スタンドアロン センサーの前提条件をMicrosoft Defender for Identityする
この記事では、メイン展開の前提条件とは異なるMicrosoft Defender for Identityスタンドアロン センサーをデプロイするための前提条件を示します。
詳細については、「Microsoft Defender for Identityデプロイの容量を計画する」を参照してください。
重要
Defender for Identity スタンドアロン センサーでは、複数の検出のデータを提供するイベント トレース for Windows (ETW) ログ エントリの収集はサポートされていません。 環境を完全にカバーするために、Defender for Identity センサーをデプロイすることをお勧めします。
スタンドアロン センサーの追加のシステム要件
スタンドアロン センサーは、Defender for Identity センサー の前提条件 とは次のように異なります。
スタンドアロン センサーには、少なくとも 5 GB のディスク領域が必要です
スタンドアロン センサーは、ワークグループ内のサーバーにもインストールできます。
スタンドアロン センサーは、ドメイン コントローラーとの間のネットワーク トラフィックの量に応じて、複数のドメイン コントローラーの監視をサポートできます。
複数のフォレストを使用している場合は、スタンドアロン センサー マシンが LDAP を使用してすべてのリモート フォレスト ドメイン コントローラーと通信できるようにする必要があります。
Defender for Identity スタンドアロン センサーで仮想マシンを使用する方法については、「 ポート ミラーリングの構成」を参照してください。
スタンドアロン センサー用のネットワーク アダプター
スタンドアロン センサーには、次のネットワーク アダプターの少なくとも 1 つが必要です。
管理アダプター - 企業ネットワーク上の通信に使用されます。 センサーは、このアダプターを使用して、保護している DC を照会し、マシン アカウントに対して解決を実行します。
既定のゲートウェイ、優先 DNS サーバー、代替 DNS サーバーなど、静的 IP アドレスを使用して管理アダプターを構成します。
この接続の DNS サフィックスは、監視対象の各ドメインのドメインの DNS 名である必要があります。
注:
Defender for Identity スタンドアロン センサーがドメインのメンバーである場合、これは自動的に構成される可能性があります。
キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックをキャプチャするために使用されます。
重要
- キャプチャ アダプターのポート ミラーリングをドメイン コントローラーのネットワーク トラフィックの宛先として構成します。 通常、ポート ミラーリングを構成するには、ネットワークまたは仮想化チームと連携する必要があります。
- 既定のセンサー ゲートウェイがなく、DNS サーバー アドレスもない環境に対して、ルーティング不可能な静的 IP アドレス (/32 マスク付き) を構成します。 たとえば、'10.10.0.10/32 です。 この構成により、キャプチャ ネットワーク アダプターがトラフィックの最大量をキャプチャでき、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックを送受信できるようになります。
注:
Defender for Identity スタンドアロン センサーでWiresharkを実行する場合は、Wiresharkキャプチャを停止した後、Defender for Identity センサー サービスを再起動します。 センサー サービスを再起動しない場合、センサーはトラフィックのキャプチャを停止します。
NIC チーミング アダプターを使用して構成されたコンピューターに Defender for Identity センサーをインストールしようとすると、インストール エラーが発生します。 NIC チーミングを使用して構成されたマシンに Defender for Identity センサーをインストールする場合は、「 Defender for Identity Sensor NIC チーミングの問題」を参照してください。
スタンドアロン センサーのポート
次の表に、Defender for Identity スタンドアロン センサーが管理アダプターで構成するために必要な追加のポートと、 Defender for Identity センサーのポートを示します。
| プロトコル | Transport | ポート | 送信元 | 宛先 |
|---|---|---|---|---|
| 内部ポート | ||||
| LDAP | TCP と UDP | 389 | Defender for Identity センサー | ドメイン コントローラー |
| Secure LDAP (LDAPS) | TCP | 636 | Defender for Identity センサー | ドメイン コントローラー |
| LDAP からグローバル カタログ | TCP | 3268 | Defender for Identity センサー | ドメイン コントローラー |
| LDAPS からグローバル カタログへ | TCP | 3269 | Defender for Identity センサー | ドメイン コントローラー |
| Kerberos | TCP と UDP | 88 | Defender for Identity センサー | ドメイン コントローラー |
| Windows Time | UDP | 123 | Defender for Identity センサー | ドメイン コントローラー |
| Syslog (省略可能) | TCP/UDP | 構成に応じて 514 | SIEM サーバー | Defender for Identity センサー |
Windows イベント ログの要件
Defender for Identity 検出は、センサーがドメイン コントローラーから解析する特定の Windows イベント ログ に依存します。 正しいイベントを監査し、Windows イベント ログに含めるために、ドメイン コントローラーには正確な Windows 高度な監査ポリシー設定が必要です。
詳細については、Windows ドキュメントの「高度な監査ポリシーのチェック」および「高度なセキュリティ監査ポリシー」を参照してください。
サービスで必要に応じて Windows イベント 8004 が監査 されていることを確認するには、 NTLM 監査設定を確認します。
AD FS/AD CS サーバーで実行されているセンサーの場合は、監査レベルを Verbose に構成します。 詳細については、「 AD FS のイベント監査情報 」および「AD CS のイベント監査情報」を参照してください。