Microsoft 365 セキュリティセンターが一部改変されて Microsoft 365 Defender に変化しつつあるのですが、この変化がどういったものか、説明している資料が公開されていました。
この docs です。
やはりセキュリティセンターの更新されたUIというのが位置づけで、 Defender 関連の機能を統合したダッシュボードのような位置づけとなるようです。
上記 docs にも記載がありますが、対応しているライセンスは E5 系、すなわちエンタープライズ向けのセキュリティに特化した機能を提供する形になっています。
さっそくアクセスしてみましょう。
https://security.microsoft.com/
初回アクセスは Tips が表示されるため、どういったことができるのかはこれを見るとわかるかと思います。
ツアーは全部で 8 つあります。
1 つ目は攻撃と思われる情報の一覧です。
インシデントとアラートに分かれており、インシデントは CAS と連動して何が起きたか教えてくれるようになっているようです。
インシデントを選択すると、サマリー情報になります。
アラートだったので、クリックしていくと CAS へ遷移しどういった事象が発生したのが確認できる。という状態でした。
これはかなり便利ですね。システムに詳しくなくても脅威かどうか判断が付けられます。
アラートの方も、同じようなインターフェースとなっています。
選択していくと、、、
起きた事象が表示されます。
アラートが問題だったかも設定でき、状態が調整されていくように見えますね。
続いて追及です。ここでは Graph API なのでしょうか、イベントが入った DB からクエリーを基に情報を抜き出すということができるようです。
高度な追及を見ていくとスキーマというところにメールやデバイスなどの箱があり、右側でクエリ実行することでその情報が取れるようになっています。
メールイベントは送受信などが入っていたので、ログのようにも見えました。
ライセンスによってはサインインの一覧なども確認できるのでアクセスの追跡などにも活用できそうです。
3 つ目はアクションセンター。
説明文からすると、問題が発生した際に起こしたアクションの状態をここから確認できる。という風に読み取れます。
最初は何も表示されていなかったので、ウィルス駆除などがここで出るのではないかと思われます。
4 つ目は脅威の分析です。
実はこの機能、ここが要なんじゃないかというくらい面白い機能です。
Microsoft が検知し、直近世界的に行われている脅威が羅列されており、そのアタックが自テナントに対して行われたかどうかを表示してくれるようです。
ここを見ておけば攻撃されているかすぐにわかるという訳ですね。すごい!
ここから先は環境によって異なるようです。
Defender for Endpoint 関連のライセンスがあればエンドポイントが表示され、デバイスの検索などが行えます。
メニュー構成はこんな感じでした。 Intune との連動を促すメニューなどもあったので、 Intune のダッシュボード的な位置づけにもなってくるのかもしれません。
Office 365 関連のライセンスがあればメールとコラボレーションが表示されます。
マルウェアの受信がないかなどをリアルタイムで確認できるエクスプローラーにはここからアクセスする形になります。
エクスプローラーからは 20 万レコードのエクスポートができるようです。
監査ログなどは 5 万件までのエクスポートだったと思うので、ここが広がってくれるのはありがたいですね。
調査できる範囲はマルウェアだけでなく以下のセットがありました。
エクスプローラーでは Defender for Endpoint と連動し、問題を調査することもできるようです。ここまで来てくれると Microsoft 365 というスイートで買う意味が出てきますね。待ち望んでいた世界観です。
管理と構成の区分は Microsoft 365 管理センターから移設されている部分があるようです。
ロールの違いはあるもののそれぞれのロールで必要であろうという観点で用意されているように思えます。
この近辺のメニューはこんな感じですね。
最後にフィードバック。
今までこのような形で案内されていたかな。という感じですが、フィードバックをさらに求めているということなのでしょう。
作りっぱなしにはしないという意気込みが感じますね。
というわけで、長々と紹介させていただきましたが、この機能、かなり有用な感じがします。
E5 系のライセンスと管理者アカウントをお持ちの場合はぜひ一度アクセスしてみることをお薦めします!
音楽:dew