ドメイン コントローラーで Microsoft Defender for Identity 機能を直接アクティブ化する
既に ドメイン コントローラーを Defender for Endpoint にオンボードしている Microsoft Defender for Endpoint のお客様は、Microsoft Defender for Identity センサーを使用する代わりに、ドメイン コントローラーで直接 Microsoft Defender for Identity 機能をアクティブ化できます。
この記事では、ドメイン コントローラーで Microsoft Defender for Identity 機能をアクティブ化してテストする方法について説明します。
重要
この記事では、現在一部のユース ケースに限って利用できる機能を取り上げています。 Defender for Identity の [アクティブ化] ページを使用するように指示されていない場合は、代わりにメイン デプロイ ガイドを使用してください。
前提条件
ドメイン コントローラーで Defender for Identity 機能をアクティブ化する前に、お使いの環境がこのセクションの前提条件に準拠していることを確認してください。
Defender for Identity センサーの競合
この記事で説明する構成では、既存の Defender for Identity センサーを使用したサイドバイサイド インストールはサポートされておらず、Defender for Identity センサーの代わりとして推奨されていません。
Defender for Identity 機能のアクティブ化を計画しているドメイン コントローラーに Defender for Identity センサーがデプロイされていないことを確認します。
システム要件
次のいずれかのオペレーティング システムを使用しているドメイン コントローラーでのみ Direct Defender for Identity 機能がサポートされています。
- Windows Server 2019
- Windows Server 2022
2024 年 3 月の累積的な更新プログラムもインストールされている必要があります。
重要
2024 年 3 月の累積的な更新プログラムをインストールした後、LSASS ではオンプレミスおよびクラウドベースの Active Directory Domain Controllers サービス Kerberos 認証要求時にドメイン コントローラーでメモリ リークが発生する可能性があります。
この問題は定例外更新プログラム KB5037422 で対処されます。
Defender for Endpoint のオンボード
ドメイン コントローラーを Microsoft Defender for Endpoint にオンボードする必要があります。
詳細については、「Windows サーバーのオンボード」を参照してください。
必要なアクセス許可
Defender for Identity の [アクティブ化] ページにアクセスできるのは、セキュリティ管理者か、次の統合 RBAC アクセス許可を持っているユーザーだけです。
Authorization and settings / System settings (Read and manage)Authorization and settings / Security setting (All permissions)
詳細については、以下を参照してください:
接続の要件
ドメイン コントローラーの Defender for Identity では通信に Defender for Endpoint URL エンドポイントを使用します (簡略化された URL を含む)。
詳細については、「 Defender for Endpoint との接続を確保するようにネットワーク環境を構成する」を参照してください。
Windows 監査の構成
Defender for Identity の検出では特定の Windows イベント ログ エントリを使用して検出を強化し、特定のアクション (NTLM サインイン、セキュリティ グループの変更など) を実行したユーザーに関する追加情報を提供します。
Defender for Identity の検出をサポートするようにドメイン コントローラーで Windows イベント収集を構成します。 詳細については、「Microsoft Defender for Identity によるイベント収集」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。
Defender for Identity PowerShell モジュールを使用して必要な設定を構成できます。 詳細については、以下を参照してください:
たとえば、次のコマンドではドメインのすべての設定を定義し、グループ ポリシー オブジェクトを作成してリンクします。
Set-MDIConfiguration -Mode Domain -Configuration All
Defender for Identity 機能のアクティブ化
環境が完全に構成されていることを確認したら、ドメイン コントローラーで Microsoft Defender for Identity 機能をアクティブ化します。
Defender ポータルで [設定] > [ID] > [アクティブ化] を選択します。
[アクティブ化] ページには、検出され、対象となるドメイン コントローラーが一覧表示されます。
Defender for Identity 機能をアクティブ化するドメイン コントローラーを選択し、[アクティブ化] を選択します。 メッセージが表示されたら選択を確定します。
アクティブ化が完了すると緑色の成功バナーが表示されます。 バナーで [ここをクリックしてオンボードされたサーバーを表示] を選択し、[設定] > [ID] > [センサー] ページに移動してセンサーの正常性をチェックできます。
アクティブ化された機能のテスト
ドメイン コントローラーで Defender for Identity 機能を初めてアクティブ化するときに、最初のセンサーが [センサー] ページで [実行中] と表示されるまでに最長で 1 時間かかる場合があります。 2 回目からアクティブ化は 5 分以内に表示されます。
ドメイン コントローラーの Defender for Identity 機能では現在、次の Defender for Identity 機能をサポートしています。
ドメイン コントローラーで Defender for Identity 機能の環境をテストするには、次の手順に従います。
ITDR ダッシュボードの確認
Defender ポータルで [ID] > [ダッシュボード] を選択し、表示された詳細を確認して環境からの予想される結果をチェックします。
詳細については、「Defender for IdentityのITDRダッシュボードとの連携」 (プレビュー) を参照してください。
エンティティ ページの詳細の確認
ドメイン コントローラー、ユーザー、グループなどのエンティティが想定どおりに設定されていることを確認します。
Defender ポータルで次の詳細を確認します。
デバイス エンティティ: [資産] > [デバイス] を選択して新しいセンサーのマシンを選択します。 Defender for Identity イベントはデバイス タイムラインに表示されます。
ユーザー エンティティ。 [資産] > [ユーザー] を選択して新しくオンボードされたドメインのユーザーを確認します。 または、グローバル検索オプションを使用して特定のユーザーを検索します。 ユーザーの詳細ページには [概要]、[組織内の観察対象]、[タイムライン] のデータがあります。
グループ エンティティ: グローバル検索を使用してユーザー グループを検索するか、グループの詳細が表示されているユーザーまたはデバイスの詳細ページからピボットします。 グループ メンバーシップの詳細、グループ ユーザーの表示、グループ タイムライン データを確認します。
グループ タイムラインでイベント データが見つからない場合は、手動で作成する必要がある場合があります。 たとえば、Active Directory のグループにユーザーを追加したり、グループからユーザーを削除したりしてこれを行います。
詳細については、「アセットの調査」を参照してください。
高度なハンティング テーブルのテスト
Defender ポータルの [高度な検出機能] ページで次のサンプル クエリを使用して、そのデータが環境で想定どおりに関連するテーブルに表示されることを確認します。
IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN
IdentityInfo
| where AccountDomain contains "domain" // insert domain
IdentityQueryEvents
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN
詳細については、「Microsoft Defender ポータルでの高度なハンティング」を参照してください。
ID セキュリティ体制管理 (ISPM) の推奨事項のテスト
ドメイン コントローラーの Defender for Identity 機能では次の ISPM 評価をサポートしています。
- すべてのドメイン コントローラーに Defender for Identity センサーをインストールする
- Microsoft LAPS の使用状況
- セキュリティで保護されていないドメイン構成の解決
- ハニートークン アカウントの設定
- セキュリティで保護されていないアカウント属性
- セキュリティ保護されていない SID 履歴属性
テスト環境で危険な動作をシミュレートしてサポートされている評価をトリガーし、想定どおりに表示されるか確認することをお勧めします。 次に例を示します。
Active Directory 構成を非準拠状態に設定してから準拠状態に戻すことで、新しいセキュリティで保護されていないドメイン構成の解決の推奨事項をトリガーします。 たとえば、次のコマンドを実行します。
非準拠状態を設定するには
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}準拠状態に戻すには:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}ローカル構成を確認するには:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaMicrosoft セキュリティ スコアで [推奨アクション] を選択し、新しい [セキュリティで保護されていないドメイン構成の解決] 推奨事項を確認します。 Defender for Identity 製品で推奨事項をフィルタリングすることもできます。
詳細については、「Microsoft Defender for Identity のセキュリティ体制評価」を参照してください。
アラート機能のテスト
ドメイン コントローラーの Defender for Identity 機能では次のアラートがサポートされています。
- コンピューター アカウントによるリソース ベースの制約付き委任属性の疑わしい変更
- 感度の高いグループへの疑わしい追加
- dNSHostName 属性の疑わしい変更 (CVE-2022-26923)
- sAMNameAccount 属性の疑わしい変更 (CVE-2021-42278 および CVE-2021-42287)
- DCShadow 攻撃の疑い (ドメイン コントローラー昇格)
- 分散ファイル システム プロトコルを使用した疑わしい DFSCoerce 攻撃
- DCShadow 攻撃の疑い (ドメイン コントローラー レプリケーション要求)
- シャドウ資格情報を使用したアカウント乗っ取りの疑い
- SID ヒストリーインジェクションの疑い
- AD FS DKM キーが読み取られた可能性
テスト環境で危険なアクティビティをシミュレーションすることでアラート機能をテストします。 次に例を示します。
- アカウントをハニートークン アカウントとしてタグ付けし、アクティブ化されたドメイン コントローラーに対してハニートークン アカウントにサインインしてみます。
- ドメイン コントローラーに疑わしいサービスを作成します。
- ワークステーションからサインインした管理者として、ドメイン コントローラーでリモート コマンドを実行します。
詳細については、「Microsoft Defender XDR で Defender for Identity セキュリティ アラートを調査する」を参照してください。
修復アクションのテスト
テスト ユーザーに対して修復アクションをテストします。 次に例を示します。
Defender ポータルでテスト ユーザーのユーザー詳細ページに移動します。
オプション メニューから、次のいずれかまたはすべてを一度に 1 つずつ選択します。
- AD でのユーザーの無効化
- AD でのユーザーの有効化
- パスワードの強制的なリセット
Active Directory で想定されるアクティビティを確認します。
Note
現在のバージョンでは、ユーザー アカウント制御 (UAC) フラグが正しく収集されません。 そのため、無効なユーザーが引き続きポータルで [有効] として表示されます。
詳細については、「Microsoft Defender for Identity の修復アクション」を参照してください。
ドメイン コントローラーにおける Defender for Identity 機能の非アクティブ化
ドメイン コントローラーの Defender for Identity 機能を非アクティブ化する場合は、[センサー] ページから削除します。
- Defender ポータルで [設定] > [ID] > [センサー] を選択します。
- Defender for Identity 機能を非アクティブ化するドメイン コントローラーを選択し、[削除] を選択して選択内容を確定します。
ドメイン コントローラーから Defender for Identity 機能を非アクティブ化しても、Defender for Endpoint からドメイン コントローラーは削除されません。 詳細については、Defender for Endpoint のドキュメントを参照してください。
次のステップ
詳細については、「Microsoft Defender for Identity センサーの管理と更新」を参照してください。