Microsoft の統合セキュリティ運用プラットフォームとは
Microsoft の統合セキュリティ運用プラットフォームは、エンドツーエンドのセキュリティ操作 (SecOps) 用の 1 つのプラットフォームを提供します。 セキュリティ情報とイベント管理 (SIEM)、セキュリティ オーケストレーション、自動化、応答 (SOAR)、拡張検出と応答 (XDR)、ポスチャと露出管理、クラウド セキュリティ、脅威インテリジェンス、および生成型 AI ソリューションを統合します。
これらのすべての機能をカバーするために、Microsoft の統合 SecOps プラットフォームでは、Microsoft Defender XDR、Microsoft Sentinel、Microsoft セキュリティ露出管理、および Microsoft Defender ポータルでMicrosoft Security Copilotします。 より多くのMicrosoft Defenderサービスを統合してセキュリティを強化し、高度な攻撃に対する統合された保護を提供します。 Defender ポータルには、サイバー セキュリティのリスクと脅威に対する事前および侵害後の監視、検出、調査、修復、対応を行う 1 つの場所が用意されています。
資産を保護する
Microsoft の統合 SecOps プラットフォームにDefender XDR、Microsoft Sentinel、その他の Defender サービスを統合することで、幅広い資産を保護します。
Microsoft Defender XDR サービスには、次の資産保護機能が含まれます。
| 機能 | セキュリティ製品 |
|---|---|
| 脅威の特定、検出、調査Microsoft Entra ID。 | Microsoft Defender for Identity |
| メール メッセージ、URL リンク、Office 365コラボレーション ツールによってもたらされる脅威から保護します。 | Microsoft Defender for Office 365 |
| エンドポイント デバイスを監視および保護します。 デバイスの侵害を監視、検出、調査し、セキュリティ上の脅威に自動的に対応します。 | Microsoft Defender for Endpoint |
| DEFENDER XDR保護を OT 環境に拡張することで、運用テクノロジ (OT) と IT リソースを特定して保護します。 | IoT のMicrosoft Defender |
| 資産とソフトウェア インベントリを特定し、デバイスの態勢を評価してセキュリティの脆弱性を見つけます。 | Microsoft Defender 脆弱性の管理 |
| SaaS クラウド アプリへのアクセスを保護および制御します。 | Microsoft Defender for Cloud Apps |
Microsoft Defender XDRでライセンスが付与されていないサービスの資産保護には、次の機能が含まれます。
| 機能 | セキュリティ製品 |
|---|---|
| Microsoft 以外のデバイス、オンプレミスのデバイス、サービス、ソリューションを監視および保護します。 | Microsoft Sentinel |
| 資産を検出して評価し、リスクを修復して攻撃対象領域を減らします。 | Microsoft セキュリティ露出管理 |
| マルチクラウドとオンプレミスのセキュリティ体制を改善し、脅威からクラウド ワークロードを保護します。 | Microsoft Defender for Cloud |
セキュリティ管理を簡素化する
Defender XDR、Microsoft Sentinelなどの Microsoft セキュリティ サービスを組み合わせて、エンドポイント、ID、クラウド アプリとワークロード、organization全体の電子メールのエンド ツー エンドの事前および侵害後の保護を実現します。
Defender ポータルでは、組織のセキュリティ体制と脅威の検出と対応を 1 つの一元化されたビューで確認できます。 これは、セキュリティ リスクと侵害に関する情報をグループ化する組み合わせインシデント キューを提供します。
統合されたセキュリティ ダッシュボードを使用すると、アナリストはorganizationサイロを越え、最も重要な脅威に優先順位を付け、侵害が試行された場合に効果的に検索できるようになるので、アナリストの時間を解放できます。
次の図は、Microsoft の統合 SecOps プラットフォームの統合インシデント キューと、複数のサービス ソースからのインシデントを示しています。
セキュリティ リスクを軽減し、攻撃を防ぐ
組織のリスク管理フレームワークの一部として、セキュリティ リスクを一貫して軽減し、サイバーセキュリティ攻撃を防ぎます。 Microsoft の統合 SecOps プラットフォームは、包括的な露出管理とクラウド保護機能を提供します。 Microsoft セキュリティ露出管理とクラウドのMicrosoft Defenderを使用する場合:
- 組織の資産を継続的に検出し、そのセキュリティ体制を評価します。
- クラウド ワークロードをコードからランタイムに保護します。
- 潜在的な攻撃パスの分析など、セキュリティのギャップと弱点を検出するために、データと脅威インテリジェンスを集計します。
- 調査とクエリを実行して、セキュリティ体制に関する分析情報を取得します。
- 重要なリソースに焦点を当てて資産の修復に優先順位を付けて、セキュリティギャップと攻撃面を減らします。
次の図は、Microsoft の統合 SecOps プラットフォームでの露出管理の概要ページを示しています。
脅威の検出と応答時間を短縮する
Standardサイバーセキュリティ メトリックは、検出時間 (TTD) と応答時間 (TTR) に焦点を当てています。 検出時間 (TTD) は、セキュリティ チームがインシデントを検出するのにかかる時間を測定します。 応答時間 (TTR) は、脅威が検出された後の対応にかかる時間を測定します。 TTD と TTR が短いほど、検出と応答の戦略がより効果的になります。
Microsoft の統合された SecOps プラットフォームは、Defender 製品、Microsoft Sentinel、Microsoft セキュリティ調査、脅威インテリジェンスからの何百万ものシグナルを関連付けて、進行中の攻撃を特定します。 自動攻撃中断を開始して自動的に攻撃を封じ込め、横方向の動きを早期に制限し、攻撃への影響を軽減します。 自動攻撃の中断は、生産性の低下に関連するコストを削減し、侵害された資産を調査して修復するための SecOps チームの制御を提供するのに役立ちます。
自動攻撃の中断は、デバイスを含め、攻撃を軽減するためにユーザーを含めたり無効にしたりすることで、脅威に対応します。
次の図は、自動攻撃の中断がトリガーされたインシデントの例を示しています。
詳細については、「Microsoft Defender XDRでの自動攻撃の中断」を参照してください。
AI を使用して SOC の生産性を変革する
Microsoft Security Copilotは、AI と人間の専門知識の力を組み合わせて、SOC チームが攻撃に迅速かつ効果的に対応できるようにします。 Security Copilotは Defender ポータルに埋め込まれており、セキュリティ チームがインシデントの効率的な集計、スクリプトとコードの分析、ファイルの分析、デバイス情報の要約、ガイド付き応答を使用してインシデントを解決し、KQL クエリを生成し、インシデント レポートを作成できるようにします。 Security Copilotは、次のことに役立ちます。
- 露出を減らし、姿勢を改善します。 分析情報を使用して侵害を防止し、重大な露出リスクとリスク削減に関する推奨事項を明らかにします。
- 脅威を防止し、中断します。 インシデント概要 MITRE ATT&CK フレームワーク マッピングと自動アラート エンリッチメントを使用して、識別と優先順位付けを行います。
-
アナリストを支援する:
- ガイド付き応答、自動修復、サマリー レポート生成を使用して、インシデントの解決を加速します。
- 悪意のあるスクリプトやファイルを分析し、KQL クエリを提案するベスト プラクティスに基づいて、カスタマイズされたプロンプトでインテリジェントな支援を提供します。
次の図は、Defender ポータルのインシデント ページでのMicrosoft Copilotの統合を示しています。
詳細については、「Microsoft DefenderのMicrosoft Copilot」を参照してください。