<p><!--META { "title": "Microsoft 365 Defenderによる統合脅威検出アーキテクチャ", "primary_category": "クラウド>Microsoft 365", "secondary_categories": ["セキュリティ","脅威検出"], "tags": ["Microsoft 365 Defender","KQL","Advanced Hunting","RBAC","Microsoft Entra ID"], "summary": "Microsoft 365 Defenderによる統合脅威検出のアーキテクチャ、設定、運用、セキュリティ、コスト、落とし穴を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft 365 Defenderの統合脅威検出アーキテクチャを徹底解説。設定手順、運用監視、セキュリティ対策、コスト最適化まで網羅。KQLによる高度な探索やRBAC設定も紹介。 #Microsoft365 #Defender #セキュリティ","hashtags":["#Microsoft365","#Defender","#セキュリティ"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/microsoft-365-defender/microsoft-365-defender","https://learn.microsoft.com/ja-jp/microsoft-365-defender/advanced-hunting-overview","https://learn.microsoft.com/ja-jp/microsoft-365-defender/configure-security-roles"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft 365 Defenderによる統合脅威検出アーキテクチャ</h1> <p>Microsoft 365 Defenderは、複数のセキュリティ製品を統合し、組織全体のデジタル資産に対する脅威検出、調査、対応を自動化する統合セキュリティプラットフォームです。エンドポイント、ID、メールとコラボレーション、クラウドアプリケーションといった主要な攻撃ベクトルから収集されたシグナルを関連付け、高度な脅威に対するプロアクティブな保護を提供します。</p> <h2 class="wp-block-heading">アーキテクチャ概要</h2> <p>Microsoft 365 Defenderは、以下の主要なコンポーネントからのデータを一元的に集約・分析することで、統合的な脅威検出を実現します。</p> <ul class="wp-block-list"> <li><p><strong>Microsoft Defender for Endpoint</strong>: デバイス（ワークステーション、サーバー）を保護し、マルウェア、ファイルレス攻撃、ネットワーク攻撃などを検出します。</p></li> <li><p><strong>Microsoft Defender for Identity</strong>: オンプレミスおよびクラウドベースのID（Active Directory、Microsoft Entra ID）の脆弱性を検出し、IDベースの攻撃（資格情報盗難、横移動など）を特定します。</p></li> <li><p><strong>Microsoft Defender for Office 365</strong>: メール、Microsoft Teams、SharePoint Online、OneDrive for Businessにおけるフィッシング、マルウェア、スパムなどの脅威から保護します。</p></li> <li><p><strong>Microsoft Defender for Cloud Apps</strong>: クラウドアプリケーション（SaaS）の使用状況を監視し、シャドーITの検出、情報漏洩防止、特権アクセスの制御などを行います。</p></li> </ul> <p>これらのコンポーネントは、それぞれの領域で脅威シグナルを収集し、Microsoft 365 Defenderポータルへと送信します。ポータルでは、これらのシグナルが機械学習と脅威インテリジェンスによって関連付けられ、単一のアラートやインシデントとして集約されます。これにより、セキュリティオペレーションチームは、個々のセキュリティ製品のアラートを個別に追うのではなく、攻撃全体のストーリーを把握し、より迅速かつ効果的に対応できるようになります[1]。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD A["Defender for Endpoint"] -- |デバイスのシグナル| --> M["Microsoft 365 Defenderポータル"] B["Defender for Identity"] -- |IDのシグナル| --> M C["Defender for Office 365"] -- |メール/コラボレーションのシグナル| --> M D["Defender for Cloud Apps"] -- |クラウドアプリのシグナル| --> M M -- |脅威インテリジェンスに基づく相関| --> E["自動調査 & 修復"] M -- |集約されたアラート & インシデント| --> F["セキュリティ運用チーム"] F -- |高度な探索 (KQL)| --> M M -- |API連携 (Graph Security API)| --> G["SIEM / SOAR"] E -- |ポリシー適用 & 隔離| --> H["保護されたリソース"] </pre></div> <h2 class="wp-block-heading">設定手順とデプロイメント</h2> <p>Microsoft 365 Defenderのデプロイメントは、通常、準備、セットアップ、オンボーディング、構成、運用というフェーズで進められます[3]。初期設定は主にMicrosoft 365 Defenderポータル (security.microsoft.com) で行いますが、一部の管理操作や自動化にはGraph APIやPowerShellを活用できます。</p> <p>ここでは、セキュリティチームがMicrosoft 365 Defenderポータルで作業するための権限を付与するセキュリティグループを作成し、そのグループをDefenderロールに割り当てるための準備手順をPowerShellで示します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Microsoft Graph PowerShell SDKがインストールされていることを確認します。 # 未インストールの場合は、以下のコマンドを実行します。 # Install-Module Microsoft.Graph -Scope CurrentUser # 必要なスコープでMicrosoft Graphに接続します。 # Connect-MgGraph -Scopes "Group.ReadWrite.All", "User.Read.All" # 1. Microsoft Entra IDでセキュリティグループを作成します。 $groupDisplayName = "M365Defender_Security_Operations_Tier1" $groupDescription = "Microsoft 365 DefenderのL1セキュリティオペレーションチーム用のグループ" $mailNickname = ($groupDisplayName.Replace(" ", "").Replace("_", "")) # メールニックネームを生成 Write-Host "セキュリティグループ '$groupDisplayName' の作成を試行中..." try { $group = New-MgGroup -DisplayName $groupDisplayName ` -Description $groupDescription ` -MailEnabled:$false ` -SecurityEnabled:$true ` -MailNickname $mailNickname ` -ErrorAction Stop Write-Host "セキュリティグループ '$groupDisplayName' を作成しました。ID: $($group.Id) (JST: $(Get-Date -Format 'yyyy年MM月dd日 HH:mm:ss' -AsUTC).ToLocalTime())" # 2. 作成したセキュリティグループにユーザーを追加します。（例: UserPrincipalNameで指定） # 実際には、複数のユーザーをリストアップしてループで追加することが一般的です。 # $userPrincipalName = "user@yourtenant.onmicrosoft.com" # 適切なユーザーのUPNに置き換えてください # $user = Get-MgUser -UserId $userPrincipalName -ErrorAction SilentlyContinue # If ($user) { # New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $user.Id -ErrorAction Stop # Write-Host "ユーザー '$userPrincipalName' をグループに追加しました。" # } else { # Write-Host "警告: ユーザー '$userPrincipalName' が見つかりませんでした。グループに追加できませんでした。" # } } catch { Write-Host "エラー: セキュリティグループの作成またはユーザーの追加中に問題が発生しました。" Write-Host $_.Exception.Message } Write-Host "`n--- 次のステップ ---" Write-Host "作成したセキュリティグループ '$groupDisplayName' を、Microsoft 365 Defenderポータルで適切なセキュリティロールグループに割り当ててください。" Write-Host "1. Microsoft 365 Defenderポータル (security.microsoft.com) にサインインします。" Write-Host "2. 左側のナビゲーションで [アクセス許可] -> [ロールとグループ] -> [アクセス許可] を選択します。" Write-Host "3. [ロール] タブで、目的のロールグループ (例: セキュリティオペレーター) を編集するか、新しいロールグループを作成します。" Write-Host "4. [ロールの選択] で、そのグループが持つべきDefenderロール (例: ライブレスポンスの開始、セキュリティ設定の管理) を選択します。" Write-Host "5. [メンバーの選択] で、作成したセキュリティグループ '$groupDisplayName' を追加します。" Write-Host "これにより、このグループのメンバーはDefenderポータルで指定された権限を持つことになります。" </pre> </div> <p><strong>前提条件</strong>: Microsoft Graph PowerShell SDKがインストールされており、適切な権限を持つMicrosoft Entra IDアカウントで接続していること。 <strong>入出力</strong>: セキュリティグループの作成とIDの表示。 <strong>計算量</strong>: グループ作成は単一APIコール、ユーザー追加はユーザー数に比例。 <strong>メモリ条件</strong>: 少量。</p> <h2 class="wp-block-heading">運用監視</h2> <p>Microsoft 365 Defenderの運用監視の中心は、Microsoft 365 Defenderポータルです。</p> <ul class="wp-block-list"> <li><p><strong>アラートとインシデント管理</strong>: 各コンポーネントからのアラートが相関付けられ、関連するアラートが自動的にインシデントにまとめられます。これにより、個々のアラートではなく、攻撃全体を俯瞰して調査・対応できます。インシデントキューでは、ステータス、割り当て、分類、コメントなどを管理できます。</p></li> <li><p><strong>高度な探索 (Advanced Hunting)</strong>: Kusto Query Language (KQL) を使用して、組織の生データ（デバイス、ID、メールボックス、クラウドアプリなど）に対してカスタムクエリを実行し、脅威をプロアクティブに探索する機能です[2]。既知の脅威だけでなく、新たな攻撃手法や組織特有の脅威パターンを発見するために不可欠です。</p></li> <li><p><strong>自動調査と修復 (AIR)</strong>: 特定のアラートに対して、自動的に調査を開始し、関連するエンティティを評価し、修復アクション（ファイルの隔離、デバイスの隔離など）を推奨または自動実行する機能です。</p></li> <li><p><strong>脅威と脆弱性の管理 (TVM)</strong>: 組織内のデバイスの脆弱性を継続的に評価し、優先順位付けされた修復の推奨事項を提供します。</p></li> </ul> <p>ログデータはMicrosoft 365 Defenderサービス内で一定期間保持されますが、より長期的な保持や他のセキュリティログとの統合が必要な場合は、Microsoft SentinelなどのSIEMソリューションへのエクスポートを検討します。Microsoft 365 DefenderのSLA、バックアップ、DRはMicrosoftのSaaSサービスとして提供されるため、顧客側での個別設定は不要です。</p> <h2 class="wp-block-heading">セキュリティと権限境界</h2> <p>アイデンティティと権限管理は、Microsoft 365 Defenderを安全に運用する上で極めて重要です。</p> <ul class="wp-block-list"> <li><p><strong>Microsoft Entra IDとの統合</strong>: Microsoft 365 DefenderはMicrosoft Entra ID (旧 Azure Active Directory) と緊密に連携します。ユーザー認証、グループ管理、シングルサインオン (SSO) はすべてMicrosoft Entra IDを通じて行われます。</p></li> <li><p><strong>Microsoft 365 Defenderのロールベースアクセス制御 (RBAC)</strong>: Defenderポータル内で、特定の機能やデータへのアクセスを制御するためのカスタムロールや組み込みロール（セキュリティ閲覧者、セキュリティオペレーター、セキュリティ管理者など）を定義できます[4]。これらのロールは、Microsoft Entra IDのセキュリティグループに割り当てることで、効率的にアクセス権限を管理できます。</p></li> <li><p><strong>条件付きアクセス (Conditional Access)</strong>: Microsoft Entra IDの条件付きアクセスと連携することで、Microsoft 365 Defenderポータルへのアクセスに多要素認証 (MFA)、準拠デバイス、信頼できる場所からのアクセスなどの追加要件を課すことが可能です。これにより、管理アカウントのセキュリティが強化されます。</p></li> </ul> <p>これらの仕組みを組み合わせることで、最小権限の原則に基づき、セキュリティチームが必要な情報と機能にのみアクセスできる厳格な権限境界を確立できます。</p> <h2 class="wp-block-heading">コスト最適化</h2> <p>Microsoft 365 Defenderのコストは、主にライセンスモデルによって決定されます。各コンポーネント（Defender for Endpoint, Identity, Office 365, Cloud Apps）は、Microsoft 365 E5、Microsoft 365 E5 Security、Microsoft 365 A5などの上位ライセンスプランに含まれています[5]。個々のコンポーネントを単体で契約するオプションもありますが、統合された価値を最大化するには、Microsoft 365 E5のような包括的なプランが推奨されます。</p> <p>コスト最適化の観点では、以下の点が考慮されます。</p> <ul class="wp-block-list"> <li><p><strong>適切なライセンスプランの選択</strong>: 組織の規模、必要なセキュリティ機能の範囲、既存のMicrosoft 365ライセンス状況を評価し、過剰なライセンスや不足したライセンスを避けることが重要です。</p></li> <li><p><strong>コンポーネントの有効化と活用</strong>: 導入したMicrosoft 365 Defenderの全コンポーネントを有効にし、その機能を最大限に活用することで、投資対効果を高めます。</p></li> <li><p><strong>データ保持期間</strong>: Microsoft 365 Defender自体はライセンスに含まれるデータ保持期間がありますが、Microsoft Sentinelなどの外部SIEMにデータをエクスポートする場合、そのストレージコストが追加で発生します。不要なログの転送を避け、適切な保持ポリシーを設定することが重要です。</p></li> </ul> <p>Microsoft 365 Defender自体には、リザーブドインスタンスやスケジューリングのような直接的なコスト最適化オプションは提供されていません。これはサービスが包括的なライセンスの一部として提供されるためです。</p> <h2 class="wp-block-heading">導入における落とし穴</h2> <p>Microsoft 365 Defenderの導入と運用には、いくつかの注意すべき落とし穴が存在します。</p> <ul class="wp-block-list"> <li><p><strong>既存SIEMとの連携と重複投資</strong>: 既にMicrosoft Sentinel以外のSIEMソリューションを導入している場合、Microsoft 365 Defenderのアラートやログを既存SIEMに転送するための連携設定や、機能重複によるコスト効率の低下が発生する可能性があります。</p></li> <li><p><strong>KQL習熟の必要性</strong>: 高度な探索機能を最大限に活用するためには、KQL (Kusto Query Language) の習熟が不可欠です。セキュリティオペレーションチームにKQLトレーニングを提供する必要があります。</p></li> <li><p><strong>アラート疲労</strong>: 初期設定が不十分な場合、大量の低優先度アラートが発生し、「アラート疲労」を引き起こす可能性があります。ポリシーのチューニング、ノイズの削減、自動化された修復の活用が重要です。</p></li> <li><p><strong>ライセンスの複雑性</strong>: Microsoft 365のライセンス体系は複雑であり、必要なセキュリティコンポーネントがどのライセンスに含まれるかを正確に把握しないと、意図しない機能不足や過剰なコストにつながる可能性があります。</p></li> <li><p><strong>継続的な運用リソース</strong>: Microsoft 365 Defenderは自動化機能が豊富ですが、脅威インテリジェンスの監視、ポリシーの定期的なレビュー、高度な探索の実行には、専任のセキュリティ運用リソースが不可欠です。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Microsoft 365 Defenderは、エンドポイントからクラウドアプリまで、広範なデジタル資産を統合的に保護する強力な脅威検出プラットフォームです。複数のセキュリティ製品のシグナルを相関分析し、自動調査・修復機能を提供することで、セキュリティ運用チームの負担を軽減し、脅威への迅速な対応を可能にします。適切なライセンス選択、Microsoft Entra IDとの連携による厳格な権限管理、そしてKQLを活用したプロアクティブな脅威探索が、本ソリューションを最大限に活用し、組織のセキュリティ態勢を強化する鍵となります。導入時には、KQL習熟やアラートチューニングなど、運用上の落とし穴を事前に把握し、計画的に対応することが成功に繋がります。</p> <hr/> <p><strong>参照元</strong> [1] Microsoft. (2024年7月17日). <em>Microsoft 365 Defender とは</em>. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365-defender/microsoft-365-defender">https://learn.microsoft.com/ja-jp/microsoft-365-defender/microsoft-365-defender</a> [2] Microsoft. (2024年7月17日). <em>Microsoft 365 Defender を使用して脅威をプロアクティブに探す</em>. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365-defender/advanced-hunting-overview">https://learn.microsoft.com/ja-jp/microsoft-365-defender/advanced-hunting-overview</a> [3] Microsoft. (2024年7月17日). <em>Microsoft 365 Defender の展開の概要</em>. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365-defender/deployment-overview">https://learn.microsoft.com/ja-jp/microsoft-365-defender/deployment-overview</a> [4] Microsoft. (2024年7月17日). <em>Microsoft 365 Defender セキュリティ ロールの構成</em>. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365-defender/configure-security-roles">https://learn.microsoft.com/ja-jp/microsoft-365-defender/configure-security-roles</a> [5] Microsoft. (2024年7月17日). <em>Microsoft 365 Defender のライセンス要件</em>. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365-defender/microsoft-365-defender-licensing">https://learn.microsoft.com/ja-jp/microsoft-365-defender/microsoft-365-defender-licensing</a></p>

flowchart TD
    A["Defender for Endpoint"] -- |デバイスのシグナル| --> M["Microsoft 365 Defenderポータル"]
    B["Defender for Identity"] -- |IDのシグナル| --> M
    C["Defender for Office 365"] -- |メール/コラボレーションのシグナル| --> M
    D["Defender for Cloud Apps"] -- |クラウドアプリのシグナル| --> M
    M -- |脅威インテリジェンスに基づく相関| --> E["自動調査 & 修復"]
    M -- |集約されたアラート & インシデント| --> F["セキュリティ運用チーム"]
    F -- |高度な探索 (KQL)| --> M
    M -- |API連携 (Graph Security API)| --> G["SIEM / SOAR"]
    E -- |ポリシー適用 & 隔離| --> H["保護されたリソース"]

# Microsoft Graph PowerShell SDKがインストールされていることを確認します。


# 未インストールの場合は、以下のコマンドを実行します。


# Install-Module Microsoft.Graph -Scope CurrentUser

# 必要なスコープでMicrosoft Graphに接続します。


# Connect-MgGraph -Scopes "Group.ReadWrite.All", "User.Read.All"

# 1. Microsoft Entra IDでセキュリティグループを作成します。

$groupDisplayName = "M365Defender_Security_Operations_Tier1"
$groupDescription = "Microsoft 365 DefenderのL1セキュリティオペレーションチーム用のグループ"
$mailNickname = ($groupDisplayName.Replace(" ", "").Replace("_", "")) # メールニックネームを生成

Write-Host "セキュリティグループ '$groupDisplayName' の作成を試行中..."

try {
    $group = New-MgGroup -DisplayName $groupDisplayName `
                         -Description $groupDescription `
                         -MailEnabled:$false `
                         -SecurityEnabled:$true `
                         -MailNickname $mailNickname `
                         -ErrorAction Stop

    Write-Host "セキュリティグループ '$groupDisplayName' を作成しました。ID: $($group.Id) (JST: $(Get-Date -Format 'yyyy年MM月dd日 HH:mm:ss' -AsUTC).ToLocalTime())"

    # 2. 作成したセキュリティグループにユーザーを追加します。（例: UserPrincipalNameで指定）


    # 実際には、複数のユーザーをリストアップしてループで追加することが一般的です。


    # $userPrincipalName = "user@yourtenant.onmicrosoft.com" # 適切なユーザーのUPNに置き換えてください


    # $user = Get-MgUser -UserId $userPrincipalName -ErrorAction SilentlyContinue


    # If ($user) {


    #     New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $user.Id -ErrorAction Stop


    #     Write-Host "ユーザー '$userPrincipalName' をグループに追加しました。"


    # } else {


    #     Write-Host "警告: ユーザー '$userPrincipalName' が見つかりませんでした。グループに追加できませんでした。"


    # }

} catch {
    Write-Host "エラー: セキュリティグループの作成またはユーザーの追加中に問題が発生しました。"
    Write-Host $_.Exception.Message
}

Write-Host "`n--- 次のステップ ---"
Write-Host "作成したセキュリティグループ '$groupDisplayName' を、Microsoft 365 Defenderポータルで適切なセキュリティロールグループに割り当ててください。"
Write-Host "1. Microsoft 365 Defenderポータル (security.microsoft.com) にサインインします。"
Write-Host "2. 左側のナビゲーションで [アクセス許可] -> [ロールとグループ] -> [アクセス許可] を選択します。"
Write-Host "3. [ロール] タブで、目的のロールグループ (例: セキュリティオペレーター) を編集するか、新しいロールグループを作成します。"
Write-Host "4. [ロールの選択] で、そのグループが持つべきDefenderロール (例: ライブレスポンスの開始、セキュリティ設定の管理) を選択します。"
Write-Host "5. [メンバーの選択] で、作成したセキュリティグループ '$groupDisplayName' を追加します。"
Write-Host "これにより、このグループのメンバーはDefenderポータルで指定された権限を持つことになります。"