皆さんこんにちは。国井です。
最近、Microsoft Defenderの管理ポータルサイトの左側のメニューが変わりました。
私がこの投稿を書いている時点ではテナントによってまちまちな感じなのですが、あえてこのタイミングで違いをチェックしていくことにします。
Microsoft Defenderってなに?
Microsoft Defenderはマイクロソフトが提供するセキュリティ関連のサービス群です。Windows OSに実装されているMicrosoft Defenderウイルス対策は有名なところですが、それ以外にもMicrosoft 365の中で提供されるMicrosoft Defender for.. のシリーズのサービスがあります。そのサービス群を管理するメニューがMicrosoft Defender管理ポータルってわけです。
メニューを見てみよう
まずはざっくり見てみます。
画面の左側が新しいメニュー、右側がこれまでのメニューです。
新しいメニューでは[露出管理]とか[脅威インテリジェンス]とか綺麗にジャンル分けされていて、どこに何があるかわかりやすい感じです。
次から個別のメニューを見ていきます。
調査と対応
[調査と対応]メニューはインシデントとアラートなどの個別に用意されていたメニューが集約された場所です。
どんなメニューがあるかは見ていただければわかると思いますが、どれもこれまでに用意されていたメニューになります。
Microsoft Sentinel
以前からMicrosoft Defender管理ポータルとMicrosoft Sentinelは連携設定することができましたが、それでもこれまではAdvanced Huntingで30日以上前のデータにクエリが投げられるなど、Microsoft Defender管理ポータルからできることは限定的でした。
それに対して新しいポータルではMicrosoft Sentinel専用のメニューが用意され、Azureポータルから設定していたことがほぼすべてMicrosoft Defender管理ポータルからできるようになりました。
メニューとしてAzureポータルの[ハンティング]がMicrosoft Defender管理ポータルでは[追及]とメニューが変わっていたりしますが、機能としては(Log Analyticsワークスペースを直接操作したいとか、そういうマニアックなことをしない限り)私の見た限りすべてカバーしていました。
(※だけど[ハンティング]メニューを[追及]と翻訳するのはやめてほしい。だってAdvanced Hunting=高度な追及なので、追及=KQLクエリを手動で書く画面って勘違いしちゃうから)
システム
これまでの管理ポータルではジャンル分けされずに並んでいたメニューのうち、一部が[システム]っていうジャンルに整理されました。
私は[設定]メニューをよく使うのですが、今までは左側のメニューから[設定]をクリックしてダイレクトにアクセスできていたのに新しいポータルではシステム > 設定 ってアクセスしなければならなくなったのでちょっと面倒。
なお、そのほかのジャンルにID、エンドポイント、メールとコラボレーションなどがありますが、これらはいずれも今までと変わりませんでした。
SOC最適化
新しいポータルではいずれのジャンルにも分類されない項目があり、ここの項目も多くは今までのポータルと変わらないのですが、ひとつだけ新しいメニューがあり、それが[SOC最適化]になります。
[SOC最適化]は名前の通り、SOCとしての活動を行う中で設定しておいたほうが良い設定などをお知らせしてくれます。以下のテナントではAADNonInteractiveSignInLogsテーブルの使用率が低いと指摘していますが、ここでいう使用率とはログを収集しているのにそのログにクエリを実行するような分析ルールを作ってないですよという指摘をしています。
Microsoft SentinelではMDEと違って分析ルールを自分で書かなければならないので、何にもしてないとこんな感じで指摘してくるわけです。
まとめ
Microsoft Purview管理センターに比べると変化は小さく、すぐに慣れそうですね。
私的にはMicrosoft SentinelのメニューがMicrosoft Defender管理ポータルに入ってきたのは本当に嬉しい!
Azureポータルと行き来する生活もこれで少なくなりそうです。
