次の方法で共有


Microsoft Defender for Identity をパイロットして展開する

適用対象:

  • Microsoft Defender XDR

この記事では、組織で Microsoft Defender for Identity をパイロットして展開するためのワークフローについて説明します。 これらの推奨事項を使用して、個々のサイバーセキュリティ ツールとして、または Microsoft Defender XDR を使用したエンドツーエンド ソリューションの一部として Microsoft Defender for Identity をオンボードできます。

この記事では、運用環境の Microsoft 365 テナントがあり、この環境で Microsoft Defender for Identity のパイロットと展開を行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。

Defender for Office 365 は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの 「侵害によるビジネス上の損害を防止または軽減 する」シナリオを参照してください。

Microsoft Defender XDR のエンド ツー エンドの展開

これは、インシデントの調査や対応など、Microsoft Defender XDR のコンポーネントの展開に役立つシリーズの 6 の記事 2 です。

パイロットで Microsoft Defender for Identity を示し、Microsoft Defender XDR プロセスを展開する図。

このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。

段階 リンク
A. パイロットを開始する パイロットを開始する
B. Microsoft Defender XDR コンポーネントをパイロットして展開する - Defender for Identity をパイロットして展開する (この記事)

- Defender for Office 365 をパイロットして展開する

- Defender for Endpoint のパイロットとデプロイ

- Microsoft Defender for Cloud Apps のパイロットとデプロイ
C. 脅威の調査と対応 インシデントの調査と対応を実践する

Defender for Identity のワークフローをパイロットしてデプロイする

次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。

パイロット、評価、および完全なデプロイ導入フェーズの図。

まず、製品またはサービスと、それが組織内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャまたは組織全体がカバーされるまで、デプロイの範囲を徐々に増やします。

運用環境で Defender for Identity をパイロットして展開するためのワークフローを次に示します。

Microsoft Defender for Identity をパイロットして展開する手順を示す図。

次の手順を実行します。

  1. Defender for Identity インスタンスを設定する
  2. センサーのインストールと構成
  3. センサーを使用してマシンでイベント ログとプロキシの設定を構成する
  4. Defender for Identity が他のコンピューター上のローカル管理者を識別できるようにする
  5. ID 環境のベンチマークの推奨事項を構成する
  6. 機能を試す

デプロイ ステージごとに推奨される手順を次に示します。

デプロイ ステージ 説明
評価 Defender for Identity の製品評価を実行します。
パイロット 運用環境でセンサーを使用するサーバーの適切なサブセットに対して手順 1 ~ 6 を実行します。
完全な展開 残りのサーバーに対して手順 2 から 5 を実行し、パイロットを超えてすべてのサーバーを含めます。

組織をハッカーから保護する

Defender for Identity は、独自の強力な保護を提供します。 ただし、Microsoft Defender XDR の他の機能と組み合わせると、Defender for Identity は共有シグナルにデータを提供し、攻撃を阻止するのに役立ちます。

サイバー攻撃の例と、Microsoft Defender XDR のコンポーネントが検出と軽減にどのように役立つかを次に示します。

Microsoft Defender XDR が脅威チェーンを停止する方法を示す図。

Defender for Identity は、Active Directory Domain Services (AD DS) ドメイン コントローラーと Active Directory フェデレーション サービス (AD FS) と Active Directory Certificate Services (AD CS) を実行しているサーバーからシグナルを収集します。 これらのシグナルを使用してハイブリッド ID 環境を保護します。これには、侵害されたアカウントを使用してオンプレミス環境内のワークステーション間を横方向に移動するハッカーからの保護が含まれます。

Microsoft Defender XDR は、すべての Microsoft Defender コンポーネントからのシグナルを関連付けて、完全な攻撃ストーリーを提供します。

Defender for Identity アーキテクチャ

Microsoft Defender for Identity は Microsoft Defender XDR と完全に統合されており、オンプレミスの Active Directory ID からのシグナルを利用して、組織に向けられた高度な脅威をより適切に特定、検出、調査するのに役立ちます。

Microsoft Defender for Identity をデプロイして、セキュリティ運用 (SecOps) チームがハイブリッド環境全体で最新の ID 脅威検出と応答 (ITDR) ソリューションを提供できるようにします。

  • プロアクティブな ID セキュリティ体制の評価を使用して侵害を防止する
  • リアルタイム分析とデータ インテリジェンスを使用して脅威を検出する
  • 明確で実用的なインシデント情報を使用して、疑わしいアクティビティを調査する
  • 侵害された ID に対する自動応答を使用して、攻撃に対応します。 詳細については、「Microsoft Defender for Identity とは」を参照してください。

Defender for Identity は、Microsoft Entra ID テナントに同期されたオンプレミスの AD DS ユーザー アカウントとユーザー アカウントを保護します。 Microsoft Entra ユーザー アカウントのみで構成される環境を保護するには、「 Microsoft Entra ID Protection」を参照してください。

次の図は、Defender for Identity のアーキテクチャを示しています。

Microsoft Defender for Identity のアーキテクチャを示す図。

この図について:

  • AD DS ドメイン コントローラーと AD CS サーバーにインストールされているセンサーは、ログとネットワーク トラフィックを解析し、分析とレポートのために Microsoft Defender for Identity に送信します。
  • センサーは、サード パーティの ID プロバイダーと、フェデレーション認証 (図の点線) を使用するように Microsoft Entra ID が構成されている場合に、AD FS 認証を解析することもできます。
  • Microsoft Defender for Identity は、Microsoft Defender XDR に通知を共有します。

Defender for Identity センサーは、次のサーバーに直接インストールできます。

  • AD DS ドメイン コントローラー

    センサーは、専用サーバーやポート ミラーリングの構成を必要とせずに、ドメイン コントローラーのトラフィックを直接監視します。

  • AD CS サーバー

  • AD FS サーバー

    センサーは、ネットワーク トラフィックと認証イベントを直接監視します。

Defender for Identity のアーキテクチャの詳細については、「 Microsoft Defender for Identity アーキテクチャ」を参照してください。

手順 1: Defender for Identity インスタンスを設定する

まず、Defender for Identity には、オンプレミスの ID とネットワーク コンポーネントが最小要件を満たしていることを確認するための前提条件の作業が必要です。 環境の準備ができていることを確認するためのチェックリストとして 、Microsoft Defender for Identity の前提条件 に関する記事を使用します。

次に、Defender for Identity ポータルにサインインしてインスタンスを作成し、このインスタンスを Active Directory 環境に接続します。

手順 説明 詳細情報
1 Defender for Identity インスタンスを作成する クイックスタート: Microsoft Defender for Identity インスタンスを作成する
2 Defender for Identity インスタンスを Active Directory フォレストに接続する クイック スタート: Active Directory フォレストに接続する

手順 2: センサーをインストールして構成する

次に、オンプレミス環境のドメイン コントローラー、AD FS、および AD CS サーバーで Defender for Identity センサーをダウンロード、インストール、構成します。

手順 説明 詳細情報
1 必要な Microsoft Defender for Identity センサーの数を決定します。 Microsoft Defender for Identity の容量を計画する
2 センサー セットアップ パッケージをダウンロードする クイック スタート: Microsoft Defender for Identity センサーのセットアップ パッケージをダウンロードする
3 Defender for Identity センサーをインストールする クイック スタート: Microsoft Defender for Identity センサーをインストールする
4 センサーを構成する Microsoft Defender for Identity センサーの設定を構成する

手順 3: センサーを使用してマシンでイベント ログとプロキシ設定を構成する

センサーをインストールしたマシンで、検出機能を有効にして強化するために、Windows イベント ログ収集とインターネット プロキシ設定を構成します。

手順 説明 詳細情報
1 Windows イベント ログ収集を構成する Windows イベント コレクションを構成する
2 インターネット プロキシ設定を構成する Microsoft Defender for Identity Sensor のエンドポイント プロキシとインターネット接続の設定を構成する

手順 4: Defender for Identity が他のコンピューター上のローカル管理者を識別できるようにする

Microsoft Defender for Identity 横移動パス検出は、特定のマシンのローカル管理者を識別するクエリに依存します。 これらのクエリは、Defender for Identity Service アカウントを使用して SAM-R プロトコルで実行されます。

Windows クライアントとサーバーで Defender for Identity アカウントが SAM-R を実行できるようにするには、ネットワーク アクセス ポリシーに記載されている構成済みのアカウントに加えて Defender for Identity サービス アカウントを追加するために、グループ ポリシーを変更する必要があります。 ドメイン コントローラーを除くすべてのコンピューターにグループ ポリシーを適用してください。

これを行う方法については、「 SAM へのリモート呼び出しを行うための Microsoft Defender for Identity の構成」を参照してください。

手順 5: ID 環境のベンチマークの推奨事項を構成する

Microsoft は、Microsoft Cloud サービスを使用しているお客様に対してセキュリティ ベンチマークの推奨事項を提供します。 Azure セキュリティ ベンチマーク (ASB) には、Azure 上のワークロード、データ、およびサービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項が用意されています。

これらの推奨事項を実装するには、計画と実装に時間がかかる場合があります。 これらの推奨事項により、ID 環境のセキュリティが大幅に向上しますが、Microsoft Defender for Identity の評価と実装を継続して行うことはできません。 これらの推奨事項は、ここで認識するために提供されています。

手順 6: 機能を試す

Defender for Identity ドキュメントには、さまざまな攻撃の種類を特定して修復するプロセスについて説明する次のチュートリアルが含まれています。

SIEM 統合

Defender for Identity を Microsoft Sentinel または汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinel を使用すると、組織全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して、効果的かつ迅速な対応を実現できます。

SIEM 統合を使用した Microsoft Defender for Identity のアーキテクチャを示す図。

Microsoft Sentinel には、Defender for Identity コネクタが含まれています。 詳細については、「 Microsoft Sentinel 用 Microsoft Defender for Identity コネクタ」を参照してください。

サード パーティの SIEM システムとの統合の詳細については、「 汎用 SIEM 統合」を参照してください。

次の手順

SecOps プロセスに以下を組み込みます。

Microsoft Defender XDR のエンドツーエンド展開の次の手順

パイロットを使用して Microsoft Defender XDR のエンド ツー エンドの展開を続行 し、Defender for Office 365 を展開します。

パイロットで Microsoft Defender for Office 365 を示し、Microsoft Defender XDR プロセスを展開する図。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。