解説
本記事は、エンドポイント保護ソリューションであるMicrosoft Defenderにおいて、組織固有の深い監視(テレメトリ)ニーズに対応するための「カスタムデータ収集」機能の活用方法について解説しています。
これまでのDefenderの標準的なデータ収集は、パフォーマンスとノイズ低減のバランスを取るよう最適化されていますが、セキュリティチームの中には、より詳細な情報や網羅的なログを必要とするケースが増えています。この課題に対応するため、「カスタムデータ収集」機能が登場し、ユーザー自身が自然言語に基づいて必要なデータ型(例:スクリプトの内容に関する監視、認証情報に基づいた攻撃の追跡など)を指定して、収集ルールを構築できるようになりました。
さらに、本機能は「動的タグ付け」と連携することで真価を発揮します。特定の重要度の高い資産(インターネットに面したサーバーやドメインコントローラーなど)に対してのみ、追加の高度なログ収集を自動的に適用できます。これにより、日常的な運用ログによるオーバーヘッドを抑えつつ、最も警戒すべきデバイスから必要なシグナルだけを濃密に取り出すことが可能です。
このカスタムデータはMicrosoft Sentinelで分析・保存され、最高のセキュリティ洞察を提供します。この統合された仕組みにより、従来の単なる脆弱性対策の枠を超え、積極的な脅威ハンティングや監査に必要な詳細な可視性を実現できる点が大きな進展です。
ポイント
- Microsoft Defenderで独自のデータ収集ルールを設定し、特定の必要な情報(例:DNSクエリ、プロセス生成イベント)を網羅的に取得できます。
- このカスタムデータ収集は動的タグ付けと連携し、重要度の高い資産に対してのみ自動的に適用されるため、監視の精度が向上します。
- これにより、標準ログだけでは検出が難しいC2通信パターンや潜伏的な攻撃活動を事前に発見する高度なハンティングが可能になります。
情シスへの影響
■ データ収集ルールと動的タグ付けの設定
-
カスタムデータ収集のルール(どの情報を集めるか)を定義し、これを適用対象とする「動的タグ」を設定する必要があります。
-
設定プロセスとして、「重要資産に特定タグが振られたら → 高レベル詳細なログ収集を行う」というワークフローを構築します。
■ 監視と分析基盤の調整
-
カスタムデータで取得した大量のテレメトリは、Microsoft Sentinelなどの分析プラットフォームへ蓄積・連携されるため、ストレージ容量やクエリ実行時のコスト構造の変化に留意が必要です。
-
新しいカスタム検出ルールを作成する際、収集された多様なログタイプ(プロセス、レジストリなど)に基づいた高度な検索ロジックを組み込むスキルが求められます。
重要度
★★★★☆
対象者
- セキュリティ担当者
- AD管理者
- ネットワーク管理者
優先度
計画的に対応
推奨対応
- 既存の重要な資産(サーバー、ドメインコントローラーなど)を特定し、それらを高感度監視対象として扱うための動的タグ付けの基準を設定する。
- カスタムデータ収集に必要な追加ログ型(例:全てのDNSクエリ、特定のプロセス生成イベント)がセキュリティポリシーと監査要件を満たしているかを確認する。
- カスタム検出ルールの作成にあたり、新しい高感度ログを横断的に分析するためのワークフローとアラート管理体制を事前に設計し、テスト環境で検証を実施する。
出典・公式情報:
Elevate your telemetry using custom data collection in Microsoft Defender
本記事は、上記の公開情報をもとに、情報システム担当者向けに要点・影響・確認ポイントを整理したものです。脆弱性対応・製品仕様・更新情報は変更される可能性があります。実際の対応前に必ず元記事・公式情報をご確認ください。