次の方法で共有

Microsoft Defender for Identityでのネットワーク名解決

  • [アーティクル]

ネットワーク名解決 (NNR) は、Microsoft Defender for Identity機能のメインコンポーネントです。 Defender for Identity は、ネットワーク トラフィック、Windows イベント、ETW に基づいてアクティビティをキャプチャします。通常、これらのアクティビティには IP データが含まれます。

NNR を使用すると、Defender for Identity は生のアクティビティ (IP アドレスを含む) と、各アクティビティに関連する関連するコンピューターの間で関連付けることができます。 Defender for Identity では、未加工のアクティビティに基づいて、コンピューターを含むエンティティがプロファイルされ、疑わしいアクティビティに対するセキュリティ アラートが生成されます。

コンピューター名に IP アドレスを解決するには、Defender for Identity センサーで次の方法を使用して IP アドレスを検索します。

主なメソッド:

  • NTLM over RPC (TCP ポート 135)
  • NetBIOS (UDP ポート 137)
  • RDP (TCP ポート 3389) - Client hello の最初のパケットのみ

セカンダリ メソッド:

  • IP アドレスの逆引き DNS 参照を使用して DNS サーバーにクエリを実行する (UDP 53)

最適な結果を得るには、プライマリ メソッドの少なくとも 1 つを使用することをお勧めします。 IP アドレスの逆引き DNS 参照は、次の場合にのみ実行されます。

  • 主要なメソッドからの応答はありません。
  • 2 つ以上の主要なメソッドから受信した応答に競合があります。

注:

いずれのポートでも認証は実行されません。

Defender for Identity は、ネットワーク トラフィックに基づいてデバイス オペレーティング システムを評価し、決定します。 コンピューター名を取得した後、Defender for Identity センサーは Active Directory をチェックし、TCP フィンガープリントを使用して、同じコンピューター名の相関コンピューター オブジェクトがあるかどうかを確認します。 TCP フィンガープリントを使用すると、未登録のデバイスと Windows 以外のデバイスを識別し、調査プロセスを支援できます。 Defender for Identity センサーが相関関係を検出すると、センサーは IP をコンピューター オブジェクトに関連付けます。

名前が取得されない場合は、IP と関連する検出されたアクティビティを使用 して、IP によって未解決のコンピューター プロファイル が作成されます。

NNR データは、次の脅威を検出するために重要です。

  • ID の盗難の疑い (チケットを渡す)
  • DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション)
  • ネットワーク マッピング偵察 (DNS)

アラートが True Positive (TP) または False Positive (FP) かどうかを判断する機能を向上させるために、Defender for Identity には、コンピューターの名前付けの解決の確実性が各セキュリティ アラートの証拠に含まれています。

たとえば、コンピューター名が 高い確実性 で解決されると、結果として得られるセキュリティ アラートに対する信頼度が True Positive または TP として高まります。

証拠には、IP が解決された時刻、IP、コンピューター名が含まれます。 解決の確実性が 低い場合は、この情報を使用して、現時点でどのデバイスが IP の真のソースであったかを調査して確認します。 デバイスを確認した後、次の例のように、アラートが False 陽性FP かを判断できます。

  • ID の盗難の疑い (pass-the-ticket) – 同じコンピューターに対してアラートがトリガーされました。

  • DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) – ドメイン コントローラーからアラートがトリガーされました。

  • ネットワーク マッピング偵察 (DNS) – アラートは DNS サーバーからトリガーされました。

    証拠の確実性。

構成に関する推奨事項

  • RPC 経由の NTLM:

    • 環境内のすべてのコンピューターで、Defender for Identity Sensors からの受信通信用に TCP ポート 135 が開かれていることを確認します。
    • これにより、関連するポートへの通信が妨げる可能性があるため、すべてのネットワーク構成 (ファイアウォール) を確認します。

  • NetBIOS:

    • 環境内のすべてのコンピューターで、Defender for Identity Sensors からの受信通信用に UDP ポート 137 が開かれていることを確認します。
    • これにより、関連するポートへの通信が妨げる可能性があるため、すべてのネットワーク構成 (ファイアウォール) を確認します。

  • RDP:

    • 環境内のすべてのコンピューターで、Defender for Identity Sensors からの受信通信用に TCP ポート 3389 が開かれていることを確認します。
    • これにより、関連するポートへの通信が妨げる可能性があるため、すべてのネットワーク構成 (ファイアウォール) を確認します。

    注:

    • これらのプロトコルの 1 つだけが必要ですが、すべてのプロトコルを使用することをお勧めします。
    • カスタマイズされた RDP ポートはサポートされていません。

  • 逆引き DNS:

    • センサーが DNS サーバーに到達できることと、逆引き参照ゾーンが有効になっていることを確認します。

正常性の問題

Defender for Identity が理想的に動作し、環境が正しく構成されていることを確認するために、Defender for Identity は各センサーの解決状態を確認し、メソッドごとに正常性アラートを発行し、各メソッドを使用してアクティブな名前解決の成功率が低い Defender for Identity センサーの一覧を提供します。

注:

Defender for Identity でオプションの NNR メソッドを環境のニーズに合わせて無効にするには、サポート ケースを開きます。

各正常性アラートには、メソッド、センサー、問題のあるポリシー、構成に関する推奨事項の詳細が表示されます。 正常性の問題の詳細については、「センサーの正常性に関する問題Microsoft Defender for Identity」を参照してください。

関連項目