この記事では、Microsoft Defender for Identity に関してよく寄せられる質問と、回答の一覧を次のカテゴリに分けて示します。
Defender for Identity とは
Defender for Identity は何を検出できますか。
Defender for Identity は、ネットワークに対する既知の悪意ある攻撃と手法、セキュリティ上の問題、およびリスクを検出します。 Defender for Identity 検出の完全な一覧については、「Defender for Identity のセキュリティ アラート」を参照してください。
Defender for Identity はどのようなデータを収集しますか。
Defender for Identity は、構成されたサーバー (ドメイン コントローラー、メンバー サーバーなど) から情報を収集して格納します。 データは、管理、追跡、およびレポートの目的で、サービスに固有のデータベースに格納されます。
収集される情報には、次のものがあります。
- Kerberos 認証、NTLM 認証、DNS クエリなどドメインコントローラーとの間のネットワーク トラフィック。
- セキュリティ ログ (Windows セキュリティ イベントなど)。
- 構造、サブネット、サイトなどの Active Directory 情報。
- 名前、メール アドレス、電話番号などのエンティティ情報。
マイクロソフトでは、次の目的でこのデータを使用します。
- 組織内の攻撃のインジケーター (IOA) を事前に特定します。
- 攻撃の可能性が検出された場合にアラートを生成します。
- セキュリティ操作に、ネットワークからの脅威シグナルに関連するエンティティのビューを提供することで、ネットワーク上のセキュリティ脅威の存在を調査および探索することができます。
マイクロソフトは、広告やその他の目的で、お客様にサービスを提供する以外の目的で、お客様のデータをマイニングすることはありません。
Defender for Identity では、いくつのディレクトリ サービス資格情報がサポートされていますか。
Defender for Identity では現在、信頼されていないフォレストを含む Active Directory 環境をサポートするために、最大 30 の異なるディレクトリ サービス資格情報の追加がサポートされています。 さらにアカウントが必要な場合は、サポート チケットを開きます。
Defender for Identity が使用するのは、Active Directory からのトラフィックのみですか。
Defender for Identity は、ディープ パケット検査テクノロジを使用して Active Directory トラフィックを分析するだけでなく、ドメイン コントローラーから関連する Windows イベントを収集し、Active Directory ドメイン サービスからの情報に基づいてエンティティ プロファイルを作成します。 Defender for Identity では、さまざまなベンダー (Microsoft、Cisco、F5、チェックポイント) からの VPN ログの RADIUS アカウンティングの受信もサポートしています。
Defender for Identity モニターが監視するのは、メイン参加済みデバイスのみですか。
いいえ。 Defender for Identity は、Windows 以外のデバイスやモバイル デバイスを含め、Active Directory に対して認証要求と承認要求を実行するネットワーク内のすべてのデバイスを監視します。
Defender for Identity は、コンピューター アカウントとユーザー アカウントを監視しますか。
はい。 コンピューター アカウント (およびその他のエンティティ) を使用して悪意のあるアクティビティを実行できるため、Defender for Identity は環境内のすべてのコンピューター アカウントの動作とその他のすべてのエンティティを監視します。
Advanced Threat Analytics (ATA) と Defender for Identity の違いは何ですか。
ATA は、専用のハードウェアをオンプレミスで必要とする ATA センターなど、複数のコンポーネントを備えたスタンドアロンのオンプレミス ソリューションです。
Defender for Identity は、オンプレミスの Active Directory シグナルを使用するクラウドベースのセキュリティ ソリューションです。 ソリューションは拡張性が高く、頻繁に更新されます。
ATA の最終リリースは、一般公開されています。 ATA はメインストリームのサポートを 2021 年 1 月 12 日に終了しました。 延長サポートは 2026 年 1 月まで継続されます。 詳細については、こちらのブログ記事を参照してください。
ATA センサーとは対照的に、Defender for Identity センサーでは、Windows イベント トレーシング (ETW) などのデータ ソース使用するため、Defender for Identity はさらに多くの検出を行うことができます。
Defender for Identity は頻繁に更新され、それには次の機能が含まれます。
複数フォレスト環境のサポート: AD フォレスト間での組織の可視性を提供します。
Microsoft セキュア スコア態勢の評価: 一般的な構成ミスと悪用可能なコンポーネントを特定し、攻撃対象領域を減らすための修復パスを提供します。
UEBA 機能: ユーザー調査の優先度スコアリングを通じて、個々のユーザー リスクに対するインサイトを取得します。 このスコアは、SecOps の調査を支援し、アナリストがユーザーと組織の異常なアクティビティを理解するのに役立ちます。
ネイティブ統合: Microsoft Defender for Cloud Apps および Azure AD Identity Protection と統合して、オンプレミス環境とハイブリッド環境の両方で行われている作業のハイブリッド ビューを提供します。
Microsoft Defender XDR の使用: Microsoft Defender XDR にアラートと脅威データを提供します。 Microsoft Defender XDR は、Microsoft 365 セキュリティ ポートフォリオ (ID、エンドポイント、データ、アプリケーション) を使用して、クロスドメイン脅威データを自動的に分析し、各攻撃の全体像を 1 つのダッシュボードに構築します。
このように広さと深さを明確にすることで、防御担当者は重要な脅威に集中し、巧妙な侵害を追跡することができます。 防御担当者は、Microsoft Defender XDR の強力な自動化機能により、キル チェーンのあらゆる場所で攻撃を阻止し、組織を安全な状態に戻すことができます。
ライセンスと価格
Microsoft Defender for Identity のライセンスはどこで入手できますか。
Defender for Identity は、Enterprise Mobility + Security 5 スイート (EMS E5) の一部として、およびスタンドアロン ライセンスとして使用できます。 ライセンスは、Microsoft 365 ポータルまたはクラウド ソリューション パートナー (CSP) ライセンス モデルから直接取得できます。
Defender for Identity で必要なライセンスは 1 つだけですか。それとも、保護対象のすべてのユーザーに対してライセンスが必要ですか。
Defender for Identity のライセンス要件の詳細については、「Defender for Identity のライセンス ガイダンス」を参照してください。
自分のデータは他のお客様データから隔離していますか。
はい。データは、アクセス認証と顧客識別子に基づく論理的な分離によって切り離されます。 各顧客は、自分の組織から収集したデータとマイクロソフトが提供する一般的なデータにのみアクセスできます。
データを格納する場所を柔軟に選択することはできますか。
いいえ。 Defender for Identity ワークスペースが作成されると、Microsoft Entra テナントの地理的な場所に最も近い Azure リージョンに自動的に格納されます。 Defender for Identity ワークスペースが作成されると、Defender for Identity データを別のリージョンに移動することはできません。
マイクロソフトでは、悪意のあるインサイダー アクティビティや高い特権ロールの悪用をどのように防止していますか?
マイクロソフトの開発者と管理者には、サービスを運用および進化させるために割り当てられた職務を遂行するための、設計上十分な特権が付与されています。 マイクロソフトは、承認されていない開発者や管理アクティビティから保護するために、次のメカニズムを含む予防、検出、および事後対応型のコントロールの組み合わせを展開します。
- 機密データへの厳密なアクセス制御
- 悪意のある活動の独立した検出を大きく促進する統制の組み合わせ
- 複数のレベルの監視、ログ記録、およびレポート
さらに、マイクロソフトでは、特定の運用担当者に対してバックグラウンド検証チェックを実施し、バックグラウンド検証のレベルに比例してアプリケーション、システム、ネットワーク インフラストラクチャへのアクセスを制限します。 業務のパフォーマンスにおいて顧客のアカウントまたは関連情報にアクセスする必要がある場合、運用担当者は正式なプロセスに従います。
展開
Defender for Identity センサーはいくつ必要ですか。
ドメイン コントローラーごとに Defender for Identity センサーまたはスタンドアロン センサーを用意することをお勧めします。 詳細については、「Defender for Identity センサーのサイズ設定」を参照してください。
Defender for Identity は暗号化されたトラフィックで動作しますか。
AtSvc や WMI などの暗号化されたトラフィックを含むネットワーク プロトコルは復号化されませんが、センサーはトラフィックを分析します。
Defender for Identity は Kerberos 防御と連携しますか。
Defender for Identity では、Kerberos Armoring (フレキシブル認証セキュア トンネリング (FAST) とも呼ばれます) がサポートされています。 このサポートの例外は、Kerberos Armoring では機能しないハッシュ検出のオーバーパスです。
Defender for Identity を使用してどのように仮想ドメイン コントローラーを監視できますか。
Defender for Identity センサーは、ほとんどの仮想ドメイン コントローラーをカバーできます。 詳細については、「Defender for Identity の容量計画」を参照してください。
Defender for Identity センサーが仮想ドメイン コントローラーをカバーできない場合は、代わりに仮想または物理 Defender for Identity スタンドアロン センサーを使用します。 詳細については、「ポート ミラーリングの構成」を参照してください。
最も簡単な方法は、仮想ドメイン コントローラーが存在するすべてのホスト上に仮想 Defender for Identity スタンドアロン センサーを配置することです。
仮想ドメイン コントローラーがホスト間を移動する場合は、次のいずれかの手順を実行する必要があります。
仮想ドメイン コントローラーが別のホストに移動したら、最近移動した仮想ドメイン コントローラーからのトラフィックを受信するように、そのホストの Defender for Identity スタンドアロン センサーを事前に設定します。
仮想 Defender for Identity スタンドアロン センサーを仮想ドメイン コントローラーに関連付け、仮想ドメイン 最も簡単な方法は、仮想ドメイン コントローラーが存在するすべてのホスト上に仮想 Defender for Identity スタンドアロン センサーを持つことです。
ホスト間でトラフィックを送信できる仮想スイッチがいくつかあります。
プロキシがある場合、Defender for Identity センサーが Defender for Identity クラウド サービスと通信するように設定するにはどうすればよいですか。
ドメイン コントローラーがクラウド サービスと通信するには、ファイアウォール/プロキシで *.atp.azure.com ポート 443 を開く必要があります。 詳細については、「Defender for Identity センサーとの通信を有効にするようにプロキシまたはファイアウォールを構成する」を参照してください。
Defender for Identity が監視するドメイン コントローラは、IaaS ソリューション上で仮想化できますか。
はい、Defender for Identity センサーを使用して、あらゆる IaaS ソリューションにあるドメイン コントローラーを監視できます。
Defender for Identity はマルチドメイン とマルチフォレストをサポートできますか。
Defender for Identity では、マルチドメイン環境と複数のフォレストがサポートされます。 詳細と信頼の要件については、「マルチフォレストのサポート」を参照してください。
デプロイの全体的な正常性を確認できますか。
はい、展開の全体的な正常性と、構成、接続などに関連する特定の問題を確認できます。 Defender for Identity の正常性の問題でこれらのイベントが発生すると、アラートが表示されます。
Microsoft Defender for Identity では、ユーザーを Microsoft Entra ID に同期する必要がありますか?
Microsoft Defender for Identity は、Microsoft Entra ID と同期されていないアカウントを含むすべての Active Directory アカウントのセキュリティ値を提供します。 Microsoft Entra ID と同期されるユーザー アカウントには、Entra ID (ライセンス レベルに基づく) と調査の優先度スコアリングから導かれるセキュリティ値も提供されます。
WinPcap ドライバーと Npcap ドライバー
WinPcap ドライバーと Npcap ドライバーに関する推奨事項では何が変更されたのですか。
Microsoft Defender for Identity チームでは、すべての顧客が WinPcap ドライバーではなく Npcap ドライバーを使用することをお勧めしています。 Defender for Identity バージョン 2.184 以降では、インストール パッケージは WinPcap 4.1.3 ドライバーの代わりに Npcap 1.0 OEM をインストールします。
WinPcap をサポートしない理由
WinPcap はサポートされなくなり、開発が終了しているため、Defender for Identity センサー用にドライバーを最適化することができなくなります。 さらに、WinPcap ドライバーで将来問題が発生した場合、修正プログラムのオプションはありません。
Npcap を使用する理由
Npcap はサポートされていますが、WinPcap はサポート対象製品ではなくなりました。
サポートされている Npcap のバージョンは何ですか。
MDI センサーには Npcap 1.0 以降が必要です。 他のバージョンの Npcap がインストールされていない場合、Sensor インストール パッケージはバージョン 1.0 をインストールします。 Npcap が、他のソフトウェア要件などの理由により既にインストールされている場合 、インストールされたバージョンが 1.0 以降であることと、MDI に必要な設定であることを確認します。
センサーを手動で削除して再インストールする必要がありますか。自動更新サービスは、通常の更新の一環としてこれを処理しますか。
はい。 WinPcap ドライバーを削除するには、センサーを手動で削除する必要があります。 最新のパッケージを使用して再インストールすると、Npcap ドライバーがインストールされます。
Defender for Identity の現在のインストールで Npcap と WinPcap のどちらを使用するかを確認するには、どうすればよいですか。
'Npcap OEM' は、プログラムの追加と削除 (appwiz.cpl) を使用してインストールされ、これに対して正常性の問題が発生した場合は、自動的に終了します。
私の組織には 5 つ以上のドメイン コントローラーがあります。 これらのドメイン コントローラーで Npcap を使用する場合、Npcap ライセンスを購入する必要がありますか。
いいえ、Npcap には、通常の 5 回のインストール制限から除外されています。 Defender for Identity センサーのみを使用するシステムであれば、無制限にインストールできます。
こちらで Npcap ライセンス契約を参照し、Microsoft Defender for Identity を検索します。
Npcap は ATA にも関連していますか。
いいえ、Npcap バージョン 1.00 をサポートしているのは Microsoft Defender for Identity センサーのみです。
Npcap の展開をスクリプト化したい場合、OEM バージョンを購入する必要がありますか。
いいえ、OEM バージョンを購入する必要はありません。 センサー インストール パッケージ バージョン 2.156 以降を、Npcap の OEM バージョンを含む Defender for Identity コンソールからダウンロードします。
Npcap ドライバーのダウンロード、インストール、アップグレードするには
Defender for Identity センサーの最新の展開パッケージをダウンロードすることで、Npcap 実行可能ファイルを取得できます。
センサーをまだインストールしていない場合は、バージョン 2.184 以降を使用してセンサーをインストールします。
WinPcap でセンサーを既にインストールしていて、Npcap を使用するように更新する必要がある場合:
センサーをアンインストールします。 Windows コントロール パネル (appwiz.cpl) から [プログラムの追加と削除] を使用するか、次のアンインストール コマンド:
".\Azure ATP Sensor Setup.exe" /uninstall /quiet
を実行します必要に応じて WinPcap をアンインストールします。 この手順は、センサーのインストール前に WinPcap が手動でインストールされた場合にのみ該当します。 この場合、WinPcap を手動で削除する必要があります。
バージョン 2.184 以降を使用してセンサーを再インストールします。
Npcap を手動でインストールする場合: 次のオプションを使用して Npcap をインストールします。
- GUI インストーラーを使用している場合は、ループバック サポート オプションをオフにして、WinPcap モードを選択します。 [Npcap ドライバーのアクセスを管理者のみに制限する] オプションがオフになっていることを確認します。
- コマンド ラインを使用している場合は、次のコマンドを実行します:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Npcap を手動でアップグレードする場合:
Defender for Identity センサー サービス、AATPSensorUpdater、および AATPSensor を停止します。
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
を実行します。Windows コントロール パネル (appwiz.cpl) の [プログラムの追加と削除] を使用して Npcap を削除します。
次のオプションを使用して Npcap をインストールします。
GUI インストーラーを使用している場合は、ループバック サポート オプションをオフにして、WinPcap モードを選択します。 [Npcap ドライバーのアクセスを管理者のみに制限する] オプションがオフになっていることを確認します。
コマンド ラインを使用している場合は、次のコマンドを実行します:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Defender for Identity センサー サービス、AATPSensorUpdater、および AATPSensor を開始します。
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
を実行します。
操作
Defender for Identity と SIEM はどのような種類の統合を備えていますか。
Defender for Identity は、健全性の問題やセキュリティ アラートが検出された場合に、CEF フォーマットを使用して任意の SIEM サーバーに Syslog アラートを送信するように設定できます。 詳細については、SIEM ログ リファレンスに関するページを参照してください。
特定のアカウントが機密性と見なされるのはなぜですか。
アカウントが機密性の高いグループのメンバーである場合、そのアカウントは機密性が高いと見なされます (「ドメイン管理者」など)。
あるアカウントがなぜ機密扱いなのかを理解するために、そのアカウントのグループ メンバーシップを確認し、どの機密グループに属しているかを理解することができます。 そのグループが属するグループも、別のグループによってセンシティブになる可能性があるため、最上位の機密性の高いグループが見つかるまで、同じプロセスを実行する必要があります。 または、手動でアカウントに機密性の高いタグを付けます。
独自のルールを記述し、しきい値/ベースラインを作成する必要がありますか。
Defender for Identity では、ルール、しきい値、ベースラインを作成して微調整する必要はありません。 Defender for Identity は、ユーザー、デバイス、およびリソース間の動作と相互の関係を分析し、不審なアクティビティや既知の攻撃を迅速に検出できます。 Defender for Identity は、展開から 3 週間後に動作に関する疑わしいアクティビティの検出を開始します。 一方、Defender for Identity は展開直後に既知の悪意のある攻撃とセキュリティの問題の検出を開始します。
Defender for Identity がドメイン コントローラからネットワークに生成するトラフィックはどれですか。また、その理由は何ですか。
Defender for Identity は、次の 3 つのシナリオのいずれかで、ドメイン コントローラーから組織内のコンピューターへのトラフィックを生成します。
ネットワーク名解決 Defender for Identity は、トラフィックとイベントを取り込み、ネットワーク内のユーザーとコンピューターのアクティビティを学習してプロファイリングします。 Defender for Identity は、組織内のコンピューターに応じたアクティビティを学習し、プロファイリングするために、IP をコンピューター アカウントに解決する必要があります。 IP をコンピューター名に解決するために、Defender for Identity センサーは、IP アドレスの背後にあるコンピューター名の IP アドレスを要求します。
要求は、次の 4 つの方法のいずれかを使用して行われます。
- RPC における NTLM (TCP ポート 135)
- NetBIOS (UDP ポート 137)
- RDP (TCP ポート 3389)
- IP アドレスの逆引き DNS 検索を使用して DNS サーバーへのクエリを実行する (UDP 53)
コンピューター名を取得した後、Defender for Identity センサーは Active Directory の詳細を照合し、同じコンピューター名で相関性のあるコンピューター オブジェクトがあるかどうかを確認します。 一致が見つかった場合、IP アドレスと一致するコンピューター オブジェクトの間で関連付けが行われます。
侵入の拡大 (LMP) 機密性の高いユーザーに対して潜在的な LMP を構築するには、Defender for Identity に、コンピューター上のローカル管理者に関する情報が必要となります。 このシナリオでは、Defender for Identity センサーは、SAM-R (TCP 445) を使用して、コンピューターのローカル管理者を特定するために、ネットワーク トラフィックで識別された IP アドレスのクエリを実行します。 Defender for Identity と SAM-R の詳細については、「SAM-R に必要なアクセス許可の構成」を参照してください。
エンティティ データ Defender for Identity センサーに対して LDAP を使用して Active Directory にクエリを実行すると、エンティティが属するドメイン からドメイン コントローラーに対してクエリが実行されます。 同じセンサーでも、そのドメインの別のドメイン コントローラーでもかまいません。
Protocol | サービス | ポート | ソース | 方向 |
---|---|---|---|---|
LDAP | TCP と UDP | 389 | ドメイン コントローラー | 発信 |
Secure LDAP (LDAPS) | TCP | 636 | ドメイン コントローラー | 発信 |
LDAP からグローバル カタログ | TCP | 3268 | ドメイン コントローラー | 発信 |
LDAPS からグローバル カタログ | TCP | 3269 | ドメイン コントローラー | 発信 |
アクティビティで発信元ユーザーとコンピューターの両方が常に表示されないのはなぜですか。
Defender for Identity は、さまざまなプロトコルを介してアクティビティを取り込みます。 場合によっては、Defender for Identity がトラフィックの発信元ユーザーのデータを受信しない場合があります。 Defender for Identity は、ユーザーのセッションをアクティビティに関連付けようとし、試行が成功すると、アクティビティの発信元ユーザーが表示されます。 ユーザーの関連付けの試行が失敗すると、発信元コンピューターのみが表示されます。
aatp.dns.detection.local に対する DNS クエリが表示される理由
Defender for Identity センサーは、MDI で監視されているマシンへの特定の受信 DNS アクティビティに応答して、"aatp.dns.detection.local" への DNS 呼び出しをトリガーする場合があります。
個人データ管理
Defender for Identity で個人ユーザー データを更新できますか。
Defender for Identity の個人ユーザー データは、組織の Active Directory 内にあるユーザーのオブジェクトから派生するもので、Defender for Identity で直接更新することはできません。
Defender for Identity から個人データをエクスポートするにはどうすればよいですか。
セキュリティ アラート情報のエクスポートと同じ方法を使用して、Defender for Identity から個人データをエクスポートできます。 詳細については、「セキュリティ アラートを確認する」を参照してください。
Defender for Identity に格納されている個人データを検索するにはどうすればよいですか。
Microsoft Defender ポータルの検索バーを使用して、特定のユーザーやコンピューターなど個人を特定できるデータを検索します。 詳細については、「アセットの調査」を参照してください。
Defender for Identity は個人データに対してどのような種類の監査を実行しますか。
Defender for Identity は、個人データ レコードの削除やエクスポートなど、個人データの変更の監査を実装します。 監査証跡の保持時間は 90 日です。 Defender for Identity での監査はバックエンド機能であり、顧客はアクセスできません。
組織の Active Directory からユーザーが削除されると、Defender for Identity はどうなりますか。
組織の Active Directory からユーザーが削除されると、Defender for Identity は、データがアクティブなインシデントの一部でない限り、Defender for Identity の一般的なデータ保持ポリシーに合わせてユーザー プロファイルおよび関連するネットワーク アクティビティを自動的に削除します。 削除されたオブジェクト コンテナーに対する読み取り専用アクセス許可を追加することをお勧めします。 詳細については、「必要な DSA アクセス許可を付与する」を参照してください。
トラブルシューティング
Defender for Identity センサーまたはスタンドアロン センサーが起動しない場合はどうすればよいですか。
現在のエラー ログの最新のエラーを確認します (Defender for Identity が [ログ] フォルダーにインストールされている場所)。