ドメイン コントローラーでMicrosoft Defender for Identity機能を直接アクティブ化する

ドメイン コントローラーを Defender for Endpoint に既にオンボードしているMicrosoft Defender for Endpoint顧客は、Microsoft Defender for Identityを使用するのではなく、ドメイン コントローラーで直接Microsoft Defender for Identity機能をアクティブ化できます。センサー。

この記事では、ドメイン コントローラーでMicrosoft Defender for Identity機能をアクティブ化してテストする方法について説明します。

重要

この記事の情報は、現在、一連のユース ケースに対して制限されている機能に関連しています。 Defender for Identity Activation ページを使用するように指示されていない場合は、代わりに メイン デプロイ ガイドを使用してください。

前提条件

ドメイン コントローラーで Defender for Identity 機能をアクティブ化する前に、環境がこのセクションの前提条件に準拠していることを確認してください。

Defender for Identity センサーの競合

この記事で説明する構成では、既存の Defender for Identity センサーを使用したサイド バイ サイド インストールはサポートされていないため、Defender for Identity センサーの代替として推奨されません。

Defender for Identity 機能をアクティブ化する予定のドメイン コントローラーに、 Defender for Identity センサー がデプロイされていないことを確認します。

システム要件

Direct Defender for Identity 機能は、次のいずれかのオペレーティング システムを使用して、ドメイン コントローラーでのみサポートされます。

• Windows Server 2019
• Windows Server 2022

また、 2024 年 3 月の累積的な更新プログラム もインストールされている必要があります。

重要

2024 年 3 月の累積的な更新プログラムをインストールした後、LSASS では、オンプレミスおよびクラウドベースの Active Directory ドメイン Controllers サービス Kerberos 認証要求時に、ドメイン コントローラーでメモリ リークが発生する可能性があります。

この問題は、帯域外更新 プログラムのKB5037422で解決されます。

Defender for Endpoint のオンボード

ドメイン コントローラーをMicrosoft Defender for Endpointにオンボードする必要があります。

詳細については、「 Windows サーバーのオンボード」を参照してください。

必要なアクセス許可

Defender for Identity Activation ページにアクセスするには、 セキュリティ管理者であるか、次の統合 RBAC アクセス許可を持っている必要があります。

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

詳細については、以下を参照してください:

• 統一されたロールベースのアクセス制御 RBAC
• ロールとアクセス許可にアクセスして管理するロールを作成する

接続要件

ドメイン コントローラー上の Defender for Identity 機能では、簡略化された URL など、通信に Defender for Endpoint URL エンドポイントが使用されます。

詳細については、「 Defender for Endpoint との接続を確保するためにネットワーク環境を構成する」を参照してください。

Windows 監査を構成する

Defender for Identity 検出は、検出を強化し、NTLM サインインやセキュリティ グループの変更など、特定のアクションを実行しているユーザーに関する追加情報を提供するために、特定の Windows イベント ログ エントリに依存します。

Defender for Identity detections をサポートするように、ドメイン コントローラーで Windows イベント コレクションを構成します。 詳細については、「Microsoft Defender for Identityを使用したイベント収集」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。

Defender for Identity PowerShell モジュールを使用して、必要な設定を構成することもできます。 詳細については、以下を参照してください:

• DefenderForIdentity モジュール
• PowerShell ギャラリーの Defender for Identity

たとえば、次のコマンドは、ドメインのすべての設定を定義し、グループ ポリシー オブジェクトを作成してリンクします。

Set-MDIConfiguration -Mode Domain -Configuration All

Defender for Identity 機能をアクティブ化する

環境が完全に構成されていることを確認したら、ドメイン コントローラーでMicrosoft Defender for Identity機能をアクティブ化します。

1. Defender ポータルで、[設定] > [ID] >[Activation] を選択します。

   [ アクティブ化] ページには、検出されたドメイン コントローラーと適格なドメイン コントローラーが一覧表示されます。

2. Defender for Identity 機能をアクティブ化するドメイン コントローラーを選択し、[ アクティブ化] を選択します。 プロンプトが表示されたら、選択内容を確認します。

アクティブ化が完了すると、緑色の成功バナーが表示されます。 バナーで、[ここをクリック] を選択してオンボードされたサーバーを表示し、[設定] > [ID] > [センサー] ページに移動します。ここで、センサーの正常性をチェックできます。

アクティブ化された機能をテストする

ドメイン コントローラーで Defender for Identity 機能を初めてアクティブ化するときに、最初のセンサーが [センサー] ページに [実行中] と表示されるまでに最大で 1 時間かかる場合があります。 その後のアクティブ化は 5 分以内に表示されます。

ドメイン コントローラーの Defender for Identity 機能では、現在、次の Defender for Identity 機能がサポートされています。

• ITDR ダッシュボード、ID インベントリ、ID高度なハンティング データの調査機能
• 指定されたセキュリティ体制に関する推奨事項
• 指定されたアラート検出
• 修復アクション
• 自動攻撃の中断

ドメイン コントローラーで Defender for Identity 機能の環境をテストするには、次の手順に従います。

ITDR ダッシュボードを確認する

Defender ポータルで、[ ID > ダッシュボード] を 選択し、表示されている詳細を確認して、環境からの期待される結果を確認します。

詳細については、「 Defender for Identity の ITDR ダッシュボードを操作する (プレビュー)」を参照してください。

エンティティ ページの詳細を確認する

ドメイン コントローラー、ユーザー、グループなどのエンティティが想定どおりに設定されていることを確認します。

Defender ポータルで、次の詳細をチェックします。

• デバイス エンティティ: [ 資産] > [デバイス] を選択し、新しいセンサーのマシンを選択します。 Defender for Identity イベントは、デバイス タイムラインに表示されます。

• ユーザー エンティティ。 [アセット] > [ユーザー] を選択し、新しくオンボードされたドメインのユーザーに対して [チェック] を選択します。 または、[グローバル検索] オプションを使用して特定のユーザーを検索します。 ユーザーの詳細ページには、[概要]、[organizationで観察]、[タイムライン] のデータが含まれている必要があります。

• グループ エンティティ: グローバル検索を使用してユーザー グループを検索するか、グループの詳細が表示されるユーザーまたはデバイスの詳細ページからピボットします。 グループ メンバーシップの詳細、グループ ユーザーの表示、およびグループ タイムライン データの詳細を確認します。

  グループ タイムラインでイベント データが見つからない場合は、手動で作成する必要がある場合があります。 たとえば、Active Directory のグループにユーザーを追加して削除します。

詳細については、「 資産の調査」を参照してください。

高度なハンティング テーブルをテストする

Defender ポータルの [高度なハンティング] ページで、次のサンプル クエリを使用して、環境に合わせて関連するテーブルにデータが表示されることをチェックします。

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

詳細については、Microsoft Defender ポータルでの高度なハンティングに関するページを参照してください。

ID セキュリティ体制管理 (ISPM) の推奨事項をテストする

ドメイン コントローラーの Defender for Identity 機能では、次の ISPM 評価がサポートされています。

• すべてのドメイン コントローラーに Defender for Identity Sensor をインストールする
• Microsoft LAPS の使用状況
• セキュリティで保護されていないドメイン構成を解決する
• honeytoken アカウントを設定する
• セキュリティで保護されていないアカウント属性
• セキュリティで保護されていない SID 履歴属性

テスト環境で危険な動作をシミュレートして、サポートされている評価をトリガーし、期待どおりに表示されることを確認することをお勧めします。 以下に例を示します。

1. Active Directory 構成を非準拠状態に設定し、それを準拠状態に戻すことで、新しいセキュリティで 保護されていないドメイン 構成の解決に関する推奨事項をトリガーします。 たとえば、次のコマンドを実行します。

   非準拠状態を設定するには

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   準拠状態に戻すには:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   ローカル構成をチェックするには:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Microsoft Secure Score で、[推奨されるアクション] を選択して、新しい [セキュリティで保護されていないドメイン構成の解決] の推奨事項をチェックします。 Defender for Identity 製品で推奨事項をフィルター処理することもできます。

詳細については、「Microsoft Defender for Identityのセキュリティ体制評価」を参照してください。

アラート機能をテストする

ドメイン コントローラーの Defender for Identity 機能では、次のアラートがサポートされています。

• アカウント列挙偵察
• LDAP を使用した Active Directory 属性の偵察
• Exchange Serverリモート コード実行 (CVE-2021-26855)
• Honeytoken ユーザー属性の変更
• Honeytoken が LDAP 経由でクエリされました
• Honeytoken 認証アクティビティ
• Honeytoken グループのメンバーシップが変更されました
• リモート コード実行の試行
• セキュリティ プリンシパル偵察 (LDAP)
• 疑わしいサービスの作成
• NTLM リレー攻撃の疑い (Exchange アカウント)

• マシン アカウントによるリソース ベースの制約付き委任属性の疑わしい変更
• 機密性の高いグループへの疑わしい追加
• dNSHostName 属性の疑わしい変更 (CVE-2022-26923)
• sAMNameAccount 属性の疑わしい変更 (CVE-2021-42278 および CVE-2021-42287)
• DCShadow 攻撃の疑い (ドメイン コントローラーの昇格)
• 分散ファイル システム プロトコルを使用した DFSCoerce 攻撃の疑い 
• DCShadow 攻撃の疑い (ドメイン コントローラーレプリケーション要求)
• シャドウ資格情報を使用したアカウント引き継ぎの疑い
• SID-History インジェクションの疑い
• AD FS DKM キーの読み取りが疑われる

テスト環境で危険なアクティビティをシミュレートして、アラート機能をテストします。 以下に例を示します。

• アカウントに honeytoken アカウントとしてタグを付け、アクティブ化されたドメイン コントローラーに対して honeytoken アカウントにサインインしてみてください。
• ドメイン コントローラーに不審なサービスを作成します。
• ワークステーションからサインインした管理者として、ドメイン コントローラーでリモート コマンドを実行します。

詳細については、「Microsoft Defender XDRでの Defender for Identity セキュリティ アラートの調査」を参照してください。

修復アクションをテストする

テスト ユーザーに対する修復アクションをテストします。 以下に例を示します。

1. Defender ポータルで、テスト ユーザーのユーザーの詳細ページに移動します。

2. オプション メニューから、次のいずれかまたはすべてを一度に 1 つずつ選択します。

   • AD でユーザーを無効にする
   • AD でユーザーを有効にする
   • パスワードのリセットを強制する

3. Active Directory で期待されるアクティビティを確認します。

注:

現在のバージョンでは、ユーザー アカウント制御 (UAC) フラグが正しく収集されません。 そのため、無効なユーザーはポータルに [有効] と表示されます。

詳細については、「Microsoft Defender for Identityの修復アクション」を参照してください。

ドメイン コントローラーで Defender for Identity 機能を非アクティブ化する

ドメイン コントローラーで Defender for Identity 機能を非アクティブ化する場合は、[ センサー ] ページから削除します。

1. Defender ポータルで、[ 設定] > [ID] > [センサー] を選択します。
2. Defender for Identity 機能を非アクティブ化するドメイン コントローラーを選択し、[ 削除] を選択し、選択内容を確認します。

ドメイン コントローラーから Defender for Identity 機能を非アクティブ化しても、Defender for Endpoint からドメイン コントローラーは削除されません。 詳細については、 Defender for Endpoint のドキュメントを参照してください。

次の手順

詳細については、「Microsoft Defender for Identity センサーの管理と更新」を参照してください。