Microsoft Defender XDRを使用してMicrosoft Defender for Identityをデプロイする

この記事では、準備、デプロイ、特定のシナリオの追加の手順など、Microsoft Defender for Identityの完全なデプロイ プロセスの概要について説明します。

Defender for Identity は、ゼロ トラスト戦略の主要なコンポーネントであり、ID 脅威の検出と応答 (ITDR) または拡張検出と応答 (XDR) の展開とMicrosoft Defender XDR。 Defender for Identity は、ドメイン コントローラー、AD FS/AD CS、Entra Connect サーバーなどの ID インフラストラクチャ サーバーからのシグナルを使用して、特権のエスカレーションやリスクの高い横移動などの脅威を検出し、セキュリティ チームによる修正のために、制約のない Kerberos 委任などの簡単に悪用された ID の問題に関するレポートを行います。

デプロイのハイライトの簡単なセットについては、「 クイック インストール ガイド」を参照してください。

前提条件

開始する前に、少なくともセキュリティ管理者としてMicrosoft Defender XDRにアクセスできることを確認し、次のいずれかのライセンスを持っていることを確認します。

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5*安全
• Microsoft 365 F5 セキュリティ + コンプライアンス*
• スタンドアロン Defender for Identity ライセンス

*両方のF5ライセンスは、Microsoft 365 F1/F3またはF3とEnterprise Mobility + Security E3 Office 365必要があります。

Microsoft 365 ポータルから直接ライセンスを取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳細については、「 ライセンスとプライバシーに関する FAQ 」と 「Defender for Identity の役割とアクセス許可とは」を参照してください。

Microsoft Defender XDRの使用を開始する

このセクションでは、Defender for Identity へのオンボードを開始する方法について説明します。

1. Microsoft Defender ポータルにサインインします。
2. ナビゲーション メニューから、 インシデント & アラート、 ハンティング、 アクション センター、 脅威分析 などの項目を選択して、オンボード プロセスを開始します。

その後、サポートされているサービス (Microsoft Defender for Identityを含む) をデプロイするオプションが表示されます。 Defender for Identity に必要なクラウド コンポーネントは、Defender for Identity 設定ページを開くと自動的に追加されます。

詳細については、以下を参照してください:

• Microsoft Defender XDRのMicrosoft Defender for Identity
• Microsoft Defender XDRの概要
• Microsoft Defender XDRを有効にする
• サポートされているサービスを展開する
• Microsoft Defender XDRをオンにするときによく寄せられる質問

重要

現在、Defender for Identity データ センターは、ヨーロッパ、英国、スイス、北米/中米/カリブ海、オーストラリア東部、アジア、インドにデプロイされています。 ワークスペース (インスタンス) は、Microsoft Entra テナントの地理的な場所に最も近い Azure リージョンに自動的に作成されます。 作成後、Defender for Identity ワークスペースは移動できません。

計画および準備する

Defender for Identity の展開を準備するには、次の手順に従います。

1. すべての前提条件が必要であることを確認します。

2. Defender for Identity 容量を計画します。

ヒント

Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストして確認することをお勧めします。

Test-MdiReadiness.ps1 スクリプトへのリンクは、[ID > ツール] ページ (プレビュー) のMicrosoft Defender XDRからも使用できます。

Defender for Identity の展開

システムを準備したら、次の手順に従って Defender for Identity を展開します。

1. Defender for Identity サービスへの接続を確認します。
2. Defender for Identity センサーをダウンロードします。
3. Defender for Identity センサーをインストールします。
4. データの受信を開始するように Defender for Identity センサーを構成 します。

デプロイ後の構成

次の手順は、デプロイ プロセスを完了するのに役立ちます。

• Windows イベント コレクションを構成します。 詳細については、「Microsoft Defender for Identityを使用したイベント収集」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。

• Defender for Identity の統合ロールベースのアクセス制御 (RBAC) を有効にして構成します。

• Defender for Identity で使用するディレクトリ サービス アカウント (DSA) を構成します。 一部のシナリオでは DSA は省略可能ですが、完全なセキュリティ カバレッジを実現するために、DEFENDER for Identity 用の DSA を構成することをお勧めします。 たとえば、DSA が構成されている場合、DSA は起動時にドメイン コントローラーに接続するために使用されます。 DSA を使用して、ネットワーク トラフィック、監視対象イベント、監視される ETW アクティビティで見られるエンティティに関するデータをドメイン コントローラーに照会することもできます。

• 必要に応じて SAM へのリモート呼び出しを構成します。 この手順は省略可能ですが、Defender for Identity を使用して横方向の移動パス検出用に SAM-R へのリモート呼び出しを構成することをお勧めします。

ヒント

既定では、Defender for Identity センサーは、ポート 389 と 3268 で LDAP を使用してディレクトリに対してクエリを実行します。 ポート 636 および 3269 で LDAPS に切り替えるには、サポート ケースを開いてください。 詳細については、「Microsoft Defender for Identity サポート」を参照してください。

重要

AD FS/AD CS サーバーと Entra Connect サーバーに Defender for Identity センサーをインストールするには、追加の手順が必要です。 詳細については、「 AD FS、AD CS、Entra Connect 用のセンサーの構成」を参照してください。

次の手順

Defender for Identity の前提条件 »