Microsoft Defender for Identity について説明する

完了

Microsoft Defender for Identity は、オンプレミスの ID インフラストラクチャ サーバーからのシグナルを使用して、特権エスカレーションやリスクの高い横移動などの脅威を検出し、簡単に悪用される ID の問題に関するレポートを行うクラウドベースのセキュリティ ソリューションです。

大まかに言うと、Microsoft Defender for Identity のしくみは次のとおりです。

  • Microsoft Defender for Identity では、オンプレミスの ID インフラストラクチャ サーバー (Active Directory フェデレーション サービスと Active Directory 証明書サービスを実行しているドメイン コントローラーとサーバー) にインストールされているソフトウェアベースのセンサーを使用します。

  • Defender for Identity センサーは、必要なイベント ログにサーバーから直接アクセスします。 ログとネットワーク トラフィックがセンサーで解析された後、Defender for Identity からは解析された情報のみが Defender for Identity クラウド サービスに送信されます。 Defender for Identity クラウド サービスは、取得されたデータまたはシグナルを使用して、ID の脅威の検出と対応 (IDTR) ソリューションを提供します。 Microsoft Defender for Identity は、ハイブリッド環境を管理するセキュリティの専門家に役立ち、次のことを行えます。

    • ID ポスチャを事前に評価することで、侵害を防止する。
    • リアルタイム分析とデータ インテリジェンスを使用して脅威を検出する。
    • アクションにつながる明確なインシデント情報を使用して、疑わしいアクティビティを調査する。
    • 侵害された ID に対する自動応答を使用して、攻撃に対応する。
  • サービスの構成と、Microsoft Defender for Identity サービスによって生成されたシグナルと分析情報は、攻撃を調査して対応するための統一されたエクスペリエンスをセキュリティ チームに提供する Microsoft Defender ポータルを通じて公開されます。

Defender for Identity のダイアグラム。このダイアグラムは、Defender for Identity にシグナルを送信するドメイン コントローラーと AD FS を示しています。Defender for Identity は、Microsoft Defender XDR に対してシグナルの送受信を行い、これにより、エンドポイント、Office 365、クラウド アプリからシグナルを取得します。

ID 体制をプロアクティブに評価します

Defender for Identity は、ID セキュリティ体制を明確に表示し、攻撃者に悪用される前にセキュリティ問題を特定して解決するのに役立ちます。 たとえば、Microsoft Defender for Identity は、セキュリティ リスクを伴う最も危険な横移動パスを持つ機密性の高いアカウントを特定するために環境を継続的に監視し、環境の管理を支援するためにこれらのアカウントに関するレポートを行います。 Defender for Identity セキュリティ評価は、Microsoft Secure スコアで提供され、組織のセキュリティ体制とセキュリティ ポリシーを改善するための追加の分析情報を伝えます。

リアルタイム分析と Data Intelligence を使用して脅威を検出します

Microsoft Defender for Identity では、ネットワーク全体でユーザーのアクティビティと情報 (アクセス許可やグループ メンバーシップなど) が監視され、各ユーザーの行動ベースラインが作成されます。 その後、Microsoft Defender for Identity では、適応型の組み込みインテリジェンスを使用して異常が特定されます。 不審なアクティビティやイベントに関する分析情報がユーザーに提供され、組織に対する高度な脅威、侵害されたユーザー、内部関係者による脅威が明確になります。 Defender for Identity では、このような高度な脅威のソースをcyberattack kill-chain攻撃全体から特定します。

  • 偵察 - 不正ユーザーと攻撃者による情報を入手しようとする試みを特定します。
  • 侵害された資格情報 - ブルート フォース攻撃、認証失敗、ユーザー グループのメンバーシップ変更、その他の方法を使ってユーザーの資格情報を侵害しようとする試みを特定します。
  • 横方向の移動 - ネットワーク内を横方向に移動し、機密性の高いユーザーをさらに制御しようとする試みを検出します。
  • ドメインの支配 - 脅威アクターがドメイン コントローラー上でリモート コードを実行するなどの方法で Active Directory を制御できる場合 (ドメインの支配と呼ばれる) に攻撃者の動作を表示します。

アラートとユーザー アクティビティを調査する

Defender for Identity は、一般的なアラート ノイズを減らすように設計されています。これにより、シンプルなリアルタイムの組織攻撃タイムラインで、関連のある重要なセキュリティ アラートのみが提供されます。

Defender for Identity の攻撃タイムライン ビューとスマート分析のインテリジェンスを使用すると、重要なことに集中できます。 また、Defender for Identity を使用すると、脅威をすばやく調査し、組織全体のユーザー、デバイス、ネットワーク リソースに関する分析情報が得られます。

Microsoft Defender for Identity では、侵害された ID、高度な脅威、および悪意のある内部関係者によるアクションから組織が保護されます。

修復活動

Microsoft Defender for Identity では、オンプレミスの ID で直接実行する修復アクションをサポートしています。 以下に例を示します。

  • Active Directory でユーザーを無効にします。これにより、ユーザーが一時的にオンプレミスのネットワークにサインインできなくなります。 これは、侵害されたユーザーが横方向に移動したり、データを流出させたり、ネットワークをさらに侵害したりするのを防ぐのに役立ちます。

  • ユーザー パスワードのリセット – 次回サインイン時にユーザーにパスワードの変更を求めるメッセージが表示されます。これにより、このアカウントを今後の偽装の試行に使用できなくなります。

Microsoft Entra ID ロールによっては、ユーザーに再度サインインを要求したり、ユーザーがセキュリティ侵害されたことを確認したりする、追加の Microsoft Entra ID アクションが表示される場合があります。

Microsoft Defender ポータルでの Microsoft Defender for Identity

Microsoft Defender for Identity は、Microsoft Defender ポータルを通して体験できます。 Defender ポータルは、Microsoft ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視して管理するためのホームであり、セキュリティ管理者はセキュリティ タスクを 1 か所で実行できます。

Microsoft Defender ポータルの左側のナビゲーション パネルにある [ID] ノードには、以下のものがあります。

  • Microsoft Defender for Identity ダッシュボードは、ID の脅威の検出と対応 (ITDR) に関する重要な分析情報とリアルタイム データを提供します。

  • 正常性の問題のページには、Defender for Identity のデプロイとセンサーに関する現在の正常性の問題が一覧表示され、Defender for Identity デプロイのあらゆる問題について警告を行います。

  • ツール ページには、Microsoft Defender for Identity 環境の管理に役立つ追加情報が一覧表示されます。 たとえば、すべての Microsoft Defender for Identity の前提条件が満たされているかどうかを判断するために実行できる準備スクリプト、Microsoft Defender for Identity を動作させるために環境を構成、検証するのに役立つ関数のコレクションが備わった PowerShell モジュールなどがあります。

設定、アクセス許可、インシデントとアラート、レポート、その他の機能についても Microsoft Defender ポータルから入手できます。 詳細については、このモジュールに含まれている「Microsoft Defender ポータルについて説明する」ユニットで説明します。