Microsoft の統合セキュリティ運用プラットフォーム計画の概要

この記事では、エンド ツー エンドのセキュリティ操作 (SecOps) 用の Microsoft の統合セキュリティ運用プラットフォームへの Microsoft のセキュリティ製品の展開を計画するアクティビティについて説明します。 Microsoft のプラットフォーム上の SecOps を統合して、リスクの軽減、攻撃の防止、サイバー脅威のリアルタイムでの検出と中断、AI 強化のセキュリティ機能による迅速な対応を、Microsoft Defender ポータルから支援します。

展開の計画

Microsoft の統合 SecOps プラットフォームは、Microsoft Defender XDR、Microsoft Sentinel、Microsoft セキュリティ露出管理、Microsoft Security Copilotなどのサービスを組み合わせています。ポータルMicrosoft Defender。

デプロイを計画する最初の手順は、使用するサービスを選択することです。

基本的な前提条件として、クラウドとオンプレミスの両方のリソースを含む、Microsoft と Microsoft 以外のサービスとソリューションの両方を監視および保護するには、Microsoft Defender XDRとMicrosoft Sentinelの両方が必要です。

次のいずれかのサービスをデプロイして、エンドポイント、ID、電子メール、アプリケーション全体にセキュリティを追加し、高度な攻撃に対する統合された保護を提供します。

Microsoft Defender XDR サービスには次のものが含まれます。

Microsoft の統合 SecOps プラットフォームの一部としてMicrosoft Defender ポータルでサポートされるその他のサービスは、Microsoft Defender XDRでライセンスされていません。

サービスの前提条件を確認する

Microsoft の統合セキュリティ運用プラットフォームをデプロイする前に、使用する予定の各サービスの前提条件を確認してください。 次の表に、サービスとその前提条件へのリンクを示します。

Log Analytics ワークスペース アーキテクチャを計画する

Microsoft の統合 SecOps プラットフォームを使用するには、Microsoft Sentinelで有効になっている Log Analytics ワークスペースが必要です。 多くの環境では 1 つの Log Analytics ワークスペースで十分な場合がありますが、多くの組織では、コストを最適化し、さまざまなビジネス要件をより適切に満たすために複数のワークスペースを作成します。 Microsoft の統合 SecOps プラットフォームでは、1 つのワークスペースのみがサポートされます。

Microsoft Sentinelで有効にする Log Analytics ワークスペースを設計します。 データの収集と保存に必要なコンプライアンス要件や、Microsoft Sentinel データへのアクセスを制御する方法などのパラメーターを検討してください。

詳細については、以下を参照してください:

1. ワークスペース アーキテクチャを設計する
2. サンプル ワークスペース デザインを確認する

Microsoft Sentinelコストとデータ ソースを計画する

Microsoft の統合 SecOps プラットフォームは、Microsoft Defender for Cloud Appsや Microsoft Defender for Cloud など、ファースト パーティの Microsoft サービスからデータを取り込みます。 Microsoft Sentinel データ コネクタを追加して、環境内の他のデータ ソースにカバレッジを拡張することをお勧めします。

データ ソースを決定する

データを取り込むデータ ソースの完全なセットと、デプロイの予算とタイムラインを正確に予測するのに役立つデータ サイズ要件を決定します。 この情報は、ビジネス ユース ケース レビュー中に、または既に設定されている現在の SIEM を評価することによって判断できます。 SIEM が既にある場合は、データを分析して、最も価値の高いデータ ソースを把握し、Microsoft Sentinelに取り込む必要があります。

たとえば、次のいずれかの推奨データ ソースを使用できます。

• Azure サービス: 次のいずれかのサービスが Azure にデプロイされている場合は、次のコネクタを使用して、これらのリソースの診断ログをMicrosoft Sentinelに送信します。

  • Azure Firewall
  • Azure アプリケーション ゲートウェイ
  • Keyvault
  • Azure Kubernetes Service
  • Azure SQL
  • ネットワーク セキュリティ グループ
  • Azure-Arc サーバー

  ログを基になる Log Analytics ワークスペースに転送するようにAzure Policyを設定することをお勧めします。 詳細については、「Azure Policyを使用して大規模に診断設定を作成する」を参照してください。

• 仮想マシン: オンプレミスまたはログを収集する必要がある他のクラウドでホストされている仮想マシンの場合は、次のデータ コネクタを使用します。

  • AMA を使用したイベントのWindows セキュリティ
  • Defender for Endpoint 経由のイベント (サーバー用)
  • Syslog

• ネットワーク仮想アプライアンス/オンプレミス ソース: Common Event Format (CEF) または SYSLOG ログを生成するネットワーク仮想アプライアンスまたはその他のオンプレミス ソースの場合は、次のデータ コネクタを使用します。

  • AMA 経由の Syslog
  • AMA を使用した一般的なイベント形式 (CEF)

詳細については、「 データ コネクタの優先順位付け」を参照してください。

予算を計画する

計画されている各シナリオのコストへの影響を考慮して、Microsoft Sentinel予算を計画します。 Microsoft Sentinelと Azure Log Analytics、デプロイされるプレイブックなど、両方のデータ インジェストのコストが予算でカバーされていることを確認します。 詳細については、以下を参照してください:

• Microsoft Sentinelのログ保持プラン
• コストを計画し、価格と課金Microsoft Sentinel理解する

ロールとアクセス許可を計画する

Microsoft Entraロール ベースのアクセス制御 (RBAC) を使用して、セキュリティ運用チーム内でロールを作成して割り当てて、Microsoft の統合 SecOps プラットフォームに含まれるサービスへの適切なアクセス権を付与します。

Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) モデルは、複数のセキュリティ ソリューションにわたって管理者がユーザーのアクセス許可を制御するための 1 つの中央の場所を提供する 1 つのアクセス許可管理エクスペリエンスを提供します。 詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。

次のサービスでは、使用可能なさまざまなロールを使用するか、カスタム ロールを作成して、ユーザーが表示および実行できる内容をきめ細かく制御できます。 詳細については、以下を参照してください:

ゼロ トラストアクティビティを計画する

Microsoft の統合 SecOps プラットフォームは、次の原則を含む Microsoft のゼロ トラスト セキュリティ モデルの一部です。

ゼロ トラストセキュリティは、ネットワークセグメント化を活用し、横移動を防ぎ、最小限の特権アクセスを提供し、高度な分析を使用して脅威を検出して対応することで、最新のデジタル環境を保護するように設計されています。

Microsoft の統合 SecOps プラットフォームでのゼロ トラスト原則の実装の詳細については、次のサービスのゼロ トラストコンテンツに関するページを参照してください。

• Microsoft Defender XDR
• Microsoft Sentinel
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Defender for Endpoint
• Microsoft Defender for Cloud Apps
• Microsoft セキュリティ露出管理
• Microsoft Defender for Cloud
• Microsoft Security Copilot
• Microsoft Entra ID 保護

次の手順

Microsoft の統合セキュリティ運用プラットフォームをデプロイする