Windows イベント ログの監査ポリシーを構成する
検出を強化し、NTLM ログオンやセキュリティ グループの変更などのユーザー アクションに関する詳細情報を収集するために、Microsoft Defender for Identityは Windows イベント ログの特定のエントリに依存しています。 ドメイン コントローラーでの高度な監査ポリシー設定の適切な構成は、イベント ログと不完全な Defender for Identity カバレッジのギャップを回避するために重要です。
この記事では、Defender for Identity センサーに必要に応じて高度な監査ポリシー設定を構成する方法について説明します。 また、特定のイベントの種類に関するその他の構成についても説明します。
Defender for Identity は、検出された場合、これらのシナリオごとに正常性の問題を生成します。 詳細については、「Microsoft Defender for Identity正常性の問題」を参照してください。
前提条件
- Defender for Identity PowerShell コマンドを実行する前に、 Defender for Identity PowerShell モジュールをダウンロードしたことを確認してください。
PowerShell を使用して現在の構成のレポートを生成する
新しいイベント ポリシーと監査ポリシーの作成を開始する前に、次の PowerShell コマンドを実行して、現在のドメイン構成のレポートを生成することをお勧めします。
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
上記のコマンドでは、次の手順を実行します。
-
Pathは、レポートを保存するパスを指定します。 -
Modeは、DomainモードとLocalMachineモードのどちらを使用するかを指定します。Domainモードでは、グループ ポリシー オブジェクト (GPO) から設定が収集されます。LocalMachineモードでは、設定はローカル コンピューターから収集されます。 -
OpenHtmlReportは、レポートの生成後に HTML レポートを開きます。
たとえば、レポートを生成し、既定のブラウザーで開くには、次のコマンドを実行します。
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
詳細については、「 DefenderforIdentity PowerShell リファレンス」を参照してください。
ヒント
Domain モード レポートには、ドメインのグループ ポリシーとして設定された構成のみが含まれます。 ドメイン コントローラーで設定がローカルに定義されている場合は、 Test-MdiReadiness.ps1 スクリプトも実行することをお勧めします。
ドメイン コントローラーの監査を構成する
ユーザー、グループ、コンピューターなど、特定のイベントとイベントの種類に関する高度な監査ポリシー設定と追加の構成を更新します。 ドメイン コントローラーの監査構成は次のとおりです。
- 監査ポリシーの詳細設定
- NTLM 監査
- ドメイン オブジェクトの監査
詳細については、「 高度なセキュリティ監査に関する FAQ」を参照してください。
Defender for Identity で使用しているドメイン コントローラーで監査を構成するには、次の手順に従います。
UI から監査ポリシーの詳細設定を構成する
この手順では、UI を使用して Defender for Identity に必要に応じてドメイン コントローラーの高度な監査ポリシー設定を変更する方法について説明します。
関連する正常性の問題:Directory Services の高度な監査が必要に応じて有効になっていません
監査ポリシーの詳細設定を構成するには:
ドメイン管理者としてサーバーにサインインします。
サーバー マネージャー>Tools>グループ ポリシー Management からグループ ポリシー管理エディターを開きます。
[ ドメイン コントローラー組織単位] を展開し、[ 既定のドメイン コントローラー ポリシー] を右クリックし、[編集] を選択 します。
注:
既定のドメイン コントローラー ポリシーまたは専用 GPO を使用して、これらのポリシーを設定します。
開いたウィンドウで、 コンピューターの構成>Policies>Windows の設定>セキュリティ設定に移動します。 有効にするポリシーに応じて、次の操作を行います。
[高度な監査ポリシーの構成>監査ポリシー] に移動します。
[監査ポリシー] で、次の各ポリシーを編集し、[成功イベントと失敗イベントの両方に対して次の監査イベントを構成する] を選択します。
監査ポリシー 下位カテゴリ イベント ID をトリガーします アカウント ログオン 資格情報の検証の監査 4776 アカウント管理 コンピューター アカウント管理の監査* 4741, 4743 アカウント管理 配布グループの管理の監査* 4753, 4763 アカウント管理 セキュリティ グループ管理の監査* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 アカウント管理 ユーザー アカウント管理の監査 4726 DS Access ディレクトリ サービスの変更の監査* 5136 システム 監査セキュリティ システム拡張機能* 7045 DS Access ディレクトリ サービス アクセスの監査 4662 - このイベントの場合は、 ドメイン オブジェクト監査も構成する必要があります。 注:
* 未確認のサブカテゴリでは、エラー イベントはサポートされていません。 ただし、将来実装される場合に備えて、監査目的で追加することをお勧めします。 詳細については、「 監査コンピューター アカウント管理」、「 監査セキュリティ グループ管理」、および「 監査セキュリティ システム拡張機能」を参照してください。
たとえば、監査セキュリティ グループ管理を構成するには、[アカウント管理] で [監査セキュリティ グループの管理] をダブルクリックし、[成功イベントと失敗イベントの両方に対して次の監査イベントを構成する] を選択します。
![[監査セキュリティ グループの管理プロパティ] ダイアログのスクリーンショット。](../media/advanced-audit-policy-check-step-4.png)
管理者特権のコマンド プロンプトから、「
gpupdate」と入力します。GPO を使用してポリシーを適用した後、新しいイベントが Windows ログ>セキュリティの下のイベント ビューアーに表示されることを確認します。
コマンド ラインから監査ポリシーをテストするには、次のコマンドを実行します。
auditpol.exe /get /category:*
詳細については、 auditpol リファレンス ドキュメントを参照してください。
PowerShell を使用して監査ポリシーの詳細設定を構成する
次のアクションでは、PowerShell を使用して Defender for Identity に必要に応じてドメイン コントローラーの高度な監査ポリシー設定を変更する方法について説明します。
関連する正常性の問題:Directory Services の高度な監査が必要に応じて有効になっていません
設定を構成するには、次のコマンドを実行します。
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
上記のコマンドでは、次の手順を実行します。
-
Modeは、DomainモードとLocalMachineモードのどちらを使用するかを指定します。Domainモードでは、設定はグループ ポリシー オブジェクトから収集されます。LocalMachineモードでは、設定はローカル コンピューターから収集されます。 -
Configurationは、設定する構成を指定します。Allを使用して、すべての構成を設定します。 -
CreateGpoDisabledは、GPO が作成され、無効として保持されるかどうかを指定します。 -
SkipGpoLinkは、GPO リンクが作成されていないことを指定します。 -
Forceは、構成が設定されているか、現在の状態を検証せずに GPO が作成されることを指定します。
監査ポリシーを表示するには、 Get-MDIConfiguration コマンドを使用して現在の値を表示します。
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
上記のコマンドでは、次の手順を実行します。
-
Modeは、DomainモードとLocalMachineモードのどちらを使用するかを指定します。Domainモードでは、設定はグループ ポリシー オブジェクトから収集されます。LocalMachineモードでは、設定はローカル コンピューターから収集されます。 -
Configurationは、取得する構成を指定します。 すべての構成を取得するには、Allを使用します。
監査ポリシーをテストするには、 Test-MDIConfiguration コマンドを使用して、値が正しく構成されているかどうかに関する true または false 応答を取得します。
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
上記のコマンドでは、次の手順を実行します。
-
Modeは、DomainモードとLocalMachineモードのどちらを使用するかを指定します。Domainモードでは、設定はグループ ポリシー オブジェクトから収集されます。LocalMachineモードでは、設定はローカル コンピューターから収集されます。 -
Configurationは、テストする構成を指定します。Allを使用して、すべての構成をテストします。
詳細については、次の DefenderForIdentity PowerShell リファレンスを参照してください。
NTLM 監査を構成する
このセクションでは、Windows イベント 8004 の監査に必要な追加の構成手順について説明します。
注:
- Windows イベント 8004 を収集するドメイン グループ ポリシーは、ドメイン コントローラー にのみ 適用する必要があります。
- Defender for Identity センサーが Windows イベント 8004 を解析すると、Defender for Identity NTLM 認証アクティビティがサーバーアクセスデータでエンリッチされます。
関連する正常性の問題:NTLM 監査が有効になっていません
NTLM 監査を構成するには:
(UI または PowerShell を使用して) 初期の監査ポリシーの詳細設定を構成した後、[グループ ポリシー管理] を開きます。 次に、[ 既定のドメイン コントローラー ポリシー>ローカル ポリシー>セキュリティ オプション] に移動します。
指定したセキュリティ ポリシーを次のように構成します。
セキュリティ ポリシー設定 値 ネットワーク セキュリティ: NTLM を制限する: リモート サーバーへの送信 NTLM トラフィック すべて監査する ネットワーク セキュリティ: NTLM を制限する: このドメインの NTLM 認証を監査する すべて有効にする ネットワーク セキュリティ: NTLM を制限する: 受信 NTLM トラフィックを監査する すべてのアカウントの監査を有効にする
たとえば、 リモート サーバーへの送信 NTLM トラフィックを構成するには 、[セキュリティ オプション] で [ ネットワーク セキュリティ: NTLM を制限する: リモート サーバーへの発信 NTLM トラフィック] をダブルクリックし、[ すべて監査] を選択します。
ドメイン オブジェクトの監査を構成する
イベント 4662 などのオブジェクト変更のイベントを収集するには、ユーザー、グループ、コンピューター、およびその他のオブジェクトに対するオブジェクト監査も構成する必要があります。 次の手順では、Active Directory ドメインで監査を有効にする方法について説明します。
重要
イベント収集を有効にする前に、( UI または PowerShell を介して) ポリシーを確認して監査し、必要なイベントを記録するようにドメイン コントローラーが適切に構成されていることを確認します。 この監査が正しく構成されている場合は、サーバーのパフォーマンスに最小限の影響を与える必要があります。
関連する正常性の問題:Directory Services オブジェクト監査が必要に応じて有効になっていません
ドメイン オブジェクトの監査を構成するには:
Active Directory ユーザーとコンピューター コンソールに移動します。
監査するドメインを選択します。
[ 表示 ] メニューを選択し、[ 高度な機能] を選択します。
ドメインを右クリックし、[プロパティ] を選択 します。
[ セキュリティ ] タブに移動し、[ 詳細設定] を選択します。
[ セキュリティの詳細設定] で、[ 監査 ] タブを選択し、[ 追加] を選択します。
![[セキュリティの詳細設定] ダイアログの [監査] タブのスクリーンショット。](../media/auditing-tab.png)
[ プリンシパルの選択] を選択します。
[ 選択するオブジェクト名を入力します] に「Everyone」と入力 します。 次に、[名前の確認>OK] を選択します。
その後、 監査エントリに戻ります。 次の選択を行います。
[ 種類] で、[成功] を選択 します。
[ 適用先] で、[ 子孫ユーザー オブジェクト] を選択します。
[ アクセス許可] で下にスクロールし、[ すべてクリア ] ボタンを選択します。
上にスクロールし、[ フル コントロール] を選択します。 すべてのアクセス許可が選択されます。
[リストの内容]、[すべてのプロパティの読み取り]、[読み取りアクセス許可] の各アクセス許可の選択を解除し、[OK] を選択します。 この手順では、すべての [プロパティ ] 設定を [書き込み] に設定します。
これで、ディレクトリ サービスに関連するすべての変更は、トリガーされると 4662 イベントとして表示されます。
この手順の手順を繰り返しますが、[ 適用先] で次のオブジェクトの種類を選択します。
- 子孫グループ オブジェクト
- 子孫コンピューター オブジェクト
- 子孫 msDS-GroupManagedServiceAccount オブジェクト
- 子孫 msDS-ManagedServiceAccount オブジェクト
注:
すべての子孫オブジェクトに対する監査権限の割り当ても機能しますが、最後の手順で詳しく説明したオブジェクトの種類のみが必要です。
AD FS で監査を構成する
関連する正常性の問題:AD FS コンテナーの監査が必要に応じて有効になっていません
Active Directory フェデレーション サービス (AD FS) (AD FS) で監査を構成するには:
Active Directory ユーザーとコンピューター コンソールに移動し、ログを有効にするドメインを選択します。
[プログラム データ>Microsoft>ADFS] に移動します。
ADFS を右クリックし、[プロパティ] を選択します。
[セキュリティ] タブに移動し、[詳細設定] > [Advanced Security Settings]\(セキュリティ設定\) を選択します。 次に、[監査] タブに移動し、[追加] を選択>プリンシパルを選択します。
[ 選択するオブジェクト名を入力します] に「Everyone」と入力 します。 次に、[名前の確認>OK] を選択します。
その後、 監査エントリに戻ります。 次の選択を行います。
- [ 種類] で、[すべて] を選択 します。
- [ 適用対象] で、 このオブジェクトとすべての子孫オブジェクトを選択します。
- [ アクセス許可] で下にスクロールし、[ すべてクリア] を選択します。 上にスクロールし、[ すべてのプロパティの読み取り ] と [ すべてのプロパティの書き込み] を選択します。
[OK] を選択します。
AD FS イベントの詳細ログを構成する
AD FS サーバーで実行されているセンサーは、関連するイベントの監査レベルを Verbose に設定する必要があります。 たとえば、次のコマンドを使用して、監査レベルを Verbose に構成します。
Set-AdfsProperties -AuditLevel Verbose
AD CS で監査を構成する
Active Directory Certificate Services (AD CS) が構成されている専用サーバーを使用している場合は、専用アラートとセキュリティ スコア レポートを表示するために、次のように監査を構成します。
AD CS サーバーに適用するグループ ポリシーを作成します。 編集し、次の監査設定を構成します。
[コンピューターの構成]\[ポリシー]\[Windows 設定]\[セキュリティ設定]\[詳細な監査ポリシーの構成]\[監査ポリシー]\[オブジェクト アクセス]\[監査認定サービス] の順に移動します。
チェック ボックスをオンにして 、成功 と失敗の監査イベントを構成 します。
次のいずれかの方法を使用して、証明機関 (CA) の監査を構成します。
コマンド ラインを使用して CA 監査を構成するには、次を実行します。
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvcGUI を使用して CA 監査を構成するには:
[ Start>Certification Authority (MMC Desktop application)] を選択します。 CA の名前を右クリックし、[プロパティ] を選択 します。
![[証明機関] ダイアログのスクリーンショット。](../media/configure-windows-event-collection/certification-authority.png)
[監査] タブ を 選択し、監査するすべてのイベントを選択し、[ 適用] を選択します。
![証明機関のプロパティの [監査] タブのスクリーンショット。](../media/configure-windows-event-collection/auditing.png)
注:
Active Directory Certificate Services イベント監査の開始と停止を構成すると、大規模な AD CS データベースを処理するときに再起動の遅延が発生する可能性があります。 データベースから無関係なエントリを削除することを検討してください。 または、この特定の種類のイベントを有効にしないようにします。
Microsoft Entra Connect で監査を構成する
Microsoft Entra Connect サーバーで監査を構成するには:
Microsoft Entra Connect サーバーに適用するグループ ポリシーを作成します。 編集し、次の監査設定を構成します。
[コンピューターの構成]\[ポリシー]\[Windows 設定]\[セキュリティ設定]\[詳細な監査ポリシーの構成]\[監査ポリシー]\[ログオン/ログオフ]\[監査ログオン] の順に移動します。
チェック ボックスをオンにして 、成功 と失敗の監査イベントを構成 します。
構成コンテナーで監査を構成する
注:
構成コンテナー監査は、現在または以前に Microsoft Exchange が存在していた環境に対してのみ再要求されます。これらの環境には、ドメインの [構成] セクション内に Exchange コンテナーが配置されているためです。
関連する正常性の問題:構成コンテナーの監査が必要に応じて有効になっていません
ADSI 編集ツールを開きます。 [ Start>Run] を選択し、「
ADSIEdit.msc」と入力し、[ OK] を選択します。[ アクション ] メニューの [ 接続先] を選択します。
[ 接続設定] ダイアログの [ 既知の名前付けコンテキストの選択] で、[ 構成>OK] を選択します。
[構成] コンテナーを展開して、"CN=Configuration,DC=.." で始まる [構成] ノードを表示します。
[構成] ノードを右クリックし、[プロパティ] を選択します。
![[構成] ノードのプロパティを開く選択のスクリーンショット。](../media/configuration-properties.png)
[ セキュリティ ] タブを選択し、[ 詳細設定] を選択します。
[ セキュリティの詳細設定] で、[ 監査 ] タブを選択し、[ 追加] を選択します。
[ プリンシパルの選択] を選択します。
[ 選択するオブジェクト名を入力します] に「Everyone」と入力 します。 次に、[名前の確認>OK] を選択します。
その後、 監査エントリに戻ります。 次の選択を行います。
- [ 種類] で、[すべて] を選択 します。
- [ 適用対象] で、 このオブジェクトとすべての子孫オブジェクトを選択します。
- [ アクセス許可] で下にスクロールし、[ すべてクリア] を選択します。 上にスクロールし、[ すべてのプロパティを書き込む] を選択します。
[OK] を選択します。
レガシ構成を更新する
Defender for Identity では、1644 イベントのログ記録が不要になります。 次のいずれかの設定を有効にしている場合は、レジストリから削除できます。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
関連コンテンツ
詳細については、以下を参照してください: