Defender XDRとは
Microsoft Defender XDR(旧Microsoft 365 Defender)は、メール、エンドポイント、ID、クラウドアプリの脅威を統合的に検知・調査・対応するXDR(Extended Detection and Response)プラットフォームです。
Microsoft 365 Business PremiumにはDefender for Endpoint Plan 1とDefender for Office 365 Plan 1が含まれており、中小企業でもXDRの基盤を利用できます。
構成コンポーネント
| コンポーネント | 保護対象 | Business Premiumでの提供 |
|---|---|---|
| Defender for Endpoint | PC・モバイル端末 | Plan 1 |
| Defender for Office 365 | メール・Teams | Plan 1 |
| Defender for Identity | Active Directory | ×(E5に含まれる) |
| Defender for Cloud Apps | SaaSアプリ | ×(E5に含まれる) |
日常運用のポイント
- インシデントキューの確認:security.microsoft.comの「インシデント」を毎日確認。重要度「高」を最優先で対応
- セキュアスコアの確認:Microsoft Secure Scoreで対策の網羅度を定期的に確認し、推奨事項を実行
- メール脅威レポート:フィッシングメール、マルウェアメールの検知状況を週次で確認
- 脆弱性管理:Defender for EndpointのThreat & Vulnerability Managementで端末の脆弱性を確認
自動調査・修復の活用
Defender XDRにはAIR(Automated Investigation and Response)機能があり、検知したアラートに対して自動的に調査を行い、修復アクションを提案します。
- 自動調査:アラート発生時にエンティティ(ファイル、プロセス、ユーザー等)を自動で調査
- 修復アクションの承認:マルウェアファイルの削除、不審プロセスの停止等の修復アクションを承認/拒否
- 完全自動化:信頼性の高いアクションは人間の承認なしに自動実行する設定も可能
情シス1人でも、自動調査を活用すれば、専門的なフォレンジックスキルなしにインシデントの初動対応が可能です。
まとめ
Defender XDRはM365 Business Premiumでも利用できるXDR基盤です。インシデントキューの毎日確認、セキュアスコアの定期チェック、自動調査の活用で、情シス1人でも効果的なセキュリティ運用が可能です。