よく寄せられる質問をMicrosoft Defender for Identityする

Defender for Identity は、既知の悪意のある攻撃と手法、セキュリティの問題、ネットワークに対するリスクを検出します。 Defender for Identity 検出の完全な一覧については、「 Defender for Identity Security Alerts」を参照してください。

Defender for Identity は、ドメイン コントローラー、メンバー サーバーなどの構成済みサーバーから情報を収集して格納します。 データは、管理、追跡、およびレポートの目的で、サービスに固有のデータベースに格納されます。

収集される情報には、次のものが含まれます。

• Kerberos 認証、NTLM 認証、DNS クエリなど、ドメイン コントローラーとの間のネットワーク トラフィック。
• セキュリティ ログ (Windows セキュリティ イベントなど)。
• 構造、サブネット、サイトなどの Active Directory 情報。
• 名前、電子メール アドレス、電話番号などのエンティティ情報。

Microsoft では、次のデータを使用します。

• organization内の攻撃 (IOA) のインジケーターを事前に特定します。
• 可能な攻撃が検出された場合にアラートを生成します。
• ネットワークからの脅威シグナルに関連するエンティティを表示してセキュリティ操作を提供することで、ネットワーク上のセキュリティ脅威の有無を調査および調査できます。

Microsoft は、広告やサービスの提供以外の目的でデータをマイニングすることはありません。

Defender for Identity では現在、信頼されていないフォレストを含む Active Directory 環境をサポートするために、最大 30 個の異なる Directory Service 資格情報の追加がサポートされています。 さらにアカウントが必要な場合は、サポート チケットを開きます。

Defender for Identity は、ディープ パケット検査テクノロジを使用して Active Directory トラフィックを分析するだけでなく、ドメイン コントローラーから関連する Windows イベントを収集し、Active Directory Domain Servicesからの情報に基づいてエンティティ プロファイルを作成します。 Defender for Identity では、さまざまなベンダー (Microsoft、Cisco、F5、Checkpoint) からの VPN ログの RADIUS アカウンティングの受信もサポートされています。

いいえ。 Defender for Identity は、Windows 以外のデバイスやモバイル デバイスを含め、Active Directory に対して認証と承認要求を実行するネットワーク内のすべてのデバイスを監視します。

はい。 コンピューター アカウントやその他のエンティティを使用して悪意のあるアクティビティを実行できるため、Defender for Identity は環境内のすべてのコンピューター アカウントの動作とその他のすべてのエンティティを監視します。

ATA は、オンプレミス専用のハードウェアを必要とする ATA センターなどの複数のコンポーネントを備えたスタンドアロンのオンプレミス ソリューションです。

Defender for Identity は、オンプレミスの Active Directoryシグナルを使用するクラウドベースのセキュリティ ソリューションです。 このソリューションは拡張性が高く、頻繁に更新されます。

ATA の最終リリースが 一般公開されます。 ATA は 2021 年 1 月 12 日にメインストリーム サポートを終了しました。 延長サポートは 2026 年 1 月まで継続されます。 詳細については、 ブログを参照してください。

ATA センサーとは対照的に、Defender for Identity センサーでは、イベント トレーシング for Windows (ETW) などのデータ ソースも使用されるため、Defender for Identity は追加の検出を実現できます。

Defender for Identity の頻繁な更新には、次の機能が含まれます。

• マルチフォレスト環境のサポート: AD フォレスト間の組織の可視性を提供します。

• Microsoft Secure Score ポスチャ評価: 一般的な構成ミスと悪用可能なコンポーネントを特定し、攻撃対象領域を減らすための修復パスを提供します。

• UEBA 機能: ユーザー調査の優先順位スコアリングを通じて個々のユーザー リスクに関する分析情報。 スコアは、SecOps の調査を支援し、アナリストがユーザーとorganizationの異常なアクティビティを理解するのに役立ちます。

• ネイティブ統合: Microsoft Defender for Cloud AppsとMicrosoft Entra ID 保護と統合して、オンプレミス環境とハイブリッド環境の両方で行われている作業のハイブリッド ビューを提供します。

• Microsoft Defender XDRに貢献: アラートと脅威のデータをMicrosoft Defender XDRに提供します。 Microsoft Defender XDRでは、Microsoft 365 セキュリティ ポートフォリオ (ID、エンドポイント、データ、アプリケーション) を使用して、クロスドメインの脅威データを自動的に分析し、1 つのダッシュボードで各攻撃の全体像を構築します。

  この幅と透明性の深さにより、Defender は重大な脅威に焦点を当て、高度な侵害を探すことができます。 Defender は、Microsoft Defender XDRの強力なオートメーションがキル チェーン内の任意の場所で攻撃を停止し、organizationを安全な状態に戻すと信頼できます。

Defender for Identity は、Enterprise Mobility + Security 5 スイート (EMS E5) の一部として、およびスタンドアロン ライセンスとして使用できます。 ライセンスは、 Microsoft 365 ポータル またはクラウド ソリューション パートナー (CSP) ライセンス モデルから直接取得できます。

Defender for Identity ライセンス要件の詳細については、「 Defender for Identity ライセンス ガイダンス」を参照してください。

はい。データは、アクセス認証と顧客識別子に基づく論理的な分離によって分離されます。 各顧客は、Microsoft が提供する独自のorganizationと汎用データから収集されたデータにのみアクセスできます。

いいえ。 Defender for Identity ワークスペースが作成されると、Microsoft Entra テナントの地理的な場所に最も近い Azure リージョンに自動的に格納されます。 Defender for Identity ワークスペースが作成されると、Defender for Identity データを別のリージョンに移動することはできません。

Microsoft の開発者と管理者には、設計上、サービスを運用および進化させるために割り当てられた職務を遂行するための十分な特権が与えられています。 Microsoft では、承認されていない開発者や管理アクティビティから保護するために、次のメカニズムを含む予防、探偵、および事後対応コントロールの組み合わせをデプロイします。

• 機密データへの緊密なアクセス制御
• 悪意のあるアクティビティの独立した検出を大幅に強化するコントロールの組み合わせ
• 監視、ログ記録、およびレポートの複数レベル

さらに、Microsoft では、特定の運用担当者に対してバックグラウンド検証チェックを実施し、バックグラウンド検証のレベルに比例してアプリケーション、システム、ネットワーク インフラストラクチャへのアクセスを制限します。 運用担当者は、職務の遂行において顧客のアカウントまたは関連情報にアクセスする必要がある場合、正式なプロセスに従います。

ドメイン コントローラーごとに Defender for Identity センサーまたはスタンドアロン センサーを用意することをお勧めします。 詳細については、「 Defender for Identity センサーのサイズ設定」を参照してください。

AtSvc や WMI などの暗号化されたトラフィックを含むネットワーク プロトコルは暗号化解除されませんが、センサーは引き続きトラフィックを分析します。

Defender for Identity では、Kerberos Armoring (フレキシブル認証セキュリティ トンネリング (FAST) とも呼ばれます) がサポートされています。 このサポートの例外は、Kerberos Armoring では機能しないハッシュ検出のオーバーパスです。

Defender for Identity センサーは、ほとんどの仮想ドメイン コントローラーをカバーできます。 詳細については、「 Defender for Identity Capacity Planning」を参照してください。

Defender for Identity センサーが仮想ドメイン コントローラーをカバーできない場合は、代わりに仮想または物理 Defender for Identity スタンドアロン センサーを使用します。 詳細については、「 ポート ミラーリングの構成」を参照してください。

最も簡単な方法は、仮想ドメイン コントローラーが存在するすべてのホストに仮想 Defender for Identity スタンドアロン センサーを配置することです。

仮想ドメイン コントローラーがホスト間を移動する場合は、次のいずれかの手順を実行する必要があります。

• 仮想ドメイン コントローラーが別のホストに移動したら、そのホスト内の Defender for Identity スタンドアロン センサーを事前に構成して、最近移動した仮想ドメイン コントローラーからのトラフィックを受信します。

• 仮想 Defender for Identity スタンドアロン センサーを仮想ドメイン コントローラーと関連付けて、移動した場合に Defender for Identity スタンドアロン センサーが移動するようにします。

• ホスト間でトラフィックを送信できる仮想スイッチがいくつかあります。

ドメイン コントローラーがクラウド サービスと通信するには、ファイアウォール/プロキシで *.atp.azure.com ポート 443 を開く必要があります。 詳細については、「 Defender for Identity センサーとの通信を有効にするようにプロキシまたはファイアウォールを構成する」を参照してください。

はい。Defender for Identity センサーを使用して、任意の IaaS ソリューション内のドメイン コントローラーを監視できます。

Defender for Identity では、マルチドメイン環境と複数のフォレストがサポートされています。 詳細と信頼の要件については、「 複数フォレストのサポート」を参照してください。

はい。デプロイの全体的な正常性と、構成、接続などに関連する特定の問題を表示できます。 これらのイベントが Defender for Identity の正常性の問題で発生すると、アラートが表示されます。

Microsoft Defender for Identityは、Microsoft Entra IDに同期されていないアカウントを含むすべての Active Directory アカウントのセキュリティ値を提供します。 Microsoft Entra IDに同期されるユーザー アカウントは、(ライセンス レベルに基づいて) Microsoft Entra IDと調査優先度スコアリングによって提供されるセキュリティ値の利点もあります。

Microsoft Defender for Identity チームでは、すべての顧客が WinPcap ドライバーではなく Npcap ドライバーを使用することをお勧めします。 Defender for Identity バージョン 2.184 以降では、インストール パッケージでは、WinPcap 4.1.3 ドライバーの代わりに Npcap 1.0 OEM がインストールされます。

WinPcap はサポートされなくなり、開発が終了しているため、ドライバーは Defender for Identity センサー用に最適化できなくなります。 さらに、今後 WinPcap ドライバーに問題がある場合は、修正プログラムのオプションはありません。

Npcap はサポートされていますが、WinPcap はサポートされていない製品です。

MDI センサーには Npcap 1.0 以降が必要です。 他のバージョンの Npcap がインストールされていない場合、Sensor インストール パッケージはバージョン 1.0 をインストールします。 Npcap が既にインストールされている場合 (その他のソフトウェア要件やその他の理由により)、バージョン 1.0 以降、 および MDI に必要な設定でインストールされていることを確認することが重要です。

はい。 WinPcap ドライバーを削除するには、センサーを手動で削除する必要があります。 最新のパッケージを使用して再インストールすると、Npcap ドライバーがインストールされます。

'Npcap OEM' は、プログラムの追加と削除 (appwiz.cpl) を通じてインストールされ、その正常性に関する 問題 が開いている場合は、自動的に閉じられます。

いいえ。Npcap には、通常の 5 つのインストールの制限からの除外があります。 Defender for Identity センサーでのみ使用される無制限のシステムにインストールできます。

ここで Npcap の使用許諾契約書を参照し、Microsoft Defender for Identityを検索します。

いいえ。Npcap バージョン 1.00 をサポートするのは、Microsoft Defender for Identity センサーのみです。

いいえ、OEM バージョンを購入する必要はありません。 センサー インストール パッケージ バージョン 2.156 以降は、Npcap の OEM バージョンを含む Defender for Identity コンソールからダウンロードします。

• Npcap 実行可能ファイルを取得するには、 Defender for Identity センサーの最新のデプロイ パッケージをダウンロードします。

• センサーをまだインストールしていない場合は、バージョン 2.184 以降を使用してセンサーをインストールします。

• WinPcap でセンサーを既にインストールしていて、Npcap を使用するように更新する必要がある場合:

  1. センサーをアンインストールします。 Windows コントロール パネル (appwiz.cpl) からプログラムの追加と削除を使用するか、次のアンインストール コマンドを実行します。".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. 必要に応じて WinPcap をアンインストールします。 この手順は、WinPcap がセンサーのインストール前に手動でインストールされた場合にのみ関連します。 この場合は、WinPcap を手動で削除する必要があります。

  3. バージョン 2.184 以降を使用してセンサーを再インストールします。

• Npcap を手動でインストールする場合: 次のオプションを使用して Npcap をインストールします。

  • GUI インストーラーを使用している場合は、 ループバック サポート オプションをオフにして、[ WinPcap モード] を選択します。 [ 管理者のみへの Npcap ドライバーのアクセスを制限する ] オプションがオフになっていることを確認します。
  • コマンド ラインを使用している場合は、次を実行します。 npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Npcap を手動でアップグレードする場合:

  1. Defender for Identity センサー サービス、 AATPSensorUpdater 、 AATPSensor を停止します。 次を実行します: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Windows コントロール パネル (appwiz.cpl) でプログラムの追加と削除を使用して Npcap を削除します。

  3. 次のオプションを使用して Npcap をインストールします。

     • GUI インストーラーを使用している場合は、 ループバック サポート オプションをオフにして、[ WinPcap モード] を選択します。 [ 管理者のみへの Npcap ドライバーのアクセスを制限する ] オプションがオフになっていることを確認します。

     • コマンド ラインを使用している場合は、次を実行します。 npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Defender for Identity センサー サービス AATPSensorUpdater と AATPSensor を起動します。 次を実行します: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity は、正常性の問題やセキュリティ アラートが検出されたときに、CEF 形式を使用して Syslog アラートを任意の SIEM サーバーに送信するように構成できます。 詳細については、 SIEM ログ リファレンスに関するページを参照してください。

アカウントが機密性の高いグループ ("Domain Admins" など) として指定されているグループのメンバーである場合、アカウントは機密性が高いと見なされます。

アカウントが機密性の高い理由を理解するには、そのグループ メンバーシップを確認して、属している機密性の高いグループを理解できます。 属するグループは、別のグループによって機密性が高くなる場合もあります。そのため、最上位レベルの機密性の高いグループが見つかるまで、同じプロセスを実行する必要があります。 または、 手動でアカウントに機密性の高いタグを付けます。

Defender for Identity では、ルール、しきい値、ベースラインを作成してから微調整する必要はありません。 Defender for Identity は、ユーザー、デバイス、リソース間の動作と相互の関係を分析し、疑わしいアクティビティと既知の攻撃を迅速に検出できます。 展開から 3 週間後、Defender for Identity は動作の疑わしいアクティビティの検出を開始します。 一方、Defender for Identity は、デプロイ直後に既知の悪意のある攻撃とセキュリティの問題の検出を開始します。

Defender for Identity は、次の 3 つのシナリオのいずれかで、ドメイン コントローラーからorganization内のコンピューターへのトラフィックを生成します。

• ネットワーク名解決 Defender for Identity は、トラフィックとイベント、ネットワーク内のユーザーとコンピューター アクティビティの学習とプロファイリングをキャプチャします。 organization内のコンピューターに従ってアクティビティを学習してプロファイリングするには、Defender for Identity で IP をコンピューター アカウントに解決する必要があります。 コンピューター名 Defender for Identity センサーに IP を解決するには、IP アドレスの 背後にある コンピューター名の IP アドレスを要求します。

  要求は、次の 4 つの方法のいずれかを使用して行われます。

  • NTLM over RPC (TCP ポート 135)
  • NetBIOS (UDP ポート 137)
  • RDP (TCP ポート 3389)
  • IP アドレスの逆引き DNS 参照を使用して DNS サーバーにクエリを実行する (UDP 53)

  コンピューター名を取得した後、Defender for Identity センサーは Active Directory の詳細をチェックして、同じコンピューター名の相関コンピューター オブジェクトがあるかどうかを確認します。 一致するものが見つかった場合は、IP アドレスと一致するコンピューター オブジェクトとの間で関連付けが行われます。

• 横移動パス (LMP) 機密性の高いユーザーに潜在的な LMP を構築するには、Defender for Identity には、コンピューター上のローカル管理者に関する情報が必要です。 このシナリオでは、Defender for Identity センサーは SAM-R (TCP 445) を使用して、ネットワーク トラフィックで識別された IP アドレスを照会して、コンピューターのローカル管理者を特定します。 Defender for Identity と SAM-R の詳細については、「 SAM-R に必要なアクセス許可を構成する」を参照してください。

• エンティティ データ Defender for Identity センサーに対して LDAP を使用して Active Directory にクエリを実行すると、エンティティが属するドメインからドメイン コントローラーに対してクエリが実行されます。 同じセンサー、またはそのドメインの別のドメイン コントローラーを指定できます。

Defender for Identity は、さまざまなプロトコルを介してアクティビティをキャプチャします。 場合によっては、Defender for Identity はトラフィック内のソース ユーザーのデータを受信しません。 Defender for Identity は、ユーザーのセッションをアクティビティに関連付けようとし、試行が成功すると、アクティビティのソース ユーザーが表示されます。 ユーザーの関連付けの試行が失敗すると、ソース コンピューターのみが表示されます。

Defender for Identity センサーは、MDI 監視対象マシンへの特定の受信 DNS アクティビティに応答して、"aatp.dns.detection.local" への DNS 呼び出しをトリガーする可能性があります。

Defender for Identity の個人ユーザー データは、organizationの Active Directory 内のユーザーのオブジェクトから派生し、Defender for Identity で直接更新することはできません。

セキュリティ アラート情報のエクスポートと同じ方法を使用して、Defender for Identity から個人データをエクスポートできます。 詳細については、「 セキュリティ アラートを確認する」を参照してください。

Microsoft Defenderポータル検索バーを使用して、特定のユーザーやコンピューターなどの特定の個人データを検索します。 詳細については、「 資産の調査」を参照してください。

Defender for Identity は、個人データ レコードの削除とエクスポートなど、個人データの変更の監査を実装します。 監査証跡の保持時間は 90 日です。 Defender for Identity での監査はバックエンド機能であり、顧客はアクセスできません。

ユーザーがorganizationの Active Directory から削除されると、Defender for Identity は、データがアクティブなインシデントの一部でない限り、Defender for Identity の一般的なデータ保持ポリシーに合わせて、ユーザー プロファイルと関連するネットワーク アクティビティを自動的に削除します。 削除されたオブジェクト コンテナーに読み取り専用アクセス許可を追加することをお勧めします。 詳細については、「 必要な DSA アクセス許可を付与する」を参照してください。

現在のエラー ログの最新のエラーを確認 します ([ログ] フォルダーの下に Defender for Identity がインストールされている場所)。

関連コンテンツ

• Defender for Identity の前提条件
• Defender for Identity 容量計画
• イベント収集を構成する
• Windows イベント転送の構成
• トラブルシューティング
• Defender for Identity フォーラムをご覧ください。