ドメイン コントローラーでMicrosoft Defender for Identity機能を直接アクティブ化する

既にドメイン コントローラーを Defender for Endpoint にオンボードしているMicrosoft Defender for Endpoint顧客は、Microsoft Defender for Identityを使用するのではなく、ドメイン コントローラーで直接Microsoft Defender for Identity機能をアクティブ化できます。クラシック センサー。

この記事では、ドメイン コントローラーでMicrosoft Defender for Identity機能をアクティブ化してテストする方法について説明します。

重要

新しい Defender for Identity センサー (バージョン 3.x) は、Windows Server 2019 以降を実行している新しいドメイン コントローラーにコア ID 保護を展開する場合に推奨されます。 その他のすべての ID インフラストラクチャ、または現在Microsoft Defender for Identityから利用できる最も堅牢な ID 保護をデプロイしようとしているお客様には、クラシック センサーをここにデプロイすることをお勧めします。

前提条件

ドメイン コントローラーで Defender for Identity 機能をアクティブ化する前に、環境がこのセクションの前提条件に準拠していることを確認してください。

Defender for Identity センサーの競合

この記事で説明する構成では、既存の Defender for Identity センサーを使用したサイド バイ サイド インストールはサポートされていないため、Defender for Identity クラシック センサーの代替として推奨されません。

Defender for Identity 機能をアクティブ化する予定のドメイン コントローラーに、 Defender for Identity センサー がデプロイされていないことを確認します。

システム要件

Direct Defender for Identity 機能は、次のいずれかのオペレーティング システムを使用して、ドメイン コントローラーでのみサポートされます。

• Windows Server 2019 以上
• 2024 年 3 月の累積的な更新プログラム 以降

重要

2024 年 3 月の累積的な更新プログラムをインストールした後、LSASS では、オンプレミスおよびクラウドベースの Active Directory ドメイン Controllers サービス Kerberos 認証要求時に、ドメイン コントローラーでメモリ リークが発生する可能性があります。

この問題は、帯域外更新 プログラムのKB5037422で解決されます。

Defender for Endpoint のオンボード

ドメイン コントローラーをMicrosoft Defender for Endpointにオンボードする必要があります。

詳細については、「 Windows サーバーのオンボード」を参照してください。

アクセス許可の要件

Defender for Identity Activation ページにアクセスするには、 セキュリティ管理者であるか、次の統合 RBAC アクセス許可を持っている必要があります。

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

詳細については、以下を参照してください:

• 統一されたロールベースのアクセス制御 RBAC
• ロールとアクセス許可にアクセスして管理するロールを作成する

接続要件

ドメイン コントローラー上の Defender for Identity 機能では、簡略化された URL など、通信に Defender for Endpoint URL エンドポイントが使用されます。

詳細については、「 Defender for Endpoint との接続を確保するためにネットワーク環境を構成する」を参照してください。

Windows 監査を構成する

Defender for Identity 検出は、検出を強化し、NTLM サインインやセキュリティ グループの変更など、特定のアクションを実行しているユーザーに関する追加情報を提供するために、特定の Windows イベント ログ エントリに依存します。

Defender for Identity detections をサポートするように、ドメイン コントローラーで Windows イベント コレクションを構成します。 詳細については、「Microsoft Defender for Identityを使用したイベント収集」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。

Defender for Identity PowerShell モジュールを使用して、必要な設定を構成することもできます。 詳細については、以下を参照してください:

• DefenderForIdentity モジュール
• PowerShell ギャラリーの Defender for Identity

たとえば、次のコマンドは、ドメインのすべての設定を定義し、グループ ポリシー オブジェクトを作成してリンクします。

Set-MDIConfiguration -Mode Domain -Configuration All

Defender for Identity 機能をアクティブ化する

環境が完全に構成されていることを確認したら、ドメイン コントローラーでMicrosoft Defender for Identity機能をアクティブ化します。

Microsoft Defender ポータルから Defender for Identity をアクティブにします。

1. [System>Settings>Identities>Activation] に移動します。

   [ライセンス認証] ページには、デバイス インベントリで検出され、適格なドメイン コントローラーとして識別されたサーバーが一覧表示されます。

2. Defender for Identity 機能をアクティブ化するドメイン コントローラーを選択し、[ アクティブ化] を選択します。 プロンプトが表示されたら、選択内容を確認します。

   

   注:

   対象となるドメイン コントローラーを自動的にアクティブ化するか、検出されるとすぐに Defender for Identity によってアクティブ化されるか、または対象サーバーの一覧から特定のドメイン コントローラーを選択する手動でアクティブ化するかを選択できます。

3. アクティブ化が完了すると、緑色の成功バナーが表示されます。 バナーで、[ここをクリック] を選択してオンボードされたサーバーを表示し、[設定] > [ID] > [センサー] ページに移動します。ここで、センサーの正常性をチェックできます。

   

オンボードの確認

センサーがオンボードされていることを確認するには:

1. [System>Settings>Identities>Sensors] に移動します。

2. オンボードされたドメイン コントローラーが一覧表示されていることを確認します。

注:

アクティブ化には再起動/再起動は必要ありません。 ドメイン コントローラーで Defender for Identity 機能を初めてアクティブ化するときに、最初のセンサーが [センサー] ページに [実行中] と表示されるまでに最大で 1 時間かかる場合があります。 その後のアクティブ化は 5 分以内に表示されます。

アクティブ化された機能をテストする

ドメイン コントローラーで Defender for Identity 機能を初めてアクティブ化するときに、最初のセンサーが [センサー] ページに [実行中] と表示されるまでに最大で 1 時間かかる場合があります。 その後のアクティブ化は 5 分以内に表示されます。

ドメイン コントローラーの Defender for Identity 機能では、現在、次の Defender for Identity 機能がサポートされています。

• ITDR ダッシュボード、ID インベントリ、ID高度なハンティング データの調査機能
• 指定されたセキュリティ体制に関する推奨事項
• 指定されたアラート検出
• 修復アクション
• 自動攻撃の中断

ドメイン コントローラーで Defender for Identity 機能の環境をテストするには、次の手順に従います。

ITDR ダッシュボードを確認する

Defender ポータルで [ID>Dashboard] を選択し、表示されている詳細を確認して、環境からの期待される結果を確認します。

詳細については、「 Defender for Identity の ITDR ダッシュボードを操作する」を参照してください。

エンティティ ページの詳細を確認する

ドメイン コントローラー、ユーザー、グループなどのエンティティが想定どおりに設定されていることを確認します。

Defender ポータルで、次の詳細をチェックします。

• デバイス エンティティ: [ 資産] > [デバイス] を選択し、新しいセンサーのマシンを選択します。 Defender for Identity イベントは、デバイス タイムラインに表示されます。

• ユーザー エンティティ: 新しくオンボードされたドメインのユーザー> [Assets Users and チェック] を選択します。 または、[グローバル検索] オプションを使用して特定のユーザーを検索します。 ユーザーの詳細ページには、[概要]、[organizationで観察]、[タイムライン] のデータが含まれている必要があります。

• グループ エンティティ: グローバル検索を使用してユーザー グループを検索するか、グループの詳細が表示されるユーザーまたはデバイスの詳細ページからピボットします。 グループ メンバーシップの詳細、グループ ユーザーの表示、およびグループ タイムライン データの詳細を確認します。

  グループ タイムラインでイベント データが見つからない場合は、手動で作成する必要がある場合があります。 たとえば、Active Directory のグループにユーザーを追加して削除します。

詳細については、「 資産の調査」を参照してください。

高度なハンティング テーブルをテストする

Defender ポータルの [高度なハンティング] ページで、次のサンプル クエリを使用して、環境に合わせて関連するテーブルにデータが表示されることをチェックします。

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

詳細については、Microsoft Defender ポータルでの高度なハンティングに関するページを参照してください。

ID セキュリティ体制管理 (ISPM) の推奨事項をテストする

テスト環境で危険な動作をシミュレートして、サポートされている評価をトリガーし、期待どおりに表示されることを確認することをお勧めします。 例:

1. Active Directory 構成を非準拠状態に設定し、それを準拠状態に戻すことで、新しいセキュリティで 保護されていないドメイン 構成の解決に関する推奨事項をトリガーします。 たとえば、次のコマンドを実行します。

   非準拠状態を設定するには

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   準拠状態に戻すには:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   ローカル構成をチェックするには:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Microsoft Secure Score で、[推奨されるアクション] を選択して、新しい [セキュリティで保護されていないドメイン構成の解決] の推奨事項をチェックします。 Defender for Identity 製品で推奨事項をフィルター処理することもできます。

詳細については、「Microsoft Defender for Identityのセキュリティ体制評価」を参照してください。

アラート機能をテストする

テスト環境で危険なアクティビティをシミュレートして、アラート機能をテストします。 例:

• アカウントに honeytoken アカウントとしてタグを付け、アクティブ化されたドメイン コントローラーに対して honeytoken アカウントにサインインしてみてください。
• ドメイン コントローラーに不審なサービスを作成します。
• ワークステーションからサインインした管理者として、ドメイン コントローラーでリモート コマンドを実行します。

詳細については、「Microsoft Defender XDRでの Defender for Identity セキュリティ アラートの調査」を参照してください。

修復アクションをテストする

テスト ユーザーに対する修復アクションをテストします。 例:

1. Defender ポータルで、テスト ユーザーのユーザーの詳細ページに移動します。

2. [オプション] メニューから、使用可能な修復アクションのいずれかを選択します。

3. Active Directory で期待されるアクティビティを確認します。

詳細については、「Microsoft Defender for Identityの修復アクション」を参照してください。

ドメイン コントローラーで Defender for Identity 機能を非アクティブ化する

ドメイン コントローラーで Defender for Identity 機能を非アクティブ化する場合は、[ センサー ] ページから削除します。

1. Defender ポータルで、[設定>Identities>Sensors] を選択します。

2. Defender for Identity 機能を非アクティブ化するドメイン コントローラーを選択し、[ 削除] を選択し、選択内容を確認します。

   

ドメイン コントローラーから Defender for Identity 機能を非アクティブ化しても、Defender for Endpoint からドメイン コントローラーは削除されません。 詳細については、 Defender for Endpoint のドキュメントを参照してください。

次の手順

詳細については、「Microsoft Defender for Identity センサーの管理と更新」を参照してください。