Microsoft Defender for Identity スタンドアロン センサーの前提条件
この記事では、Microsoft Defender for Identity スタンドアロン センサーをデプロイするための前提条件を示します。これは、メイン展開の前提条件とは異なります。
詳細については、「Microsoft Defender for Identity デプロイの容量を計画する」を参照してください。
重要
Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。
スタンドアロン センサーの追加のシステム要件
スタンドアロン センサーは、Defender for Identity センサーの前提条件とは次のように異なります。
スタンドアロン センサーには、少なくとも 5 GB のディスク領域が必要です
スタンドアロン センサーは、ワークグループ内のサーバーにもインストールできます。
スタンドアロン センサーでは、ドメイン コントローラーが送受信するネットワーク トラフィック量に応じて、複数のドメイン コントローラーの監視がサポートされます。
複数のフォレストを使用している場合、スタンドアロン センサー マシンは、LDAP を使用して、すべてのリモート フォレスト ドメイン コントローラーと通信できるようにする必要があります。
Defender for Identity スタンドアロン センサーでの仮想マシンの使用については、「ポート ミラーリングの構成」を参照してください。
スタンドアロン センサー用のネットワーク アダプター
スタンドアロン センサーには、次のネットワーク アダプターがそれぞれ少なくとも 1 つ必要です。
管理アダプター - 企業ネットワーク上の通信に使用されます。 センサーは、このアダプターを使用して、保護とマシン アカウントへの解決の対象となる DC にクエリを行います。
デフォルト ゲートウェイ、優先 DNS サーバー、代替 DNS サーバーなど、静的 IP アドレスで管理アダプターを構成します。
この接続の DNS サフィックスは、監視対象のドメインごとにドメインの DNS 名にする必要があります。
Note
Defender for Identity スタンドアロン センサーがドメインのメンバーである場合、この構成を自動的に行うことができます。
キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックをキャプチャするために使用されます。
重要
- キャプチャ アダプターのポート ミラーリングをドメイン コントローラー ネットワーク トラフィックの宛先として構成します。 通常、ポート ミラーリングを構成するには、ネットワーク チームまたは仮想化チームと協力する必要があります。
- 既定のセンサー ゲートウェイも DNS サーバー アドレスも使用しない環境用に、ルーティング不可能な静的 IP アドレスを構成します (/32 マスクを使用)。 例: 10.10.0.10/32。 この構成により、ネットワーク キャプチャ アダプターがトラフィックの最大量をキャプチャできるとともに、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックを送受信できるようになります。
Note
Defender for Identity スタンドアロン センサーで Wireshark を実行している場合は、Wireshark のキャプチャを停止した後で Defender for Identity センサー サービスを再起動します。 センサー サービスを再起動しない場合、センサーはトラフィックのキャプチャを停止します。
NIC チーミング アダプターが構成されたマシンに Defender for Identity センサーをインストールしようとすると、インストール エラーが表示されます。 NIC チーミングが構成されたマシンに Defender for Identity センサーをインストールする場合は、「Defender for Identity センサーの NIC チーミングの問題」を参照してください。
スタンドアロン センサーのポート
次の表では、Defender for Identity センサーのポートに加えて、Defender for Identity スタンドアロン センサーが管理アダプターに構成する必要がある追加のポートの一覧を示します。
| Protocol | トランスポート | ポート | ソース | ターゲット |
|---|---|---|---|---|
| 内部ポート | ||||
| LDAP | TCP と UDP | 389 | Defender for Identity センサー | ドメイン コントローラー |
| Secure LDAP (LDAPS) | TCP | 636 | Defender for Identity センサー | ドメイン コントローラー |
| LDAP からグローバル カタログ | TCP | 3268 | Defender for Identity センサー | ドメイン コントローラー |
| LDAPS からグローバル カタログ | TCP | 3269 | Defender for Identity センサー | ドメイン コントローラー |
| Kerberos | TCP と UDP | 88 | Defender for Identity センサー | ドメイン コントローラー |
| Windows タイム | UDP | 123 | Defender for Identity センサー | ドメイン コントローラー |
| Syslog (オプション) | TCP/UDP | 514 (構成による) | SIEM Server | Defender for Identity センサー |
Windows イベント ログの要件
Defender for Identity の検出は、センサーによってドメイン コントローラーから解析される、特定の Windows イベント ログに依存しています。 正しいイベントを監査して Windows イベント ログに含めるために、ドメイン コントローラーには正確かつ高度な Windows 監査ポリシー設定が必要です。
詳細については、Windows ドキュメントの「高度な監査ポリシーのチェック」と「高度なセキュリティ監査ポリシー」を参照してください。
サービスにより必要に応じて Windows イベント 8004 が監査されていることを確かめるには、NTLM 監査設定を確認します。
AD FS/AD CS サーバーで実行されているセンサーの場合は、監査レベルを Verbose に構成します。 詳細については、「AD FS に関するイベント監査情報」および「AD CS に関するイベント監査情報」を参照してください。