<p><!--META { "title": "Microsoft 365 Defender XDR を活用した効果的なインシデント対応", "primary_category": "クラウド>Microsoft 365", "secondary_categories": ["セキュリティ", "XDR"], "tags": ["Microsoft Defender XDR", "インシデント対応", "Entra ID", "RBAC", "条件付きアクセス", "PowerShell"], "summary": "Microsoft 365 Defender XDRを用いたインシデント対応のアーキテクチャ、設定、運用、コストを解説。Entra ID連携、RBAC、条件付きアクセスでセキュリティを強化し、自動化と最適化で効率的な運用を実現します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft 365 Defender XDRのインシデント対応について解説！アーキテクチャから設定、運用、コスト、落とし穴まで。Entra ID連携による強力なセキュリティ管理と効率的な運用で組織の脅威対応力を向上させましょう。 #Microsoft365 #DefenderXDR #セキュリティ","hashtags":["#Microsoft365","#DefenderXDR","#セキュリティ"]}, "link_hints": [ "https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-xdr/microsoft-365-defender", "https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-xdr/incidents-overview", "https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-xdr/rbac", "https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-xdr/licensing-requirements" ] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft 365 Defender XDR を活用した効果的なインシデント対応</h1> <p>サイバー脅威が高度化する現代において、組織のセキュリティは単一のポイントソリューションでは守りきれません。Microsoft 365 Defender XDR (Extended Detection and Response) は、エンドポイント、ID、メールとコラボレーション、クラウドアプリケーションといった複数のセキュリティドメインからのシグナルを統合し、広範な脅威を自動的に検知・調査・対応するプラットフォームです。これにより、セキュリティアナリストは断片的なアラートではなく、関連性の高い「インシデント」として脅威の全体像を把握し、迅速かつ効果的な対応が可能となります。本記事では、M365 Defender XDRを用いたインシデント対応のアーキテクチャ、設定、運用、セキュリティ、コスト、そして一般的な落とし穴について解説します。</p> <h2 class="wp-block-heading">1. アーキテクチャ</h2> <p>Microsoft 365 Defender XDRは、以下の主要なMicrosoft Defender製品群からテレメトリデータを収集し、統合されたプラットフォーム上で相関分析を行います。</p> <ul class="wp-block-list"> <li><p><strong>Microsoft Defender for Endpoint:</strong> デバイス（PC、サーバー）の脅威保護、検出、対応。</p></li> <li><p><strong>Microsoft Defender for Identity:</strong> Active Directory (AD) および Azure Active Directory (現在のMicrosoft Entra ID) のIDベースの脅威検出。</p></li> <li><p><strong>Microsoft Defender for Office 365:</strong> メール、SharePoint、OneDrive、Teamsにおけるフィッシング、マルウェア、スパムなどの脅威検出。</p></li> <li><p><strong>Microsoft Defender for Cloud Apps:</strong> クラウドアプリケーション（SaaS）の利用状況監視、シャドーIT検出、データ漏洩防止 (DLP)。</p></li> </ul> <p>これらの製品から得られるデータは、M365 Defender XDRのバックエンドで高度なAIと機械学習によって分析され、関連するアラートが自動的に集約されて「インシデント」として表示されます。これにより、セキュリティアナリストは複数のアラートを個別に追跡する手間を省き、キャンペーン全体としての脅威に対処できます[1]。</p> <h3 class="wp-block-heading">M365 Defender XDR インシデント対応フロー</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD subgraph データソース A["Defender for Endpoint"] --> B B["Defender for Identity"] --> B C["Defender for Office 365"] --> B D["Defender for Cloud Apps"] --> B end B["Microsoft Defender XDR Core"] --> E("相関分析とAI") E --> F["インシデント生成"] F --> G{"インシデントキュー"} G -- |トリアージ/優先順位付け| H["自動調査と修復"] G -- |手動調査/対応| I["セキュリティアナリスト"] H -- |アクション: 隔離/ブロック/削除| K["脅威の無力化"] I -- |アクション: 隔離/ブロック/削除| K I -- |プロアクティブな検索| J["脅威ハンティング"] K --> L["インシデント解決/クローズ"] </pre></div> <p>解説: 各Defender製品がセキュリティイベントを収集し、Microsoft Defender XDRがこれらを統合して分析します。相関分析とAIにより、関連するイベントが単一のインシデントとして集約され、インシデントキューに表示されます。その後、自動調査と修復機能が適用されるか、セキュリティアナリストが手動で調査・対応し、最終的に脅威を無力化してインシデントが解決されます[2]。</p> <h2 class="wp-block-heading">2. 設定手順</h2> <p>M365 Defender XDRのインシデント対応を効果的に行うためには、適切な設定が不可欠です。ここでは、特に重要なロールベースのアクセス制御 (RBAC) の設定と、インシデント設定の一部について焦点を当てます。</p> <h3 class="wp-block-heading">2.1 ロールベースのアクセス制御 (RBAC) の設定</h3> <p>M365 Defender XDRにおけるRBACは、Microsoft Entra ID（旧Azure AD）と連携して機能します。セキュリティグループを作成し、そのグループにDefender XDRポータル内の特定のアクセス権限を持つカスタムロールを割り当てるのが一般的なアプローチです[3]。</p> <p><strong>Entra IDセキュリティグループの作成（PowerShell）</strong></p> <p>まず、Microsoft Defender XDRのロールに割り当てるセキュリティグループをMicrosoft Entra IDで作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 前提条件: Microsoft Graph PowerShell SDKがインストールされていること。 # インストールコマンド: Install-Module Microsoft.Graph -Scope CurrentUser # 接続（初回実行時に認証プロンプトが表示されます） # 必要なスコープ: Group.ReadWrite.All # Connect-MgGraph -Scopes "Group.ReadWrite.All" $groupDisplayName = "M365Defender_SecOps_Tier1_Analysts" $groupDescription = "Microsoft Defender XDRのTier 1セキュリティアナリスト用グループ" $mailNickname = $groupDisplayName.Replace(" ", "").Replace("_", "") # メールニックネームはスペースとアンダースコアなしで Write-Host "Entra IDセキュリティグループ '$groupDisplayName' の存在を確認中..." try { # グループが既に存在するか確認 $existingGroup = Get-MgGroup -Filter "DisplayName eq '$groupDisplayName'" -ErrorAction Stop Write-Host "グループ '$groupDisplayName' は既に存在します。ID: $($existingGroup.Id)" } catch { Write-Host "グループ '$groupDisplayName' が見つかりませんでした。新規作成します。" $params = @{ DisplayName = $groupDisplayName Description = $groupDescription MailEnabled = $false # メールボックスは持たない SecurityEnabled = $true # セキュリティグループとして有効化 MailNickname = $mailNickname } $newGroup = New-MgGroup -BodyParameter $params Write-Host "セキュリティグループ '$groupDisplayName' を作成しました。ID: $($newGroup.Id)" } # ユーザーをこのセキュリティグループに追加する例 # $userPrincipalName = "user@contoso.com" # $userId = (Get-MgUser -UserPrincipalName $userPrincipalName).Id # $groupId = (Get-MgGroup -DisplayName $groupDisplayName).Id # Add-MgGroupMember -GroupId $groupId -DirectoryObjectId $userId # Write-Host "ユーザー '$userPrincipalName' をグループ '$groupDisplayName' に追加しました。" Write-Host "`nPowerShellでのグループ作成が完了しました。" Write-Host "次に、Microsoft Defender XDR ポータルでカスタムロールを作成し、このグループを割り当ててください。" </pre> </div> <p><strong>M365 Defender ポータルでのRBAC設定</strong></p> <ol class="wp-block-list"> <li><p>Microsoft Defender ポータルにアクセスし、「設定」>「アクセス許可」>「ロール」に移動します。</p></li> <li><p>「カスタムロール」を作成し、適切な権限（例: 「セキュリティ設定の管理」や「ライブレスポンス機能」など）を付与します。</p></li> <li><p>このカスタムロールに、上記で作成したEntra IDセキュリティグループを割り当てます。</p></li> </ol> <h3 class="wp-block-heading">2.2 その他の主要な設定</h3> <ul class="wp-block-list"> <li><p><strong>インシデント設定:</strong></p> <ul> <li><p><strong>自動調査と修復:</strong> 自動調査と修復の自動化レベルを設定します。最初は「監視モード」で開始し、誤検知がないことを確認しながら「半自動」または「完全自動」に移行することをお勧めします。</p></li> <li><p><strong>アラートのサプレッションルール:</strong> 特定のノイズの多いアラートを抑制するルールを設定し、アラート疲労を軽減します。</p></li> <li><p><strong>カスタム検出ルール:</strong> Kusto Query Language (KQL) を使用して、組織固有の脅威パターンを検出するカスタムルールを作成します。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">3. 運用監視</h2> <p>M365 Defender XDRの運用監視は、インシデントの早期発見と迅速な対応に直結します。</p> <ul class="wp-block-list"> <li><p><strong>インシデントキューの定期監視:</strong> Microsoft Defender ポータルの「インシデント」キューを常に監視し、優先度の高いインシデントから順にトリアージします。</p></li> <li><p><strong>自動調査と修復のレビュー:</strong> 自動修復されたアクティビティを定期的にレビューし、誤検知や業務影響がないか確認します。必要に応じて自動化レベルを調整します。</p></li> <li><p><strong>脅威ハンティング:</strong> 高度なKQLクエリを使用して、未知の脅威や自動検出を回避した攻撃を能動的に探索します。</p></li> <li><p><strong>ログと可観測性:</strong> M365 Defender XDRのデータは、必要に応じてAzure Sentinel (現在のMicrosoft Sentinel) に統合できます。Sentinelへのデータコネクタを設定することで、より長期的なログ保持、高度な相関分析、カスタムのSOAR (Security Orchestration, Automation, and Response) プレイブックによる自動化が可能になります。</p></li> <li><p><strong>SLA/バックアップ/DR:</strong> M365 Defender XDR自体はMicrosoftが提供するSaaSであり、その可用性、バックアップ、災害復旧 (DR) はMicrosoftによって管理されます。ユーザー側で考慮すべきは、Sentinel連携時のログデータ保持ポリシーや、インシデント対応プロセスが滞りなく実行されるための組織的体制です。</p></li> </ul> <h2 class="wp-block-heading">4. セキュリティ</h2> <p>M365 Defender XDRを効果的に活用するためには、その基盤となるアイデンティティと権限境界のセキュリティを強化することが不可欠です。</p> <ul class="wp-block-list"> <li><p><strong>アイデンティティと権限境界:</strong></p> <ul> <li><p><strong>Microsoft Entra ID:</strong> M365 Defender XDRのユーザー認証とアクセス管理の基盤です。すべてのセキュリティ担当者に対して、強力な認証（多要素認証: MFA）を強制することが必須です。</p></li> <li><p><strong>M365 Defender RBAC:</strong> 前述の通り、Defenderポータル内の特定の機能へのアクセスを Entra IDセキュリティグループと連携して制御します。最小権限の原則に基づき、必要な権限のみを付与します。</p></li> <li><p><strong>条件付きアクセス (CA):</strong> Microsoft Entra IDの強力な機能で、リスクレベル、デバイスのコンプライアンス状態、場所などに基づいて、Defenderポータルへのアクセスや保護対象リソースへのアクセスを動的に制限します。例えば、リスクの高いサインイン時にはMFAを強制したり、準拠していないデバイスからのアクセスをブロックしたりするルールを設定できます[5]。</p></li> <li><p><strong>Privileged Identity Management (PIM):</strong> Entra ID PIM を使用することで、セキュリティ管理者などの特権ロールをJust-In-Time (JIT) で昇格させ、永続的な特権アクセスを最小限に抑えることができます。これは、特権アカウントの侵害リスクを大幅に低減します。</p></li> </ul></li> <li><p><strong>MFAの強制:</strong> セキュリティ運用に関わるすべてのユーザーアカウントに対して、条件付きアクセスポリシーを用いてMFAを強制します。</p></li> <li><p><strong>セキュリティ設定の定期レビュー:</strong> M365 Defender XDRの設定（特に自動化レベル、検出ルール、RBACポリシー）を定期的にレビューし、最新の脅威状況や組織のニーズに合わせて最適化します。</p></li> </ul> <h2 class="wp-block-heading">5. コスト</h2> <p>M365 Defender XDRの利用には、通常、以下のライセンスが必要となります。</p> <ul class="wp-block-list"> <li><p><strong>主要ライセンス:</strong></p> <ul> <li><p><code>Microsoft 365 E5 Security</code>: Defender for Endpoint P2, Defender for Identity, Defender for Office 365 P2, Defender for Cloud Apps を含む包括的なセキュリティスイートです。</p></li> <li><p><code>Microsoft 365 E5</code>: 上記のE5 Securityの機能に加え、Office 365 E5やWindows Enterprise E5などの機能も含まれます。</p></li> </ul></li> <li><p><strong>個別ライセンス:</strong></p> <ul> <li><p><code>Microsoft Defender for Endpoint P2</code>: エンドポイント保護のみが必要な場合。</p></li> <li><p><code>Microsoft Defender for Identity</code></p></li> <li><p><code>Microsoft Defender for Office 365 P2</code></p></li> <li><p><code>Microsoft Defender for Cloud Apps</code></p></li> <li><p>これらの個別ライセンスを組み合わせて使用することも可能ですが、XDRの統合メリットを最大限に享受するには、E5 SecurityまたはE5スイートが推奨されます[4]。</p></li> </ul></li> <li><p><strong>ログ保管コスト:</strong> M365 Defender XDRポータル内でのデフォルトのログ保持期間はライセンスに含まれます。しかし、長期的なログ保管や高度な分析のためにMicrosoft Sentinelにデータを統合する場合、Sentinelのログ分析ワークスペースにおけるデータ取り込み量と保持期間に応じて追加コストが発生します。</p></li> </ul> <h3 class="wp-block-heading">コスト最適化</h3> <ul class="wp-block-list"> <li><p><strong>適切なライセンスプランの選択:</strong> 組織の規模、必要な機能、既存のMicrosoft 365ライセンス状況を考慮し、最も費用対効果の高いライセンスプラン（E5 Securityか、個々のDefender SKUの組み合わせか）を選択します。</p></li> <li><p><strong>Sentinelログ保持期間の最適化:</strong> Microsoft Sentinelにログを転送する場合、必要最低限の期間をホットストレージに保持し、それ以降はより安価なコールドストレージ（Azure Blob Storageなど）にアーカイブするポリシーを設定することでコストを削減できます。</p></li> <li><p><strong>不要なログ収集の停止:</strong> 関連性の低いログソースからのデータ収集を停止することで、Sentinelの取り込みコストを削減できます。</p></li> </ul> <h2 class="wp-block-heading">6. 落とし穴</h2> <p>M365 Defender XDRは強力なツールですが、導入と運用にはいくつかの落とし穴があります。</p> <ul class="wp-block-list"> <li><p><strong>アラート疲労 (Alert Fatigue):</strong> デフォルトの検出ルールや過剰なカスタムルールにより、アナリストが処理しきれないほど大量のアラートが発生することがあります。これにより、重要な脅威が埋もれて見逃されるリスクがあります。</p> <ul> <li><strong>対策:</strong> 検出ルールのチューニング、アラートサプレッションルールの活用、インシデントの優先順位付けとトリアージプロセスの確立が重要です。</li> </ul></li> <li><p><strong>過剰な自動修復による業務影響:</strong> 自動調査と修復は効率的ですが、誤検知によって正当な業務プロセスが中断される可能性があります。</p> <ul> <li><strong>対策:</strong> 最初は「監視モード」で自動化を開始し、信頼性が確認できたルールから段階的に自動修復を有効にするべきです。重要な業務システムに対する自動修復は慎重に検討し、承認プロセスを設けることが望ましいです。</li> </ul></li> <li><p><strong>ライセンスの複雑さ:</strong> 複数のDefender製品が連携しているため、必要なライセンスの種類と範囲を正確に理解するのが難しい場合があります。</p> <ul> <li><strong>対策:</strong> Microsoftのライセンスガイドを熟読し、必要に応じてMicrosoftの営業担当者やパートナーと相談して、組織に最適なライセンス構成を決定します。</li> </ul></li> <li><p><strong>RBACの過剰な権限付与:</strong> 最小権限の原則が守られず、セキュリティ担当者に過剰な権限が付与されると、アカウント侵害時の被害が拡大するリスクがあります。</p> <ul> <li><strong>対策:</strong> Defender XDRのカスタムロールを細かく設定し、Entra ID PIMを活用してJust-In-Timeアクセスを導入することで、特権アクセスを厳格に管理します。</li> </ul></li> </ul> <h2 class="wp-block-heading">7. まとめ</h2> <p>Microsoft 365 Defender XDRは、統合されたセキュリティプラットフォームとして、組織のインシデント対応能力を飛躍的に向上させる可能性を秘めています。Endpoint, Identity, Email & Collaboration, Cloud Appsにわたる広範な可視性と自動化された対応機能により、セキュリティアナリストはより迅速かつ効果的に脅威に対処できます。</p> <p>成功の鍵は、適切なアーキテクチャ設計、Microsoft Entra IDと連携した堅牢なアイデンティティと権限管理（RBAC、条件付きアクセス、PIM）、そして組織のニーズに合わせた継続的な設定と運用監視です。アラート疲労や過剰な自動修復といった落とし穴を認識し、計画的に導入・運用することで、Microsoft 365 Defender XDRは組織のサイバーレジリエンスを大幅に強化するでしょう。</p>

flowchart TD
    subgraph データソース
        A["Defender for Endpoint"] --> B
        B["Defender for Identity"] --> B
        C["Defender for Office 365"] --> B
        D["Defender for Cloud Apps"] --> B
    end
    B["Microsoft Defender XDR Core"] --> E("相関分析とAI")
    E --> F["インシデント生成"]
    F --> G{"インシデントキュー"}
    G -- |トリアージ/優先順位付け| H["自動調査と修復"]
    G -- |手動調査/対応| I["セキュリティアナリスト"]
    H -- |アクション: 隔離/ブロック/削除| K["脅威の無力化"]
    I -- |アクション: 隔離/ブロック/削除| K
    I -- |プロアクティブな検索| J["脅威ハンティング"]
    K --> L["インシデント解決/クローズ"]

# 前提条件: Microsoft Graph PowerShell SDKがインストールされていること。


# インストールコマンド: Install-Module Microsoft.Graph -Scope CurrentUser

# 接続（初回実行時に認証プロンプトが表示されます）


# 必要なスコープ: Group.ReadWrite.All


# Connect-MgGraph -Scopes "Group.ReadWrite.All"

$groupDisplayName = "M365Defender_SecOps_Tier1_Analysts"
$groupDescription = "Microsoft Defender XDRのTier 1セキュリティアナリスト用グループ"
$mailNickname = $groupDisplayName.Replace(" ", "").Replace("_", "") # メールニックネームはスペースとアンダースコアなしで

Write-Host "Entra IDセキュリティグループ '$groupDisplayName' の存在を確認中..."

try {

    # グループが既に存在するか確認

    $existingGroup = Get-MgGroup -Filter "DisplayName eq '$groupDisplayName'" -ErrorAction Stop
    Write-Host "グループ '$groupDisplayName' は既に存在します。ID: $($existingGroup.Id)"
} catch {
    Write-Host "グループ '$groupDisplayName' が見つかりませんでした。新規作成します。"
    $params = @{
        DisplayName         = $groupDisplayName
        Description         = $groupDescription
        MailEnabled         = $false  # メールボックスは持たない
        SecurityEnabled     = $true   # セキュリティグループとして有効化
        MailNickname        = $mailNickname
    }
    $newGroup = New-MgGroup -BodyParameter $params
    Write-Host "セキュリティグループ '$groupDisplayName' を作成しました。ID: $($newGroup.Id)"
}

# ユーザーをこのセキュリティグループに追加する例


# $userPrincipalName = "user@contoso.com"


# $userId = (Get-MgUser -UserPrincipalName $userPrincipalName).Id


# $groupId = (Get-MgGroup -DisplayName $groupDisplayName).Id


# Add-MgGroupMember -GroupId $groupId -DirectoryObjectId $userId


# Write-Host "ユーザー '$userPrincipalName' をグループ '$groupDisplayName' に追加しました。"

Write-Host "`nPowerShellでのグループ作成が完了しました。"
Write-Host "次に、Microsoft Defender XDR ポータルでカスタムロールを作成し、このグループを割り当ててください。"