Microsoft Defender for Identity センサーの設定を構成する
この記事では、Microsoft Defender for Identity センサー設定を正しく構成してデータの表示を開始する方法について説明します。 Defender for Identity の完全な機能を利用するには、追加の構成と統合を行う必要があります。
センサー設定の表示と構成
Defender for Identity センサーがインストールされたら、次の操作を行って Defender for Identity センサーの設定を表示して構成します。
Microsoft Defender XDRで、[設定>Identities>Sensors] に移動します。 以下に例を示します。
[ センサー] ページには、すべての Defender for Identity センサーが表示され、センサーごとに次の詳細が一覧表示されます。
- センサー名
- センサー ドメイン メンバーシップ
- センサーのバージョン番号
- 更新を遅延させる必要があるかどうか
- センサー サービスの状態
- センサーの状態
- センサーの正常性状態
- 正常性に関する問題の数
- センサーが作成されたとき
詳細については、「センサーの 詳細」を参照してください。
[ フィルター] を 選択して、表示するフィルターを選択します。 以下に例を示します。
表示されるフィルターを使用して、表示するセンサーを決定します。 以下に例を示します。
センサーを選択すると、センサーとその正常性状態に関する詳細情報が表示された詳細ウィンドウが表示されます。 以下に例を示します。
下にスクロールして [ センサーの管理 ] を選択すると、センサーの詳細を構成できるウィンドウが表示されます。 以下に例を示します。
次のセンサーの詳細を構成します。
名前 説明 説明 省略可能。 Defender for Identity センサーの説明を入力します。 ドメイン コントローラー (FQDN) AD FS/AD CS サーバーにインストールされている Defender for Identity スタンドアロン センサーとセンサーに必要であり、Defender for Identity センサーに対して変更することはできません。
ドメイン コントローラーの完全な FQDN を入力し、プラス記号を選択して一覧に追加します。 たとえば、 DC1.domain1.test.local です。
[ドメイン コントローラー] ボックスの一覧で定義するサーバーの場合:
- Defender for Identity スタンドアロン センサーによってポート ミラーリングを介してトラフィックが監視されているすべてのドメイン コントローラーは、ドメイン コントローラー の一覧に一覧表示する必要があります。 ドメイン コントローラーの一覧にドメイン コントローラー が一覧表示されていない場合は、疑わしいアクティビティの検出が期待どおりに機能しない可能性があります。
- リスト内の少なくとも 1 つのドメイン コントローラーがグローバル カタログである必要があります。 これにより、Defender for Identity は、フォレスト内の他のドメイン内のコンピューター オブジェクトとユーザー オブジェクトを解決できます。ネットワーク アダプターのキャプチャ 必須です。
- Defender for Identity センサーの場合、organization内の他のコンピューターとの通信に使用されるすべてのネットワーク アダプター。
- 専用サーバー上の Defender for Identity スタンドアロン センサーの場合は、宛先ミラーポートとして構成されているネットワーク アダプターを選択します。 これらのネットワークアダプターは、ミラー化されたドメインコントローラーのトラフィックを受信します。[ センサー ] ページで、[ エクスポート] を選択して、センサーの一覧を .csvファイルに エクスポートします。 以下に例を示します。
インストールの検証
Defender for Identity センサーのインストールを検証するには、次の手順に従います。
注:
AD FS または AD CS サーバーにインストールする場合は、別の検証セットを使用します。 詳細については、「 AD FS/AD CS サーバーでのデプロイの成功を検証する」を参照してください。
デプロイの成功を検証する
Defender for Identity センサーが正常にデプロイされたことを検証するには、次の手順を実行します。
Azure Advanced Threat Protection センサー サービスがセンサー マシンで実行されていることを確認します。 Defender for Identity センサーの設定を保存した後、サービスが開始されるまでに数秒かかる場合があります。
サービスが開始されない場合は、既定で
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
にある Microsoft.Tri.sensor-Errors.log ファイルを確認します。ここで、<sensor version>
はデプロイしたバージョンです。
セキュリティ アラート機能を確認する
このセクションでは、セキュリティ アラートが想定どおりにトリガーされていることを確認する方法について説明します。
次の手順の例を使用する場合は、 contosodc.contoso.azure
と contoso.azure
をそれぞれ Defender for Identity センサーの FQDN とドメイン名に置き換えてください。
メンバー参加済みデバイスで、コマンド プロンプトを開き、「
nslookup
「
server
」と入力し、Defender for Identity センサーがインストールされているドメイン コントローラーの FQDN または IP アドレスを入力します。 例:server contosodc.contoso.azure
ls -d contoso.azure
を入力するテストするセンサーごとに、前の 2 つの手順を繰り返します。
[デバイス] ページから、デバイス名を検索するか、Defender ポータルの他の場所からなど、接続テストを実行したコンピューターのデバイスの 詳細ページに アクセスします。
[デバイスの詳細] タブで、[ タイムライン ] タブを選択して、次のアクティビティを表示します。
- イベント: 指定したドメイン名に対して実行される DNS クエリ
- アクションの種類 MdiDnsQuery
テストするドメイン コントローラーまたは AD FS/AD CS が最初にデプロイしたセンサーである場合は、少なくとも 15 分待ってから、そのドメイン コントローラーの論理アクティビティを確認し、データベース バックエンドが初期マイクロサービスのデプロイを完了できるようにします。
利用可能な最新のセンサー バージョンを確認する
Defender for Identity バージョンは頻繁に更新されます。 [Microsoft Defender XDRの設定>Identities>About] ページで最新バージョンを確認します。
関連コンテンツ
最初の構成手順を構成したので、より多くの設定を構成できます。 詳細については、以下のいずれかのページを参照してください。