写真の説明を入れます

Microsoft Defender XDRのSOC運用

Microsoft Defender XDRのSOC運用

Microsoft Defender XDR と ゼロトラスト

Microsoft Defender XDR とは

Microsoft Defender XDR(旧:Microsoft 365 Defender)は、メール、ファイル、アプリケーション、デバイス、ID、ユーザーアクティビティなどを監視し、脅威の検出から、調査、防止、対処までを行う統合型のセキュリティ・ソリューションです。
  • XDR (Extended Detection and Response)とは、サイバー攻撃の痕跡を検知・可視化し、インシデントの調査、原因特定、対処を行うオペレーションのことです。


ゼロトラストとは

  • 「何も信頼しない」を前提とした、セキュリティ対策の考え方です。
  • 「すでに侵入されているかもしれない」という前提で、様々な視点からセキュリティ対策を講じます。
  • これらのセキュリティ対策は、EPP、EDR、CASBといったカテゴリに分類されます。
  • 例えば、EPPは「Endpoint Protection Platform」の略で、カテゴリとしては「マルウェア感染前の対策」に分類されます。
写真の説明を入れます


Microsoft Defender XDR と ゼロトラストの関係性

  • 各カテゴリをMicrosoft Defender XDR のプロダクトに当てはめると、下記の図のようになります。
    (あくまでイメージです。各プロダクトが、それぞれのカテゴリに完全に一致する訳ではありません)
  • Microsoft Defender XDR は、ゼロトラストに基づいたセキュリティソリューションであることが分かります。
写真の説明を入れます


Microsoft Defender XDR の SOC運用

SOC運用とは

SOCとは、Security Operation Centerの略称で、サイバー攻撃を検知し、侵入前の防御や侵入後の対処の支援を目的とした組織です。


なぜSOC運用が必要なのか

セキュリティ製品を導入すると膨大なアラートが上がりますが、このアラートに上がったすべての脅威が防御される訳ではありません。
これはアラートの中に多くの誤検知が含まれるためで、一般的なセキュリティ製品は(Microsoft Defender XDR も例外ではなく)、高い確度で脅威と判断したものしか防御しません。
このため、Microsoft Defender XDR には下記のようなオペレーションが必要となります(これをSOC運用と呼びます)。
  • アラートの発報を確認し、アラートの内容を調査する。
  • 脅威か誤検知か?対応済か否か?緊急性はどの程度か?の判断を行い、未対応の脅威については、関係者に連絡し対応策を伝える。
  • 誤検知の場合は、同じようなアラートが再発されないよう、アラートの設定を変更する。


Microsoft Defender XDR の標準的なSOC運用

Microsoft Defender XDR の標準機能(アラートメール、ポータル画面)を使って、SOC運用を行うことは可能です。
また、運用にあたっては下記の理由により、セキュリティの専門家を含めた24h365Dの運用体制をご用意いただくことをお勧めします。
  • アラートの分析や対応策の検討には、専門知識が必要な場合があります。
  • 昼夜問わず攻撃を受けたり、短時間に大量のアラートが発生する場合があります。
写真の説明を入れます


Secure emotion が提供する、Microsoft Defender XDR のSOC運用

Secure emotion では、Microsoft Sentinel と Secure emotion 独自の Analytics System を活用したSOC運用を提供します。
  • Defender XDR のログを Microsoft Sentinel(※1)にストリーミングすることで、インシデントの検知精度を向上させます。
  • 独自のログ解析システム「Secure emotion Analytics System」(※2)を導入することで、運用工数を削減します。
  • 緊急度の高いアラートが発生した場合は、SOCチームが追跡調査を行い、必要に応じて電話連絡や対応策のアドバイスを行います。
写真の説明を入れます

※1 Microsoft Sentinel

  • Microsoft Sentinel は、Azureネイティブの SIEM(Security Information and Event Management)です。
    (SIEM とは、大量のログを収集し、ログの相関分析を行うことで、サイバー攻撃の予兆や痕跡を検知するしくみです)
  • Microsoft Sentinelは、Microsoft Defender XDRとの親和性が高く、関連するログを簡単な操作で収集することが可能です。

※2 Secure emotion Analytics System

  • 独自のフィルタリング機能により緊急度の低いアラートを抑制したり、お客様環境に沿ったアラート設定を行うことが可能です。
  • 緊急度の高いアラートは追跡調査を行うため、複雑なポータル画面を操作することなく、詳細な情報を得ることが可能です。


<< 前のページに戻る

Secure Emotion