次の方法で共有

Microsoft Defender for Identityをパイロットしてデプロイする

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

この記事では、organizationでMicrosoft Defender for Identityをパイロットしてデプロイするためのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender for Identityを個々のサイバーセキュリティ ツールとして、またはMicrosoft Defender XDRを使用したエンド ツー エンド ソリューションの一部としてオンボードできます。

この記事では、運用環境の Microsoft 365 テナントがあり、この環境でMicrosoft Defender for Identityのパイロットとデプロイを行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが、完全なデプロイに対して維持されます。

Defender for Office 365は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの侵害によるビジネス上の損害の防止または軽減に関する記事を参照してください。

Microsoft Defender XDRのエンド ツー エンドのデプロイ

これは、インシデントの調査や対応など、Microsoft Defender XDRのコンポーネントをデプロイするのに役立つシリーズの 6 の記事 2 です。

パイロットプロセスとデプロイプロセスのMicrosoft Defender for Identityを示す図Microsoft Defender XDR。

このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。

段階 リンク
A. パイロットを開始する パイロットを開始する
B. Microsoft Defender XDR コンポーネントのパイロットとデプロイ - Defender for Identity をパイロットして展開する (この記事)

- Defender for Office 365をパイロットしてデプロイする

- Defender for Endpoint のパイロットとデプロイ

- Microsoft Defender for Cloud Appsのパイロットとデプロイ
C. 脅威の調査と対応 インシデントの調査と対応を実践する

Defender for Identity のワークフローをパイロットしてデプロイする

次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。

パイロット、評価、および完全なデプロイ導入フェーズの図。

まず、製品またはサービスを評価し、organization内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャ全体またはorganizationがカバーされるまで、デプロイのスコープを徐々に増やします。

運用環境で Defender for Identity をパイロットして展開するためのワークフローを次に示します。

Microsoft Defender for Identityをパイロットしてデプロイする手順を示す図。

次の手順を実行します。

  1. Defender for Identity インスタンスを設定する
  2. センサーのインストールと構成
  3. センサーを使用してマシンでイベント ログとプロキシの設定を構成する
  4. Defender for Identity が他のコンピューター上のローカル管理者を識別できるようにする
  5. ID 環境のベンチマークの推奨事項を構成する
  6. 機能を試す

デプロイ ステージごとに推奨される手順を次に示します。

デプロイ ステージ 説明
評価 Defender for Identity の製品評価を実行します。
パイロット 運用環境でセンサーを使用するサーバーの適切なサブセットに対して手順 1 ~ 6 を実行します。
完全な展開 残りのサーバーに対して手順 2 から 5 を実行し、パイロットを超えてすべてのサーバーを含めます。

ハッカーからorganizationを保護する

Defender for Identity は、独自の強力な保護を提供します。 ただし、Microsoft Defender XDRの他の機能と組み合わせると、Defender for Identity は共有シグナルにデータを提供し、攻撃を阻止するのに役立ちます。

サイバー攻撃の例と、Microsoft Defender XDRのコンポーネントが検出と軽減にどのように役立つかを次に示します。

脅威チェーンMicrosoft Defender XDR停止する方法を示す図。

Defender for Identity は、Active Directory Domain Services (AD DS) ドメイン コントローラーと、Active Directory フェデレーション サービス (AD FS) (AD FS) と Active Directory Certificate Services (AD CS) を実行しているサーバーからシグナルを収集します。 これらのシグナルを使用してハイブリッド ID 環境を保護します。これには、侵害されたアカウントを使用してオンプレミス環境内のワークステーション間を横方向に移動するハッカーからの保護が含まれます。

Microsoft Defender XDRは、すべてのMicrosoft Defenderコンポーネントからの信号を関連付けて、完全な攻撃ストーリーを提供します。

Defender for Identity アーキテクチャ

Microsoft Defender for IdentityはMicrosoft Defender XDRと完全に統合されており、オンプレミスの Active Directory ID からのシグナルを利用して、お客様に向けられた高度な脅威をより適切に特定、検出、調査するのに役立ちますorganization。

セキュリティ運用 (SecOps) チームがハイブリッド環境全体で最新の ID 脅威検出と対応 (ITDR) ソリューションを提供できるように、Microsoft Defender for Identityをデプロイします。

  • プロアクティブな ID セキュリティ体制の評価を使用して侵害を防止する
  • リアルタイム分析とデータ インテリジェンスを使用して脅威を検出する
  • 明確で実用的なインシデント情報を使用して、疑わしいアクティビティを調査する
  • 侵害された ID に対する自動応答を使用して、攻撃に対応します。 詳細については、「Microsoft Defender for Identityとは」を参照してください。

Defender for Identity は、Microsoft Entra ID テナントに同期されたオンプレミスの AD DS ユーザー アカウントとユーザー アカウントを保護します。 Microsoft Entra ユーザー アカウントのみで構成される環境を保護するには、「Microsoft Entra ID 保護」を参照してください。

次の図は、Defender for Identity のアーキテクチャを示しています。

Microsoft Defender for Identityのアーキテクチャを示す図。

この図について:

  • AD DS ドメイン コントローラーと AD CS サーバーにインストールされているセンサーは、ログとネットワーク トラフィックを解析し、分析とレポートのためにMicrosoft Defender for Identityに送信します。
  • センサーは、サード パーティの ID プロバイダーの AD FS 認証を解析することもできます。また、フェデレーション認証 (図の点線) を使用するようにMicrosoft Entra IDが構成されている場合も解析できます。
  • Microsoft Defender for Identityは、Microsoft Defender XDRにシグナルを共有します。

Defender for Identity センサーは、次のサーバーに直接インストールできます。

  • AD DS ドメイン コントローラー

    センサーは、専用サーバーやポート ミラーリングの構成を必要とせずに、ドメイン コントローラーのトラフィックを直接監視します。

  • AD CS サーバー

  • AD FS サーバー

    センサーは、ネットワーク トラフィックと認証イベントを直接監視します。

Defender for Identity のアーキテクチャの詳細については、「Microsoft Defender for Identity アーキテクチャ」を参照してください。

手順 1: Defender for Identity インスタンスを設定する

まず、Defender for Identity には、オンプレミスの ID とネットワーク コンポーネントが最小要件を満たしていることを確認するための前提条件の作業が必要です。 環境の準備ができていることを確認するには、チェックリストとしてMicrosoft Defender for Identity前提条件に関する記事を使用します。

次に、Defender for Identity ポータルにサインインしてインスタンスを作成し、このインスタンスを Active Directory 環境に接続します。

手順 説明 詳細情報
1 Defender for Identity インスタンスを作成する クイックスタート: Microsoft Defender for Identity インスタンスを作成する
2 Defender for Identity インスタンスを Active Directory フォレストに接続する クイック スタート: Active Directory フォレストに接続する

手順 2: センサーをインストールして構成する

次に、オンプレミス環境のドメイン コントローラー、AD FS、および AD CS サーバーで Defender for Identity センサーをダウンロード、インストール、構成します。

手順 説明 詳細情報
1 必要なMicrosoft Defender for Identityセンサーの数を決定します。 Microsoft Defender for Identity の容量を計画する
2 センサー セットアップ パッケージをダウンロードする クイック スタート: Microsoft Defender for Identity センサーのセットアップ パッケージをダウンロードする
3 Defender for Identity センサーをインストールする クイック スタート: Microsoft Defender for Identity センサーをインストールする
4 センサーを構成する Microsoft Defender for Identity センサーの設定を構成する

手順 3: センサーを使用してマシンでイベント ログとプロキシ設定を構成する

センサーをインストールしたマシンで、検出機能を有効にして強化するために、Windows イベント ログ収集とインターネット プロキシ設定を構成します。

手順 説明 詳細情報
1 Windows イベント ログ収集を構成する Windows イベント コレクションを構成する
2 インターネット プロキシ設定を構成する Microsoft Defender for Identity センサーのエンドポイント プロキシとインターネット接続の設定を構成する

手順 4: Defender for Identity が他のコンピューター上のローカル管理者を識別できるようにする

横移動パス検出Microsoft Defender for Identityは、特定のマシンのローカル管理者を識別するクエリに依存します。 これらのクエリは、Defender for Identity Service アカウントを使用して SAM-R プロトコルで実行されます。

Windows クライアントとサーバーで Defender for Identity アカウントが SAM-R を実行できるようにするには、ネットワーク アクセス ポリシーに記載されている構成済みのアカウントに加えて、Defender for Identity サービス アカウントを追加するために、グループ ポリシーを変更する必要があります。 ドメイン コントローラーを除くすべてのコンピューターにグループ ポリシーを適用してください。

これを行う方法については、「SAM へのリモート呼び出しを行うためにMicrosoft Defender for Identityを構成する」を参照してください。

手順 5: ID 環境のベンチマークの推奨事項を構成する

Microsoft は、Microsoft Cloud サービスを使用しているお客様に対してセキュリティ ベンチマークの推奨事項を提供します。 Azure セキュリティ ベンチマーク (ASB) には、Azure 上のワークロード、データ、およびサービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項が用意されています。

これらの推奨事項を実装するには、計画と実装に時間がかかる場合があります。 これらの推奨事項によって ID 環境のセキュリティが大幅に向上しますが、Microsoft Defender for Identityの評価と実装を継続して行うことはできません。 これらの推奨事項は、ここで認識するために提供されています。

手順 6: 機能を試す

Defender for Identity ドキュメントには、さまざまな攻撃の種類を特定して修復するプロセスについて説明する次のチュートリアルが含まれています。

SIEM 統合

Defender for Identity をMicrosoft Sentinelまたは汎用セキュリティ情報およびイベント管理 (SIEM) サービスと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinelを使用すると、organization全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して効果的かつ即時に対応できます。

SIEM 統合を使用したMicrosoft Defender for Identityのアーキテクチャを示す図。

Microsoft Sentinelには、Defender for Identity コネクタが含まれています。 詳細については、「Microsoft SentinelのコネクタMicrosoft Defender for Identity」を参照してください。

サード パーティの SIEM システムとの統合の詳細については、「 汎用 SIEM 統合」を参照してください。

次の手順

SecOps プロセスに以下を組み込みます。

Microsoft Defender XDRのエンド ツー エンドデプロイの次の手順

パイロットを使用してMicrosoft Defender XDRのエンド ツー エンドのデプロイを続行し、Defender for Office 365をデプロイします。

パイロットプロセスとデプロイプロセスのMicrosoft Defender for Office 365を示す図Microsoft Defender XDR。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。