defender for Office 365 の概要
https://learn.microsoft.com/ja-jp/defender-office-365/mdo-about
①-4. Microsoft Defender for Cloud Apps
Office 365 および 他社製のクラウドサービス、全世界の Web サイトへのアクセスを管理するための統合セキュリティソリューションです。
大きく3つの機能を併せ持っています。
-
アプリガバナンス
Microsoft Entra テナントに統合されたアプリケーションのセキュリティを詳細に制御します。
対象のアプリケーションは、条件付きアクセス を使って指定します。
以下のサイトに記載されている通り、Microsoft Entra ID、Google、Salesforce に登録されている OAuth 対応アプリ が対象となります
https://learn.microsoft.com/ja-jp/defender-cloud-apps/app-governance-manage-app-governance
-
Cloud Discovery
利用者の Web サイトへ のアクセスログ を収集して分析できます。
その アクセスログ を アプリカタログと呼ばれる、Web サイトのデータベースとマージされたグラフィカルで判りやすい I/F で確認できます。
アプロカタログは、カテゴリ に分類され、Microsoft 社の診断によって セキュリティリスクが 10 段階にランク付けされています。
管理者は、Web サイトの ジャンルや リスクレベル を指定して、おおざっぱに アクセスの可否を制御するとともに、新たなる シャドーIT を発見して、それに対応するアクションを取る事ができるようになります。
管理者が構成したルールは、各Firewall 製品や Microsoft Defender for Endpoint のルールに連携させることも可能です。
以下のサイトに記載されている Firewall 製品のログを収集&分析できます
https://learn.microsoft.com/ja-jp/defender-cloud-apps/set-up-cloud-discovery#supported-firewalls-and-proxies-
他製品との統合
https://learn.microsoft.com/ja-jp/defender-cloud-apps/mde-integration
上記サイトの左ペインより抜粋した、下図に記載されている製品は、統合する事が可能です。Cloud Discovery で設定したルールを 自動的に Firewall 側へ連携させることができます。
-
アプリコネクタ
ガートナーが提唱する CASB の概念をカバーしており、CASB に対応した他社製クラウドサービスを統合監視します。
CASB に対応したクラウドサービスを 事前に Cloud Apps に接続しておき、情報を連携されます。
この仕組みを利用する事で、例えば Dropbox や AWS のストレージ上に対するファイルアクセスに対しても、監視を行う事ができるようになります。
以下のサイトに記載されているクラウドサービスと接続できます
https://learn.microsoft.com/ja-jp/defender-cloud-apps/enable-instant-visibility-protection-and-governance-actions-for-your-apps
公開情報:Microsoft Defender for Cloud Apps の概要
https://learn.microsoft.com/ja-jp/defender-cloud-apps/what-is-defender-for-cloud-apps
公開情報:Microsoft Defender for Cloud Apps と Microsoft 365 Cloud App Security の違いは何ですか?
https://learn.microsoft.com/ja-jp/defender-cloud-apps/editions-cloud-app-security-o365
その他の XDR 機能
Defender for Cloud との統合
以下のアクションで Defender XDR と Defender for Cloud を統合して、Microsoft Defender ポータルで統合管理することもできるようになったようです。
新機能:Microsoft Copilot for Security
XDR で統合したセキュリティ情報を Copilot を使って、監視ができるようになる・・・というモノ。これは ものすごい進化をもたらす気がします。
https://learn.microsoft.com/ja-jp/copilot/security/microsoft-security-copilot
Microsoft Copilot for Security の価格
https://azure.microsoft.com/en-us/pricing/details/microsoft-copilot-for-security/
→ 必要な分析力ごとに、Security Compute Units (SCU) を購入していく仕組み。
1 SCU が月額 46 万円くらいするので、個人レベルで おいそれと手は出せないですね。
セミナーに参加して質問してみたのですが、無料評価版の提供は無い模様(2024/6 時点)でした。
② Microsoft Defender for Cloud
Microsoft Defender for Cloud は、Azure や 他社クラウド、オンプレミスなどの さまざまなサービスから情報を収集して、サイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計されたセキュリティソリューションです。
利用料としては、データを保存する LogAnalytics ワークスペース (Azure Monitor) のデータ保存量と 後述する データ収集方法の プラン の利用有無 によって決まります。
Azure Monitor の価格
https://azure.microsoft.com/ja-jp/pricing/details/monitor/#pricing
5GB まで無料ですが、それ以上は 従量料金。コミットメント(予約)することでコストダウン可
管理画面
Defender for Cloud の管理は、Azure Portal から行います。
https://portal.azure.com
公開情報:Microsoft Defender for Cloud とは
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloud-introduction
マルチクラウド セキュリティの新しい名前: Microsoft Defender for Cloud(和名)
https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/a-new-name-for-multi-cloud-security-microsoft-defender-for-cloud/ba-p/2943020
→ 旧名の Azure Security Center が Microsoft Defender for Cloud に改名されたことが説明されています。
Defender for Cloud では、さまざまなサービスに対応させるために、データの収集方法 という手段で、各サービス と連携させるための方法が提供されています(カバレッジとも言います)
以下の一覧は、この データの収集方法 の名称の一覧です。
各 データの収集方法 には、プラン という価格体系が設定されており、プラン毎に 有効・無効 を選択することができます。
- Microsoft Defender for API
- Microsoft Defender for Servers
- Microsoft Defender for Databases ※1
- Microsoft Defender for Containers
- Microsoft Defender for App Service
- Microsoft Defender for Storage
- Microsoft Defender for Key Vault
- Microsoft Defender for Resource Manager
- Microsoft Defender for DNS
- Microsoft Defender for Cloud DevOps
- AI のための ワークロード(注:これだけ 〇〇 for AI じゃない)
※1 Microsoft Defender for Databases は、さらに 以下のようなものがあります。
- Microsoft Defender for Azure SQL
- Microsoft Defender for SQL servers on machines
- Microsoft Defender for MySQL
- Microsoft Defender for PostgreSQL
- Microsoft Defender for MariaDB
- Microsoft Defender for Azure Cosmos DB
公開情報:Microsoft Defender for Cloud によるデータの収集方法
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/monitoring-components
上記の公開情報を開き、以下の赤枠を掘り下げて参照することで、各プラン の利用方法が説明されています。
公開情報:Microsoft Defender for Cloud 各プラン の価格
https://azure.microsoft.com/ja-jp/pricing/details/defender-for-cloud/
この プラン の名称が Microsoft Defender for 〇〇 になっているので、サービス名と混同することになり、ややこしさを増している気がします。
監視コンポーネントが必要になる収集方法
以下の3つのデータ収集方法を使う場合は、監視コンポーネントが使われます。
Azure VM の場合は、エージェントが自動的にデプロイされますが、他社クラウドやオンプレミスの場合は、手動でデプロイが必要です。
- Microsoft Defender for Servers
- Microsoft Defender for SQL servers on machines
- Microsoft Defender for Containers
上記以外の収集方法の場合は、コンポーネントは使われず、Azure 基盤を通じて 自動的に収集が行われます。
詳細は、以下の公開情報で説明されています。
公開情報:監視コンポーネントを使用するプラン
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/monitoring-components#what-plans-use-monitoring-components
上記の 監視コンポーネント として Microsoft Defender for Endpoint が登場してくるので、ややこしいです。
この場合は、単なるコンポーネントの名前として考えれば良いです。
注意
監視コンポーネントのうち、LogAnalytics エージェントは サービス終了の予定があり、Azure Monitor エージェント (AMA) への移行が進められている状況です。
しかし、2024/6 時点では、以下の状況のため、まだ移行中の段階です。
- SQL Server は、AMA が利用できる
- Azure VM は、まだ LogAnalytics が使われている
あとがき
SC-200 の研修を受けたのを機に、ややこしい と感じていた Defender for 〇〇 の整理をしてみたいと思って一気に着手したのですが、記事を書きながらでも、分類の関係性が違う事に気づいたりして、完成するまでに 構成変更を余儀なくされることがありましたが、まあ キレイに整理できたかなと思います。
記事をまとめることで、私自身も、SC-200 の勉強にもなりました。